Règles d'autorisation de la passerelle ENC
Procédure et autres questions
Cette section tente d'anticiper les questions susceptibles de se poser et d'y apporter une réponse concise.
J'utilise l'appartenance spéciale à tous les domaines (*) mais les périodes ne sont pas respectées ; pour quelle raison ?
Le caractère * désigne l'objet ordinateur comme membre de tous les domaines et implique qu'il est un "super-utilisateur". Un objet disposant d'un accès super-utilisateur peut effectuer toutes les opérations. Par conséquent, le sous-système d'autorisation autorise toujours l'opération spécifiée, quelles que soient les restrictions de temps ou d'accès. Un domaine super-utilisateur peut tout faire, se connecter partout, rechercher tout, etc. Sachez que l'utilisation du type super-utilisateur est auditée à l'aide d'un avertissement consigné dans le journal d'application système.
Existe-t-il un moyen de vérifier les règles avant de les appliquer ?
Oui, utilisez la commande de l'utilitaire ENC encUtilCmd et la commande "verify". Cela vous permet de simuler tous les événements répertoriés précédemment. Pour des instructions plus détaillées sur la manière d'utiliser l'application, consultez le manuel de référence UtilCmd.
Je dois créer un très grand nombre de règles ! Existe-t-il une méthode plus simple ?
Oui. A nouveau, utilisez la commande de l'utilitaire ENC encUtilCmd. La commande
"create" vous permet de créer un ensemble de règles pour plusieurs domaines et de définir un ensemble de règles de base qui reflète l'approche de cette section du document. Vous pouvez également créer simultanément un script de test qui vérifiera toutes les règles créées à l'aide des identités simulées. Vous pouvez ensuite modifier les règles générées pour utiliser les identités de sécurité réelles et personnaliser les autres zones pour satisfaire vos exigences spécifiques.
488 Manuel d'implémentation
