Esta seção fornece maiores informações sobre como configurar regras de acesso e gerar listas de controle de acesso, além de apresentar vários exemplos. Ela contém as seguintes subseções:

• "Configurar regras de acesso"
• "Gerar uma lista de controle de acesso"
• "Seqüência de regras de acesso"

Configurar regras de acesso

O BorderManager permite que você configure cada regra de acesso como Permitir ou Negar. As regras Permitir permitem que um pedido seja realizado; as regras Negar negam o pedido. Você pode adotar dois métodos diferentes quando configurar seu esquema de controle de acesso do BorderManager, como mostrado a seguir:

• Em um ambiente bastante controlado, você poderia controlar somente as regras Permitir. Se o pedido de acesso de um usuário não coincidir com as regras de acesso em uma lista de controle de acesso inteira formada exclusivamente por regras Permitir, ele será negado pela ação padrão do BorderManager (negar).
• Em um ambiente pouco controlado, você poderia configurar somente regras Negar, com uma regra Permitir Qualquer no fim da lista de controle de acesso. Se o pedido de acesso de um usuário não coincidir com as regras Negar na lista de controle de acesso, a última regra Permitir Qualquer dará permissão a esse pedido.

Gerar uma lista de controle de acesso

Como foi explicado anteriormente, o BorderManager junta todas as listas de regras de acesso definidas em todos os diferentes níveis da Árvore do NDS na rede, começando pelo objeto Servidor, continuando pelo container que inclui o objeto Servidor e terminando na raiz da Árvore do NDS.

Nessa lista consolidada, as listas de regras definidas no objeto Servidor são colocadas no início; as listas de regras definidas na raiz são colocadas no fim. Ou seja, as regras definidas mais próximas ao usuário são colocadas mais próximas ao início da lista de controle de acesso do servidor. Essa lista combinada é a lista de controle de acesso do servidor BorderManager e é aplicada a todo pedido de acesso recebido pelo servidor.

Seqüência de regras de acesso

O BorderManager utiliza a seqüência de regras de acesso da lista de controle de acesso para determinar qual regra precisa prevalecer. Uma regra que esteja mais perto do início da lista sempre prevalece com relação a qualquer regra que venha depois dela na lista. A primeira regra que coincide com o pedido de acesso é aquela que é aplicada ao pedido. Se você combinar regras Permitir e Negar conflitantes em uma lista de controle de acesso, precisará ter certeza de que a seqüência de regras na lista produzirá o efeito desejado.

Cada vez que um usuário faz um pedido de acesso, como acontece quando um usuário do Gateway IP da Novell, dos Serviços de Proxy ou da VPN inicia um pedido para acessar determinado serviço ou destino, o BorderManager verifica a lista de controle de acesso do servidor. Ele procura a lista até encontrar a primeira regra de acesso que se aplique ao objeto solicitante e age imediatamente sobre a regra para permitir ou negar o pedido. Uma seqüência inteligente é essencial quando você cria regras de controle de acesso, porque o BorderManager procura a primeira regra aplicável na lista de controle de acesso do servidor. Após isso, ele não procura qualquer regra aplicável em potencial.

Exemplo de regras de acesso

Neste exemplo, o presidente da empresa deseja uma regra que impeça os funcionários da empresa de acessarem a WWW (World Wide Web) durante o expediente. Você pode concretizar essa diretiva coletiva com uma regra de acesso geral na raiz da árvore que contém seu servidor BorderManager.

Se o vice-presidente de Marketing insistir que seus funcionários precisam de acesso à Web para realizarem bem o trabalho e ele conseguir convencer o presidente, você poderá atender a esse pedido criando uma segunda regra para o grupo de usuários de Marketing ou para usuários específicos dentro desse grupo.

Esse método é uma maneira de implementar regras de acesso no servidor BorderManager. Você usa regras gerais colocadas em um ponto mais alto da Árvore do NDS para que diretivas mais abrangentes surtam efeito, como evitar que os funcionários acessem a Web durante o expediente. As regras específicas colocadas em uma parte inferior da Árvore do NDS são direcionadas para casos mais específicos ou exceções, como permitir que o grupo de Marketing tenha acesso à Web durante o expediente.

Quando duas regras entram em conflito entre si ("Negar o acesso de todos os funcionários à Web durante o expediente" e "Permitir que membros do departamento de Marketing acessem a Web durante o expediente"), a regra mais próxima ao início da lista de controle de acesso do servidor prevalece. Quando nenhuma regra for encontrada, o pedido será negado porque a ação padrão do servidor, na ausência de uma regra específica que especifique o contrário, é sempre Negar.

Exemplo de controle de acesso detalhado

Neste exemplo, o administrador da XCom Communications cria as seguintes regras no servidor BorderManager da XCom.

Uma análise dessas regras de acesso levanta a questão de o administrador realmente precisar ou não configurar três regras Negar. O BorderManager negará automaticamente o pedido de acesso do usuário quando ele atingir o fim da lista de controle de acesso se o pedido não coincidir com qualquer regra da lista. A resposta é a seguinte: isso depende do que o administrador deseja realizar.

Uma análise da regra 4, que proíbe qualquer usuário do grupo xcom.com de acessar www.yadda.com, e da regra 8, que permite a qualquer usuário do grupo xcom.com acessar qualquer destino, revela que a regra 4 (negar) é necessária.

A regra 7 proíbe os usuários de acessarem qualquer página Web dentro do diretório innerweb.xcom.com/prv após as regras 5 e 6 permitirem que o grupo de Finanças e o de Recursos Humanos acessem seus próprios diretórios na Web.

No entanto, a regra 2 permite que qualquer usuário do grupo xcom.com acesse innerweb.xcom.com, que permite acesso às páginas dentro do diretório innerweb.xcom.com/prv. A regra 3 permite que qualquer usuário do grupo exec.xcom.com acesse qualquer destino, o que também permite acesso às páginas dentro do diretório innerweb.xcom.com/prv.

Se o administrador não quiser que o grupo xcom.com acesse a área innerweb.xcom.com/prv, a regra 2 precisará ser colocada após a regra 7 (negar). No entanto, se o administrador quiser que usuários do grupo exec.xcom.com acessem o diretório innerweb.xcom.com/prv, a regra 7 não será necessária.

Em análise, a regra 8 permite que qualquer usuário do grupo xcom.com acesse qualquer destino, o que também permite que qualquer usuário acesse o host innerweb.xcom.com. Isso torna a regra 2 desnecessária. O administrador também pode apagar a regra 9 porque, por padrão, o BorderManager nega automaticamente os pedidos de acesso de usuários no fim da lista de controle de acesso quando o pedido não coincide com qualquer regra específica da lista.

A lista final de controle de acesso tem este aspecto:

Uma análise da lista de controle de acesso acima revela que qualquer usuário do grupo xcom.com pode acessar qualquer destino (regra 7), exceto os diretórios www.yadda.com e innerweb.xcom.com/prv (regras 3 e 6).

Agora considere os seguintes pedidos:

• Amy Brentman, do departamento de Finanças da Xcom, pode usar o HTTP para se conectar com www.yadda.com, o site da Yadda Communications (anteriormente YCom Communications) na Web e concorrente da XCom Communications?

  Se Amy fizesse esse pedido, as regras de acesso funcionariam da seguinte maneira:

  • As regras 1 e 2 não se aplicam ao pedido de Amy.
  • No entanto, a regra 3 diz que todos os funcionários da XCom em todos os departamentos dessa empresa terão negados seus pedidos HTTP ao site da concorrente Yadda Communications na Web.
  • A regra 7 permite que todos os funcionários da XCom em todos os departamentos dessa empresa usem o HTTP para se conectarem com qualquer local, mas o BorderManager já agiu sobre a regra 3, a primeira regra que coincidiu com o pedido na lista de controle de acesso.

  A resposta é Não. Amy não pode acessar o www.yadda.com.

• Jose Lira trabalha no departamento de Recursos Humanos da XCom Communications (hr.xcom.com). Ele pode usar o FTP para copiar arquivos de innerweb.xcom.com/prv/hr?

  Talvez Jose pensasse que esse pedido fosse aceito, mas as regras de acesso funcionariam da seguinte maneira:

  • O pedido do usuário é negado porque não coincide com qualquer regra da lista de controle de acesso (o FTP não é especificado entre as regras 1 e 7).
  • Mas a regra 5 permite que os funcionários do departamento de Recursos Humanos (hr), como Jose, usem o HTTP para se conectarem com innerweb.xcom.com/prv/hr.

  A resposta é Não. Jose não pode usar o FTP para copiar os arquivos.

• P.V. Singh, presidente da XCom Communications, é um membro do grupo exec.xcom.com. Ele pode usar o FTP para copiar os arquivos de www.yadda.com?

  As regras de acesso funcionariam da seguinte maneira:

  • A regra 2 permite que P.V. use o FTP para copiar os arquivos de www.yadda.com porque permite que qualquer membro do grupo exec.xcom.com use qualquer serviço para se conectar com qualquer local.
  • A regra 3 nega a qualquer funcionário da XCom acesso a www.yadda.com, mas isso não se aplica porque o BorderManager já agiu sobre a regra 2.

  A resposta é Sim. P.V. pode usar o FTP para copiar os arquivos de www.yadda.com.

• Roger Rockwell é encarregado do departamento de Expedição e Recebimento da XCom há anos. Este ano, seu departamento entrou na intranet da empresa. Roger está curioso para ver que tipos de locais da empresa na Web estão no diretório innerweb.xcom.com/prv.
  • As regras de 1 a 5 não se aplicam ao pedido de Roger.
  • A regra 6 nega o pedido de Roger porque nega todos os pedidos de acesso de funcionários da XCom ao diretório innerweb.xcom.com/prv.

  A resposta é Não. Roger não poderá ver qualquer local dentro de innerweb.xcom.com/prv.

Você também pode especificar períodos do dia e dias da semana em que uma regra de acesso precisa ser aplicada e pode especificar que todos os pedidos contra uma regra de acesso sejam registrados.