none
Control de acceso dinámico RRS feed

  • Pregunta

  • He creado una resource property con elección multiple de valores y he introducido los valores posibles: los usuarios

    He creado la resource property list

    En las reglas de acceso central, a cada usuario de de la resource property le he dado acceso de lectura

    He creado la política de acceso central.

    Todo funciona según lo esperado cuando en  la clasificación del archivo pongo un solo valor: ese usuario tiene permiso de lectura.

    Pero si señalo dos valores en la clasificación, ninguno de los dos usuarios tiene acceso de lectura, porque uno se lo quita a otro: cuando consulto el "acceso efectivo", ninguno de los dos usuarios tienen acceso porque uno limita al otro.

    Me gustaría que todos los elementos de la lista (usuarios) que señale en la clasificación, tengan acceso efectivo de lactura al archivo ¿Es eso posible?


    Fco. J. Pinto

    domingo, 13 de abril de 2014 11:29

Respuestas

  • No entiendo muy bien lo que has hecho, pero el problema podría ser la regla de acceso, que está funcionando como un "AND" y si el archivo tiene dos propiedades está exigiendo las dos.

    Si no puedes cambiar la regla, puede ser necesario revisar la forma de asignar los usuarios.

    Un saludo.

    • Marcado como respuesta Uriel Almendra miércoles, 16 de abril de 2014 12:25
    miércoles, 16 de abril de 2014 9:41

Todas las respuestas

  • No entiendo muy bien lo que has hecho, pero el problema podría ser la regla de acceso, que está funcionando como un "AND" y si el archivo tiene dos propiedades está exigiendo las dos.

    Si no puedes cambiar la regla, puede ser necesario revisar la forma de asignar los usuarios.

    Un saludo.

    • Marcado como respuesta Uriel Almendra miércoles, 16 de abril de 2014 12:25
    miércoles, 16 de abril de 2014 9:41
  • En efecto, se comporta como .and. y no como .or.

    He estado revisando todo el proceso de lo que he hecho y no se qué es lo que tengo que tocar. Me consta que puede funcionar como .or. porque en algún momento de las diversas pruebas me funcionó así.

    Me explico un poco más a ver si consigo que me ayudéis a encontrar una solución. Pretendo que los ficheros de un determinado directorio los puedan leer uno o varios determinados usuarios, que cambian para cada fichero.

    He visto que Server 2012 tiene la característica del Dynamic Access control, y siguiendo la documentación, he hecho lo siguiente:

    1. No he usado claym types

    2. He definido una resource property que tiene la posibilidad de elección múltiple entre una lista de personas y departamentos.

    3. He definido una resource list que sólo tiene la resource property anterior.

    4. He creado tantas Central Acess rules como elementos de la lista de la resource property, y a cada regla le he dado derechos de lectura para su correspondiente usuario o grupo de active directory

    5. He creado la central access policy con todas las central access rules anteriores.

    No entiendo muy bien lo que significa "Si no puedes cambiar la regla, puede ser necesario revisar la forma de asignar los usuarios." Supongo que te refieres a cada regla de acceso central:

    Al crear las reglas he definido cada recurso de destino como "cualquiera de" y le he dado, como permisos actual el de lectura al usuario correspondiente. Como ya he dicho, no he usado claym types. Tampoco he modificado las "Extensiones", de las que no entiendo su función.

    Gracias por la ayuda.


    Fco. J. Pinto

    jueves, 17 de abril de 2014 9:00
  • No tengo mucha práctica con DAC, pero probaría a crear un tipo de claim con la cuenta de usuario y crear una regla que de permisos si el claim de usuario coincide con la resource property (cualquiera de).

    Un saludo.

    domingo, 20 de abril de 2014 17:57