Post on 03-Jan-2016
description
Tools für Domain-basiertes Policy Management
Seminarvortrag von Andreas Halm
Übersicht
• Vorteile der Policies
• Programmierung und Anbindung
• Die Tools im Einzelnen
• Schlußbetrachtungen
2
Vorteile der Policies
• In großen Netzwerken Administration „von Hand“ nicht mehr möglich
• Hierarchische Struktur unterstützt intuitiven Zugang
• Fehler bei der Administration minimieren
3
Vorteile der Policies
• Skalieren gutGruppierung nach räumlicher Nähe oder
AufgabengebietFehlerminimierung
• Flexibel, da geräteunabhängig
4
Ein Beispiel einer Hierarchie
re s d ev
d iv is ion
p o licy b a ckup
a d m in
u se rs
w s
re s
b a ckup co m p u te
se rve rs
sys tem
p o l ro le s
m an ag em en tIn fo
ro o t
Eine beliebige Softwarefirma
5
Programmierung
• Alle Tools sind in Java programmiert
• Swing für die graphischen Userinterfaces
• Daten werden auf einem LDAP-Server gespeichert
6
Tools
• Domain Browser
• Policy-Editor
• Policy-Compiler
• Management Console
• Conflict Analyzer
• User Management
7
Tools: Domain Browser
• Koordinationspunkt (für den Benutzer)
• Direkte Kommunikation mit dem LDAP-Server
• Hyperbolische Ansicht
8
Tools: Domain Browser
9
Tools: Domain Browser
• Zusammengesetzte Policy-Strukturen werden genau wie Domains dargestellt
• Nur beschränktes „undo“
• Gleichzeitiges Editieren von mehreren Leuten möglich
Tools: Policy-Editor
• IDE zum Erstellen/Editieren von Policies
• Farbliche Hervorhebung und automatische Einrückung
• Spezielle Dialoge für einzelne Funktionen
11
Tools: Policy-Editor
12
Tools: Policy-Compiler
• Basiert auf LALR(1)-Parser, mit SableCC erzeugt
• Semantische / Syntaktische Analyse
• Intermediate Code wird im LDAP gespeichert
• Passender Code-Generator wird erst bei Anwendung aufgerufen
13
Intermediate Code im LDAP
C o de ge n era to ren
te m p o rä re r C od e (IC )
se m an tische /syn ta k tisch e A n a lyse
14
Erweiterbarkeit des Policy-Compilers
• Objektorientierte Programmierung
• Compiler Back-ends können ohne Neuübersetzung eingehängt werden
15
Tools: Management Console
• Durch den Compiler generierter Code wird in der Domain Hierarchie gespeichert
• Steuert Lebenszyklus der Policy-Objekte
Tools: Management Console
17
Tools: Management Console
18
Policy Control Objects
• Jede Policy wird von einem Policy Control Object begleitetAuthorization Control ObjectRefrain Control ObjectObligation Control Object
19
Tools: Management Console
20
Tools: Management Console
21
Tools: Management Console
• Domains halten Referenzen auf Policies
• Größtenteils automatisiert, aber beeinflußbar durch die MC
22
Tools: Conflict Analyzer
• Lösung durch PräzedenzenSpezifischere DefinitionNegative Authorisation
23
Tools: User Management
• Rollen: Personen oder automatisierte Funktionen
• Sicherheitsrichtlinien mit Rollen verknüpfen
24
Schlußbetrachtungen
• Arbeitserleichterung
• Hyperbolischer Domain-Browser von überall erreichbar
• Interessante Features
• Die Zukunft: Alles in einer IDE
25
Vielen Dank für ihre Aufmerksamkeit!
Noch Fragen?