Tools für Domain-basiertes Policy Management

Seminarvortrag von Andreas Halm

Übersicht

• Vorteile der Policies

• Programmierung und Anbindung

• Die Tools im Einzelnen

• Schlußbetrachtungen

2

Vorteile der Policies

• In großen Netzwerken Administration „von Hand“ nicht mehr möglich

• Hierarchische Struktur unterstützt intuitiven Zugang

• Fehler bei der Administration minimieren

3

Vorteile der Policies

• Skalieren gutGruppierung nach räumlicher Nähe oder

AufgabengebietFehlerminimierung

• Flexibel, da geräteunabhängig

4

Ein Beispiel einer Hierarchie

re s d ev

d iv is ion

p o licy b a ckup

a d m in

u se rs

w s

re s

b a ckup co m p u te

se rve rs

sys tem

p o l ro le s

m an ag em en tIn fo

ro o t

Eine beliebige Softwarefirma

5

Programmierung

• Alle Tools sind in Java programmiert

• Swing für die graphischen Userinterfaces

• Daten werden auf einem LDAP-Server gespeichert

6

Tools

• Domain Browser

• Policy-Editor

• Policy-Compiler

• Management Console

• Conflict Analyzer

• User Management

7

Tools: Domain Browser

• Koordinationspunkt (für den Benutzer)

• Direkte Kommunikation mit dem LDAP-Server

• Hyperbolische Ansicht

8

Tools: Domain Browser

9

Tools: Domain Browser

• Zusammengesetzte Policy-Strukturen werden genau wie Domains dargestellt

• Nur beschränktes „undo“

• Gleichzeitiges Editieren von mehreren Leuten möglich

Tools: Policy-Editor

• IDE zum Erstellen/Editieren von Policies

• Farbliche Hervorhebung und automatische Einrückung

• Spezielle Dialoge für einzelne Funktionen

11

Tools: Policy-Editor

12

Tools: Policy-Compiler

• Basiert auf LALR(1)-Parser, mit SableCC erzeugt

• Semantische / Syntaktische Analyse

• Intermediate Code wird im LDAP gespeichert

• Passender Code-Generator wird erst bei Anwendung aufgerufen

13

Intermediate Code im LDAP

C o de ge n era to ren

te m p o rä re r C od e (IC )

se m an tische /syn ta k tisch e A n a lyse

14

Erweiterbarkeit des Policy-Compilers

• Objektorientierte Programmierung

• Compiler Back-ends können ohne Neuübersetzung eingehängt werden

15

Tools: Management Console

• Durch den Compiler generierter Code wird in der Domain Hierarchie gespeichert

• Steuert Lebenszyklus der Policy-Objekte

Tools: Management Console

17

Tools: Management Console

18

Policy Control Objects

• Jede Policy wird von einem Policy Control Object begleitetAuthorization Control ObjectRefrain Control ObjectObligation Control Object

19

Tools: Management Console

20

Tools: Management Console

21

Tools: Management Console

• Domains halten Referenzen auf Policies

• Größtenteils automatisiert, aber beeinflußbar durch die MC

22

Tools: Conflict Analyzer

• Lösung durch PräzedenzenSpezifischere DefinitionNegative Authorisation

23

Tools: User Management

• Rollen: Personen oder automatisierte Funktionen

• Sicherheitsrichtlinien mit Rollen verknüpfen

24

Schlußbetrachtungen

• Arbeitserleichterung

• Hyperbolischer Domain-Browser von überall erreichbar

• Interessante Features

• Die Zukunft: Alles in einer IDE

25

Vielen Dank für ihre Aufmerksamkeit!

Noch Fragen?