根据客户不同的业务服务细化受控域资源

发布时间:  2012-07-18 浏览次数:  62 下载次数:  0
问题描述
 目前TSM V1R2相比较V1R1版本增加了隔离域,有三个域概念:认证前域为不需要进行身份认证即可访问的公共网络资源;隔离域是指在终端用户通过了身份认证但未通过安全认证时允许终端主机访问的区域;认证后域是指终端用户通过认证后能够访问的区域。

        某客户采购了我司TSM V1R2系统来做准入控制,其各组织部门及子部门都有专属的业务系统,客户要求每个组织部门都只能对应相应的业务系统,不能够访问其他组织部门的业务系统。

告警信息
处理过程
这就要求对认证后域进行粒度控制,细化受控域资源,从而来达到组织部门用户与业务系统的一一对应。我们首先完成对客户业务服务器的调研,输出客户组织部门与独立业务系统的对应表,依据对应表中业务服务器分布情况最小化原则,通过IP地址、掩码、协议类型和端口号在受控域中建立独立的业务资源池。然后在认证后域中为每个业务系统单独命名,并赋予相应的独立业务资源池。最后在客户的组织部门或个人用户下发对应的认证
根因
可以理解为A部门只能访问a业务服务器,而不能访问b业务服务器;B部门只能访问b业务服务器,而不能访问a业务服务器……。
建议与总结

这里也需注意三点:

1.认证后域的缺省禁止表示:默认禁止所有资源,仅放行已选的受控域;缺省放行表示:默认放行所有资源,仅禁止已选的受控域。
2.无论是部门或个人应用SACG隔离域和认证后域时,都需将配置方式改为自定义设置才可以操作。
3.如果个人需跨部门访问多个业务服务,因为不可以同时对一个对象下发多个认证后域,需在认证后域单独增加对应的多个受控资源才可实现。

END