Debugger für Modulzugriffsrichtlinien

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie den Debugger für Modulzugriffsrichtlinien, um Protokollierungsinformationen zu überprüfen und nachzuvollziehen, warum Ihren Benutzern der Zugriff auf einen Verschlüsselungskontext gewährt wird.

    Modulzugriffsrichtlinien (MAPs) definieren Steuerungen auf Instanzebene für den Zugriff auf kryptografische Module. Aufrufer (z. B. ein Benutzer oder ein Skript) benötigen expliziten Zugriff, um ein kryptografisches Modul für die Verschlüsselung und Entschlüsselung zu verwenden. Es ist nicht immer klar, welche MAPs ausgewertet werden, wenn Aufrufer versuchen, auf ein kryptografisches Modul zuzugreifen. Verwenden Sie den Debugger, um zu sehen, welche Richtlinien ausgewertet werden, wenn ein Aufrufer versucht, auf ein kryptografisches Modul zuzugreifen, und um zu erfahren, warum der Zugriff gewährt wird oder nicht.

    Dieses Flussdiagramm zeigt, wie Ihre Instanz Anforderungen für den Zugriff auf ein kryptografisches Modul auswertet.

    Flussdiagramm, das zeigt, wie der Zugriff auf kryptografische Module ausgewertet wird

    Steuern Sie den Zugriff auf die Debug-Protokolle

    Der Zugriff auf die Debug-Protokolle des Modulzugriffs wird durch die Rolle bestimmt. Benutzer mit den Rollen sn_kmf.admin und sn_kmf.cryptographic_manager haben immer Zugriff auf den Debugger. Gewähren Sie Zugriff auf andere Rollen mithilfe der Systemeigenschaft glide.kmf.module_access_policies.debugger.authorized.roles. Der Wert dieser Eigenschaft ist eine durch Kommas getrennte Liste von Rollen, die auf die Debug-Protokolle zugreifen.

    Aktivieren oder deaktivieren Sie den Debugger

    Um Debug-Protokollierungsnachrichten für Modulzugriffsrichtlinien zu aktivieren, navigieren Sie zu Alle > Diagnosen > Sitzung debuggen > Modulzugriffsrichtlinien debuggen > .

    Wenn Sie mit dem Debuggen fertig sind, können Sie die Protokollierung von Nachrichten deaktivieren, indem Sie zu navigieren Alle > Diagnosen > Sitzung debuggen > Alle deaktivieren > .

    Greifen Sie auf die Protokolle zu

    Navigieren Sie nach dem Aktivieren des Debugging zu einer Seite, die eine MAP-Auswertung auslöst, um die MAP-Debug-Protokolle anzuzeigen. Debug-Meldungen werden unten auf der Seite angezeigt.
    Tipp:
    Sie können Identitätswechsel verwenden, um Zugriffsprobleme für andere Benutzer zu beheben. Weitere Informationen zum Identitätswechsel finden Sie unter Impersonating users. Um die Debug-Protokolle aus der Perspektive eines anderen Benutzers anzuzeigen, stellen Sie sicher, dass für Ihre Modulzugriffsrichtlinien vom Typ role das Feld Identitätswechsel auf truefestgelegt ist.
    Beispiel für Debug-Ausgabe

    In diesem Beispiel ruft ein Aufrufer zwei Zugriffsanforderungen für das kryptografische Modul global.fuji auf. Eine symmetrische Verschlüsselung, die gewährt wird, und eine symmetrische Entschlüsselung, die verweigert wurde.

    Protokolleinträge verstehen

    Debugging-Informationen werden in diesem Format strukturiert.

    1. In dieser ersten Zeile wird das kryptografische Modul angezeigt, das die Zugriffsanforderung erhält.
    2. Die Zeilen zwischen der ersten und letzten Zeile zeigen die ausgewerteten MAPs in der Reihenfolge an, in der sie ausgewertet wurden, und enthalten Name, Typ, Ziel, granularen Vorgang und Ergebnis.
    3. In der letzten Zeile werden die Richtlinienentscheidung (falls zutreffend) und das Nettozugriffsergebnis für den Anrufer angezeigt (ob dem Anrufer Zugriff gewährt wird).

    Jede Zeile beginnt mit einem Symbol, das den Nachrichtentyp angibt.

    Tabelle : 1. Nachrichtensymbole
    Symbol Nachrichtentyp
    Informationssymbol Informationsnachricht
    MAP-Symbol „Zugriff gewähren“. Die Modulzugriffsrichtlinie gewährt Zugriff
    Symbol „Zugriff verweigern“ für MAP Die Modulzugriffsrichtlinie verweigert den Zugriff
    Symbol „Zugriff gewähren“ für Aufrufer Dem Aufrufer wird Zugriff gewährt
    Symbol „Zugriff verweigern“ des Anrufers Dem Anrufer wird der Zugriff verweigert
    Kein Kartensymbol Keine Modulzugriffsrichtlinie zum Auswerten vorhanden

    Beispiele für Debug-Protokolle

    Nachricht „Zugriff gewährt“.
    Debugging-Ausgabe für gewährten Zugriff
    Nachricht „Zugriff verweigert“.
    Debugging-Ausgabe für verweigerten Zugriff
    Zugriff verweigert (keine Modulzugriffsrichtlinien zum Auswerten
    Debugging-Ausgabe für verweigerten Zugriff aufgrund fehlender MAP-Richtlinien
    Zugriff verweigert (unzureichende Berechtigungen)
    Debugging-Ausgabe für verweigerten Zugriff aufgrund unzureichender Berechtigungen