Debugger für Modulzugriffsrichtlinien

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie den Debugger für Zugriffsrichtlinien für das Modul, um Protokollierungsinformationen zu überprüfen und zu verstehen, warum Ihren Anwendern Zugriff auf einen Verschlüsselungskontext gewährt wird oder nicht.

    Modulzugriffsrichtlinien (Module Access Policies, MAPs) definieren Steuerungen auf Instanzebene für den Zugriff auf kryptografische Module. Aufrufer (z. B. ein Benutzer oder ein Skript) benötigen expliziten Zugriff, um ein kryptografisches Modul für die Verschlüsselung und Entschlüsselung zu verwenden. Es ist nicht immer klar, welche MAPs ausgewertet werden, wenn Aufrufer versuchen, auf ein kryptografisches Modul zuzugreifen. Verwenden Sie den Debugger, um zu sehen, welche Richtlinien ausgewertet werden, wenn ein Aufrufer versucht, auf ein kryptografisches Modul zuzugreifen, und zu erfahren, warum der Zugriff gewährt oder nicht gewährt wird.

    Dieses Flowchart zeigt, wie Ihre -Instanz Anforderungen für den Zugriff auf ein kryptografisches Modul auswertet.

    Flussdiagramm, das zeigt, wie der Zugriff auf kryptografische Module ausgewertet wird

    Steuern Sie den Zugriff auf die Debug-Protokolle

    Der Zugriff auf die Debug-Protokolle für den Modulzugriff wird durch die Rolle bestimmt. Benutzer mit den Rollen sn_kmf.admin und sn_kmf.cryptographic_manager haben immer Zugriff auf den Debugger. Gewähren Sie anderen Rollen mit der Systemeigenschaft glide.kmf.module_access_policies.debugger.authorized.roles Zugriff. Der Wert dieser Eigenschaft ist eine durch Kommas getrennte Liste von Rollen, die auf die Debug-Protokolle zugreifen.

    Aktivieren oder deaktivieren Sie den Debugger

    Um Debug-Protokollierungsnachrichten für Modulzugriffsrichtlinien zu aktivieren, navigieren Sie zu Alle > Diagnosen > Sitzung debuggen > Modulzugriffsrichtlinien debuggen > an.

    Wenn Sie mit dem Debuggen fertig sind, können Sie die Protokollierungsnachrichten deaktivieren, indem Sie zu navigieren Alle > Diagnosen > Sitzung debuggen > Alle deaktivieren > an.

    Greifen Sie auf die Protokolle zu

    Navigieren Sie, nachdem Sie das Debugging aktiviert haben, zu einer Seite, die eine MAP-Bewertung auslöst, um die MAP-Debug-Protokolle anzuzeigen. Debug-Nachrichten werden unten auf der Seite angezeigt.
    Tipp:
    Sie können den Identitätswechsel verwenden, um Zugriffsprobleme für andere Benutzer zu beheben. Weitere Informationen zum Identitätswechsel finden Sie unter Impersonating users. Um die Debug-Protokolle aus der Perspektive eines anderen Benutzers anzuzeigen, stellen Sie sicher, dass für Ihre Modulzugriffsrichtlinien mit dem Typ role das Feld Identitätswechsel auf truefestgelegt ist.
    Beispiel für eine Debug-Ausgabe

    In diesem Beispiel löst ein Anrufer zwei Zugriffsanforderungen auf das kryptografische Modul „global.fuji“ aus. Eine symmetrische Verschlüsselung, die gewährt wird, und eine symmetrische Entschlüsselung, die abgelehnt wurde.

    Protokolleinträge verstehen

    Debugging-Informationen werden in diesem Format strukturiert.

    1. Diese erste Zeile zeigt das kryptografische Modul an, das die Zugriffsanforderung erhält.
    2. Die Zeilen zwischen der ersten und der letzten Zeile zeigen die ausgewerteten MAPs in der Reihenfolge an, in der sie ausgewertet wurden, einschließlich Name, Typ, Ziel, granularer Vorgang und Ergebnis.
    3. In der letzten Zeile werden die Richtlinienentscheidung (falls zutreffend) und das Nettozugriffsergebnis für den Anrufer angezeigt (ob dem Anrufer Zugriff gewährt wird).

    Jede Zeile beginnt mit einem Symbol, das den Nachrichtentyp angibt.

    Tabelle : 1. Nachrichtensymbole
    Symbol Nachrichtentyp
    Informationssymbol Informationsmeldung
    Symbol für MAP-Zugriffsgewährung Die Modulzugriffsrichtlinie gewährt Zugriff
    Zuordnungssymbol „Zugriff verweigern“. Die Modulzugriffsrichtlinie verweigert den Zugriff
    Symbol „Anrufer gewährt Zugriff“. Dem Anrufer wird Zugriff gewährt
    Symbol „Anrufer verweigert Zugriff“. Anrufer hat keinen Zugriff
    Kein MAP-Symbol Keine Modulzugriffsrichtlinie zum Auswerten

    Debug-Protokollbeispiele

    Nachricht über den gewährten Zugriff
    Debug-Ausgabe für gewährten Zugriff
    Zugriff verweigert Nachricht
    Debug-Ausgabe für verweigerten Zugriff
    Zugriff verweigert (keine Modulzugriffsrichtlinien zum Auswerten
    Debug-Ausgabe für verweigerten Zugriff aufgrund fehlender MAP-Richtlinien
    Zugriff verweigert (unzureichende Rechte)
    Debug-Ausgabe für verweigerten Zugriff aufgrund unzureichender Berechtigungen