{{tag>права_доступа Инвентаризация}}
====== Инвентаризация: Контроль доступа ======
Черновик учета доступа пользователей к ресурсам.

{{drawio>инвентаризация:diagram1}}

Получается при получении служебки на предоставление доступа группе пользователей 
  * к удаленному доступу (пользователь -> сервис Wireguard)
  * к своему компу по RDP (пользователь,ip -> OC по RDP)

Будет порождаться грядка ACL:
  * 1шт на доступ пользователей к сервису
  * Nшт на доступ [VPN IP пользователя, учетки пользователя] по RDP к целевой ОС

Все они будут связаны через расписание.
Что довольно странно
Но получается, что в расписании есть все необходимые поля для этого и если других полей не нужно, то дополнительная сущность будет избыточной (тут приходит Оккам и угрожает бритвой)

Также получается что основание предоставления доступа можно вписывать двояко (есть поле в самом ACL и в каждом периоде предоставления)

Работать с самими ACL в чистом виде вероятно будет неудобно, хотя мало где работа с ACL идет отдельно от субъектов. 
В нашем случае можно будет наверно сделать таблицу

^ объект  ^ доступ  ^ субъект  ^ активность ACL (в наст время исходя из расписания)  ^
| Пупкин  | RDP обрезанный  | PUPKIN-IA  | активен  | 

и по ней искать/просматривать доступы конкретных людей к конкретным ресурсам
также очевидно что предоставленные доступы будет видно на страничке объекта и ресурса

Доступ к сложным объектам наверно надо будет реализовывать через ресурсы-сервисы (которые сами по себе комплексный объект, включающий в себя и ОС и оборудование и субсервисы).
Ну т.е. если мы в кластер терминалов добавили еще один сервер - не должно быть необходимо переделывать все ACL. Нужно добавить сервер в сервис и все.
Попробуем на первое время так ограничиваться. 
Если этого будет мало - там посмотрим в сторону сборных таргетов/ресурсов.