6.1 Rollenbasierte Services

Mit Hilfe von iManager können Sie Benutzern spezielle Verantwortungen übertragen und ihnen ausschließlich die ausschließlich dafür erforderlichen Werkzeuge (einschließlich der entsprechenden Berechtigungen) bereitstellen. Diese Funktion wird als Role-Based Services oder RBS bezeichnet.

Bei den funktionsbasierten Services handelt es sich um Erweiterungen des eDirectory-Schema. Mit RBS werden mehrere Objektklassen und -attribute festgelegt, die dem Administrator einen Mechanismus zur Verfügung stellen, um einem Benutzer den Zugriff auf Verwaltungsaufgaben zu gewähren, die dessen Funktion innerhalb der Organisation entsprechen. Dadurch hat der Benutzer ausschließlich Zugriff auf diejenigen Aufgaben, die er erledigen soll. RBS gewährt nur die zum Ausführen zugewiesener Aufgaben erforderlichen Rechte.

HINWEIS:Die rollenbasierten Services in NetIQ iManager (RBS) vergeben Zugriffsrechte auf Basis der Zugriffssteuerungslisten (Access Control Lists, ACLs) von NetIQ eDirectory. Die ACLs ermöglichen es, einem Trustee Rechte für ein bestimmtes Objekt sowie dessen nachgeordnete Objekte zu erteilen. Durch ACLs vergebene Rechte werden nicht nach bestimmten Objekttypen erteilt. Für jede NetIQ iManager-Aufgabe sind die zugehörigen Objekttypen und erforderlichen ACLs eigens definiert. Unter Umständen gestatten es diese ACLs jedoch dem Benutzer, mithilfe von eDirectory-APLs oder anderen Tools wie z. B. Novell ConsoleOne oder NWAdmin, die betreffenden Aktionen auch bei anderen Objekttypen vorzunehmen.

Mit RBS richten Sie bestimmte Rollen innerhalb Ihrer Organisation ein. Diese beinhalten Aufgaben, die ein zugewiesener Benutzer innerhalb von iManager ausführen kann (z. B. einen neuen Benutzer erstellen oder ein Passwort ändern). Die Aufgaben sind bereits Funktionen zugewiesen, können jedoch alle ersetzt, neu zugewiesen oder entfernt werden.

Außerdem werden die Benutzer mit Funktionen in einem bestimmten Bereich verknüpft. Dieser stellt einen Container in dem Verzeichnisbaum dar, für den der Benutzer die erforderlichen Berechtigungen zur Durchführung einer Aufgabe besitzt. Eine Funktion setzt der Vollständigkeit halber diese dreifache Verknüpfung aus Funktion, Mitgliedern und Bereich voraus.

Ein RBS-Rollenobjekt stellt eine Verknüpfung zwischen Benutzern und Aufgaben her. Ein Administrator gewährt einem Benutzer Zugriff auf eine Aufgabe, indem er den Benutzer als Mitglied der Funktion definiert, welcher die Aufgabe zugewiesen ist.

Es gibt folgende Möglichkeiten, einem Benutzer eine Funktion zuzuweisen:

  • Direkt als Benutzer

  • Über Zuweisungen zu Gruppen oder dynamische Gruppen

    Wenn ein Benutzer Mitglied einer Gruppe oder einer dynamischen Gruppe ist, der eine Funktion zugewiesen ist, hat der Benutzer Zugriff auf diese Funktion.

  • Über Zuweisungen zu organisatorischen Funktionen

    Wenn ein Benutzer Träger einer organisatorischen Funktion ist, der eine Funktion zugewiesen ist, hat der Benutzer Zugriff auf diese Funktion.

  • Über Zuweisungen zu Containern

    Ein Benutzerobjekt hat Zugriff auf alle Funktionen, denen sein übergeordneter Container zugeordnet ist. Dies kann auch andere Container bis hin zum Stamm des Baums umfassen.

Ein Benutzer kann mehrfach mit einer Funktion verknüpft sein, jeweils innerhalb eines anderen Bereichs.

6.1.1 RBS-Objekte in eDirectory

In der folgenden Tabelle sind die RBS-Objekte aufgeführt. iManager erweitert das eDirectory-Schema, sodass diese durch die Installation von RBS mit einbezogen werden. Weitere Informationen finden Sie unter Installieren von RBS.

Objekt

Beschreibung

RBS-Sammlung

Ein Containerobjekt, das alle RBS-Rollen- und Modulobjekte enthält.

RBS-Sammlungsobjekte sind die obersten Container für alle RBS-Objekte. Ein Baum kann über eine beliebige Anzahl von RBS-Sammlungsobjekten verfügen. Diese Objekte haben Eigentümer in der Form von Benutzern, die über Verwaltungsrechte für die Sammlung verfügen.

RBS-Sammlungsobjekte können in jedem der folgenden Container erstellt werden.

  • Land

  • Domäne

  • Standort

  • Organisation

  • Organisatorische Einheit

rbsRole

Zum Definieren einer Funktion gehört das Erstellen eines rbsRole-Objekts und das Festlegen der Aufgaben, die diese Funktion ausführen können.

rbsRole-Objekte sind Containerobjekte, die nur in einem RBS-Sammlungscontainer erstellt werden können.

Rollenmitglieder können Benutzer, Gruppen, Organisationen, Organisationsfunktionen oder Organisatorische Einheiten sein. Rollenmitglieder werden mit einer Funktion in einem bestimmten Bereich des Baums verknüpft. Die rbsTask- und rbsBook-Objekte werden den rbsRole-Objekten zugewiesen.

rbsTask

Ein Blattobjekt, das eine einzelne Funktion beinhaltet, beispielsweise das Zurücksetzen von Anmeldepasswörtern.

rbsTask-Objekte befinden sich ausschließlich in rbsModule-Containern.

rbsBook (auch Eigenschaftsbuch genannt)

Ein Buch ist ein Blattobjekt, mit dem eine Gruppe von Seiten angezeigt wird, über die ein Benutzer die Eigenschaften eines oder mehrerer gleicher Objekte einsehen oder bearbeiten kann. Auf jeder Seite des Buchs gibt es eine Registerkarte, auf die Sie klicken können, um eine andere Seite anzuzeigen.

Buchobjekte befinden sich nur in rbs-Module-Containern; sie können einer oder mehreren Funktionen sowie einem oder mehreren Klassentypen zugewiesen werden.

rbsScope

Ein Blattobjekt, das für ACL-Zuweisungen verwendet wird (anstatt Zuweisungen für jedes einzelne Benutzerobjekt vorzunehmen). rbsScope-Objekte stellen den Kontext im Baum dar, in dem die Funktion ausgeführt werden soll, und sind mit rbsRole-Objekten verknüpft. Sie erben von der Gruppenklasse. Benutzerobjekte sind einem rbsScope-Objekt zugewiesen. Diese Objekte verfügen über einen Verweis auf den Bereich des Baums, mit dem sie verknüpft sind.

Die Objekte werden bei Bedarf dynamisch erstellt und automatisch wieder gelöscht, wenn sie nicht mehr benötigt werden. Sie befinden sich ausschließlich in rbsRole-Containern.

ACHTUNG:Die Konfiguration eines rbsScope-Objekts darf nie geändert werden. Eine Änderung hat schwerwiegende Folgen und kann sogar das System unbrauchbar machen.

RBS-Modul

Ein Containerobjekt, das Objekte der Typen rbsTask und rbsBook enthält. rbsModule-Objekte haben ein Modulnamenattribut, das den Namen des Produkts enthält, das die Aufgaben oder Bücher festlegt (z. B. "eDirectory Maintenance Utilities" [Dienstprogramme für die eDirectory-Wartung], "NMAS Management" [NMAS-Verwaltung] oder "NetIQ Certificate Server Access" [Zugriff auf NetIQ Certificate Server]).

rbsModule-Objekte können nur in einem RBS-Sammlungscontainer erstellt werden.

RBS-Kategorie

In einer Kategorie werden die für eine bestimmte Prozedur vorgesehenen Funktionen und Aufgaben zusammengefasst. iManager bietet 14 Standardkategorien: Authentifizierung und Passwörter, Kollaboration, Verzeichnis, Dateimanagement, Identity Manager, Infrastruktur, Installieren und Aufrüsten, Netzwerk, Novell Audit, Druck, Sicherheit, Server, Softwarelizenzen und Netzwerk, Nutzung (Auslastung) sowie Benutzer und Gruppen.

Durch die Auswahl "Alle Kategorien" werden alle verfügbaren Funktionen und Aufgaben angezeigt.

Sie können auch neue Kategorien erstellen und diesen Funktionen und Aufgaben zuweisen.

RBS-Objekte befinden sich, wie in der folgenden Abbildung dargestellt, im eDirectory-Baum:

Abbildung 6-1 Role-Based Services in eDirectory

6.1.2 Installieren von RBS

RBS wird unter Verwendung des iManager-Konfigurationsassistenten installiert.

  1. Wählen Sie zunächst die Ansicht "Konfigurieren" und dann Rollenbasierte Services > RBS-Konfiguration.

  2. Wählen Sie iManager konfigurieren aus.

  3. Befolgen Sie die Anweisungen auf dem Bildschirm.

6.1.3 Entfernen von RBS

Wenn funktionsbasierte Services im Baum nicht mehr gebraucht werden, kann die RBS-Sammlung über iManager auf sichere Weise gelöscht werden. Durch das Löschen der RBS-Sammlung werden auch alle Benutzerfunktionsverknüpfungen und –bereiche im Baum automatisch bereinigt. Löschen Sie die RBS-Sammlung nicht mithilfe anderer Dienstprogramme wie z. B. ConsoleOne.

So entfernen Sie die funktionsbasierten Services:

  1. Wählen Sie zunächst die Ansicht "Konfigurieren" und dann Rollenbasierte Services > RBS-Konfiguration.

  2. Wählen Sie die zu löschende Sammlung.

  3. Klicken Sie auf Löschen.

Nach dem Löschen der RBS-Sammlung werden alle Benutzer, die sich bei iManager anmelden, in den Modus "Beauftragungszugriff” versetzt, auch wenn im Baum keine RBS-Sammlung vorhanden ist.

So schalten Sie in den (standardmäßigen) Modus "Uneingeschränkt” zurück:

  1. Klicken Sie in der Ansicht "Konfigurieren" auf iManager-Server > iManager konfigurieren.

  2. Wählen Sie die Registerkarte RBS aus.

  3. Wählen Sie den entsprechenden Baumnamen im Feld RBS-Baumliste aus und klicken Sie auf die Schaltfläche mit dem Minuszeichen.

  4. Klicken Sie auf Speichern.

HINWEIS:Wenn Sie iManager im uneingeschränkten Modus verwenden, wird in der Regel die folgende Nachricht auf der iManager-Startseite angezeigt:Hinweis: Einige Funktionen und Aufgaben sind nicht verfügbar.Wenn Sie auf Details anzeigen klicken, wird für einige Aufgaben möglicherweise die Meldung Nicht unterstützt von den aktuellen Echtheitsbestätigern. angezeigt, obwohl die Aufgaben korrekt ausgeführt werden. Diese Nachricht ist irreführend, und iManager entfernt diese Nachrichten nach der Konfiguration von RBS.