6.1 Servicios basados en funciones

iManager le permite asignar responsabilidades específicas a los usuarios y proporcionarles las herramientas (y derechos adjuntos) necesarias para llevar a cabo esas responsabilidades. Esta función se denomina Servicios basados en funciones (RBS, Role-Based Services).

Servicios basados en funciones es un conjunto de extensiones hacia el esquema de eDirectory. RBS define varias clases y atributos de objetos que proporcionan un mecanismo para que los administradores concedan acceso a un usuario a las tareas de gestión basadas en la función del usuario en la organización. Esto sólo concede a los usuarios acceso a aquellas tareas que necesitan realizar. RBS sólo otorga los derechos necesarios para realizar las tareas asignadas.

NOTA:Los Servicios basados en funciones (RBS) de NetIQ iManager otorgan derechos basándose en la capacidad de la Lista de control de acceso (ACL) de NetIQ eDirectory. Las ACL permiten conceder a los trustees derechos sobre un objeto concreto y sus objetos subordinados. Las ACL no se otorgan en base a tipos de objeto concretos. Cada tarea de NetIQ iManager define los tipos de objetos a los que se puede aplicar y las ACL necesarias. Sin embargo, estas ACL permiten al usuario realizar esas operaciones con otros tipos de objetos a través de las API de eDirectory o de otras herramientas como Novell ConsoleOne o NWAdmin.

Utilice RBS para crear funciones específicas dentro de la organización. Las funciones contienen tareas que un usuario asignado puede realizar dentro de iManager, como crear un nuevo usuario o cambiar una contraseña. Las tareas se asignan previamente a las funciones, pero se pueden sustituir, reasignar o retirar totalmente.

Además, los usuarios están asociados a las funciones en un ámbito específico, que es un contenedor en el árbol, en el que el usuario dispone de los permisos obligatorios para realizar una tarea. Una función requiere esta asociación al árbol de las funciones, los componentes y el ámbito para ser completa.

Un objeto de función de RBS crea una asociación entre los usuarios y las tareas. Un administrador concede a un usuario el acceso a una tarea haciéndolo componente de la función a la que se asigna la tarea.

Se puede asignar una función a un usuario de las siguientes formas:

  • Directamente como usuario

  • A través de asignaciones de grupo y grupo dinámico

    Si un usuario es un componente de un grupo o de un grupo dinámico asignado a una función, dicho usuario tiene acceso a la función.

  • A través de asignaciones de función administrativa

    Si un usuario es un ocupante de una función administrativa a la que se ha asignado una función, dicho usuario tiene acceso a la función.

  • A través de asignación de contenedor

    Un objeto Usuario tiene acceso a todas las funciones asignadas a su contenedor padre. Esto también podría incluir a otros contenedores hasta la raíz del árbol.

Un usuario puede asociarse con una función varias veces, cada una con un ámbito diferente.

6.1.1 Objetos RBS de eDirectory

La siguiente tabla enumera los objetos RBS. iManager amplía el equema de eDirectory para incluir estos objetos cuando instala RBS. Para obtener más información, consulte Instalar RBS.

Objeto

Descripción

rbsCollection

Objeto contenedor en el que se encuentran todos los objetos Función RBS y Módulo.

Los objetos rbsCollection son los contenedores prioritarios para todos los objetos RBS. Un árbol puede tener un número ilimitado de objetos rbsCollection. Estos objetos tienen propietarios, que son los usuarios con derechos de gestión sobre la colección.

Los objetos rbsCollection se pueden crear en cualquiera de los siguientes contenedores:

  • País

  • Dominio

  • Localidad

  • Organización

  • Unidad administrativa

rbsRole

Para definir una función se debe crear un objeto rbsRole y especificar las tareas que puede realizar esa función.

rbsRoles son objetos de contenedor que sólo se pueden crear en un contenedor rbsCollection.

Los componentes de funciones pueden ser usuarios, grupos, organizaciones, funciones administrativas o unidades administrativas y están asociados a una función de un ámbito específico del árbol. Los objetos rbsTask y rbsBook se asignan a objetos rbsRole.

rbsTask

Un objeto hoja que contiene una función específica, como restaurar contraseñas de entrada.

Los objetos rbsTask se encuentran únicamente en los contenedores rbsModule.

rbsBook (conocido también como libro de propiedad)

Un libro es un objeto hoja que muestra un grupo de páginas que permiten a un usuario ver o modificar las propiedades de un objeto o de un conjunto de objetos del mismo tipo. Cada página del libro tiene una pestaña que se puede seleccionar para ver una página diferente.

Un objeto Libro reside únicamente en contenedores rbsModule y se puede asignar a una o más funciones y a uno o más tipos de clase de objeto.

rbsScope

Un objeto hoja utilizado para asignaciones ACL (en lugar de realizar asignaciones para cada objeto Usuario). Los objetos rbsScope representan el contexto del árbol donde se realiza una función y están asociados a los objetos rbsRole. Heredan de la clase Grupo. Los objetos Usuario se asignan a un objeto rbsScope. Estos objetos contienen una referencia hacia el ámbito del árbol al que están asociados.

Los objetos se crean de forma dinámica cuando es necesario y se suprimen automáticamente cuando dejan de serlo. Sólo están ubicados en contenedores rbsRole.

ADVERTENCIA:No cambie la configuración de un objeto rbsScope. Si lo hace, se producirán consecuencias graves y es posible que el sistema deje de funcionar.

rbs Module

Representa un objeto contenedor que aloja objetos rbsTask y rbsBook. Los objetos rbsModule tienen un atributo de nombre de módulo que representa el nombre del producto que define las tareas o libros (por ejemplo, eDirectory Maintenance Utilities, NMAS Management o NetIQ Certificate Server Access).

Los objetos rbsModule sólo se pueden crear en contenedores rbsCollection.

rbs Category

Una categoría agrupa las funciones y tareas que son específicas de una función concreta. iManager cuenta con 14 categorías por defecto: Autenticación y contraseñas, Colaboración, Directorio, Gestión de archivos, Gestor de identidades, Infraestructura, Instalar y actualizar, Red, Auditoría de Novell, Imprimir, Seguridad, Servidores, Licencias de software y red, Utilización, y Usuarios y grupos.

La selección de Todas las categorías muestra todas las funciones y tareas disponibles.

También puede crear nuevas categorías y asignarles funciones y tareas.

Los objetos RBS residen en el árbol eDirectory como se muestra en la siguiente ilustración:

Figura 6-1 Servicios basados en funciones de eDirectory

6.1.2 Instalar RBS

RBS se instala con el Asistente de configuración de iManager.

  1. En la vista Configurar, seleccione Servicios basados en funciones > Configuración de RBS.

  2. Seleccione Configurar iManager.

  3. Siga las instrucciones que aparecen en pantalla.

6.1.3 Quitar RBS

Si ya no necesita Servicios basados en funciones en el árbol, puede suprimir de forma segura el objeto Colección RBS a través de iManager. Al suprimir la colección RBS se borran automáticamente todas las asociaciones y los ámbitos de funciones del usuario en el árbol. No suprima la colección RBS mediante otras utilidades, como ConsoleOne.

Para eliminar Servicios basados en funciones:

  1. En la vista Configurar, seleccione Servicios basados en funciones > Configuración de RBS.

  2. Seleccione la colección que desea suprimir.

  3. Haga clic en Suprimir.

Una vez suprimida la colección RBS, todos los usuarios que inicien sesión en iManager entrarán en modo de acceso asignado, a pesar de que no exista ningún objeto Colección RBS en el árbol.

Para volver al modo no restringido (el modo por defecto):

  1. En la vista Configurar, seleccione Servidor de iManager > Configurar iManager.

  2. Seleccione la pestaña RBS.

  3. Seleccione el nombre de árbol pertinente en el campo Lista de árbol RBS y, a continuación, haga clic en el botón menos (-).

  4. Haga clic en Guardar.

NOTA:Si iManager se utiliza en modo No restringido, es normal que aparezca el siguiente mensaje en la página principal de iManager: Notificación: algunas de las funciones y tareas no están disponibles.Al hacer clic en Ver detalles puede aparecer el mensaje No es compatible con los autenticadores actuales en varias de las tareas, aunque éstas funcionen correctamente. Este mensaje induce a error y, una vez que RBS se configura, iManager elimina estos mensajes.