6.1 szerep alapú szolgáltatások

Az iManager lehetővé teszi, hogy meghatározott feladatköröket rendeljen hozzá a felhasználókhoz, és biztosítsa számukra a feladatkörök ellátásához szükséges eszközöket és jogosultságokat. Ezt a funkciót szerep alapú szolgáltatásoknak (RBS) nevezzük.

A szerep alapú szolgáltatások az eDirectory-séma kiterjesztéseinek csoportja. Az RBS több objektumosztályt és attribútumot is definiál, amelyek segítségével a rendszergazdák a szervezeten belüli szerepük szerinti hozzáférést biztosíthatnak a felhasználóknak a felügyeleti feladatokhoz. Ezáltal a felhasználók csak azokhoz a feladatokhoz kapnak hozzáférést, amelyeket el kell végezniük. Az RBS csak azokat a jogosultságokat biztosítja, amelyek a kiosztott feladatok elvégzéséhez szükségesek.

MEGJEGYZÉS:A NetIQ iManager szerep alapú szolgáltatásai (RBS) a NetIQ eDirectory hozzáférés-vezérlési lista (ACL) funkcióján alapuló jogosultságokat biztosít. Az ACL-ek lehetővé teszi, hogy a meghatalmazott jogosultságokat kapjon egy meghatározott objektumhoz vagy az alárendelt objektumaihoz. Az ACL-ek kiosztása nem a meghatározott objektumtípusok alapján történik. Minden NetIQ iManager-feladat definiálja az alkalmazandó objektumtípusait és ACL-jeit. Ezekkel az ACL-ekkel azonban lehetséges a felhasználó számára, hogy műveleteket végezzen más objektumtípusokkal az eDirectory API-k vagy más eszközök használatával, például a Novell ConsoleOne vagy az NWAdmin eszközökkel.

Az RBS-sel hozhat létre meghatározott szerepeket a szervezeten belül. A szerepek olyan feladatokat tartalmaznak, amelyeket a hozzárendelt felhasználó elvégezhet az iManager konzolon, például új felhasználó létrehozása vagy jelszómódosítás. A feladatok előre hozzá vannak rendelve a szerepekhez, de lecserélhetők, újra kioszthatók vagy teljes egészében eltávolíthatók.

Ezenkívül a felhasználók meghatározott hatókörbe tartozó szerepekhez vannak társítva. A hatókör a fa egy olyan konténere, amelyben a felhasználó a feladatok elvégzéséhez szükséges engedélyekkel bír. A szerephez mindhárom társítás – a szerep, a tagok és a hatókör társítása szükséges.

Az RBS-szerepobjektumokkal társítás jön létre a felhasználók és a feladatok között. A rendszergazda azáltal biztosít hozzáférést valamely feladathoz, hogy a felhasználót annak a szerepnek a tagjává teszi, amelyhez a feladat hozzá van rendelve.

A felhasználókat az alábbi módokon lehet hozzárendelni szerepekhez:

  • Közvetlenül felhasználóként

  • Csoporthoz vagy dinamikus csoporthoz való hozzárendelés útján

    Ha a felhasználó egy szerephez hozzárendelt csoport vagy dinamikus csoport tagja, akkor hozzáfér a szerephez.

  • Szervezeti szerep hozzárendelésével

    Ha a felhasználó egy olyan szervezeti szerep tulajdonosa, amelyhez hozzá van rendelve egy szerep, akkor a felhasználó hozzáféréssel rendelkezik a szerephez.

  • Konténer hozzárendelésével

    A felhasználói objektum hozzáfér minden szerephez, amelyhez a szülőkonténere hozzá van rendelve. Ez más konténereket is magában foglalhat, egészen a fa gyökeréig.

Egy felhasználóhoz többször is lehet szerepet társítani, mindegyiket más hatókörrel.

6.1.1 RBS-objektumok az eDirectory szolgáltatásban

A következő táblázat az RBS-objektumokat tartalmazza. Az iManager az RBS telepítésekor kiterjeszti az eDirectory-sémát, hogy tartalmazza ezeket az objektumokat. További információ: Az RBS telepítése.

Objektum

Leírás

rbsCollection

Konténerobjektum, amely az összes RBS szerep- és modulobjektumot tartalmazza.

Az rbsCollection objektumok minden RBS-objektum legfelső szintű konténerei. Egy fának akármennyi rbsCollection objektuma lehet. Ezeknek az objektumoknak vannak tulajdonosai, akik a gyűjtemény felett kezelési jogosultságokkal rendelkező felhasználók.

Az rbsCollection objektumokat az alábbi konténerek bármelyikében létre lehet hozni:

  • Ország

  • Tartomány

  • Hely

  • Szervezet

  • Szervezeti egység

rbsRole

A szerep definiálása magában foglalja egy rbsRole objektum létrehozását, és azoknak a feladatoknak a meghatározását, amelyeket a szerepben végre lehet hajtani.

Az rbsRole objektumok olyan konténerobjektumok, amelyeket csak rbsCollection konténerben lehet létrehozni.

A szerep tagjai lehetnek felhasználók, csoportok, szervezetek, szervezeti szerepek vagy szervezeti egységek, és a szereptagok a fa egy meghatározott hatóköréhez tartozó szerephez vannak társítva. Az rbsTask és az rbsBook objektumok rbsRole objektumokhoz vannak hozzárendelve.

rbsTask

Levélobjektum, amely meghatározott funkciót tartalmaz, mint például a jelszavak visszaállítása.

rbsTask objektumok csak rbsModule konténerekben találhatók.

rbsBook (másként tulajdonságjegyzék)

A jegyzék egy levélobjektum, amely olyan oldalak csoportját jeleníti meg, amely lehetővé teszi a felhasználó számára ugyanolyan típusú objektumok vagy objektumcsoportok tulajdonságainak megtekintését vagy módosítását. A jegyzék minden oldalá van egy fül, amelyre kattintva különböző oldalak tekinthetők meg.

Jegyzékobjektum csak rbsModule konténerekben található, és hozzá lehet rendelni egy vagy több szerephez és objektumosztály-típushoz.

rbsScope

ACL-hozzárendelésekhez használt levélobjektum (az egyes felhasználói objektumokhoz való társítás helyett). Az rbsScope objektumok a fának azt a környezetét képviselik, ahol a szoftver végrehajtja a szerepet és társítja az rbsRole objektumokkal. Az öröklés a csoport osztályból történik. A felhasználói objektumokat rbsScope objektumhoz rendelik hozzá. Ezek az objektumok hivatkozással rendelkeznek a fának arra a hatókörére, amelyhez társítva vannak.

Az objektumok szükség esetén dinamikusan jönnek létre, és amikor már nincs rájuk szükség, automatikusan törlődnek. Kizárólag rbsRole konténerekben találhatók.

FIGYELMEZTETÉS:Soha ne változtassa meg az rbsScope objektumok konfigurációját. Ennek súlyos következményei lennének, és a rendszer meghibásodását okozhatná.

rbsModule

Olyan konténerobjektumot képvisel, amely rbsTask és rbsBook objektumokat tartalmaz. Az rbsModule objektumok olyan modulnév attribútummal rendelkeznek, amely a feladatokat vagy jegyzékeket definiáló termék nevét képviselik (például eDirectory-karbantartási segédprogramok, NMAS-felügyelet vagy NetIQ tanúsítványkiszolgálói hozzáférés).

Az rbsModule objektumokat csak rbsCollection konténerekben lehet létrehozni.

rbs-kategória

A kategória olyan szerepeket és feladatokat csoportosít, amelyek egy meghatározott funkcióra jellemzők. Az iManager 14 alapértelmezett kategóriát tartalmaz: hitelesítés és jelszavak, együttműködés, könyvtár, fájlkezelés, Identity Manager, infrastruktúra, telepítés és frissítés, hálózat, Novell Audit, nyomtatás, biztonság, kiszolgálók, szoftverlicencek és hálózat, használat, felhasználók és csoportok.

Az összes kategória kiválasztása megjelenít minden rendelkezésre álló szerepet és feladatot.

Új kategóriákat is létrehozhat, és hozzájuk rendelhet szerepeket és feladatokat.

Az RBS-objektumok az eDirectory-fán a következő ábra szerint helyezkednek el:

Ábra 6-1 Szerep alapú szolgáltatások az eDirectory címtárban

6.1.2 Az RBS telepítése

Az RBS-t az iManager beállítása varázslóval lehet telepíteni.

  1. Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > RBS-beállítások menüpontokra.

  2. Válassza Az iManager beállítása lehetőséget.

  3. Kövesse a képernyőn megjelenő utasításokat.

6.1.3 Az RBS eltávolítása

Ha a szerep alapú szolgáltatásokra már nincs szükség a fán, az RBS-gyűjtemény objektum biztonságosan törölhető az iManager konzolon. Az RBS-gyűjtemény törlésével automatikusan törli az összes felhasználóiszerep-társítást és -hatókört a fán. Ne törölje az RBS-gyűjteményt más segédprogramokkal, például a ConsoleOne eszközzel.

RBS-alapú szolgáltatások eltávolítása:

  1. Konfigurálás nézetben kattintson a Szerep alapú szolgáltatások > RBS-beállítások menüpontokra.

  2. Jelölje ki a gyűjteményt, amelyet törölni szeretne.

  3. Kattintson a Törlés gombra.

Az RBS-gyűjtemény törlése után az iManager konzolba bejelentkező minden felhasználó hozzárendelt hozzáférési módban lép be, annak ellenére, hogy nincs RBS-gyűjtemény objektum a fán.

A korlátozás nélküli módba (az alapértelmezett mód) való visszatérés:

  1. A Konfigurálás nézetben kattintson az iManager-kiszolgáló > Az iManager beállítása menüpontokra.

  2. Kattintson az RBS fülre.

  3. Jelölje ki a megfelelő fanevet az RBS-falista mezőben, és kattintson a mínusz gombra.

  4. Kattintson a Mentés gombra.

MEGJEGYZÉS:Ha az iManager konzolt korlátlan üzemmódban használja, általában a következő üzenetet láthatja az iManager kezdőlapján: Megjegyzés: Néhány szerep és feladat nem elérhető. Ha a Részletek lehetőségre kattint, több feladatnál is megjelenhet A jelenlegi hitelesítők nem támogatják üzenet, annak ellenére, hogy a feladatok működése megfelelő. Ez az üzenet félrevezető, és az iManager az RBS konfigurálása után eltávolítja az üzenetet.