6.1 Servizi basati su ruoli (RBS, Role-Based Services)

iManager consente di assegnare agli utenti responsabilità specifiche e di rendere loro disponibili solo gli strumenti (e i relativi diritti) necessari per eseguire funzioni in base alle responsabilità assegnate. Questa funzionalità è denominata servizi basati su ruoli (RBS, Role-Based Services).

I servizi basati su ruoli sono un insieme di estensioni allo schema di eDirectory. Tali servizi definiscono diverse classi di oggetti e attributi che forniscono un meccanismo agli amministratori per concedere a un utente l'accesso a task di gestione in base al ruolo dell'utente nell'organizzazione. In questo modo, gli utenti possono accedere solo ai task che devono effettuare. Tramite i servizi basati su ruoli vengono infatti concessi solo i diritti necessari a eseguire i task assegnati.

NOTA:Il controllo dell'accesso dei servizi basati su ruoli (RBS) di NetIQ iManager concede i diritti in base alla funzionalità Elenco di controllo dell'accesso (ACL) di NetIQ eDirectory. Gli elenchi ACL consentono a un trustee di ottenere diritti su un oggetto specifico o sui relativi oggetti subordinati. Gli elenchi ACL non vengono concessi in base a tipi di oggetto specifici. Ogni task di NetIQ iManager definisce i relativi tipi di oggetto e gli elenchi ACL necessari. Questi elenchi ACL, tuttavia, possono consentire all'utente di eseguire le operazioni con altri tipi di oggetto mediante le API di eDirectory o altri strumenti, quali Novell ConsoleOne o NWAdmin.

Utilizzare i servizi basati su ruoli per creare ruoli specifici all'interno dell'organizzazione. I ruoli contengono task che un utente a cui sono stati assegnati può eseguire in iManager, ad esempio la creazione di un nuovo utente o la modifica di una parola d'ordine. I task vengono preassegnati ai ruoli, ma possono essere sostituiti, riassegnati o rimossi completamente.

Gli utenti, inoltre, sono associati ai ruoli in un ambito specifico, ovvero un container nell'albero in cui l'utente dispone delle autorizzazioni necessarie per eseguire un task. Per essere completo, un ruolo richiede questa triplice associazione di ruolo, membri e ambito.

Tramite un oggetto RBS Role viene creata un'associazione tra utenti e task. Un amministratore concede a un utente l'accesso a un task rendendo l'utente membro del ruolo a cui è assegnato il task.

Un utente può essere assegnato a un ruolo nei seguenti modi:

  • Direttamente come utente.

  • Tramite assegnazioni di gruppo o di gruppo dinamico.

    Se un utente è membro di un gruppo o di un gruppo dinamico assegnato a un ruolo, avrà accesso a tale ruolo.

  • Tramite assegnazioni di ruolo organizzativo.

    Se un utente è titolare di un ruolo organizzativo a cui è assegnato un ruolo, avrà accesso a tale ruolo.

  • Tramite assegnazioni di container.

    Un oggetto Utente ha accesso a tutti i ruoli assegnati al relativo container superiore. Possono essere compresi anche altri container fino alla radice dell'albero.

Un utente può essere associato più volte a un ruolo, ogni volta con un ambito differente.

6.1.1 Oggetti RBS di eDirectory

Nella tabella seguente sono inclusi gli oggetti RBS. Tramite iManager viene esteso lo schema di eDirectory per includere tali oggetti quando si installano i servizi basati su ruoli (RBS, Role-Based Services). Per ulteriori informazioni, consultare Installazione dei servizi basati su ruoli.

Oggetto

Descrizione

rbsCollection

Oggetto Container in cui sono inclusi tutti gli oggetti RBS Role e RBS Module.

Gli oggetti rbsCollection sono i container di livello più alto per tutti gli oggetti RBS. Un albero può contenere un numero qualsiasi di oggetti rbsCollection. A ciascuno di questi oggetti è assegnato un proprietario, ovvero un utente che dispone dei diritti di gestione sull'oggetto.

Gli oggetti rbsCollection possono essere creati in uno qualsiasi dei seguenti container:

  • Nazione

  • Dominio

  • Località

  • Organizzazione dei contenuti

  • Unità organizzativa

rbsRole

La definizione di un ruolo prevede la creazione di un oggetto rbsRole e la definizione dei task che possono essere eseguiti dal ruolo.

Gli oggetti rbsRole sono container che possono essere creati solo all'interno di container rbsCollection.

I membri del ruolo possono essere utenti, gruppi, organizzazioni, ruoli organizzativi o unità organizzative e sono associati a un ruolo in un ambito specifico dell'albero. Agli oggetti rbsRole sono assegnati gli oggetti rbsTask e rbsBook.

rbsTask

Oggetto Foglia a cui è assegnata una funzione specifica, ad esempio la reimpostazione delle parole d'ordine di login.

Gli oggetti rbsTask si trovano solo nei container rbsModule.

rbsBook (chiamato anche registro delle proprietà)

Un registro è un oggetto Foglia in cui viene visualizzato un gruppo di pagine che consente all'utente di visualizzare o modificare le proprietà di un oggetto o insieme di oggetti dello stesso tipo. In ogni pagina del registro è inclusa una scheda sui cui è possibile fare clic per visualizzare una pagina diversa.

Gli oggetti registro risiedono solo nei container rbsModule e possono essere assegnati a uno o più ruoli e a uno o più tipi di classi di oggetti.

rbsScope

Oggetto Foglia utilizzato per le assegnazioni di tipo ACL (in alternativa a quelle per singolo oggetto Utente). Gli oggetti rbsScope rappresentano il contesto dell'albero in cui verrà eseguito un determinato ruolo e sono associati agli oggetti rbsRole. ed ereditano le proprietà dalla classe di oggetti Gruppo. A un oggetto rbsScope sono assegnati oggetti Utente, che contengono a loro volta un riferimento all'ambito dell'albero a cui sono associati.

Gli oggetti vengono creati dinamicamente quando richiesto e quindi cancellati quando non sono più necessari. Tali oggetti sono presenti solo nei container rbsRole.

AVVERTENZA:non modificare mai la configurazione di un oggetto rbsScope. Questa operazione può avere gravi conseguenze e causare danni al sistema.

rbs Module

Rappresenta un oggetto Container in cui sono conservati gli oggetti rbsTask e rbsBook. Gli oggetti rbsModule hanno un attributo del nome del modulo che rappresenta il nome del prodotto, il quale a sua volta definisce i task o i libri (ad esempio, eDirectory Maintenance Utilities, NMAS Management o NetIQ Certificate Server Access).

Gli oggetti rbsModule possono essere creati solo all'interno di container rbsCollection.

rbs Category

In una categoria sono raggruppati ruoli e task specifici per una particolare funzione. iManager include 14 categorie di default: Autenticazione e password, Collaborazione, Directory, Gestione dei file, Identity Manager, Infrastruttura, Installazione e upgrade, Rete, Novell Audit, Stampa, Sicurezza, Server, Licenze Software e rete, Uso e Utenti e gruppi.

L'opzione Tutte le categorie consente di visualizzare tutti i ruoli e i task disponibili.

È inoltre possibile creare nuove categorie e assegnarvi ruoli e task.

Gli oggetti RBS sono contenuti nell'albero eDirectory, come illustrato nella seguente figura:

Figura 6-1 Servizi basati su ruoli in eDirectory

6.1.2 Installazione dei servizi basati su ruoli

I servizi basati su ruoli vengono installati tramite la Configurazione guidata iManager.

  1. Nella vista di configurazione selezionareServizi basati sul ruolo > > Configurazione RBS.

  2. Selezionare Configura iManager.

  3. Seguire le istruzioni visualizzate.

6.1.3 Rimozione di servizi basati su ruoli

Se i servizi basati su ruoli non sono più necessari nell'albero, l'oggetto Raccolta RBS può essere cancellato tramite iManager. La cancellazione della raccolta RBS comporta l'eliminazione automatica di tutte le associazioni dei ruoli utente e degli ambiti nell'albero. Non cancellare la raccolta RBS utilizzando altre utility, ad esempio ConsoleOne.

Per rimuovere i servizi basati su ruoli:

  1. Nella vista di configurazione selezionareServizi basati sul ruolo > > Configurazione RBS.

  2. Selezionare la raccolta da cancellare.

  3. Fare clic su Cancella.

In seguito alla cancellazione della raccolta RBS, tutti gli utenti che eseguono il login a iManager utilizzano la modalità Accesso assegnato anche se nell'albero non è presente alcun oggetto Raccolta RBS.

Per tornare alla modalità Illimitato (modalità di default):

  1. Nella vista di configurazione selezionareServer iManager > Configura iManager.

  2. Selezionare la scheda RBS.

  3. Selezionare il nome dell'albero appropriato nel campo Elenco albero dei servizi basati sui ruoli (RBS), quindi fare clic sul pulsante con il segno meno.

  4. Fare clic su Salva.

NOTA:Quando si utilizza iManager in modalità Accesso illimitato, nella relativa home page viene visualizzato il seguente messaggio:Avvertenza: alcuni ruoli e task non sono disponibili. Se si fa clic su Visualizza dettagli, è possibile che per alcuni task venga visualizzato il messaggio Non supportato dagli autenticatori attuali, anche se i task funzionano correttamente. Questo messaggio è ingannevole e viene rimosso al completamento della configurazione dei servizi basati su ruoli.