iManagerを使用すると、ユーザに特定の責任を割り当て、その一連の責任を遂行するために必要なツールを、付随する権利と共にユーザに提供できます。この機能を、役割ベースサービス(RBS)といいます。
役割ベースサービスは、eDirectoryスキーマの拡張セットです。RBSは、オブジェクトクラスおよび属性を定義します。オブジェクトクラスおよび属性は、管理者が組織内のユーザの役割に基づいて管理タスクへのアクセス権をユーザに与えるためのメカニズムを提供します。これにより、ユーザが実行する必要のあるタスクにのみアクセスできるようにします。RBSは、割り当てられたタスクを実行するのに必要な権利のみを付与します。
メモ:NetIQ iManagerの役割ベースサービス(RBS)では、NetIQ eDirectoryのアクセス制御リスト(ACL)機能に基づいて権利を付与します。これらのACLを使用すると、トラスティは特定のオブジェクトまたはその従属オブジェクトに権利を付与できます。ACLは、特定のオブジェクトタイプに基づいて付与されるわけではありません。各NetIQ iManagerタスクで、適用可能なオブジェクトタイプと必要なACLが定義されます。ただし、これらのACLによって、ユーザはeDirectory APIまたはNovell ConsoleOneやNWAdminなどのツールを使用して、他のオブジェクトタイプへの操作を実行できます。
RBSを使用して、組織内の特定の役割を作成します。役割には、割り当てられたユーザがiManager内で実行できるタスク(新しいユーザの作成やパスワードの変更など)が含まれます。タスクは役割に事前に割り当てられています。ただし、タスクの置き換え、再割り当て、削除を行うことは可能です。
さらに、ユーザは特定のスコープ内の役割に関連付けられます。スコープは、そのユーザがタスクを実行するために必要な権利を持つ、ツリー内のコンテナです。役割では、役割、メンバー、スコープという3つの部分の関連付けが行われる必要があります。
RBS役割オブジェクトは、ユーザとタスクの間の関連付けを作成します。管理者は、ユーザをタスクの割り当てられている役割のメンバにすることにより、そのユーザにタスクへのアクセス権を付与します。
役割へのユーザの割り当ては、次の方法で行うことができます。
ユーザとして直接割り当てる
グループおよびダイナミックグループの割り当てを使用する
役割に割り当てられているグループまたは動的グループのメンバーであれば、ユーザはその役割にアクセスできます。
職種の割り当てを使用する
役割に割り当てられている職種に所属する場合は、ユーザはその役割にアクセスできます。
コンテナの割り当てを使用する
ユーザオブジェクトは、親コンテナに割り当てられているすべての役割にアクセスできます。さらにツリーのルートまで遡るコンテナの役割にもアクセスできます。
役割との関連付けは、それぞれ異なるスコープで何度も実行できます。
次の表は、RBSオブジェクトの一覧です。iManagerでは、RBSのインストール時にこれらのオブジェクトを含めるために、eDirectoryスキーマを拡張します。詳細については、RBSのインストールを参照してください。
オブジェクト |
説明 |
---|---|
RBSコレクション |
すべてのRBS役割オブジェクトおよびモジュールオブジェクトを格納するコンテナオブジェクト。 rbsCollectionオブジェクトは、すべてのRBSオブジェクトの最上位コンテナです。ツリーにはRBSコレクションオブジェクトをいくつでも格納できます。これらのオブジェクトの所有者は、コレクションを管理する権利を持つユーザです。 RBSコレクションオブジェクトは次のコンテナのいずれかに作成できます。
|
rbsRole |
役割の定義には、rbsRoleオブジェクトの作成や役割が実行できるタスクの指定が含まれます。 rbsRolesは、rbsCollectionコンテナ内にのみ作成できるコンテナオブジェクトです。 役割のメンバーになることができるのは、ユーザ、グループ、組織、職種、部門です。役割のメンバーは、ツリー内の特定のスコープで役割に関連付けられます。rbsTaskオブジェクトおよびrbsBookオブジェクトは、rbsRoleオブジェクトに割り当てられます。 |
rbsTask |
ログインパスワードのリセットなど、特定の機能を保持するリーフオブジェクト。 rbsTaskオブジェクトは、rbsModuleコンテナ内にのみ格納されます。 |
rbsBook (プロパティブック) |
ブックは、一連のページを表示するリーフオブジェクトです。ユーザは、このページを使用することで、オブジェクトのプロパティまたは同じタイプのオブジェクトのセットを表示したり変更したりできます。ブックの各ページにはタブがあり、このタブをクリックすることで別のページを表示することができます。 ブックオブジェクトは、rbsModuleコンテナ内にのみ格納され、1つ以上の役割または1つ以上のオブジェクトクラスタイプに割り当てられます。 |
rbsScope |
各ユーザオブジェクトについて割り当てを行う代わりにACL割り当てを行う場合に使用するリーフオブジェクト。rbsScopeオブジェクトは、役割が実行されるツリー内のコンテキストを表し、rbsRoleオブジェクトに関連付けられます。このオブジェクトはグループクラスから権利を継承します。ユーザオブジェクトはrbsScopeオブジェクトに割り当てられます。これらのオブジェクトは、関連付けられるツリーのスコープを参照します。 オブジェクトは必要に応じて動的に作成され、不要になれば自動的に削除されます。rbsScopeオブジェクトはrbsRoleコンテナ内にのみ格納されます。 警告:rbsScopeオブジェクトの設定は変更しないでください。変更すると、重大な結果が生じ、システムが中断する可能性があります。 |
rbsモジュール |
rbsTaskオブジェクトとrbsBookオブジェクトを保持するコンテナオブジェクトを表します。rbsModuleオブジェクトには、タスクやブックを定義する製品の名前(たとえば、eDirectory Maintenance Utilities、NMAS Management、NetIQ Certificate Server Accessなど)を表すモジュール名の属性があります。 rbsModuleオブジェクトは、RBSコレクションコンテナ内にのみ作成できます。 |
rbsカテゴリ |
カテゴリは、特定の機能に固有の役割とタスクをグループ化します。iManagerには、次の14種類のデフォルトカテゴリがあります。認証パスワード、コラボレーション、ディレクトリ、ファイル管理、Identity Manager、インフラストラクチャ、インストールとアップグレード、ネットワーク、Novell Audit、印刷、セキュリティ、サーバ、ソフトウェアライセンスとネットワークの使用法、使用状況、ユーザとグループ。 [すべてのカテゴリ]の選択内容には、使用できるすべての役割とタスクが表示されます。 新しいカテゴリを作成し、これらに役割とタスクを割り当てることができます。 |
RBSオブジェクトは、eDirectoryツリー内で次の図のように配置されます。
図 6-1 eDirectory内の役割ベースサービス
RBSは、iManager設定ウィザードを使用してインストールされます。
[設定]ビューで[役割ベースサービス]>[RBSの設定]の順に選択します。
[iManagerの設定]を選択します。
画面の指示に従って操作します。
役割ベースサービスがツリー内で必要なくなった場合には、iManagerを通じて、RBSコレクションオブジェクトを安全に削除できます。RBSコレクションを削除すると、ツリー内のすべてのユーザの役割の関連付けおよびスコープは自動的に削除されます。ConsoleOneなどの他のユーティリティを使用してRBSコレクションを削除しないでください。
役割ベースサービスを削除するには、次を実行します。
[設定]ビューで[役割ベースサービス]>[RBSの設定]の順に選択します。
削除するコレクションを選択します。
[削除]をクリックします。
RBSコレクションが削除された後で、iManagerにログインしているすべてのユーザは、ツリー内にRBSコレクションがない場合でも、[割り当てられたアクセス]モードに入ります。
[無制限]モード(デフォルトモード)に戻るには、次の手順に従います。
[設定]ビューで、[iManagerサーバ]>[iManagerの設定]の順に選択します。
[RBS]タブを選択します。
[RBSツリーリスト]フィールドで適切なツリー名を選択し、マイナスボタンをクリックします。
[保存]をクリックします。
メモ:無制限モードでiManagerを使用すると、iManagerのホームページに「注意: 役割とタスクの一部を使用できません。」というメッセージが表示されます。[詳細表示]をクリックすると、一部のタスクについて、タスクが正しく実行されるにも関わらず、「現在の認証者にはサポートされていません。」というメッセージが表示される場合があります。 このメッセージは誤解を招くため、iManagerではRBSの設定後にこれらのメッセージを削除します。