6.1 Serviços Baseados na Função

O iManager permite atribuir responsabilidades específicas aos usuários e fornecer as ferramentas (e os direitos relacionados) necessárias para executar essas responsabilidades. Essa funcionalidade é denominada Serviços Baseados na Função (RBS).

O RBS é um conjunto de extensões para o esquema do eDirectory. O RBS define várias classes e atributos de objetos que proporcionam um mecanismo para os administradores concederem acesso às tarefas de gerenciamento com base na função do usuário na organização. Dessa maneira, os usuários têm acesso apenas às tarefas que precisam executar. O RBS concede somente os direitos necessários à execução das tarefas atribuídas.

NOTA:O RBS (Role-Based Services — Serviços Baseados na Função) do NetIQ iManager concedem direitos com base na ACL (Access Control List — Lista de Controles de Acesso) do NetIQ eDirectory. Essas ACLs permitem que um trustee receba a atribuição de direitos a um objeto específico ou a seus objetos subordinados. As ACLs não são concedidas de acordo com os tipos de objeto específicos. Cada tarefa do NetIQ iManager define seus tipos de objeto aplicáveis e as ACLs necessárias. Contudo, essas ACLs permitem que os usuários executem operações com outros tipos de objeto através das APIs do eDirectory ou de outras ferramentas, como o Novell ConsoleOne ou NWAdmin.

Use o RBS para criar funções específicas na organização. As funções contêm tarefas que um usuário designado pode realizar no iManager, como a criação de novos usuários ou a alteração de senhas. As tarefas são pré-atribuídas às funções, mas é possível substituí-las, alterar sua atribuição ou removê-las em conjunto.

Além disso, os usuários são associados às funções em um escopo especificado, que é um container na árvore em que o usuário possui as permissões necessárias à execução de uma tarefa. Para ser completa, a função requer essa tripla associação de função, membros e escopo.

Um objeto Função de RBS cria uma associação entre usuários e tarefas. Um administrador concede ao usuário acesso a uma tarefa tornando-o membro da função à qual a tarefa está atribuída.

Uma função pode ser atribuída a um usuário das seguintes maneiras:

  • Diretamente como usuário

  • Por meio de atribuições de grupos e grupos dinâmicos

    Se um usuário for membro de um grupo ou de um grupo dinâmico ao qual uma função está atribuída, ele terá acesso a essa função.

  • Por meio de atribuições de funções organizacionais.

    Se um usuário ocupar um cargo organizacional que possui uma função atribuída, ele terá acesso a essa função.

  • Por meio da atribuição de containers

    Um objeto Usuário tem acesso a todas as funções atribuídas ao seu container pai. Isso também poderia incluir outros containers, até a raiz da árvore.

Um usuário pode ser associado a uma função várias vezes, cada qual com um escopo diferente.

6.1.1 Objetos RBS no eDirectory

A tabela a seguir lista os objetos RBS. O iManager expande o esquema do eDirectory para incluir esses objetos durante a instalação do RBS. Para obter mais informações, consulte Instalando o RBS.

Objeto

Descrição

rbsCollection

Um objeto Container que mantém todos os objetos Função e Módulo do RBS.

Os objetos rbsCollection são os principais containers para todos os objetos RBS. Uma árvore pode ter qualquer quantidade de objetos rbsCollection. Esses objetos têm proprietários, que são usuários com direitos de gerenciamento sobre a coleção.

Os objetos rbsCollection podem ser criados em qualquer um dos containers a seguir:

  • País

  • Domínio

  • Local

  • Organização

  • Unidade Organizacional

rbsRole

A definição de uma função inclui a criação de um objeto rbsRole e a especificação das tarefas que a função pode executar.

rbsRoles são objetos Container que apenas podem ser criados em um container rbsCollection.

Os membros da função podem ser Usuários, Grupos, Organizações, Funções da Organização ou Unidades Organizacionais e estão associados a uma função em um escopo específico da árvore. Os objetos rbsTask e rbsBook são atribuídos aos objetos rbsRole.

rbsTask

Representa um objeto folha que mantém uma função específica, como a redefinição de senhas de login.

Os objetos rbsTask estão localizados apenas em containers rbsModule.

rbsBook(conhecido como Manual de Propriedades)

Um manual é um objeto folha que exibe um grupo de páginas que permitem ao usuário ver ou modificar as propriedades de um objeto ou conjunto de objetos do mesmo tipo. Cada página do manual possui uma guia, em que você clica para ver outra página.

Um objeto manual reside apenas em containers rbsModule e pode ser atribuído a uma ou mais funções e a um ou mais tipos de classes de objeto.

rbsScope

Representa um objeto folha utilizado para atribuições de ACL (em vez de criar designações para cada objeto Usuário). Os objetos rbsScope representam o contexto na árvore em que uma função será executada e estão associados a objetos rbsRole. Eles são herdados a partir da classe Grupo. Os objetos Usuário são atribuídos com um objeto rbsScope. Esses objetos possuem uma referência ao escopo da árvore à qual estão associados.

Eles são criados dinamicamente conforme o necessário e são automaticamente apagados quando não são mais necessários. Estão localizados apenas em containers rbsRole.

AVISO:Nunca mude a configuração de um objeto Escopo do RBS. Isso pode causar sérias consequências e até deixar o sistema inativo.

rbs Module

Representa um objeto container que armazena os objetos rbsTask e rbsBook. Os objetos rbsModule têm um atributo de nome de módulo que representa o nome do produto que define as tarefas ou manuais (por exemplo, Manutenção do eDirectory Utilities, NMAS Management ou NetIQ Certificate Server Access).

Os objetos rbsModule apenas podem ser criados em containers rbsCollection.

Categoria rbs

Uma categoria agrupa funções e tarefas específicas a uma determinada função. O iManager tem 14 categorias padrão: Autenticação e Senhas, Colaboração, Diretório, Gerenciamento de Arquivos, Gerenciador de Identidades, Infraestrutura, Instalação e Upgrade, Rede, Novell Audit, Impressão, Segurança, Servidores, Licenças de Software e Rede, Uso e Usuários e Grupos.

A seleção Todas as Categorias exibe todas as funções e tarefas disponíveis.

Também é possível criar novas categorias e atribuir-lhes funções e tarefas.

Os objetos RBS residem na árvore do eDirectory, como mostra a figura a seguir:

Figura 6-1 RBS no eDirectory

6.1.2 Instalando o RBS

O RBS é instalado por meio do Assistente de Configuração do iManager.

  1. Na tela Configurar, selecione Serviços Baseados na Função > Configuração do RBS.

  2. Selecione Configurar o iManager.

  3. Siga as instruções da tela.

6.1.3 Removendo o RBS

Quando o RBS não é mais necessário na árvore, o objeto Coleção RBS pode ser apagado com segurança no iManager. A exclusão da coleção RBS também remove todas as associações de funções e escopos de usuário na árvore. Não apague a coleção RBS usando outros utilitários, como o ConsoleOne.

Para remover Serviços Baseados na Função:

  1. Na tela Configurar, selecione Serviços Baseados na Função > Configuração do RBS.

  2. Selecione a coleção a ser apagada.

  3. Clique em Apagar.

Após a coleção RBS ser apagada, todos os usuários conectados ao iManager passam ao modo Acesso Atribuído, mesmo que não exista um objeto Coleção RBS na árvore.

Para retornar ao modo Irrestrito (o modo padrão):

  1. Na tela Configurar, selecione Servidor iManager > Configurar o iManager.

  2. Selecione a guia RBS.

  3. Selecione a árvore adequada no campo Lista de Árvore RBS e clique no botão de subtração.

  4. Clique em Gravar.

NOTA:Ao usar o iManager no modo Irrestrito, você normalmente verá a seguinte mensagem na Home Page do iManager: Aviso: Algumas das funções e tarefas não estão disponíveis. Clicar em Exibir Mais Informações pode exibir uma mensagem Não suportado pelos autenticadores atuais para diversas tarefas, mesmo que as tarefas funcionem corretamente. Essa mensagem confunde, e o iManager remove essas mensagens depois que você configura o RBS.