6.1 Сервис административных функций
iManager позволяет назначать пользователей ответственными за определенные виды деятельности и предоставлять им средства (и соответствующие права), которые для этого необходимы. Реализация этой возможности называется сервисом административных функций (Role-Based Services, RBS).
Сервис административных функций представляет собой набор расширений схемы eDirectory. Сервис административных функций определяет несколько классов объектов и атрибутов, которые обеспечивают администраторам механизм предоставления пользователям доступа к задачам управления на основе функции пользователя в организации. Этот механизм обеспечивает пользователю доступ только к тем задачам, которые пользователь должен выполнить. Сервис административных функций предоставляет только те права, которые необходимы для выполнения назначенных задач.
ПРИМЕЧАНИЕ.Контроль доступа, реализованный в сервисе административных функций NetIQ iManager, предоставляет права на основании списков управления доступом (ACL) NetIQ eDirectory. Списки ACL позволяют предоставлять опекуну права на определенный объект или подчиненные ему объекты. Списки ACL не предоставляют прав на основании определенных типов объектов. Для каждой задачи NetIQ iManager определяются свои типы объектов и необходимые списки ACL. Однако эти списки ACL разрешают пользователю выполнять данные операции с другими типами объектов с помощью интерфейсов API eDirectory или других инструментов, таких как Novell ConsoleOne или NWAdmin.
Сервис административных функций используется для создания особых функций внутри организации. Функция содержит задачи, которые назначенный пользователь может выполнять в iManager, такие как создание нового пользователя или смена пароля. Задачи жестко привязаны к функциям, но их можно заменить, переназначить или полностью удалить.
Кроме того, функции пользователям назначаются в пределах определенной области действия, представляющей собой контейнер в дереве, в котором пользователь имеет необходимые разрешения для выполнения задачи. Таким образом, функция полностью определяется ее назначением, членами и областью действия.
Объект "Функция RBS" создает ассоциацию между пользователями и задачами. Администратор предоставляет пользователям право на доступ к задаче, делая пользователя членом функции, которой назначена задача.
Пользователь может быть назначен функции следующими способами.
-
Напрямую в качестве пользователя.
-
Через назначения групп и динамических групп.
Если пользователь является членом группы или динамической группы, которая назначается для функции, то пользователь имеет доступ к функции.
-
Через назначения организационной функции.
Если пользователь является исполнителем организационной функции, которой назначена другая функция, то пользователь имеет доступ к этой функции.
-
Через назначения контейнера.
Объект "Пользователь" имеет доступ ко всем функциям, которые назначены его родительскому контейнеру. Доступ к функциям контейнеров можно расширить до корня дерева.
Пользователь может быть ассоциирован с функцией неоднократно, каждый раз с различными областями действия.
6.1.1 Объекты RBS в eDirectory
В следующей таблице приведен список объектов RBS. iManager расширяет схему eDirectory для включения данных объектов при установке сервиса административных функций. Дополнительную информацию см. в разделе Установка сервиса административных функций.
|
"Объект" |
Описание |
|---|---|
|
|
Объект-контейнер, содержащий все объекты функций и модулей RBS. Объекты "rbsCollection" являются самыми верхними контейнерами для всех объектов сервиса административных функций. Дерево может содержать любое количество объектов "rbsCollection". Эти объекты имеют владельцев, которыми являются пользователи, обладающие правами на управление коллекцией. Объекты "rbsCollection" могут быть созданы в следующих контейнерах:
|
|
|
Процесс определения функции включает создание объекта "rbsRole" и определение задач, которые может выполнять эта функция. Объекты "rbsRole" являются объектами-контейнерами, которые могут быть созданы только в контейнере "rbsCollection". Членами функций могут быть объекты "Пользователь", "Группа", "Организация", "Функции организаций" и "Подразделение". Они ассоциируются с функцией в определенной области действия дерева. Объекты "rbsTask" и "rbsBook" назначаются объектам "rbsRole". |
|
|
Представляет конечный объект, который содержит определенную функцию, например переустановку паролей регистрации. Объекты "rbsTask" располагаются только в контейнерах "rbsModule". |
|
|
Книга — это конечный объект, отображающий группу страниц, позволяющих пользователю просматривать или изменять свойства объекта или набора объектов одного типа. Каждая страница книги имеет вкладки для перехода на другие страницы. Объект "Книга" размещается только в контейнерах "rbsModule" и может быть назначен одной или нескольким функциям и одному или нескольким типам классов объектов. |
|
|
Конечный объект, используемый для назначений ACL (вместо назначений для каждого объекта "Пользователь"). Объекты "rbsScope" представляют контекст в дереве, в котором будет выполняться функция, и ассоциированы с объектами "rbsRole". Они наследуются от класса "Группа". Объекты "Пользователь" назначаются объекту "rbsScope". Эти объекты содержат ссылку на область действия дерева, с которой они ассоциированы. Они создаются динамически при необходимости, а затем автоматически удаляются, если больше не нужны. Эти объекты располагаются только в контейнерах "rbsRole". ПРЕДУПРЕЖДЕНИЕ.Никогда не изменяйте конфигурацию объекта "rbsScope". Это повлечет за собой серьезные последствия и может даже повредить систему. |
|
|
Объект-контейнер, содержащий все объекты rbsTask и rbsBook. Объекты rbsModule объекты имеют атрибут имени модуля, который представляет имя продукта, определяющее задачи или книги (например, eDirectory Maintenance Utilities, NMAS Management или NetIQ Certificate Server Access). Объекты "rbsModule" могут быть созданы только в контейнерах "rbsCollection". |
|
|
В категории группируются функции и задачи, относящиеся к определенной функции. iManager поддерживает 14 категорий по умолчанию: "Аутентификация и пароли", "Коллективная работа", "Каталог", Управление файлами", "Менеджер электронных персон", "Инфраструктура", "Установка и обновление", "Сеть", "Аудит Novell", "Печать", "Защита", "Серверы", "Лицензии и использование сети" и "Пользователи и группы". Если выбрать параметр "Все категории", будут отображены все доступные функции и задачи. Можно также создать новые категории и назначить им свои функции и задачи. |
rbsCollection
rbsRole
rbsTask
rbsBook (книга свойств)
rbsScope
rbsModule
rbsCategory
Объекты RBS располагаются в дереве eDirectory следующим образом:
Рисунок 6-1 Сервис административных функций в eDirectory
