6.1 Služby na úrovni rolí

Aplikácia iManager vám umožňuje priradiť k používateľom konkrétne povinnosti a poskytnúť im nástroje (a potrebné práva) nevyhnutné na vykonanie týchto povinností. Táto funkčnosť sa nazýva služba RBS (Role-Based Services).

Služba RBS je skupina rozšírení schémy služby eDirectory. Služba RBS definuje viacero tried objektov a atribútov, ktoré poskytujú správcom mechanizmy, pomocou ktorých môžu udeľovať používateľom prístup k úlohám spravovania v závislosti od rolí jednotlivých používateľov v rámci organizácie. Týmto je používateľom poskytnutý prístup iba k tým úlohám, ktoré daní používatelia potrebujú vykonať. Služba RBS poskytuje iba práva nevyhnutné na vykonanie priradených úloh.

POZNÁMKA:Služba RBS (Role-Based Services) aplikácie NetIQ iManager udeľuje práva na základe zoznamu ACL (Access Control List) služby NetIQ eDirectory. Zoznamy ACL umožňujú prideliť dôveryhodným používateľom práva ku konkrétnemu objektu alebo jeho podradeným objektom. Zoznamy ACL nie sú poskytované na základe konkrétnych typov objektov. Každá úloha v aplikácii NetIQ iManager definuje svojej použiteľné typy objektov a potrebné zoznamy ACL. Tieto zoznamy ACL však používateľovi umožňujú vykonávať dané operácie s inými typmi objektov prostredníctvom rozhrania API služby eDirectory alebo iných nástrojov, ako je napríklad aplikácia NetIQ ConsoleOne alebo NWAdmin.

Použite službu RBS na vytvorenie špecifických rolí v rámci svojej organizácie. Roly obsahujú úlohy, ktoré môže vykonať používateľ s danou priradenou rolou v aplikácii iManager, napríklad vytvorenie nového používateľa alebo zmena hesla. Určité úlohy sú rolám vopred priradené, ale všetky môžu byť nahradené, znova priradené alebo odstránené.

Používatelia sú ďalej priraďovaní rolám v zadanom rozsahu, ktorým je kontajner v strome, v ktorom má používateľ požadované oprávnenia na vykonanie úlohy. Rola vyžaduje, aby sa zrealizovalo toto trojité priradenie roly, členov a rozsahu.

Objekt roly služby RBS vytvára priradenie medzi používateľmi a úlohami. Správca poskytuje používateľovi prístup k úlohe tým, že ho určí za člena roly, ku ktorej je úloha priradená.

K používateľovi môže byť priradená rola nasledujúcimi spôsobmi:

  • Priamo ako používateľovi

  • Prostredníctvom priradení skupiny alebo dynamickej skupiny

    Ak je používateľ členom skupiny alebo dynamickej skupiny, ktorej je priradená rola, potom má tento používateľ k danej role prístup.

  • Prostredníctvom priradení organizačnej roly

    Ak je používateľ držiteľom organizačnej roly, ku ktorej je priradená rola, potom má tento používateľ k danej role prístup.

  • Prostredníctvom priradenia kontajnera

    Objekt používateľa má prístup ku všetkým rolám, ktoré má priradené nadradený kontajner. Toto môže zahŕňať aj ostatné kontajnery až ku koreňu stromu.

Používateľ môže byť spojený s rolou viackrát, s iným rozsahom v každom jednotlivom prípade.

6.1.1 Objekty služby RBS v službe eDirectory

Nasledujúca tabuľka obsahuje zoznam objektov služby RBS. Aplikácia iManager rozširuje schému služby eDirectory tak, aby potom, čo nainštalujete služby RBS, obsahovala tieto objekty. Ďalšie informácie nájdete v časti Inštalovanie služby RBS.

Objekt

Popis

rbsCollection

Objekt kontajnera, v ktorom sa nachádzajú všetky roly v službe RBS a objekty modulov.

Objekty rbsCollection sú kontajnery najvyššej úrovne pre všetky objekty služby RBS. Strom môže mať ľubovoľný počet objektov kolekcie rbsCollection. Tieto objekty majú vlastníkov, ktorí sú používateľmi so správcovskými právami v rámci kolekcie.

Objekty rbsCollection môžu byť vytvorené v ktoromkoľvek z nasledujúcich kontajnerov:

  • Krajina

  • Doména

  • Miesto

  • Organizácia

  • Organizačná jednotka

rbsRole

Definovanie roly zahŕňa vytvorenie objektu rbsRole a určenie úloh, ktoré môže rola vykonávať.

rbsRoles sú kontajnerové objekty, ktoré môžu byť vytvorené iba v kontajneri rbsCollection.

Členovia roly môžu byť Používatelia, Skupiny, Organizácie, Organizačné roly alebo Organizačné jednotky, pričom členovia roly sú priradení k role v konkrétnom rozsahu stromu. Objekty rbsTask a rbsBook sú priradené k objektom rbsRole.

rbsTask

Objekt listu, v ktorom je umiestnená konkrétna funkcia, napríklad vynulovanie prihlasovacích hesiel.

Objekty rbsTask sú umiestnené iba v kontajneroch rbsModule.

rbsBook (Zošit vlastností)

Zošit je objekt listu zobrazujúci skupinu stránok, ktorá používateľovi umožňuje zobrazovať a upravovať vlastnosti objektu alebo skupiny objektov rovnakého typu. Každá stránka zošitu obsahuje kartu, ktorá po kliknutí na ňu zobrazí inú stránku.

Objekt zošita je umiestnený iba v kontajneroch rbsModule a môže byť priradený k jednej alebo viacerým rolám a jednému alebo viacerým typom triedy objektov.

rbsScope

Objekt listu použitý pre pridelenia do zoznamov ACL (namiesto priradenia pre každý objekt používateľa). Objekty rbsScope predstavujú kontext v strome, v ktorom je rola vykonávaná, a sú priradené k objektom rbsRole. Dedia vlastnosti z triedy Skupina. Objekty používateľov sú priradené k objektu rbsScope. Tieto objekty obsahujú odkazy na rozsah stromu, s ktorým sú spojené.

Objekty sú v prípade potreby dynamicky vytvárané a následne, keď už nie sú potrebné, automaticky odstránené. Sú umiestnené iba v kontajneroch rbsRole.

VAROVANIE:Nikdy nemeňte konfiguráciu objektu rbsScope. Malo by to vážne následky a mohlo by spôsobiť kolaps systému.

rbs Module

Reprezentuje objekt kontajnera, v ktorom sú umiestnené objekty rbsTask a rbsBook. Objekty rbsModule majú atribút názvu modulu predstavujúci názov produktu, ktorý definuje úlohy alebo zošity (napríklad, Nástroje údržby služby eDirectory, Spravovanie NMAS alebo Certifikát prístupu na server od spoločnosti NetIQ).

Objekty rbsRoles môžu byť vytvorené iba v kontajneroch rbsCollection.

rbs Category

Kategória zoskupuje roly a úlohy, ktoré sú špecifické pre konkrétnu funkciu. Aplikácia iManager má 14 predvolených kategórií: Overenie a heslá, Spolupráca, Adresár, Správa súborov, Identity Manager, Infraštruktúra, Inštalácia a inovácia, Sieť, Kontrola Novell Audit, Tlač, Zabezpečenie, Servery, Softvérové licencie a sieť, Používanie, Používatelia a skupiny.

Výber možnosti Všetky kategórie zobrazí všetky dostupné roly a úlohy.

Môžete tiež vytvárať nové kategórie a priraďovať k nim roly a úlohy.

Objekty služby RBS sú umiestnené v strome v službe eDirectory tak, ako je to znázornené v nasledujúcom obrázku:

Obrázok 6-1 Služba RBS (Role-Based Services) v službe eDirectory

6.1.2 Inštalovanie služby RBS

Služba RBS sa inštaluje pomocou sprievodcu konfiguráciou aplikácie iManager.

  1. V zobrazení Konfigurovať vyberte položku Služby RBS > Konfigurácia RBS.

  2. Vyberte položku Konfigurovať aplikáciu iManager.

  3. Postupujte podľa pokynov na obrazovke.

6.1.3 Odstránenie služby RBS

Ak už služba RBS nie je v strome potrebná, objekt kolekcie RBS môže byť bezpečne odstránený prostredníctvom aplikácie iManager. Odstránenie kolekcie RBS automaticky odstráni všetky prepojenia rolí a rozsahy v strome. Neodstraňujte kolekciu RBS pomocou iných nástrojov, ako je napríklad aplikácia ConsoleOne.

Ak chcete odstrániť službu RBS (Role-based Services):

  1. V zobrazení Konfigurovať vyberte položku Služby RBS > Konfigurácia RBS.

  2. Vyberte kolekciu, ktorú chcete odstrániť.

  3. Kliknite na tlačidlo Odstrániť.

Po odstránení kolekcie RBS všetci používatelia, ktorí sa prihlásia do aplikácie iManager, prejdú do režimu priradeného prístupu aj napriek tomu, že v strome sa už žiadny objekt kolekcie RBS nenachádza.

Ak sa chcete prepnúť naspäť do Neobmedzeného režimu (predvolený režim):

  1. V zobrazení Konfigurovať vyberte položku Server aplikácie iManager > Konfigurovať aplikáciu iManager.

  2. Vyberte kartu Služby RBS.

  3. Vyberte príslušný názov stromu v poli Zoznam stromov služby RBS a potom kliknite na tlačidlo mínus.

  4. Kliknite na tlačidlo Uložiť.

POZNÁMKA:Pri používaní aplikácie iManager v neobmedzenom režime sa vám na domovskej stránke aplikácie iManager bude zvyčajne zobrazovať toto hlásenie: Upozornenie: Niektoré z rolí a úloh nie sú k dispozícii. Po kliknutí na položku Zobraziť detaily sa môže pre niekoľko úloh zobraziť hlásenie Nie je podporované aktuálnymi autentifikátormi napriek tomu, že úlohy fungujú správne. Toto hlásenie je zavádzajúce a aplikácia iManager po konfigurácii služby RBS tieto hlásenia odstráni.