6.1 基于角色的服务

iManager 提供了为用户指派特定职责的功能,并向他们提供了执行那几组职责所需的工具(及相应权限)。此功能称为“基于角色的服务”(RBS)。

“基于角色的服务”是 eDirectory 纲要的一组扩展。RBS 定义了一些对象类和属性,这些类和属性可为管理员提供根据用户在组织中的角色授予其访问管理任务权限的机制。这使得用户仅能访问他们需要执行的那些任务。RBS 仅会授予用户执行指派任务的必需权限。

注:NetIQ iManager 基于角色的服务 (RBS) 可根据 NetIQ eDirectory 的访问控制列表 (ACL) 功能授予权限。这些 ACL 允许为受托者授予对特定对象或其从属对象的权限。ACL 不会基于特定的对象类型授权。每个 NetIQ iManager 任务都可以定义其适用的对象类型和必要的 ACL。但是,这些 ACL 允许用户通过 eDirectory API 或其他工具(例如 Novell ConsoleOne 或 NWAdmin)使用其他对象类型执行这些操作。

使用 RBS 可在组织中创建特定的角色。这些角色包含指派的用户可以在 iManager 中执行的任务,例如创建新用户或更改口令。任务会预先指派给角色,但同时也可以执行替换、重指派或去除操作。

而且,用户将与指定范围(即在树中用户拥有执行任务的必要权限的该树中的树枝)中的角色相关联。一个完整的角色需要角色、成员和范围三者相互关联。

RBS 角色对象可在用户和任务之间创建关联。管理员可以通过使用户成为指派了任务的角色的成员,授予用户访问该任务的权限。

可通过下列方法将用户指派给角色:

  • 直接作为用户

  • 通过组和动态组指派

    如果用户为指派给角色的组或动态组的成员,则该用户有权访问此角色。

  • 通过组织角色指派

    如果用户为指派了角色的组织角色的占有者,则用户有权访问该角色。

  • 通过树枝指派

    用户对象有权访问已指派其父树枝的所有角色。这也会包括直至树根的其他树枝。

用户可与角色进行多次关联,每次的范围都不同。

6.1.1 eDirectory 中的 RBS 对象

下表列出 RBS 对象。iManager 会在您安装 RBS 时扩展 eDirectory 纲要以包括这些对象。更多信息请参见安装 RBS

对象

说明

rbsCollection

存放所有 RBS 角色和模块对象的树枝对象。

rbsCollection 对象是所有 RBS 对象的最上层树枝。树可以具有任意数目的 rbsCollection 对象。这些对象包含拥有者,也就是对此集合拥有管理权限的用户。

可在下列任何树枝中创建 rbsCollection 对象:

  • 国家/地区

  • 位置

  • 组织

  • 组织单元

rbsRole

定义角色包括创建 rbsRole 对象和指定该角色可以执行的任务。

rbsRole 是仅可在 rbsCollection 树枝中创建的树枝对象。

角色成员可以是“用户”、“组”、“组织”、“组织角色”或“组织单元”,且角色成员会关联到树的特定范围中某个角色。rbsTask 和 rbsBook 对象会指派给 rbsRole 对象。

rbsTask

存放特定功能(例如重设置登录口令)的叶对象。

rbsTask 对象仅存放于 rbsModule 树枝中。

rbsBook(aka 属性簿)

簿为显示一组页面的叶对象,用户可以通过这些页面查看或修改对象属性或具有相同类型的对象集。簿的每一页都包含有选项卡,您可以单击它以查看不同的页。

簿对象仅存放于 rbsModule 树枝中,可以指派给一个或多个角色和一个或多个对象类类型。

rbsScope

用于 ACL 指派的叶对象(而不必为每个用户对象指派)。rbsScope 对象表示树中执行角色的环境,并与 rbsRole 对象相关联。他们继承自组类。用户对象会指派给 rbsScope 对象。这些对象参照与其关联的树的范围。

会根据需要自动创建该对象,并会在不再需要时自动将其删除。它们仅位于 rbsRole 树枝中。

警告:切勿更改 rbsScope 对象的配置。不然会产生严重的后果,甚至可能会断开系统。

rbsModule

表示存放 rbsTask 和 rbsBook 对象的树枝对象。rbsModule 对象具有一个模块名称属性,它表示定义了任务或簿的产品的名称(例如,eDirectory 维护实用程序、NMAS 管理或 NetIQ Certificate Server 访问)。

rbsModule 对象仅可在 rbsCollection 树枝中创建。

rbsCategory

类别可将特定功能专属的角色和任务组在一起。iManager 具有 14 个默认类别,分别是:“鉴定和口令”、“协作”、“目录”、“文件管理”、“身份管理器”、“基础结构”、“安装和升级”、“网络”、“Novell 审计”、“打印”、“安全性”、“服务器”、“软件许可证和网络”、“使用”和“用户和组”。

“所有类别”选项会显示所有可用的角色和任务。

您也可以创建新类别并为其指派角色和任务。

RBS 对象存放在 eDirectory 树中,如下图所示:

图 6-1 eDirectory 中基于角色的服务

6.1.2 安装 RBS

使用 iManager 配置向导安装 RBS。

  1. 在“配置”视图中,选择“基于角色的服务”>“RBS 配置”。

  2. 选择“配置 iManager”。

  3. 按屏幕上的说明进行操作。

6.1.3 去除 RBS

如果树中不再需要“基于角色的服务”,则可以通过 iManager 安全地删除“RBS 集合”对象。删除 RBS 集合也会自动清除树中的所有用户角色关联和范围。请勿使用其他实用程序(如 ConsoleOne)删除 RBS 集合。

去除基于角色的服务:

  1. 在“配置”视图中,选择“基于角色的服务”>“RBS 配置”。

  2. 选择要删除的集合。

  3. 单击删除

删除 RBS 集合之后,即使树中没有 RBS 集合对象,所有登录到 iManager 的用户也会进入“指派的访问”方式。

要切换回“不受限”方式(默认方式),请执行以下操作:

  1. 在“配置”视图中,选择“iManager 服务器”>“配置 iManager”。

  2. 选择“RBS”选项卡。

  3. 在“RBS 树列表”字段中选择相应的树名,然后单击减号按钮。

  4. 单击保存

注:当在“不受限”方式中使用 iManager 时,您通常可在 iManager 主页上看到下列讯息:“声明:无法使用某些角色和任务单击“查看细节”,有几项任务可能会显示“不受当前鉴定者支持”的讯息,即使这些任务能够正常运行。此讯息会误导用户,iManager 将于 RBS 配置完后去除这些讯息。