6.1 職能服務

iManager 可讓您為使用者指定特定的職責並向他們提供執行這些職責所必需的工具 (以及相關權限)。此功能稱為「職能服務」(RBS)。

「職能服務」是 eDirectory 綱要的一組延伸。RBS 定義多個物件類別和屬性,為管理員提供一種基於使用者在組織內的職能授予其對管理任務之存取權限的機制。這可以讓使用者僅存取他們需要執行的那些任務。RBS 也只會授予執行指定任務所必需的權限。

附註:NetIQ iManager「職能服務」(RBS) 存取控制會基於 NetIQ eDirectory 的「存取控制清單」(ACL) 能力來授予權限。這些 ACL 允許授予託管者對特定物件或其附屬物件的權限。ACL 並不是依據特定的物件類型而授予的。每一個 NetIQ iManager 任務都會定義適用的物件類型和必要的 ACL。但是,這些 ACL 允許使用者透過 eDirectory API 或者 Novell ConsoleOne 或 NWAdmin 等其他工具來對其他物件類型執行操作。

使用 RBS 可以建立組織內的特定職能,其中包含指定的使用者可以在 iManager 中執行的任務 (例如,建立新使用者或變更密碼)。任務可以預先指定給職能,但也可以被取代、重新指定或完全移除。

此外,使用者與特定範圍 (即網路樹中使用者具有執行任務之必要權限的容器) 內的職能相關聯。職能需要有職能、成員和範圍的三重關聯。

RBS「職能」物件可以建立使用者和任務的關聯。管理員透過讓使用者成為指定了任務之職能的成員來授予使用者存取此任務的權限。

使用者可以透過以下方式指定給職能:

  • 直接指定為使用者

  • 透過群組和動態群組指定

    如果使用者是指定給職能之群組或動態群組的成員,便可以存取此職能。

  • 透過組織職能指定

    如果使用者是指定了職能之組織職能的佔有者,便可以存取此職能。

  • 透過容器指定

    「使用者」物件可以存取指定了職能父容器的所有職能。可能還包括上至網路樹根部的其他容器。

使用者可以與職能關聯多次,每次都使用不同的範圍。

6.1.1 eDirectory 中的 RBS 物件

下表列出了 RBS 物件。安裝 RBS 時,iManager 會延伸 eDirectory 綱要以包括這些物件。如需詳細資訊,請參閱安裝 RBS

物件

描述

rbsCollection

儲存所有 RBS「職能」和「模組」物件的容器物件。

rbsCollection 物件是所有 RBS 物件的最上層容器。一個網路樹可以有多個 rbsCollection 物件。這些物件都有擁有者,即對集合具有管理權限的使用者。

rbsCollection 物件可以在以下任何容器中建立:

  • 國家

  • 領域

  • 地區

  • 組織

  • 組織單位

rbsRole

定義職能包括建立 rbsRole 物件,以及指定職能所能執行的任務。

rbsRoles 是只能在 rbsCollection 容器中建立的容器物件。

職能成員可以是「使用者」、「群組」、「組織」或「組織職能」,以及與網路樹中特定範圍內的職能相關聯的職能成員。rbsTask 和 rbsBook 物件會指定給 rbsRole 物件。

rbsTask

儲存特定功能的葉物件,例如,重設登入密碼。

rbsTask 物件只位於 rbsModule 容器內。

rbsBook (aka 內容登記)

登記是一個葉物件,顯示允許使用者檢視或修改物件或相同類型物件組之內容的頁面群組。登記的每一頁上都有索引標籤,按一下這些索引標籤可以檢視不同的頁面。

內容物件僅位於 rbsModule 容器內,並可以指定給一或多個職能以及一或多個物件類別類型。

rbsScope

用於 ACL 指定的葉物件 (取代指定每個使用者物件)。rbsScope 物件表示網路樹中執行職能的網路位置,它們與 rbsRole 物件相關聯,承襲於群組類別。使用者物件會指定給 rbsScope 物件。這些物件參考它們所關聯之網路樹的範圍。

物件會根據需要自動建立,並於不再需要時自動刪除。它們僅位於 rbsRole 容器中。

警告:不要變更 rbsScope 物件的組態。不然會造成嚴重的後果,甚至可能中斷系統。

rbsModule

表示儲存 rbsTask 和 rbsBook 物件的容器物件。rbsModule 物件擁有模組名稱屬性,表示定義任務或登記的產品名稱,例如 eDirectory 維護公用程式、NMAS 管理或 NetIQ Certificate Server 存取。

rbsModule 物件只能在 rbsCollection 容器中建立。

rbsCategory

種類可以將特定功能所特定的職能和任務分組在一起。iManager 具有 14 個預設種類:驗證和密碼、合作、目錄、檔案管理、身分識別管理員、基礎結構、安裝與升級、網路、Novell Audit、列印、安全性、伺服器、軟體授權與網路、使用率,以及使用者與群組。

「全部種類」選項顯示所有可用的職能與任務。

您也可以建立新的種類並為它們指定職能和任務。

RBS 物件位於 eDirectory 網路樹中,如下圖所述:

圖 6-1 eDirectory 中的職能服務

6.1.2 安裝 RBS

使用「iManager 組態精靈」安裝 RBS。

  1. 在「設定」檢視窗中,選取「職能服務」>「RBS 組態」

  2. 選取「設定 iManager」

  3. 依照螢幕上的指示進行。

6.1.3 移除 RBS

如果網路樹中不再需要「職能服務」,可以透過 iManager 安全地刪除「RBS 集合」物件。刪除 RBS 集合會自動清除網路樹中所有使用者的職能關聯和範圍。請勿使用其他公用程式 (例如 ConsoleOne) 刪除 RBS 集合。

移除職能服務:

  1. 在「設定」檢視窗中,選取「職能服務」>「RBS 組態」

  2. 選取要刪除的集合。

  3. 按一下「刪除」

刪除 RBS 集合後,即使網路樹中沒有 RBS 集合物件,所有登入 iManager 的使用者也會進入「指定存取」模式。

若要切換回「不限」模式 (預設模式):

  1. 在「設定」檢視窗中,按一下「iManager 伺服器」>「設定 iManager」

  2. 選取「RBS」索引標籤。

  3. 「RBS 網路樹清單」欄位中選取適當的網路樹名稱,然後按一下減號按鈕。

  4. 按一下「儲存」

附註:在「不限」模式下使用 iManager 時,通常會在其首頁看到以下訊息:「通知:無法使用某些職能與任務按一下「檢視詳細資料」可能會為多個任務顯示「目前驗證程式不支援」的訊息,即使該任務正常運作。此訊息會使人誤解,iManager 會在您設定 RBS 後移除這些訊息。