2.2 Einrichten der Benutzerautorisierung und -authentifizierung

2.2.1 Info über die Benutzerautorisierung und -authentifizierung von PlateSpin Forge

Der Benutzerautorisierungs- und authentifizierungsmechanismus von PlateSpin Forge basiert auf Benutzerrollen und steuert den Anwendungszugriff sowie die Aktionen, die Benutzer ausführen können. Diesem Mechanismus liegen die Integrierte Windows-Authentifizierung (IWA) und deren Interaktion mit den Internetinformationsdiensten (IIS) zugrunde.

Der rollenbasierte Zugriffsmechanismus bietet Ihnen verschiedene Möglichkeiten, die Autorisierung und Authentifizierung von Benutzern zu implementieren:

  • Anwendungszugriff auf bestimmte Benutzer beschränken

  • Bestimmte Aktionen nur bestimmten Benutzern erlauben

  • Jedem Benutzer Zugriff auf bestimmte Workloads gewähren, um die durch die zugewiesene Rolle definierten Aktionen durchzuführen

Jede PlateSpin Forge-Instanz verfügt auf der Betriebssystemebene über folgende Benutzergruppen, die entsprechende funktionale Rollen definieren:

  • Workload-Schutz-Administratoren: Besitzen unbegrenzten Zugriff auf alle Funktionen der Anwendung. Ein lokaler Administrator ist implizit Teil dieser Gruppe.

  • Workload-Schutz-Hauptbenutzer: Besitzen Zugriff auf einen eingeschränkten Teil der Systemfunktionen, und zwar jene, die für die alltägliche Nutzung ausreichen.

  • Workload-Schutz-Operatoren: Besitzen Zugriff auf die meisten Funktionen der Anwendung, jedoch mit einigen Einschränkungen, z. B. hinsichtlich des Änderns von Systemeinstellungen für die Lizenzierung und Sicherheit.

Wenn ein Benutzer versucht, eine Verbindung mit PlateSpin Forge herzustellen, wird der über den Browser angegebene Berechtigungsnachweis vom IIS geprüft. Wenn der Benutzer keiner der Workload-Schutz-Rollen angehört, wird die Verbindung verweigert. Wenn der Benutzer ein lokaler Administrator auf der Forge-VM ist, wird dieses Konto implizit als Workload-Schutz-Administrator angesehen.

Tabelle 2-1 Details zu Workload-Schutz-Rollen und -Berechtigungen

Details zu Workload-Schutz-Rollen

Administratoren

Power-Benutzer

Operatoren

Workload hinzufügen

Zulässig

Zulässig

Verweigert

Workload entfernen

Zulässig

Zulässig

Verweigert

Schutz konfigurieren

Zulässig

Zulässig

Verweigert

Reproduktion vorbereiten

Zulässig

Zulässig

Verweigert

(Voll-)Reproduktion durchführen

Zulässig

Zulässig

Zulässig

Inkrementelle Reproduktion ausführen

Zulässig

Zulässig

Zulässig

Zeitplan unterbrechen/wieder aufnehmen

Zulässig

Zulässig

Zulässig

Failover testen

Zulässig

Zulässig

Zulässig

Failover

Zulässig

Zulässig

Zulässig

Failover abbrechen

Zulässig

Zulässig

Zulässig

Abbrechen

Zulässig

Zulässig

Zulässig

Zurückweisen (Aufgabe)

Zulässig

Zulässig

Zulässig

Einstellungen (Alle)

Zulässig

Verweigert

Verweigert

Berichte/Diagnose ausführen

Zulässig

Zulässig

Zulässig

Failback

Zulässig

Verweigert

Verweigert

Erneut schützen

Zulässig

Zulässig

Verweigert

Darüber hinaus bietet die PlateSpin Forge-Software einen auf Sicherheitsgruppen basierenden Mechanismus, der definiert, welche Betriebssystembenutzer auf welche Workloads im Workload-Inventar von PlateSpin Forge zugreifen dürfen.

Das Einrichten eines ordnungsgemäßen rollenbasierten Zugriffs auf PlateSpin Forge umfasst zwei Aufgaben:

  1. Hinzufügen von Betriebssystembenutzern zu den erforderlichen, in Tabelle 2-1 aufgeführten Benutzergruppen.

  2. Erstellen von Sicherheitsgruppen auf Anwendungsebene, die diese Benutzer bestimmten Workloads zuordnen.

2.2.2 Verwalten von PlateSpin Forge-Zugriff und -Berechtigungen

Zugriff auf die Serververwaltungsschnittstelle von PlateSpin Forge

So greifen Sie auf die Web-Benutzerschnittstelle für die Verwaltung von Microsoft Windows-Servern zu:

  1. Öffnen Sie einen Webbrowser und gehen Sie zu https://IP-Adresse:8098

    Ersetzen Sie IP-Adresse durch die IP-Adresse der Forge-VM.

Ihr Browser stellt eine Verbindung zu dem Server her und zeigt die standardmäßige Willkommensseite an.

Abbildung 2-1 Web-Benutzerschnittstelle für die Verwaltung von Microsoft Windows-Servern

Hinzufügen von PlateSpin Forge-Benutzern

Gehen Sie wie in diesem Abschnitt beschrieben vor, um einen neuen PlateSpin Forge-Benutzer hinzuzufügen.

Wenn Sie einem auf der Forge-VM vorhandenen Benutzer bestimmte Rollenberechtigungen gewähren möchten, lesen Sie bitte unter Zuweisung einer Workload-Schutz-Rolle an einen PlateSpin Forge-Benutzer weiter.

  1. Öffnen Sie die Web-Benutzerschnittstelle der Serververwaltung von Forge-VM.

    Weitere Informationen hierzu finden Sie unter Zugriff auf die Serververwaltungsschnittstelle von PlateSpin Forge.

  2. Klicken Sie auf Benutzer > Lokale Benutzer.

    Die Seite „Lokale Benutzer auf dem Server“ wird angezeigt.

  3. Klicken Sie unter Aufgaben auf Neu und geben Sie einen Benutzernamen, ein Passwort und andere optionale Informationen an.

  4. Klicken Sie auf OK.

    Die Seite „Lokale Benutzer auf dem Server“ wird neu geladen.

Jetzt können Sie dem gerade erstellten Benutzer eine Workload-Schutz-Rolle zuweisen. Weitere Informationen hierzu finden Sie unter Zuweisung einer Workload-Schutz-Rolle an einen PlateSpin Forge-Benutzer.

Zuweisung einer Workload-Schutz-Rolle an einen PlateSpin Forge-Benutzer

Bevor Sie einem Benutzer eine Rolle zuweisen, ermitteln Sie, welche Berechtigungen für diesen Benutzer am Besten geeignet sind. Weitere Informationen hierzu finden Sie unter Tabelle 2-1, Details zu Workload-Schutz-Rollen und -Berechtigungen.

  1. Öffnen Sie die Web-Benutzerschnittstelle der Serververwaltung von Forge-VM. Weitere Informationen hierzu finden Sie unter Zugriff auf die Serververwaltungsschnittstelle von PlateSpin Forge.

  2. Klicken Sie auf Benutzer > Lokale Gruppen.

    Die Seite „Lokale Gruppen auf dem Server“ wird angezeigt.

  3. Wählen Sie in der Liste der Gruppen die erforderliche Workload-Schutz-Gruppe aus und klicken Sie anschließend unterhalb von Aufgaben auf Eigenschaften.

    Die entsprechende Seite mit den Gruppeneigenschaften wird geöffnet.

  4. Klicken Sie auf Mitglieder, wählen Sie den erforderlichen Benutzer aus der Liste aus und klicken Sie anschließend auf Hinzufügen.

    Der ausgewählte Benutzer wird der Liste Mitglieder hinzugefügt.

  5. Klicken Sie auf OK.

Jetzt können Sie diesen Benutzer einer PlateSpin Forge-Sicherheitsgruppe hinzufügen und ihm eine angegebene Sammlung von Workloads zuweisen. Weitere Informationen hierzu finden Sie unter Verwalten von PlateSpin Forge-Sicherheitsgruppen und -Workload-Berechtigungen.

Ändern des PlateSpin Forge-Administrator-Passworts

So ändern Sie das Passwort des Administratorkontos auf der Forge-VM:

  1. Öffnen Sie die Web-Benutzerschnittstelle der Serververwaltung von Forge-VM. Weitere Informationen hierzu finden Sie unter Zugriff auf die Serververwaltungsschnittstelle von PlateSpin Forge.

  2. Klicken Sie auf Administratorkennwort festlegen, geben Sie das neue Passwort ein, bestätigen Sie es und klicken Sie anschließend auf OK.

2.2.3 Verwalten von PlateSpin Forge-Sicherheitsgruppen und -Workload-Berechtigungen

PlateSpin Forge bietet auf der Anwendungsebene einen genauer definierten Zugriffsmechanismus, der es bestimmten Benutzern erlaubt, bestimmte Workload-Schutz-Aufgaben für angegebene Workloads durchzuführen. Dies wird durch die Einrichtung von Sicherheitsgruppen erreicht.

  1. Weisen Sie einem PlateSpin Forge-Benutzer die Workload-Schutz-Rolle zu, deren Berechtigungen am besten für die Rolle dieses Benutzers in Ihrer Organisation geeignet sind. Weitere Informationen hierzu finden Sie unter Zuweisung einer Workload-Schutz-Rolle an einen PlateSpin Forge-Benutzer.

  2. Greifen Sie als Administrator über den PlateSpin Forge-Web-Client auf PlateSpin Forge zu und klicken Sie anschließend auf Einstellungen > Berechtigungen.

    Die Seite „Sicherheitsgruppen“ wird angezeigt:

  3. Klicken Sie auf Sicherheitsgruppe erstellen.

  4. Geben Sie im Feld Name der Sicherheitsgruppe einen Namen für Ihre Sicherheitsgruppe ein.

  5. Klicken Sie auf Benutzer hinzufügen und wählen Sie die erforderlichen Benutzer für diese Sicherheitsgruppe aus.

    Wenn Sie einen PlateSpin Forge-Benutzer hinzufügen möchten, der kürzlich als Benutzer auf Betriebssystemebene zur Forge-VM hinzugefügt wurde, wird er möglicherweise nicht sofort in der Benutzeroberfläche angezeigt. Klicken Sie in diesem Fall auf Benutzerkonten aktualisieren.

  6. Klicken Sie auf Workload hinzufügen und wählen Sie die erforderlichen Workloads aus:

    Nur die Benutzer in dieser Sicherheitsgruppe haben Zugriff auf die ausgewählten Workloads.

  7. Klicken Sie auf Erstellen.

    Die Seite wird neu geladen und zeigt Ihre neue Gruppe in der Liste der Sicherheitsgruppen an.

Wenn Sie eine Sicherheitsgruppe bearbeiten möchten, klicken Sie in der Liste der Sicherheitsgruppen auf ihren Namen.