Identity Manager 2.0

A személyazonosságok és jelszavak felügyeletének biztonságossá tétele az új DirXML használatával

Hálózati adminisztrátorként valószínűleg első kézből tapasztalta, milyen bonyolult lehet a személyazonossági információk felügyelete és szinkronizálása a különböző hálózati alkalmazások, címtárak és adatbázisok között. Richard Reid, a True North Communications egyik informatikai vezetője szerint „a világ legrosszabb feladatainak egyike”. E vélemény dacára talán Ön is (mint ahogy Reid is) felismerte, hogy a személyazonosságok szinkronizálása még mindig kevésbé fájdalmas, és biztonságosabb is, mint az alternatíva, vagyis ugyanazt az információt kézzel újra és újra megadni a hálózat ezernyi rendszerén.

Be kell vallanom, hogy Reid ezt az érzését több mint három éve osztotta meg velem egy, a DirXML-t bemutató cikk megírásához készülő Novell Connection interjú során. Reid szerint a DirXML – még az akkoriban használt béta változatban is – segítette a címtárak szinkronizálásáért folytatott küzdelmet. Ez is kiemeli a következőket: a Novell célja a kezdetektől az volt a DirXML tervezésénél, hogy a személyazonossági információk szinkronizálásának feladata annyira egyszerű legyen, amennyire ez egy jó technológia használatával csak lehetséges.

Amikor a jó még jobb lesz

A DirXML egy platformközi szolgáltatás, amely segítséget nyújt a személyazonossági információk felügyeletében. (További információk a Novell Nsure megoldással kapcsolatban: www.novell.com/solutions/nsure.)

A DirXML bármely rendszeren segítheti a személyazonossági információk felügyeletét, amelyhez a Novell (vagy Ön, vagy egy külső gyártó) megírt egy speciális csatolót. A Novell csatolói illesztőfelületet nyújtanak a legnépszerűbb alkalmazásokhoz, adatbázisokhoz és címtárakhoz, így a PeopleSofthoz, az SAP HR-hez, a GroupWise-hoz, a Microsoft Exchange-hez, a Lotus Noteshoz, az Oracle-höz és a Microsoft Active Directoryhoz. (A Novell csatolóinak teljes listája: www.novell.com/products/dirxml/drivers.)

Annak kézbentartásához, hogy hogyan és mikor kerülnek kicserélésre a személyazonossági információk ezek között a rendszerek között, az ezekhez tartozó csatolókat különféle szabályok használatával kell konfigurálni. (Ezek a szabályok a vállalati igényekre, illetve a cégnek a partnereivel és dolgozóival való kapcsolataira épülnek.) Régebben számos ügyfél ijesztőnek találta ezeket a szabálykészítési folyamatokat, különösen azok a felhasználók, akik számára szokatlan volt az eXtensible Markup Language (XML) és az eXtensible Stylesheet Language Transformations (XSLT) használata – ez a DirXML szabályok két hagyományos formátuma. Az évek során a Novell-mérnökök dolgoztak a folyamat egyszerűsítésén, és a DirXML legfrissebb változatában – őszintén kijelenthetjük – felülmúlták önmagukat.

A 2004. februári kiadású új DirXML-es megoldás, a Novell Identity Manager 2.0 a hagyományos DirXML-képességeken túlmutató funkciókkal rendelkezik. A Novell Identity Manager 2.0 nem csak jelentősen egyszerűsíti a szabályalkotási folyamatot, de egy másik kényes felügyeleti pontot is egyszerűsít: a jelszókezelést.

A Novell Identity Manager 2.0 (a továbbiakban Identity Manager) az eDirectory 8.7.1-en fut és minden, az eDirectory által támogatott platformot támogat – ezek közé tartozik a NetWare, a Microsoft Windows NT/2000, a Red Hat Linux, a Solaris, az AIX és a HP-UX. (A pontos verziószámok a www.novell.com/products/edirectory/sysreqs.html címen találhatók meg.) Az Identity Manager számos javítással és új funkcióval bővíti az alapjául szolgáló DirXML-terméket, így a naplózási és figyelési funkciókkal és az új szerep alapú jogosultsági irányelvekkel. (További információk a Szerepek és Rendszerállapot fejezetekben.)

1. kép: A Novell Identity Manager 2.0-ben az Irányelvkészítőnek (Policy Builder) nevezett grafikus felhasználói felület segítségével hozható létre az irányelveket alkotó szabályok túlnyomó része

Az Identity Manager számos figyelemre méltó funkciót tartalmaz, amelyek közül az alábbiak a legérdekesebbek:

  • Egy új, az irányelvek (régebbi nevükön szabályok) készítésére használható grafikus felhasználói felület, amely a csatlakozó rendszerek közötti információáramlást vezérli.
  • Új jelszókezelési funkciók, amelyek
    • lehetővé teszik a csatlakozó rendszereken a jelszavak létrehozását meghatározó jelszó-irányelvek készítését;
    • segítenek a felhasználóknak az elfelejtett jelszavak visszanyerésében, vagy a lejártak alaphelyzetbe állításában;
    • szinkronizálják a jelszavakat az eDirectory és számos más csatlakozó rendszer között.

Az új kód szinte már nem is kód

Az Identity Manager leegyszerűsíti az irányelvek létrehozásának folyamatát. Az irányelvek szabálygyűjtemények, amelyek feltételeket és tevékenységeket határoznak meg az Identity Manager környezet csatlakozó rendszerei közötti információáramlás irányításához. Egy létrehozási irányelv például olyan szabályokat tartalmaz, amelyek előírják, hogyan és mikor történik új objektumok létrehozása.

A DirXML 1.x-ben a szabályok XML-ben vagy XSLT-ben hozhatók létre. Az XML alapvetően az egyszerű logikára épülő szabályokhoz használható, például sémaleképezési, létrehozási, illesztési és elhelyezési irányelvekhez. Az XSLT az összetettebb logikát igénylő szabályok készítésére való, mint például a kimeneti és bemeneti szabályok, vagy az eseményekkel kapcsolatos és parancsátalakítási irányelveknek. Sajnos, ezzel a látszólag kedvező egyenlettel szemben a valóság az, hogy mindössze a szabályok 20 százalékához használható az XML, és a többi 80 százalékhoz a sokkal bonyolultabb XSLT-re van szükség.

A Novell-mérnökök áttervezték a DirXML-t, így az Identity Manager lényegében felcseréli ezeket a százalékokat. Az Identity Managerrel csak a szabályok 20 százalékát kell XSLT-ben elkészíteni, és 80 százalékát lehet egy új, egyszerűsített XML-verzióban, amelyet DirXML Scriptnek hívnak. Ami még fontosabb, nem kell DirXML (vagy XML, vagy XSLT) scripteket írni az irányelveket alkotó szabályok létrehozásához, hanem fel lehet azokat építeni egy Policy Builder nevű grafikus felület használatával.

Bizonyos rendszerekhez a Novell valójában teljesen XSLT-mentes irányelveket kínál. Az összes Novell által kifejlesztett Microsoft Active Directory irányelv például a Policy Builder használatával készült, bizonyítva, hogy bonyolult irányelvek készítése is lehetséges kódírás nélkül.

Az Novell iManager 2.0 Identity Manager moduljaiban található Policy Builder meggyorsítja az irányelvek létrehozását és kevesebb szellemi energiát igényel. A Policy Builderben rákattint arra a csatolóra, amelyhez irányelvet szeretne létrehozni, mire megjelenik az eDirectory és a csatlakozó rendszer közötti előfizetői és kiadói csatornák grafikus képe. A csatornák mellett (kis dokumentumnak kinéző) ikonokat is láthat. (Lásd 1. ábra) Ezek az ikonok a csatolókhoz már megírt irányelveket jelképezik.

Egy új irányelv létrehozásához kattintson a kiadói vagy a előfizetői csatornákban található nyilak egyikére (lásd 1. ábra). Ez megnyitja a szabálykészítőt (Rule Builder), amelyben feltételeket adhat meg és kombinálhat (pl.: „ha a művelet egyenlő áthelyezés”) és meghatározhatja a megfelelő reakciót vagy reakciókat (pl. „akkor megvétózni”).

A szabálykészítő a megadott feltételek vagy reakciók minden változójához egy legördülő listát ajánl fel, amely csak az érvényes lehetőségeket tartalmazza (lásd 2. ábra). Ha például meg szeretné nyitni az „if” (ha) szó után következő változók érvényes listáját, kattintson a mező végén látható nyílra. Ahogy az a 2. ábrán is látható, ugyanígy megtekinthető minden változó lehetőségeinek legördülő listája.

2. kép: A szabálykészítő (a Policy Builderben) egy legördülő listát kínál, amely csak a változók érvényes lehetőségeit mutatja a szabályt meghatározó feltételekhez és reakciókhoz

A létrehozott szabályokat az irányelvkészítő (Policy Builder) fordítja le DirXML Script nyelvre. Az irányelvkészítőnek része egy varázsló, amellyel a DirXML Scriptté fordítható bármilyen régi stílusú meglévő XML (vagyis a DirXML korábbi verzióival írt szabályok). Egész pontosan, a sémaleképezési szabályok kivételével le is kell fordítani majd a régi szabályokat ahhoz, hogy működjenek az új, frissített környezetben.

Ez a kódmentes felépítés egy új irányelvtípussá bővül ki, az úgynevezett szerep alapú jogosultsági irányelvekké, amelyek az Identity Managernek az iManagerhez készült bővítőmoduljaiban található varázslóval hozhatók létre. A szerep alapú jogosultsági irányelvek kiváló új módszert kínálnak több rendszer erőforrásainak hatékony felügyeletére az üzleti igények alapján, amelyeket a felhasználóknak a szervezetben betöltött szerepe határoz meg. A szerep alapú jogosultsági irányelvekkel azok a hozzáférési jogok, valamint tagsági jogosultságok és azonosítók adhatók meg a rendszeren a felhasználók csoportjainak, amelyeket az üzleti igények előírnak, hogy az adott irányelvhez tartozzanak. (További információk a Szerepek fejezetben.)

Jelszó: Irányelv, szolgáltatás és szinkronizálás

Az irányelvkészítővel a Novell azt, ami (Reidhez hasonlóan) az Ön számára is „a világ legrosszabb feladatainak egyike” volt, a legkevésbé fárasztó feladatok egyikévé formálja át. A személyazonosság-felügyeleti problémák természetesen nem érnek véget a csatolók beállításával, amelyekkel a rendszer megoszthatja a személyazonossági információkat. Elméletileg még mindig ott vannak a jelszavak felügyeletével járó kellemetlenségek – legalábbis ott lennének, ha nem lenne az Identity Manager.

Az Identity Manager a Novell jelszófelügyeleti megoldása. Használatával minimálisra csökkenthető az az idő és energia, amelyre a biztonsági harcban a vállalat első védelmi vonalát jelentő titkok felügyeletéhez szükség van. Az új jelszófelügyeleti funkciók három kategóriára bonthatók:

  1. Jelszavakkal kapcsolatos irányelvek
  2. Jelszavakkal kapcsolatos önkiszolgáló lehetőségek
  3. A jelszavak szinkronizálása

Az új funkciók használatához frissítenie kell környezetét az Univerzális jelszó használatához. (Az Univerzális jelszó /Universal Password/ a Novell új jelszó-megközelítése. További információk az „A jelszó egyetlen hálózathoz kapcsol” című fejezetben.)

Az új jelszófelügyeleti funkciók több okból lehetnek vonzóak Önnek. Egyrészt azért, mert használatukkal egységes jelszó-irányelvek kényszeríthetők ki számos heterogén rendszerben, ami nagyobb védelmet jelent. Másrészt azért, mert segítségükkel a felhasználók segíteni tudnak magukon, és ezzel csökken a helpdeskre nehezedő nyomás. Harmadrészt azért, mert ezekkel a funkciókkal minimálisra szorítható azoknak a jelszavaknak a száma, amelyeket a felhasználóknak meg kell jegyezniük, és ezzel erősödik a jelszavas hitelesítés biztonsága a hálózaton. Végül pedig azért, mert kevesebb jelszó használatával a felhasználók kisebb valószínűséggel húzzák keresztül az egész jelszókoncepciót azzal, hogy leírják (és így kihirdetik) titkaikat.

Egy irányelv minden rendszerhez

Az Identity Managerrel olyan jelszóirányelv hozható létre, amely egy kicsit kézzelfoghatóbb és sokkal kikényszeríthetőbb, mint egy pár szó a biztonsági kézikönyv egyik oldalán.

3. kép: A Novell iManager 2.0 Identity Manager 2.0 bővítőmoduljai egy varázslót tartalmaznak, amely segít a több rendszeren kikényszeríthető jelszóirányelvek megalkotásában

Ennek véghezviteléhez kattintson az Identity Manager iManager 2.0-ás bővítőmodulok által létrehozott Password Management (jelszófelügyeleti) feladat Manage Password Policies (Jelszóirányelvek felügyelete) lehetőségére. Erről a felületről indulva egy varázsló egyszerűsíti a jelszóirányelvek létrehozását. Az irányelvek az eDirectory „Root”-, partíció-, konténer- vagy „Felhasználó”-objektumaihoz rendelhetők hozzá.

Az Identity Managerben a jelszóirányelv a felhasználói jelszavak létrehozásához és pótlásához használt szabályok gyűjteménye. Ezek a szabályok határozzák meg az elfogadható jelszó ismertetőjegyeit. Szabályok létrehozásához válasszon ki és adjon meg értékeket a különféle ismertetőjegy-mezőkben (lásd 3. ábra). Ahogy az ábrán látható, a létrehozott jelszóirányelvek előírják a jelszavak szintaxisát, hosszát, a különleges karakterek használhatóságát, és hogy engedélyezve van-e a felhasználók számára a jelszavak visszanyerése és alaphelyzetbe állítása.

A jelszóirányelvek elkészítése és hozzárendelése után az Identity Manager több módon is segítséget nyújt azok kikényszerítéséhez. Az egyik módszernél ellenőrzi, hogy a felhasználók jelszavai minden bejelentkezés alkalmával megfelelnek-e a rájuk érvényes irányelveknek. Ez a funkció a jelszóirányelv létrehozásakor engedélyezhető, és ha engedélyezte, bejelentkezéskor összehasonlítja a felhasználók jelszavait a jelszóirányelvvel. Ha a jelszó megfelelő, a felhasználók hitelesítésre kerülnek a hálózatra való belépéshez, mint mindig. Ha a jelszó nem megfelelő, a rendszer informálja őket erről, és a felhasználóknak új jelszót kell megadniuk.

Az Identity Manager azzal is segíti az irányelvek betartásának kikényszerítését, hogy emlékezteti a felhasználókat a megfelelő jelszóra vonatkozó szabályokra, amikor megpróbálják alaphelyzetbe állítani az iManager önkiszolgáló konzolját (Self-Service Console). (Az önkiszolgáló konzol használata a jelszó-irányelvek felügyelete (Manage Password Policies) felületen engedélyezhető.

A helpdesk terheinek csökkentése

Ahogy a neve is sugallja, a Self-Service Console lehetővé teszi, hogy a felhasználók önerőből visszanyerjék az elfelejtett jelszavakat vagy alaphelyzetbe állítsák a jelszavaikat. A helpdesk munkatársai örömmel fogadják majd az ötletet, hogy a felhasználókat felhatalmazzák erre, mivel a helpdesk-hívások közel 30 százalékát a jelszóproblémák adják. (Ha aggódna: az önkiszolgálás engedélyezése nem befolyásolja az Ön, vagy a helpdesk képességét arra, hogy alaphelyzetbe állítsa vagy visszanyerje a felhasználók jelszavait.

A Self-Service Console engedélyezésekor egy kérdéssort kell készíteni az iManager modulok által nyújtott jelszófelügyeleti felület használatával. Ez a kérdéssor kötelező (és esetleg véletlenszerű) kérdéseket tartalmaz, amelyeket Ön (esetleg a felhasználó) tesz fel (lásd 4. ábra). A felhasználóknak meg kell válaszolniuk a kérdéseket, és létre kell hozniuk a saját kérdéseiket és válaszaikat a Self Service Console-ban, a Manage Challenge Response (kérdések válaszainak kezelése) oldalon. (Ha kívánja, az is beállítható, hogy az Identity Manager megjelenítse az oldalt, amikor a felhasználó egy új jelszó-irányelv engedélyezése után első alkalommal bejelentkezik.)

A 4. ábrán látható módon megadható, hogy mi történjen, amikor a felhasználó előtt megjelenik a kérdéssor, majd helyesen megválaszolta a kérdéseket. Megadható például, hogy megjelenítésre kerüljön egy kis segítség, vagy az, hogy e-mailben elküldje a felhasználónak az elfelejtett jelszót vagy a segítséget. A segítségeket vagy az elfelejtett jelszavakat tartalmazó e-mailek küldésének leegyszerűsítésére az Identity Manager öt előre meghatározott és testreszabható értesítési üzenetsablont tartalmaz.

Ennek alternatívájaként az is választható, hogy a nehezítő kérdéssort helyesen megválaszoló felhasználó számára engedélyezi a jelszó alaphelyzetbe állítását közvetlenül a konzolból (lásd 5. ábra).

4. kép: A Self-Service Console engedélyezésekor egy kérdéssort kell létrehozni. Az Identity Manager 2.0 megjeleníti az összes előírt kérdést ebből a halmazból, amikor a felhasználók megpróbálják visszanyerni vagy alaphelyzetbe állítani a jelszavaikat

Jelszómegosztás

Mi történik, amikor a felhasználók alaphelyzetbe állítják a jelszavukat az iManager Self-Service Console-ban? Talán kitalálta: Az Identity Manager frissíti a jelszavukat a csatlakozó rendszereken. Még specifikusabban, az Identity Manager minden csatlakozó rendszeren frissíti a jelszavakat, amelyek megfelelnek az alábbi két feltételnek:

  • Támogatják az új jelszófelügyeleti funkciókat
  • Előfizetik az Identity Manager adattárának jelszóinformációit

Szerencsére a legtöbb rendszer, amelyhez a Novell csatolót kínál, támogatja az új jelszófelügyeleti funkciókat. Egész pontosan a következő rendszerek csatolói támogatják az Identity Manager jelszófelügyeleti funkcióit:

  • eDirectory
  • Novell Directory Services (NDS)
  • Novell GroupWise
  • Microsoft Active Directory (MS AD)
  • Microsoft NT tartományok
  • Java Database Connectivity (JDBC)
  • Lightweight Directory Access Protocol (LDAP)
  • Lotus Notes
  • Network Information System (NIS)
  • Schools Interoperability Framework (SIF)
  • SAP User Management

5. kép: Amikor a felhasználók elfelejtik a jelszavukat, vagy alaphelyzetbe kell állítaniuk egy lejártat, maguk is meg tudják ezt oldani az iManager Self-Service Console használatával. A Change Password (jelszócsere) képernyő megfelelő formában jeleníti meg a jelszóirányelveket,
és ezzel segít a jelszó-létrehozási irányelvek kikényszerítésében

Ha jártas a hagyományos DirXML nyelvben, akkor tudja, hogy mire utal a „jelszóinformációkra előfizetés” kifejezés. Alapvetően minden csatolónak van egy előfizetői és egy kiadói csatornája, és mindkét csatornához készíthetők szűrők, amelyek előírják, hogy milyen információk haladhatnak végig ezen a csatornán. A kiadói csatornán a kibővített rendszerből áramolhatnak az információk az Identity Manager adattárolójába. A előfizetői csatornákon éppen az ellenkezője történik: az információk az Identity Manager adattárjából a kibővített rendszerbe áramlanak.

Az Identity Manager biztosítja, hogy amikor a felhasználók a Self Service Console-ban frissítik a jelszavukat, az az összes kapcsolódó – és ezt az információt előfizető – rendszerben frissítésre kerüljön.

Hézagmentes szinkronizáció

Szemben azzal, amitől esetleg tarthat, a felhasználók nincsenek arra korlátozva, hogy kizárólag a Self-Service Console-t használhatják jelszavuk frissítésére. A kétirányú szinkronizációt támogató rendszerek esetében a jelszavak alaphelyzetbe állításához számos lehetséges felület közül lehet választani, így az alábbiak közül is:

  • A rendszer natív kliensfelülete (például a Novell-kliens, vagy a Windows bejelentkezési párbeszédablaka
  • LDAP-kliens (eDirectoryhoz csatlakozva)
  • Microsoft Management Console
  • Self-Service Console
  • iManager (adminisztratív felület)
  • ConsoleOne

    Amikor e felületek bármelyikén megtörténik a jelszavak alaphelyzetbe állítása, az Identity Manager ellenőrzi a jelszó-visszaállítást az irányelvhez képest. Ezután az Identity Manager biztosítja, hogy a jelszóinformációk az összes rendszeren frissítésre kerüljenek, amely támogatja a kétirányú szinkronizációt. Ebben a kiadásban ezek a következők:

  • eDirectory
  • MS AD
  • MS NT tartományok
  • NIS

    Más szavakkal, ezek a rendszerek alapvetően képesek a jelszóinformációkat mind előfizetni, mind azokat közzétenni. Ha például egy felhasználó alaphelyzetbe állítja az AD-jelszavát az AD-felületről, az AD közli ezt az információt az Identity Manager adattárolójával, ami viszont minden további rendszeren frissíti ezt az információt, amely azt előfizeti. Az eredmény az, hogy a jelszó a rendszerek mindegyikén állandóan szinkronizálva van.

    Ez a funkció a DirXML Password Synchronization 1.0 kiadása óta áll rendelkezésre. Az Identity Manager azonban az előző változatoknál több klienst támogat, és több rendszer vehet részt ebben a kétirányú szinkronizációs folyamatban. Ezek a fejlesztések a funkció alapjául szolgáló új architektúrából erednek (lásd 6. kép). Más eltérések mellett az Univerzális jelszó és az új Active Directory és NT csatolók használata különbözteti meg az új architektúrát a régitől.

    Mindenki nyer: A felhasználó, a vállalat, és Ön is

    Az új architektúra végeredménye ugyanaz, mint az Identity Manager minden új és továbbfejlesztett fukciójának végeredménye: egy, a felhasználók, a vállalat és az Ön számára egyránt előnyös szituáció.

    Az új jelszófelügyeleti funkciókkal az Identity Manager felruházza a vállalati hálózat felhasználóit azzal a képességgel, hogy megoldják a saját jelszóproblémáikat – és talán csökkenti is ezek előfordulásának számát. Azzal, hogy ugyanazt a jelszót szinkronizálja több rendszer között, az Identity Manager lehetővé teszi a felhasználók számára szükséges jelszavak számának csökkentését. Amikor a felhasználók elfelejtik a jelszavukat, az Identity Manager segítségével alaphelyzetbe állíthatják vissza – a helpdesk terhelése nélkül. Ráadásul útmutatást is kapnak az iManager Self-Service Console-ból arra nézve, milyen típusú jelszót kell készíteniük.

    Míg a felhasználók talán értékelni fogják ezt a szabadságot, lehet, hogy nem örülnek majd annak, ami vele jár. Az a tény, hogy a Self-Service Console az irányelveknek megfelelő jelszavak készítésére szólítja fel a felhasználókat, azt jelenti, hogy erősebb jelszavakat kell kitalálniuk. Az eddig elmondottak mellett, mivel csökkenthető a szükséges jelszavak száma, a felhasználóknak kisebb valószínűséggel kell a jelszavak megjegyzéséhez módszereket kitalálniuk – módszereket, amelyek rontják e titkok biztonságos védelmét.

    6. kép: Amikor Ön vagy egy felhasználó alaphelyzetbe állít egy jelszót a támogatott felületek valamelyikével (például a Microsoft Active Directory használatával), az Identity Manager az összes többi, a kétirányú jelszószinkronizációt támogató rendszeren frissíti az információkat

    Ezek hatalmas előnyök a felhasználók és a vállalat számára is, de talán az a legérdekesebb az Identity Managerrel kapcsolatban, hogy leegyszerűsíti a munkát. Amikor a Novell először bemutatta a DirXML-t, talán még Ön is kézzel írogatta be a személyazonossági információkat újra és újra, egy csomó rendszeren. Mivel hosszú ideje elfogadta, hogy ez az egyáltalán nem hatékony módszer egyfajta szükséges rossz a munkájában, talán éppen annyira megörült az időt rabló feladat automatizálására szolgáló DirXML-nek, mint Reid. Mindemellett számos más emberrel együtt valószínűleg Ön is úgy véli, hogy az automatizálást végző csatolók beállítása legalábbis bonyolult.

    Az Identity Manager irányelvkészítője ezt a bonyolult munkát teszi könnyen elvégezhetővé. Az irányelvkészítő segítségével a legtöbb esetben egyetlen sornyi kód írása nélkül beállíthatók a csatolókat vezérlő irányelvek. A kevesebb kód kevesebb idegeskedést és több felhasználható időt jelent.

    Szerepek

    A Novell Identity Manager Novell iManager bővítőmodulok egy szerep alapú jogosultsági területet hoznak létre, amely a szerep alapú jogosultsági irányelvek meghatározására és felügyeletére használható. A szerep alapú jogosultsági irányelvek használatával bizonyos felhasználócsoportok tagságokhoz és azonosítókhoz juthatnak a különféle csatlakozó rendszereken. Készíthet például egy Kereskedői jogosultsági irányelvet, amely amely a vállalat kereskedelmi részlegének minden dolgozóját feljogosítja egy eDirectory csoporttagságra, egy Notes felhasználói azonosítóra és egy Microsoft Active Directory azonosítóra.A szerep alapú jogosultsági irányelv területen elindíthat egy varázslót, amely egy hatlépéses folyamat során létrehozza a szerep alapú jogosultsági irányelveket. A hat lépés gyors áttekintése képet adhat arról, milyen egyszerű lehet a tagságok és azonosítók kiosztása a különféle csatlakozó rendszereken.

    1. Nevezze el és írja le az irányelvet
    2. Adja meg egy dinamikus tagsági lista feltételeit
       Minden irányelvhez létrehozhat egy tagsági listát, amely úgy módosul, ahogy a szervezeti változásoknak megfelelően változik a felhasználók kapcsolatrendszere. Ennek elvégzéséhez hozzon létre egy szűrőt, amely az Identity Managert a fa egy adott részéhez irányítja, ahol kereshet, és egy sor Ön által meghatározott feltétel alapján megtalálhat bizonyos felhasználókat. Ezek a feltételek útba igazítják az Identity Managert a hasonló személyazonossági információkkal rendelkező felhasználók kereséséhez. A dinamikus tagsági lista például tartalmazhatja az egyazon költségközponthoz tartozó, vagy a beosztásukban egyazon szót tartalmazó felhasználókat tartalmazhat.
    3. Adja meg azoknak a felhasználóknak a statikus listáját, akik mindig tagok vagy mindig kizárásra kerülnek ebből a szerepből
    4. Válassza ki a kapcsolódó rendszerekhez jogosultságokat biztosító csatolókat
      Minden irányelvhez egy legördülő listából választhatja ki a csatolókat. Ezek a csatolók jelentik azokat a rendszereket, amelyekhez elérési jogot és jogosultságokat kíván adni a szerephez rendelt felhasználóknak. A következő rendszerek csatolói támogatják a szerep alapú jogosultságok használatát:

      - Novell GroupWise

      • Lotus Notes
      • Lightweight Directory Access Protocol (LDAP)
      • MS NT tartományok
      • MS Active Directory
      • MS Exchange
      Minden résztvevő csatoló meghatározott jogosultságokat támogat, amelyek kattintással választhatók ki. A Lotus Notes csatoló például lehetővé teszi a szerep tagjainak felruházását egy Notes felhasználói azonosítóval, és/vagy egy Notes felhasználói csoport vagy részleg tagságával
    5. Válassza ki a szerep tagjainak jogosultságait ezekhez az objektumokhoz
      Ebben a lépésben kattintson a megjelenített objektumok (például szerverek és nyomtatók) listájára a kiválasztáshoz, majd kattintson azokra az objektumjogosultságokra (például Supervisor, Compare és Read), amelyeket meg szeretne adni a szerep tagjainak.
    6. Tekintse át az irányelv összegzését
      Ebben az utolsó lépésben ellenőrizheti a létrehozott irányelveket, hogy bizonyos lehessen benne, a megfelelő jogosultságokat adta a megfelelő rendszereken a megfelelő felhasználóknak.

      Az Identity Manager szerep alapú jogosultsági funkciója minden eddiginél könnyebbé teszi a hozzáférési jogok és a tagsági jogosultságok és azonosítók kiosztását, legalább három okból:

      1. Szabályokat írhat, amelyek tájékoztatják az Identity Managert, melyik felhasználót ruházza fel melyik jogosultsággal – anélkül, hogy XML-lel vagy XSLT-vel kellene foglalkoznia
      2. Csak egy irányelvet kell írnia több felhasználó jogosultságainak megadásához számos kapcsolódó rendszeren.
      3. Felhasználók jönnek és mennek – a vállalat életének e tényezője dacára nem kell bolygatnia a jogosultsági irányelveket. Az Identity Manager a jogosultságokat és hozzáféréseket a felhasználók szerepe alapján osztja ki, nem pedig a nevük alapján.

    Rendszerállapot

    Ellenőrzőpontok és riasztások

    Amint az hamarosan minden Novell-termékre igaz lesz, a Novell Identity Manager 2.0 tartalmazza a Novell Audit Starter Pack terméket. Ahogy az a nevéből is kitalálható, az Novell Audit Starter Pack (indulócsomag) a teljes Novell Audit megoldás némelyik (de nem mindegyik) funkcióját nyújtja. Bár nem tartalmazza az összes funkciót, ne aggódjon: az Novell Audit Starter Packből nem a legfontosabb funkciók hiányoznak. Valójában ezek mindegyikét tartalmazza, és sokkal többet kínál, mint a Novell által régebben a NetWare 6.0-ban nyújtott ellenőrzési funkciók.

    Egyéb képességei mellett az Novell Audit Starter Pack lehetővé teszi az események központi naplózását az Identity Managerből, az eDirectory 8.7-ből és a NetWare 6.5-ből, egy sima szövegfájlba vagy MySQL-adatbázisba. Az Novell Audit Starter Pack szűrőbeállító varázslója segít beállítani azokat az eseményeket, amelyről értesítéseket szeretne kapni. A termék képes valós idejű értesítések küldésére SMTP-n keresztül.

    Ezen túl az Novell Audit Starter Pack az Novell Audit minden funkciójának próbaverzióját tartalmazza. A teljes Novell Audit megoldás egyebek között nem csak szövegfájlba vagy MySQL-adatbázisba teszi lehetővé a naplózást, hanem Oracle-adatbázisba is. A teljes termékben mód van a valós idejű figyelésre és valós idejű értesítések küldésére egy sor módszer (például SMTP, SNMP és Syslog) használatával, és a jelentések készítésére. Az Novell Audit ezen felül az alkalmazások széles választékát is támogatja, például az NDS 6.x és magasabb verziószámú változatát, az eDirectory 8.5 és későbbi, a NetWare 5.1 és későbbi változatát.

    Az Novell Audit Starter Pack melléklésével a Novell egyszerűbbé teszi annak követését és naplózását, mi is történik valójában az Identity Manager környezetben. Ennek révén viszont működés közben figyelheti meg a személyazonosság-felügyeleti irányelveket, és ezáltal eldöntheti, hogy pontosan a szándékaiak megfelelően működnek-e.

    Kérdések tisztázása

    A cikk elolvasása után rájöhetett, hogy a Novell a DirXML legutóbbi kiadásának nevét Novell Identity Manager 2.0-ra változtatta. Miért volt szükség erre a módosításra?

    Régebben a Novell egy platformközi szolgáltatásként írta le a DirXML-t, amely adatokat oszt meg és szinkronizál az alkalmazások, adatbázisok és címtárak között az intraneten vagy vállalatok között. Sajnos sem a név, sem a leírás nem tartalmazta, hogy a megosztott és szinkronizált adatok személyazonossági információk. Ezzel szemben a Novell Identity Manager név röviden magában foglalja, mi ez a termék: egy, a teljes rendszerben a személyazonossági adatok felügyeletére alkalmas eszköz. Arra is rávilágít, melyik termékcsaládba tartozik: a Novell Nsure biztonságos személyazonosság-felügyeleti családba.

    A névváltozás az Identity Manager és a Novell exteNd közötti különbségek egyikét is jelzi; egy olyan különbséget, amelyet a marketingszövegek néha homályban hagyhatnak. Amíg az Identity Manager a személyazonossági adatok jobb felügyeletét teszi lehetővé, a Novell exteNd a régebbi háttérrendszerekről származó adatokat teszi hozzáférhetőbbé a belső és külső hálózati felhasználók számára. A Novell exteNd egy, az üzleti alkalmazások és a webes szolgáltatások fejlesztésére és működtetésére alkalmas eszközgyűjtemény. Eszközeinek használatával a meglévő rendszerek erőforrásai dinamikus portálokon elérhető nyílt webes szolgáltatásokká alakíthatók át.

    Ennek fényében világosan látható, hogy az Identity Manager név most már megfelelően kidomborítja a termék egyedi célját.

    A jelszó egyetlen hálózathoz kapcsol

    A Novell jövőképében egy hálózatba kötött világ szerepel, amelyben nem fontos, hogy hol húzódnak a határok a rendszerek és hálózatok között. Mostanáig ezzel a jövőképpel (amelynek neve „one Net”, „egyetlen hálózat”) egyetlen baj volt: a hagyományos Novell-jelszó. A közmondásos dióhéjban összefoglalva: a hagyományos Novell-jelszó nem jól integrálható más rendszerekkel. A Novell ezt a problémát az Univerzális jelszóval oldja meg, ami lehetővé teszi, hogy egyetlen, heterogén rendszerekben használható jelszót készítsen és kezeljen.

    Az Identity Manager 2.0-val a Novell iManager 2.0 jelszóirányelv-felügyeleti felületéről engedélyezhető és állítható be az Univerzális jelszó. Más előnyei mellett támogatja a fejlett jelszószabályok alkalmazását, például a kibővített karakterkészletek, vagy a jelszón belül kis- és nagybetűket egyaránt tartalmazó formák használatát. Az Univerzális jelszó kétirányú jelszó-szinkronizációt tesz lehetővé az eDirectory és a többi kapcsolódó rendszer között. (További információkért olvassa el a „Hézagmentes szinkronizáció” című fejezetet.)

    Az Univerzális jelszó engedélyezése előtt fel kell készítenie a hálózatot a változásra. Azzal kapcsolatban, hogy ezt hogyan kell elvégezni, további információkat a NetWare 6.5 Universal Password Deployment Guide kiadványban talál (a www.novell.com/documentation címről tölthető le.)