Novell Documentation: iManager 2.6 - Servizi basati su ruoli (RBS, Role-Based Services)

Servizi basati su ruoli (RBS, Role-Based Services)

iManager consente di assegnare agli utenti responsabilità specifiche e di rendere loro disponibili solo gli strumenti (e i relativi diritti) necessari per eseguire funzioni in base alle responsabilità assegnate. Questa funzionalità è denominata servizi basati su ruoli (RBS, Role-Based Services).

I servizi basati su ruoli sono un insieme di estensioni allo schema di eDirectory. Tali servizi definiscono diverse classi di oggetti e attributi che forniscono un meccanismo agli amministratori per concedere a un utente l'accesso a task di gestione in base al ruolo dell'utente nell'organizzazione. In questo modo, gli utenti possono accedere solo ai task che devono effettuare. Tramite i servizi basati su ruoli vengono infatti concessi solo i diritti necessari a eseguire i task assegnati.

NOTA: Il controllo dell'accesso dei servizi basati su ruoli (RBS) di Novell iManager concede i diritti in base alla funzionalità ACL (Access Control List) di Novell eDirectory^TM. Tali elenchi ACL consentono a un trustee di ottenere diritti su un oggetto specifico o sui relativi oggetti subordinati. Gli elenchi ACL non vengono concessi in base a tipi di oggetto specifici. Ogni task di Novell iManager definisce i relativi tipi di oggetto e gli elenchi ACL necessari. Questi elenchi ACL, tuttavia, possono consentire all'utente di eseguire le operazioni con altri tipi di oggetto mediante le API di eDirectory o altri strumenti, quali Novell ConsoleOne o NWAdmin.

Utilizzare i servizi basati su ruoli per creare ruoli specifici all'interno dell'organizzazione. I ruoli contengono task che un utente a cui sono stati assegnati può eseguire in iManager, ad esempio la creazione di un nuovo utente o la modifica di una parola d'ordine. I task vengono preassegnati ai ruoli, ma possono essere sostituiti, riassegnati o rimossi completamente.

Gli utenti, inoltre, sono associati ai ruoli in un ambito specifico, ovvero un container nell'albero in cui l'utente dispone delle autorizzazioni necessarie per eseguire un task. Per essere completo, un ruolo richiede questa triplice associazione di ruolo, membri e ambito.

Tramite un oggetto RBS Role viene creata un'associazione tra utenti e task. Un amministratore concede a un utente l'accesso a un task rendendo l'utente membro del ruolo a cui è assegnato il task.

Un utente può essere assegnato a un ruolo nei seguenti modi:

Direttamente come utente.
Tramite assegnazioni di gruppo o di gruppo dinamico.
Se un utente è membro di un gruppo o di un gruppo dinamico assegnato a un ruolo, avrà accesso a tale ruolo.
Tramite assegnazioni di ruolo organizzativo.
Se un utente è titolare di un ruolo organizzativo a cui è assegnato un ruolo, avrà accesso a tale ruolo.
Tramite assegnazioni di container.
Un oggetto Utente ha accesso a tutti i ruoli assegnati al relativo container superiore. Possono essere compresi anche altri container fino alla radice dell'albero.

Un utente può essere associato più volte a un ruolo, ogni volta con un ambito differente.

Oggetti RBS di eDirectory

Nella tabella seguente sono inclusi gli oggetti RBS. Tramite iManager viene esteso lo schema di eDirectory per includere tali oggetti quando si installano i servizi basati su ruoli (RBS, Role-Based Services). Per ulteriori informazioni, vedere Installazione dei servizi basati su ruoli.

Oggetto	Descrizione
rbsCollection	Oggetto container in cui sono inclusi tutti gli oggetti RBS Role e RBS Module. Gli oggetti rbsCollection sono i container di livello più alto per tutti gli oggetti RBS. Un albero può contenere un numero qualsiasi di oggetti rbsCollection. A ciascuno di questi oggetti è assegnato un proprietario, ovvero un utente che dispone dei diritti di gestione sull'oggetto. Gli oggetti rbsCollection possono essere creati in uno qualsiasi dei seguenti container: Nazione Dominio Località Organizzazione Unità organizzativa
rbsRole	La definizione di un ruolo prevede la creazione di un oggetto rbsRole e la definizione dei task che possono essere eseguiti dal ruolo. Gli oggetti rbsRole sono container che possono essere creati solo all'interno di container rbsCollection. I membri del ruolo possono essere utenti, gruppi, organizzazioni, ruoli organizzativi o unità organizzative e sono associati a un ruolo in un ambito specifico dell'albero. Agli oggetti rbsRole sono assegnati gli oggetti rbsTask e rbsBook.
rbsTask	Oggetto foglia a cui è assegnata una funzione specifica, ad esempio la reimpostazione delle parole d'ordine di login. Gli oggetti rbsTask si trovano solo nei container rbsModule.
rbsBook (registro delle proprietà aka)	Un registro è un oggetto foglia in cui viene visualizzato un gruppo di pagine che consente all'utente di visualizzare o modificare le proprietà di un oggetto o insieme di oggetti dello stesso tipo. In ogni pagina del registro è inclusa una scheda sui cui è possibile fare clic per visualizzare una pagina diversa. Gli oggetti registro risiedono solo nei container rbsModule e possono essere assegnati a uno o più ruoli e a uno o più tipi di classi di oggetti.
rbsScope	Oggetto foglia utilizzato per le assegnazioni di tipo ACL (in alternativa a quelle per singolo oggetto Utente). Gli oggetti rbsScope rappresentano il contesto dell'albero in cui verrà eseguito un determinato ruolo, sono associati agli oggetti rbsRole ed ereditano le proprietà dalla classe di oggetti Gruppo. A un oggetto rbsScope sono assegnati oggetti Utente, che contengono a loro volta un riferimento all'ambito dell'albero a cui sono associati. Gli oggetti vengono creati dinamicamente quando richiesto e quindi cancellati quando non sono più necessari. Tali oggetti sono presenti solo nei container rbsRole. AVVERTENZA: Non modificare mai la configurazione di un oggetto rbsScope. Questa operazione può avere gravi conseguenze e causare danni al sistema.
rbs Module	Rappresenta un oggetto container in cui sono inclusi gli oggetti foglia rbsTask e rbsBook. Agli oggetti rbsModule è associato un nome di modulo che rappresenta il nome del prodotto utilizzato per definire i task o i registri, ad esempio Utility di manutenzione di eDirectory, Gestione NMAS^TM o Novell Certificate Server^TM. Gli oggetti rbsModule possono essere creati solo all'interno di container rbsCollection.
rbs Category	Insieme di ruoli e task di gruppi di categorie specifici per una particolare funzione. In iManager sono incluse 14 categorie di default: Autenticazione e parole d'ordine, Collaborazione, Directory, Gestione dei file, Identity Manager, Infrastruttura, Installazione e upgrade, Rete, Nsure Audit, Stampa, Sicurezza, Server, Licenze software e rete, Uso e Utenti e gruppi. L'opzione Tutte le categorie consente di visualizzare tutti i ruoli e i task disponibili. È inoltre possibile creare nuove categorie e assegnarvi ruoli e task.

Gli oggetti RBS sono contenuti nell'albero eDirectory, come illustrato nella seguente figura:

Figura 2
Servizi basati su ruoli in eDirectory

Installazione dei servizi basati su ruoli

I servizi basati su ruoli vengono installati tramite la Configurazione guidata iManager.

Selezionare Servizi basati su ruoli > Configurazione RBS.
Fare clic su Configura iManager nell'avvertenza.
Seguire le istruzioni visualizzate.