Novell Documentation: iManager 2.6 - Сервис административных функций

Сервис административных функций

iManager позволяет назначать пользователей ответственными за определенные виды деятельности и предоставлять им средства (и соответствующие права), которые для этого необходимы. Реализация этой возможности называется сервисом административных функций (Role-Based Services, RBS).

Сервис административных функций представляет собой набор расширений схемы eDirectory. Сервис административных функций определяет несколько классов объектов и атрибутов, которые обеспечивают администраторам механизм предоставления доступа пользователя к задачам управления на основе функции пользователя в организации. Этот механизм предоставляет пользователю доступ только к тем задачам, к которым он имеет отношение и должен выполнить. Сервис административных функций предоставляет только те права, которые необходимы для выполнения назначенных задач.

ПРИМЕЧАНИЕ: Контроль доступа, реализованный в сервисе административных функций (RBS) iManager, предоставляет права на основании списков управления доступом (Access Control List, ACL) Novell eDirectory^TM. Списки ACL позволяют предоставлять опекуну права на определенный объект или подчиненные ему объекты. Списки ACL не предоставляют прав на основании определенных типов объектов. Для каждой задачи Novell iManager определяются свои типы объектов и необходимые списки ACL. Однако эти списки ACL разрешают пользователю выполнять данные операции с другими типами объектов с помощью интерфейсов API eDirectory или других инструментов, таких как Novell ConsoleOne или NWAdmin.

Сервис административных функций используется для создания особых функций внутри организации. Функция содержит задачи, которые назначенный пользователь может выполнять в iManager, такие как создание нового пользователя или смена пароля. Задачи жестко привязаны к функциям, но их можно заменить, переназначить или полностью удалить.

Кроме того, функции пользователям назначаются в пределах определенной области действия, представляющей собой контейнер в дереве, в котором пользователь имеет необходимые разрешения для выполнения задачи. Таким образом, функция полностью определяется ее назначением, членами и областью действия.

Объект "Функция RBS" создает ассоциацию между пользователями и задачами. Администратор предоставляет пользователям право на доступ к задаче, делая пользователя членом функции, которой назначена задача.

Пользователь может быть назначен функции следующими способами:

Напрямую в качестве пользователя
Через назначения групп и динамических групп
Если пользователь является членом группы или динамической группы, которая назначается для функции, то пользователь имеет доступ к функции.
Через назначения организационной функции.
Если пользователь является исполнителем организационной функции, которая назначена другой функции, то пользователь имеет доступ к этой функции.
Через назначения контейнера.
Объект "Пользователь" имеет доступ ко всем функциям, которые назначены его родительскому контейнеру. Также можно включить другие контейнеры до корня дерева.

Пользователь может быть ассоциирован с функцией несколько раз, каждый раз с различными областями действия.

Объекты RBS в eDirectory

В следующей таблице приведен список объектов RBS. iManager расширяет схему eDirectory для включения данных объектов при установке сервиса административных функций. Дополнительную информацию см. в разделе Установка RBS.

Объект	Описание
rbsCollection	Объект-контейнер, содержащий все объекты функций и модулей RBS. Объекты "rbsCollection" являются самыми верхними контейнерами для всех объектов сервиса административных функций. Дерево может содержать любое количество объектов "rbsCollection". Эти объекты имеют владельцев, которыми являются пользователи, обладающие правами на управление коллекцией. Объекты "rbsCollection" могут быть созданы в следующих контейнерах: Страна Домен Местонахождение Организация Подразделение
rbsRole	Процесс определения функции включает создание объекта "rbsRole" и определение задач, которые может выполнять эта функция. Объекты "rbsRole" являются контейнерными объектами, которые могут быть созданы только в контейнере "rbsCollection". Членами функций могут быть объекты "Пользователь", "Группа", "Организация", "Функции организаций" и "Подразделение". Они ассоциируются с функцией в определенной области действия дерева. Объекты "rbsTask" и "rbsBook" назначаются объектам "rbsRole".
rbsTask	Представляет конечный объект, который содержит определенную функцию, например переустановку паролей регистрации. Объекты "rbsTask" располагаются только в контейнерах "rbsModule".
rbsBook (он же Property Book)	Книга - это конечный объект, отображающий группу страниц, позволяющих пользователю просматривать или изменять свойства объекта или набора объектов одного типа. Каждая страница книги имеет вкладки для перехода на другие страницы. Объект "Книга" размещается только в контейнерах "rbsModule" и может быть назначен одной или нескольким функциям и одному или нескольким типам классов объектов.
rbsScope	Конечный объект, используемый для назначений ACL (вместо назначений для каждого объекта "Пользователь"). Объекты "rbsScope" представляют контекст в дереве, в котором будет выполняться функция и который ассоциирован с объектами "rbsRole". Они наследуются от класса "Группа". Объекты "Пользователь" назначаются объекту "rbsScope". Эти объекты содержат ссылку на область действия дерева, с которой они ассоциированы. Объекты создаются динамически при необходимости, а затем автоматически удаляются, если больше не нужны. Они располагаются только в контейнерах "rbsRole". ПРЕДУПРЕЖДЕНИЕ: Никогда не изменяйте конфигурацию объекта "rbsScope". Это повлечет за собой серьезные последствия и может даже повредить систему.
rbs Module	Представляет контейнерный объект, который содержит объекты "rbsTask" и "rbsBook". Объекты "rbsModule" имеют атрибут имени модуля, который характеризует имя продукта, определяющего задачи и книги (например утилиты обслуживания eDirectory, управление NMAS^TM или доступ к серверу сертификатов Novell Certificate Server^TM). Объекты "rbsModule" могут быть созданы только в контейнерах "rbsCollection".
Категория rbs	Категория объединяет функции и задачи, которые относятся к определенной возможности. В iManager предусмотрено 14 категорий по умолчанию: Аутентификация и пароли, Коллективная работа, Каталог, Управление файлами, Менеджер электронных персон, Инфраструктура, Установка и обновление, Сеть, Аудит Nsure, Печать, Защита, Серверы, Лицензии и использование сети и Пользователи и группы. Если выбрать параметр "Все категории", будут отображены все доступные функции и задачи. Можно также создать новые категории и назначить им свои функции и задачи.

Объекты RBS располагаются в дереве eDirectory следующим образом:

Фигура 2
Сервис административных функций в eDirectory

Установка RBS

Сервис административных функций устанавливается с помощью мастера конфигурации iManager.

На странице "Настройка" выберите пункт "Сервис административных функций" > "Конфигурация RBS".
В поле "Уведомление" выберите пункт "Настройка iManager".
Следуйте инструкциям на экране.