Novell Documentation: iManager 2.6

Role-Based Services

Mit Hilfe von iManager können Sie Benutzern spezielle Verantwortungen übertragen und ihnen ausschließlich die ausschließlich dafür erforderlichen Werkzeuge (einschließlich der entsprechenden Berechtigungen) bereitstellen. Diese Funktion wird als Role-Based Services oder RBS bezeichnet.

Bei den funktionsbasierten Services handelt es sich um Erweiterungen des eDirectory-Schema. Mit RBS werden mehrere Objektklassen und -attribute festgelegt, die dem Administrator einen Mechanismus zur Verfügung stellen, um einem Benutzer den Zugriff auf Verwaltungsaufgaben zu gewähren, die dessen Funktion innerhalb der Organisation entsprechen. Dadurch hat der Benutzer ausschließlich Zugriff auf diejenigen Aufgaben, die er erledigen soll. RBS gewährt nur die zum Ausführen zugewiesener Aufgaben erforderlichen Rechte.

NOTE: Die RBS-Zugriffssteuerung der funktionsbasierten Services in Novell iManager vergibt Zugriffsrechte auf Basis der Zugriffssteuerungslisten (ACL) von Novell eDirectory^TM. Eine ACL ermöglicht es, einem Trustee Rechte auf ein bestimmtes Objekt sowie dessen nachgeordnete Objekte zu erteilen. Durch ACLs vergebene Rechte werden nicht nach bestimmten Objekttypen erteilt. Für jede Novell iManager-Aufgabe sind die zugehörigen Objekttypen und erforderlichen ACLs eigens definiert. Unter Umständen gestatten es diese ACLs jedoch dem Benutzer, mithilfe von eDirectory-APLs oder anderen Tools wie z. B. Novell ConsoleOne oder NWAdmin, die betreffenden Aktionen auch bei anderen Objekttypen vorzunehmen.

Mit RBS richten Sie bestimmte Funktionen innerhalb Ihrer Organisation ein. Diese beinhalten Aufgaben, die ein zugewiesener Benutzer innerhalb von iManager ausführen kann (z. B. neuen Benutzer erstellen oder ein Passwort ändern). Die Aufgaben sind bereits Funktionen zugewiesen, können jedoch alle ersetzt, neu zugewiesen oder entfernt werden.

Außerdem werden die Benutzer mit Funktionen in einem bestimmten Bereich verknüpft. Dieser stellt einen Container in dem Verzeichnisbaum dar, für den der Benutzer die erforderlichen Berechtigungen zur Durchführung einer Aufgabe besitzt. Eine Funktion setzt der Vollständigkeit halber diese dreifache Verknüpfung aus Funktion, Mitgliedern und Bereich voraus.

Ein RBS-Funktionsobjekt stellt eine Verknüpfung zwischen Benutzern und Aufgaben her. Ein Administrator gewährt einem Benutzer Zugriff auf eine Aufgabe, indem er den Benutzer als Mitglied der Funktion definiert, welcher die Aufgabe zugewiesen ist.

Es gibt folgende Möglichkeiten, einem Benutzer eine Funktion zuzuweisen:

Direkt als Benutzer
Über Zuweisungen zu Gruppen oder dynamische Gruppen
Wenn ein Benutzer Mitglied einer Gruppe oder einer dynamischen Gruppe ist, der eine Funktion zugewiesen ist, hat der Benutzer Zugriff auf diese Funktion.
Über Zuweisungen zu organisatorischen Funktionen
Wenn ein Benutzer Träger einer organisatorischen Funktion ist, der eine Funktion zugewiesen ist, hat der Benutzer Zugriff auf diese Funktion.
Über Zuweisungen zu Containern
Ein Benutzerobjekt hat Zugriff auf alle Funktionen, denen sein übergeordneter Container zugeordnet ist. Dies kann auch andere Container bis hin zum Stamm des Baums umfassen.

Ein Benutzer kann mehrfach mit einer Funktion verknüpft sein, jeweils innerhalb eines anderen Bereichs.

RBS-Objekte in eDirectory

In der folgenden Tabelle sind die RBS-Objekte aufgeführt. iManager erweitert das eDirectory-Schema, sodass diese durch die Installation von RBS mit einbezogen werden. Weitere Informationen finden Sie unter Installieren von RBS.

Objekt	Beschreibung
RBS-Sammlung	Ein Containerobjekt, das alle RBS-Funktions- und Modulobjekteenthält. RBS-Sammlungsobjekte sind die obersten Container für alleRBS-Objekte. Ein Baum kann über eine beliebige Anzahl von RBS-Sammlungsobjektenverfügen. Diese Objekte haben Eigentümer in der Form von Benutzern, die überVerwaltungsrechte für die Sammlung verfügen. RBS-Sammlungsobjekte können in jedem der folgenden Containererstellt werden. Land Domäne Standort Organisation Organisatorische Einheit
RBS-Funktion	Zum Definieren einer Funktion gehört das Erstellen einesRBS-Funktionsobjekts und das Festlegen der Aufgaben, die diese Funktionausführen können. RBS-Funktionsobjekte sind Containerobjekte, die nur in einemRBS-Sammlungscontainer erstellt werden können. Funktionsmitglieder können Benutzer, Gruppen, Organisationen,Organisationsfunktionen oder Organisatorische Einheiten sein.Funktionsmitglieder werden mit einer Funktion in einem bestimmten Bereich desBaums verknüpft. Die RBS-Aufgaben- und rbsBook-Objekte werden denRBS-Funktionsobjekten zugewiesen.
RBS-Aufgabe	Ein Blattobjekt, das eine einzelne Funktion beinhaltet,beispielsweise das Zurücksetzen von Anmeldepasswörtern. RBS-Aufgabenobjekte befinden sich ausschließlich inRBS-Modulcontainern.
rbsBook (auch Eigenschaftsbuchgenannt)	Ein Buch ist ein Blattobjekt, mit dem eine Gruppe von Seitenangezeigt wird, über die ein Benutzer die Eigenschaften eines oder mehrerergleicher Objekte einsehen oder bearbeiten kann. Auf jeder Seite des Buchs gibtes eine Registerkarte, auf die Sie klicken können, um eine andere Seiteanzuzeigen. Buchobjekte befinden sich nur in rbs-Modulcontainern; sie könneneiner oder mehreren Funktionen sowie einem oder mehreren Klassentypen zugewiesenwerden.
RBS-Bereich	Ein Blattobjekt, das für ACL-Zuweisungen verwendet wird (anstattZuweisungen für jedes einzelne Benutzerobjekt vorzunehmen). RBS-Bereichsobjektestellen den Kontext im Baum dar, in dem die Funktion ausgeführt werden soll, undsind mit RBS-Funktionsobjekten verknüpft. Sie erben von der Gruppenklasse.Benutzerobjekte sind einem RBS-Bereichsobjekt zugewiesen. Diese Objekte verfügenüber einen Verweis auf den Bereich des Baums, mit dem sie verknüpft sind. Die Objekte werden bei Bedarf dynamisch erstellt und automatischwieder gelöscht, wenn sie nicht mehr benötigt werden. Sie befinden sichausschließlich in RBS-Funktionscontainern. WARNING: Die Konfiguration eines RBS-Bereichsobjekts darf nie geändertwerden. Eine Änderung hat schwerwiegende Folgen und kann sogar das Systemunbrauchbar machen.
rbs-Modul	Stellt ein Containerobjekt dar, das RBS-Aufgabenobjekte undrbsBook-Objekte enthält. RBS-Modulobjekte haben ein Modulnamenattribut, das denNamen des Produkts darstellt, das die Aufgaben oder Bücher definiert (zumBeispiel eDirectory-Wartung, NMAS^TM Management oder Novell CertificateServer^TM Access). RBS-Modulobjekte können nur in einem RBS-Sammlungscontainererstellt werden.
rbs-Kategorie	In einer Kategorie werden die für eine bestimmte Prozedurvorgesehenen Funktionen und Aufgaben zu einer Gruppe zusammengefügt. In iManagergibt es 14 Standardkategorien: Authentifizierung und Passwörter, Kollaboration,Verzeichnis, Dateimanagement, Identity Manager, Infrastruktur, Installieren undAufrüsten, Netzwerk, Nsure Audit, Druck, Sicherheit, Server, Softwarelizenzenund Netzwerk, Nutzung (Auslastung) sowie Benutzer und Gruppen. Durch die Auswahl "Alle Kategorien" werden alle verfügbarenFunktionen und Aufgaben angezeigt. Sie können auch neue Kategorien erstellen und diesen Funktionenund Aufgaben zuweisen.

RBS-Objekte befinden sich, wie in der folgenden Abbildung dargestellt, im eDirectory-Baum:

Figure 2
Role-Based Services in eDirectory

Installieren von RBS

RBS wird unter Verwendung des iManager-Konfigurationsassistenten installiert.

Wählen Sie auf der Seite "Konfigurieren" zunächst "Role Based Services" und dann "RBS-Konfiguration".
Klicken Sie im Hinweisfenster auf "iManager konfigurieren".
Folgen Sie den Anweisungen auf dem Bildschirm.