役割ベースサービス
iManagerを使用すると、ユーザに特定の責任を割り当て、その一連の責任を遂行するために必要なツールを、付随する権利と共にユーザに提供できます。この機能は、RBS (役割ベースサービス)と呼ばれます。
役割ベースサービスは、eDirectoryスキーマの拡張セットです。RBSは、オブジェクトクラスおよび属性を定義します。オブジェクトクラスおよび属性は、管理者が組織内のユーザの役割に基づいて管理タスクへのアクセス権をユーザに与えるためのメカニズムを提供します。これにより、ユーザが実行する必要のあるタスクにのみアクセスできるようにします。RBSは、割り当てられたタスクを実行するのに必要な権利のみを付与します。
NOTE: Novell iManagerの役割ベースサービス(RBS)アクセス制御では、Novell eDirectoryTMのアクセス制御リスト(ACL)機能に基づいて権利を付与します。 これらのACLを使用すると、トラスティは特定のオブジェクトまたはそのサブオーディネートオブジェクトに権利を付与できます。 ACLは、特定のオブジェクトタイプに基づいて付与されるわけではありません。 各Novell iManagerタスクで、適用可能なオブジェクトタイプと必要なACLが定義されます。 ただし、これらのACLによって、ユーザはeDirectory APIまたはNovell ConsoleOneやNWAdminなどのツールを使用して、他のオブジェクトタイプへの操作を実行できます。
RBSを使用して、組織内の特定の役割を作成します。役割には、割り当てられたユーザがiManager内で実行できるタスク(新しいユーザの作成やパスワードの変更など)が含まれます。タスクは役割に事前に割り当てられています。ただし、タスクの置き換え、再割り当て、削除を行うことは可能です。
さらに、ユーザは特定のスコープ内の役割に関連付けられます。スコープは、そのユーザがタスクを実行するために必要な権利を持つ、ツリー内のコンテナです。役割では、役割、メンバー、スコープという3つの部分の関連付けが行われる必要があります。
RBS役割オブジェクトは、ユーザとタスクの間の関連付けを作成します。管理者は、ユーザをタスクの割り当てられている役割のメンバにすることにより、そのユーザにタスクへのアクセス権を付与します。
ユーザを役割に割り当てる方法には、次のようなものがあります。
- ユーザとして直接割り当てる
- グループおよびダイナミックグループの割り当てを使用する
ある役割に割り当てられているグループまたはダイナミックグループのメンバーであるユーザは、その役割にアクセスできます。
- 職種の割り当てを使用する
ある役割が割り当てられている職種に属するユーザは、その役割にアクセスできます。
- コンテナの割り当てを使用する
ユーザオブジェクトは、親コンテナに割り当てられているすべての役割にアクセスできます。これには、ツリーのルートまでの他のコンテナも含まれます。
1人のユーザに対し、1つの役割を1回ごとに別のスコープで複数回関連付けることができます
eDirectory内のRBSオブジェクト
次の表は、RBSオブジェクトの一覧です。iManagerでは、RBSのインストール時にこれらのオブジェクトを含めるために、eDirectoryスキーマを拡張します。詳細については、RBSのインストールを参照してください。
 rbsCollection
|
すべてのRBS役割オブジェクトとモジュールオブジェクトを格納するコンテナオブジェクトです。 rbsCollectionオブジェクトは、すべてのRBSオブジェクトの最上位コンテナです。1つのツリーに、任意の数のrbsCollectionオブジェクトを格納できます。これらのオブジェクトの所有者は、コレクションを管理する権利を持つユーザです。 rbsCollectionオブジェクトは、次のいずれかのコンテナに作成できます。 |
 rbsRole
|
役割の定義作業は、rbsRoleオブジェクトの作成と作成した役割で実行できるタスクの指定から構成されます。 rbsRolesは、rbsCollectionコンテナ内にのみ作成できるコンテナオブジェクトです。 役割のメンバーになることができるのは、ユーザ、グループ、組織、職種、部門です。役割のメンバーは、ツリー内の特定のスコープで役割に関連付けられます。rbsTaskオブジェクトとrbsBookオブジェクトは、rbsRoleオブジェクトに割り当てられます。 |
 rbsTask
|
ログインパスワードのリセットなど、特定の機能を保持するリーフオブジェクト。 rbsTaskオブジェクトは、rbsModuleコンテナ内にのみ配置されます。 |
 rbsBook
(akaプロパティブック)
|
ブックは、一連のページを表示するリーフオブジェクトです。ユーザは、このページを使用することで、オブジェクトのプロパティまたは同じタイプのオブジェクトのセットを表示したり変更したりできます。ブックの各ページにはタブがあり、このタブをクリックすることで別のページを表示することができます。 ブックオブジェクトは、rbsModuleコンテナ内にのみ格納され、1つ以上の役割または1つ以上のオブジェクトクラスタイプに割り当てられます。 |
 rbsScope
|
各ユーザオブジェクトについて割り当てを行う代わりにACL割り当てを行う場合に使用するリーフオブジェクト。rbsScopeオブジェクトは、役割が実行されるツリー内のコンテキストを表し、rbsRoleオブジェクトに関連付けられます。これらは、グループクラスから派生します。ユーザオブジェクトは、rbsScopeオブジェクトに割り当てられます。これらのオブジェクトは、関連付けられているツリーのスコープを参照できます。 オブジェクトは必要に応じて動的に作成され、不要になれば自動的に削除されます。これらのオブジェクトは、rbsRoleeコンテナ内にのみ配置されます。 WARNING: rbsScopeオブジェクトの設定は変更しないでください。変更すると、重大な結果が生じ、システムが中断する可能性があります。 |
 rbsモジュール
|
rbsTaskオブジェクトとrbsBookオブジェクトを保持するコンテナオブジェクトを表します。rbsModuleオブジェクトには、タスクまたはブックを定義する製品名を表すモジュール名属性があります(たとえば、eDirectory Maintenance Utilities、NMAS Management、Novell Certificate Server Accessなど)。 rbsModuleオブジェクトは、rbsCollectionコンテナ内にのみ作成できます。 |
 rbsカテゴリ
|
カテゴリは、特定の機能に固有の役割とタスクをグループ化します。iManagerには、次の14個のデフォルトカテゴリがあります。認証パスワード、コラボレーション、ディレクトリ、ファイル管理、Identity Manager、インフラストラクチャ、インストールとアップグレード、ネットワーク、Nsure Audit、印刷、セキュリティ、サーバ、ソフトウェアライセンスとネットワークの使用法、使用状況、ユーザとグループ。 [すべてのカテゴリ]の選択内容には、使用できるすべての役割とタスクが表示されます。 新しいカテゴリを作成し、これらに役割とタスクを割り当てることができます。 |
RBSオブジェクトは、eDirectoryツリー内で次の図のように配置されます。
Figure 2 eDirectory内の役割ベースサービス
RBSのインストール
RBSは、iManager設定ウィザードを使用してインストールされます。
-
[設定]で、[役割ベースサービス]>[RBSの設定]の順に選択します。
-
[注意]内で[iManagerの設定]をクリックします。
-
画面に表示される手順に従います。