Verwaltung von Benutzerrechten und -rollen

Ab Version 4.0.7.5 bietet der opsi-configed die Userrollen-Funktion an.

Dieses Modul ist momentan eine kostenpflichtige Erweiterung. Das heißt, dass Sie eine Lizenz-Datei benötigen. Sie erhalten diese, nachdem Sie die Erweiterung gekauft haben. Zu Evaluierungszwecken stellen wir Ihnen kostenlos eine zeitlich befristete Lizenz zur Verfügung. Bitte kontaktieren Sie uns dazu per E-Mail.

In der Oberfläche zeigt die Existenz der Kategorie user in der Übersicht der Server-Hostparameter, dass diese Funktion verfügbar (aber noch nicht unbedingt aktiv) ist. Im Baum der Eigenschaften steht direkt in user primär der boolesche Eintrag:

user.{}.register

mit dem Defaultwert false.

Die weiteren Einträge an dieser Stelle des Property-Baums sind die Defaultwerte für die userspezifische Konfiguration der Server-Konsole (vgl. opsiconfiged Server-Konsole).

Aktivierung der Userrollen-Funktionalität

Zur Aktivierung ist:

  1. user.{}.register auf true zu setzen

  2. eine Lizenz-Datei einzuspielen, die das Feature userroles temporär oder dauerhaft aktiviert

Bei aktiver Funktionalität wird für den angemeldeten User ein Eintrag im Eigenschaftsbaum erzeugt. Die Defaulteinstellungen entsprechen den klassischen Vorgaben für einen Administrator, d.h. zunächst werden keine Einschränkungen auferlegt. Beispiel für User admindepot1:

user.{admindepot1}.privilege.host.all.registered_readonly	[false]
user.{admindepot1}.privilege.host.depotaccess.configured	[false]
user.{admindepot1}.privilege.host.depotaccess.depots		[]
user.{admindepot1}.privilege.host.opsiserver.write		    [true]

Die Einträge bedeuten:

  • Kein reiner Readonly-Zugriff

  • Depotrestriktionen existieren nicht bzw. werden nicht berücksichtigt

  • Die Liste der zugänglichen Depots kann leer bleiben (solange depotaccess.configured false ist, hat eine Auswahl keine Wirkung)

  • Der User darf Configserver-Einstellungen aller Art bearbeiten

Wenn der Zugriff auf ein bestimmtes Depot (z.B. depot1) beschränkt werden soll:

  • host.depotaccess.configured auf true setzen

  • host.depotaccess.depots auf ["depot1"] setzen

Nach einem vollständigen Datenreload sind nur noch die Clients und Depoteinstellungen von depot1 sichtbar.

Hinweis zu Berechtigungen

admindepot1 kann alle Restriktionen selbst aufheben, solange host.opsiserver.write auf true gesetzt ist. Für vollständige Einschränkung muss host.opsiserver.write auf false gesetzt werden.
READONLY-Zugriff

Ein Benutzer mit readonly-Zugriff kann die Oberfläche nur ansichtenbasiert nutzen. Das bedeutet: - Es können keine Änderungen an Daten oder Konfigurationen vorgenommen werden - Funktionen, die Schreibzugriff erfordern, sind nicht verfügbar - Der Benutzer kann nur Informationen einsehen, die im System sichtbar sind
Hinweis zur Einschränkung

Die gesetzten Privilegien beschränken ausschließlich die Funktionalität des opsi-configed. Bei anderen Zugriffsmethoden auf das JSON-RPC-Interface des opsi-servers werden sie derzeit nicht wirksam.

AD/Linux Benutzergruppen in opsi einbinden

Um Active Directory (AD) oder Linux Benutzergruppen in opsi zu integrieren, kann die opsi-Konfiguration opsi.roles verwendet werden. Diese Konfiguration stellt sicher, dass Benutzer beim Anmelden auf einem opsi-Server automatisch einer entsprechenden Rolle zugeordnet werden. Hierzu werden die Namen der AD- oder Linux-Benutzergruppen in der Konfiguration opsi.roles hinterlegt. Die Konfiguration opsi.roles ist eine einfache Liste von Gruppen. Diese Gruppen können sowohl AD-Gruppen als auch lokale Linux-Gruppen sein. Wenn ein Benutzer sich anmeldet und Mitglied einer dieser Gruppen ist, wird ihm automatisch die entsprechende Rolle zugewiesen.

Vorgehensweise:

  1. Erstellung der Konfiguration Zuerst wird die opsi-Konfiguration opsi.roles angelegt. Diese Konfiguration dient dazu, Rollen zu definieren, die mit AD- oder Linux-Benutzergruppen verbunden sind. Jede definierte Rolle in der Liste entspricht einer Benutzergruppe.

  2. Benutzeranmeldung Sobald sich ein Benutzer anmeldet und einer der in der opsi-Konfiguration opsi.roles definierten Rollen zugeordnet wird, erfolgt automatisch die Zuweisung dieser Rolle im opsi-System.

  3. Automatische Rollenerstellung Sollte eine der definierten Rollen in opsi noch nicht existieren, wird diese Rolle bei der ersten Anmeldung des Benutzers automatisch erstellt. Nach dem Erstellen der Rolle können die Rechte für diese Rolle eingestellt werden.

opsi.roles Konfiguration