Verwaltung von Benutzerrechten und -rollen

Ab Version 4.0.7.5 bietet der opsi-configed die Userrollen-Funktion an.

Dieses Modul ist momentan eine kostenpflichtige Erweiterung. Das heißt, dass Sie eine Lizenz-Datei benötigen. Sie erhalten diese, nachdem Sie die Erweiterung gekauft haben. Zu Evaluierungszwecken stellen wir Ihnen kostenlos eine zeitlich befristete Lizenz zur Verfügung. Bitte kontaktieren Sie uns dazu per E-Mail.

In der Oberfläche zeigt die Existenz der Kategorie user in der Übersicht der Server-Hostparameter, dass diese Funktion verfügbar (aber noch nicht unbedingt aktiv) ist. Im Baum der Eigenschaften steht direkt in user primär der boolesche Eintrag

user.{}.register

mit dem Defaultwert false.

Die anderen Einträge, die an dieser Stelle des Property-Baums stehen, sind die Defaultwerte für die auch userspezifisch mögliche Konfiguration der Server-Konsole (vgl. opsiconfiged Server-Konsole):

Zur Aktivierung der Userrollen-Funktionalität ist

  1. der Wert von user.{}.register auf true zu setzen;

  2. eine Lizenz-Datei einzuspielen, die das Feature userroles temporär oder dauerhaft aktiviert hat.

Bei aktiver Userrollen-Funktionalität wird für den angemeldeten User ein Eintrag im Eigenschaftsbaum erzeugt. Die dabei für die Rechteverwaltung verwendeten Defaulteinstellungen entsprechend den "klassischen" Vorgaben für einen Adminitrator, d.h. zunächst werden dem User keine Einschränkungen auferlegt. Z.B. für einen User admindepot1 werden die Einträge

user.{admindepot1}.privilege.host.all.registered_readonly	[false]
user.{admindepot1}.privilege.host.depotaccess.configured	[false]
user.{admindepot1}.privilege.host.depotaccess.depots		[]
user.{admindepot1}.privilege.host.opsiserver.write		[true]

generiert.

Die vier Einträge bedeuten:

  • admindepot1 hat nicht lediglich readonly-Zugriff auf den Server (ein reiner readonly-Zugriff wäre möglicherweise für einen Mitarbeiter aus dem Helpdesk-Bereich angemessen);

  • Depotrestriktionen existieren nicht bzw. werden nicht berücksichtigt;

  • entsprechend kann die Liste der für den User zugänglichen Depots leer bleiben (aber auch wenn hier eine Auswahl aus den verfügbaren eingetragen ist, hat dies, solange depotaccess.configured false, keine Wirkung);

  • der User darf configserver-Einstellungen aller Art bearbeiten.

Soll künftig admindepot1 nur noch Zugriff auf die Rechner im Depotserver depot1 haben, ist folgendes einzustellen:

  • host.depotaccess.configured ist auf true zu setzen;

  • in die Liste host.depotaccess.depots ist der Wert "depot1" einzutragen.

Nach einem (vollständigen) Datenreload sind für den User admindepot1 keine Clients aus anderen Depots mehr sichtbar (und auch nur noch Depoteinstellungen für depot1 zugänglich).

admindepot1 kann alle Restriktionen selbst aufheben, solange er über das Privileg host.opsiserver.write verfügt.

Um die Abriegelung komplett zu machen, ist daher für admindepot1 noch

  • host.opsiserver.write auf false zu stellen.

Die auf diese Weise gesetzten Privilegien beschränken ausschließlich die Funktionalität des opsi-configed. Bei anderen Zugriffsmethoden auf das JSON-RPC-Interface des opsi-servers werden sie derzeit nicht wirksam.

AD/Linux Benutzergruppen in opsi einbinden

Um Active Directory (AD) oder Linux Benutzergruppen in opsi zu integrieren, kann die opsi-Konfiguration opsi.roles verwendet werden. Diese Konfiguration stellt sicher, dass Benutzer beim Anmelden auf einem opsi-Server automatisch einer entsprechenden Rolle zugeordnet werden. Hierzu werden die Namen der AD- oder Linux-Benutzergruppen in der Konfiguration opsi.roles hinterlegt. Die Konfiguration opsi.roles ist eine einfache Liste von Gruppen. Diese Gruppen können sowohl AD-Gruppen als auch lokale Linux-Gruppen sein. Wenn ein Benutzer sich anmeldet und Mitglied einer dieser Gruppen ist, wird ihm automatisch die entsprechende Rolle zugewiesen.

Vorgehensweise:

  1. Erstellung der Konfiguration Zuerst wird die opsi-Konfiguration opsi.roles angelegt. Diese Konfiguration dient dazu, Rollen zu definieren, die mit AD- oder Linux-Benutzergruppen verbunden sind. Jede definierte Rolle in der Liste entspricht einer Benutzergruppe.

  2. Benutzeranmeldung Sobald sich ein Benutzer anmeldet und einer der in der opsi-Konfiguration opsi.roles definierten Rollen zugeordnet wird, erfolgt automatisch die Zuweisung dieser Rolle im opsi-System.

  3. Automatische Rollenerstellung Sollte eine der definierten Rollen in opsi noch nicht existieren, wird diese Rolle bei der ersten Anmeldung des Benutzers automatisch erstellt. Nach dem Erstellen der Rolle können die Rechte für diese Rolle eingestellt werden.

opsi.roles Konfiguration