Как скопировать права из RBS в группу?

[Larico]

Есть некая мысль. Мысль в следующем: создать группу с некими правами в дереве (на объекты дерева и файловую систему).
В RBS (Role Based Service) есть уже подходящая роль: Help Desk Management.
Этой роли назначены следующие задачи:
.CreateUser.base.Role Based Service
.ClearIntruderLockout.base.Role Based Service
.SetPassword.base.Role Based Service

Вопрос в том как эти задачи перенести в дерево. Т.е. как назначить группе (пользователю) такие права, которые нужны для выполнения данных операций?

Суть еще и в том, что права должны работать не только (и не столько) в iManager, сколько в обычных nwadmin, C1.

Надеюсь я понятно написал. Жду ваших мнений.

[Владимир Занадворов]

support.novell.com: Minimum Selected Property rights

а именно:
intruder lockout
http://support.novell.com/cgi-bin/searc ... 023532.htm

password reset
http://support.novell.com/cgi-bin/searc ... 057051.htm

grace logins
http://support.novell.com/cgi-bin/searc ... 063213.htm

[Андрей Тр. aka RH]

У вас в дереве должен быть контейнер с объектами RBS - по умолчанию в Организации с именем "Организация RBS". В нем должна быть куча объектов класса rbsRole2, в т.ч. интересующий вас объект Help Desk Management. Ему и выданы соответствующие права на Организацию - см. Assigned Rights. Как я понимаю, при желании можно сделать некую группу секьюрити эквивалентной данному объекту.

[Larico]

Владимир Занадворов - спасибо за ссылки буду изучать.

Андрей Тр. aka RH - объекты класса rbsRole2 я видел. Но ни группу, ни организационную роль сделать эквивалентом чего-либо нельзя - нет такой возможности. Нужно именно раздать права заново.

[Андрей Тр. aka RH]

Larico

Логично Но, насколько я знаю, в NDS нет какого-то стандартного способа переноса прав от трасти к трасти. Поэтому на ум приходит только какая-нибудь утилита - копируешь права с источника, потом импортируешь их, применяя к нужному объекту. Ей Богу, проще вручную раздать.

[nik larin]

Есть некая мысль. Мысль в следующем: создать группу с некими правами в дереве (на объекты дерева и файловую систему).
В RBS (Role Based Service) есть уже подходящая роль: Help Desk Management.
Этой роли назначены следующие задачи:
.CreateUser.base.Role Based Service
.ClearIntruderLockout.base.Role Based Service
.SetPassword.base.Role Based Service

Вопрос в том как эти задачи перенести в дерево. Т.е. как назначить группе (пользователю) такие права, которые нужны для выполнения данных операций?

Суть еще и в том, что права должны работать не только (и не столько) в iManager, сколько в обычных nwadmin, C1.

Надеюсь я понятно написал. Жду ваших мнений.

не совсем понятно зачем: есть пользователь, ему надо выполнять задачи по администрированию пользователей (напр как перечислено выше: создание новых пользователей, снятие блокировок пользователей, установка паролей); администратор в iManager добавляет этому пользователю указанную выше роль (или создает новую), определяет область действия (в каком контейнере/контейнерах пользователь должен мочь выполнять задачи этой роли) и всё. далее пользователь может пользоваться iManager'ом (который для него можно настроить таким образом, чтобы отображались только те задачи, на которые ему даны права); если у пользователя стойкая неприязнь к веб-интерфейсам (чем еще можно объяснить нежелание ползоваться iManager'ом?), то он может выполнять те же задачи в C1 или NWAdmin (в том объеме, в котором
эти утилиты поддерживают выполнение назначенных ему задач). как раз для упрощения распределения административных функций RBS и создавался, чтобы не возиться с правами на свойства и проч. (к слову, его и на русский-то перевели как "сервис административных функций" как раз из-за смысла этого компонента )

или я что-то важное упускаю?

пример. организация, в организации несколько отделов, в дереве eDir объект Организация (O), в нем несколько Подразделений (OU), каждый отдел хочет иметь своего администратора, который будет выполнять текущие задачи с пользователями/группами в своем OU (типа описанных выше, только побольше). создаем один раз новую Роль, например "Администратор отдела" (или используем стандартную, если набор задач удовлетворяет), затем назначаем эту роль пользователям-администраторам контейнеров; последние могут находится где угодно в дереве. областью действия роли определяем контейнер их отдела (для каждого свой). каким-то образом отправляем им URL iManager'а (объясняем как пользоваться другими утилитами/проводим обучение "как администрировать"). [по-моему пересказал еще раз то же самое ]

да, забыл сказать. если так нужно использовать группу, то роль может быть быть ассоциирована и с группами, и с контейнерами. (подробнее см. документацию)

[Damm]

Лучше всего - проверить какие права на контейнер получает объект RBS scope. Сейчас попробовал для HelpDesk role, получил следующее:

Locked By Intruder - S, Inheritable
Login Intruder Attempts - S, Inheritable
Password Management - S, Inheritable
SAS: Login Information - W, Inheritable
SAS: Login Configuration Key - W, Inheritable

выглядит логично

[Larico]

Для начала отвечу nik larin-у:
1. Про iManager я все знаю. Спасибо конечно за дополнительные разъяснения. Но задача стоит несколько другая: создать роль (organisational role) и дать ей права выполнять некоторые действия.
Некоторые из этих действий совпадают с функциями/задачами из РБС.
А затем некоторые пользователи будут включаться/отключаться от роли.
2. Вариант назначить роль на выполнение задачи в iManager-е и связать пользователя с ролью не прокатил. Почему пока не понятно.
3. iManager на данный момент позволяет выполнять не все задачи администрирования! и это важно!

Теперь отвечу Damm-у:
Вы абсолютно правы. Но для HelpDesk role это список из 5 пунктов, а для Group Management role это 61 пункт. Можно конечно перенести все скурпулезно, но как-то гиморно. Вот я и ищу путь попроще.

[Андрей Тр. aka RH]

Larico

А мне ответить ? Еще раз - найти утилиту, типа trustee.nlm или trustbar, только для прав в дереве, а не для файловой системы ( сходу ни одного названия не вспоминается ). Ей "снять" права нужной rbsRole и применить к вашей группе, OU, OR или еще чему. Другого варианта я серьезно не вижу.

есть уже подходящая роль: Help Desk Management.
..
Но для HelpDesk role это список из 5 пунктов, а для Group Management role это 61 пункт.

А вопрос надо формулировать тщательнее ..

[Larico]

А мне ответить ? Еще раз - найти утилиту, типа trustee.nlm или trustbar, только для прав в дереве...

Спасибо за правильную формулировкумоего вопроса (я без иронии). Вот заэтим я и пришел. Мне бы утилитку копирующую права в дереве.
Как их скопировать штатными средствами я не знаю. Утилитку тоже не нашел пока, так что буду признателен за подсказки.

[Сергей Дубров]

А мне ответить ? Еще раз - найти утилиту, типа trustee.nlm или trustbar, только для прав в дереве...

Спасибо за правильную формулировкумоего вопроса (я без иронии). Вот заэтим я и пришел. Мне бы утилитку копирующую права в дереве.
Как их скопировать штатными средствами я не знаю. Утилитку тоже не нашел пока, так что буду признателен за подсказки.

Код: Выделить всё

Setacl-W32 v1.92: Sets, deletes and views entry and attribute ACLs.

Copyright (c) 1995-2004, JRB Software Ltd. All rights reserved.
Send bug reports or other feedback to support@jrbsoftware.com.

Usage: setacl <entity> [attribute] [trustee] [rights] [options]

entity    May be any of the following:

          1. An NDS object. If <entity> is a group, ACLs are managed for
             each member of the group unless /g is used. The object may
             include wild cards e.g. 'smith*'.
          2. The name of a file containing a list of objects. The file
             name must be preceded by '@', or /f must be used (see
             options).

attribute The attribute for which the ACL is to be added/deleted/viewed. If
          the name contains spaces, it must be enclosed in double quotes,
          or the spaces replaced with underscores. Names may be abbreviated
          to as few letters as required to uniquely identify them. When
          setting/deleting ACLs for the object itself, use the identifier
          [Entry Rights] or omit this field and use /n. Use [Inheritance
           Mask] to set an inherited rights filter. A value of '*' may
           be used with /v when you want to specify a trustee.

trustee   The object to which the rights apply. In addition to an object
           name, pseudo objects "[Self]" and "[This]" may be used.

rights    The rights associated with the ACL. For Object rights use:
             B  browse
             C  create
             D  delete
             R  rename
             S  supervisor
             I  Inheritance under NW 5 (see below)
             N  no rights
           For attribute rights use:
             A  add self
             C  compare
             R  read
             W  write
             S  supervisor
             I  Inheritance under NW 5 (see below)
             N  no rights
           For SMS rights use:
             A  admin
             B  backup
             D  delete
             R  rename
             S  scan
             T  restore
             N  no rights


Похоже на то, что надо?

[Музалёв Николай]

В порядке Гы-гы...

...JRB Software Ltd. ..... то, что надо?

Соратники!
А может нам коллегу Сергея отлупить, а? Ну, как в детстве, ... с формулировкой "А чё он дразницца?".

И серьезно.
Сергей, вы с Бредом вроде на коротке. Не предложите ли ему пару идей?
Во-первых, а не согласиться ли супостат торговать в розницу? Нам штук полста утилит просто никогда не пригодятся (ну, например, по поводу очередей и вообще печати...), а платить пришлось за всё.
Во-вторых, раз он всё равно торгует с каждым клиентом персонально, то не найдет ли он возможность зашивать в код идентификатор покупателя? (Например так, как это можно сделать в NLM-ке при редактировании.)
Спасибо.

[Сергей Дубров]

Во-первых, а не согласиться ли супостат торговать в розницу? Нам штук полста утилит просто никогда не пригодятся (ну, например, по поводу очередей и вообще печати...), а платить пришлось за всё.

Его периодически этим вопросом достают. Он также периодически отвечает, что не намерян продавать утилиты россыпью, возни, говорит, много, а заниматься у него этим реально некому - вся фирма, насколько я в курсе - он да жена . Кстати, интересно, обитает он в том же городе, где находится штаб-квартира AlliedTelesyn.

Во-вторых, раз он всё равно торгует с каждым клиентом персонально, то не найдет ли он возможность зашивать в код идентификатор покупателя? (Например так, как это можно сделать в NLM-ке при редактировании.)
Спасибо.

Ну, торгует-то он как бы индививидуально, но высылает каждому покупателю совершенно один и тот же сидюк, без персонализации. Мы, из-за особенностей ведения бизнеса в России, так вообще покупаем у него нечто под названием услуги, а реально файлы качаем из общего ftp-хранилища, на которое он даёт пароль сроком действия в один год (от декабря до декабря). Я думаю, причина невозможности персонализации будет той же - нехватка сил. А серьёзную защиту в свои продукты он встраивать не собирался и не собирается (они у него вообще без защиты, если честно, только иногда он выпускал time bombed ограниченные версии, для тестирования).