forum.opsi.org

In unserer OPSI-Schulung kam als Anregung für künftige Features auch ein erweitertes Rollen-/Berechtigungskonzept zur Sprache. Darauf hieß es, das soetwas bereits als neues Feature angedacht/geplant sei, jedoch dazu keinerlei Zeitangaben gemacht werden könnten.

Gibt es hierzu neue Info's?

Aktueller Hintergrund:
Ein Kunde von uns möchte einen OPSI-Server betreiben, dieser soll durch uns aufgesetzt, und vermutlich auch weitergehend administriert werden.
Um den Aufwand zu minimieren würden wir beim Kunden ein Depot aufstellen und dieses in unsere Struktur einbinden, und den IT-Verantwortlichen entsprechende Kennungen zur Verfügung stellen, mit denen nur ihr lokales Depot administriert werden kann.

Ist abschätzbar wieviel Aufwand/Zeit nötig wäre um solch ein Konzept gegen bare Münze zu implementieren?

Ein Rollen-/Berechtigungskonzept ist sicherlich sehr wünschenswert und wird immer wieder nachgefragt. Wir haben auch schon vor etlichen Jahren ein Realisierungskonzept entwickelt, das insbesondere aus Mangel an durch finanzielle Beiträge manifestiertem Interesse in der Datei-Schublade abgelagert worden ist. Das eigentliche Problem liegt darin, dass ein System von Berechtigungen und Rollen sehr tief im System greift und potentiell sehr verschiedene Funktionen haben kann. Datenbanksysteme bieten z.B. ein sehr ausgearbeitetes System von Berechtigungen an. Die in dieser Schicht verfügbaren Optionen müssen gezielt eingegrenzt und dann auch zur Verfügung gestellt werden. Insofern steht ein generisches System für die Rechte- und Rollendefinition zwar auf der Vorhabenliste, die Umsetzung wird aber auf sich warten lassen. Anders kann es aussehen, wenn man die Anforderungen von vorneherein auf ein nicht so allgemeines und daher umsetzbares Maß einschränken kann. Da haben wir auch schon angepasste Lösungsmodelle vorgeschlagen und z.T. umgesetzt. Z.B. ist die Frage, wie weit die Beschränkung von Aktionsmöglichkeiten im configed reichen würde und das System nicht unbedingt gegen Zugriffe über ein SSH-Login oder über einen direkten HTTPS-Zugriff abgesichert sein muss.

Kurz: Bitte nehmen Sie doch zwecks Erörterung Ihrer konkreten Anforderung direkt Kontakt mit info@uib.de auf.

Grüße
R. Röder

Hi,

Wir benötigen z.Zt. nur eine Lösung im ConfigEd, mit dem der Zugriff für einzelne Kennungen auf einen bestimmten Depotserver, und weitergehend speziell auf die Verteilung von localboot-/netboot-Produkten eingeschränkt werden kann.
Vielleicht wäre genau dies ja auch für weitere Nutzer interessant, ich werde die Frage aber auch nochmal an info@uib.de schicken.

Vielen Dank!