Rechtesystem: Beispiel gesucht



  • Hallo,

    also ich habe ja fast alles so hinbekommen, aber was das Rechtesystem angeht … da herrscht bei mir blanke Verwirrung. Die Aufgabenstellung ist eigentlich "trivial": Eine (Netzwerk-)Benutzergruppe erstellen, welche alle Berechtigungen auf z.B. Switches, Layer-2/3 hat, und auch neue Objekte dieser Art erstellen kann. Am Besten wäre es auch, wenn diese Gruppe auch nur das sehen kann, um so die Übersicht zu verbessern.

    Bei mir sind z.B. in der Objektsicht keine Einträge. Ich müsste dazu und die Standortsicht gehen. Bin ich dann z.B. auf einem Switch drauf und klicke dann einen Pfad zurück, also "$HOME > CMDB > Switch", so kann ich zwar oben rechts sehen "Normal(16)", aber die Liste ist leer mit " Es sind keine Einträge (mit dem Status "Normal") vorhanden".

    Also ich muss sagen, das Rechtesystem gehört überarbeitet und gestaltet es aus meiner Sicht sehr schwer, da sinnvolle Konstrukte zu erstellen. Ich vermute mal, dass daher die meisten komplett drauf verzichten und als Admins (bzw. mit Admin Rechen) unterwegs sind.

    Kann mir da mal jemand ein Beispiel nennen, um die Aufgabe zu bewältigen?

    Viele Grüße

    Denny


  • i-doit Kenner

    Hallo Denny,

    wie sieht denn Deine Rechtesystem-Konfiguration fuer einen User der Netzwerk-Benutzergruppe aus?
    Es ist eigentlich ziemlich einfach, man muss im Modul CMDB lediglich die gewuenschten Bedingungen auswaehlen und die entsprechenden Rechte vergeben, fuer Dein Beispiel also:

    Ansehen + Bearbeiten bezieht sich auf Objekt(e) vom Typ Switch
    Ansehen + Bearbeiten bezieht sich auf Objekt(e) vom Typ Layer-2-Netz
    Ansehen + Bearbeiten bezieht sich auf Objekt(e) vom Typ Layer-3-Netz
    Ansehen bezieht sich auf Kategorie Alle

    Das sollte bereits ausreichen, um die o.g. Objekttypen und die dazugehoerigen Kategorien sehen und bearbeiten zu koennen.

    Allerdings ist mir in der Demo nicht gelungen, drei verschiedene Objekttypen angezeigt zu kriegen, mir wurde immer nur der Objekttyp Switch angezeigt, auch wenn dieser gar nicht ausgewaehlt war, sondern z.B. nur die Layer-2/3-Netz Objekttypen. Auch das Leeren des Caches hat nicht geholfen.
    Eventuell ein Fehler in der Demo, das ist nicht auszuschliessen…
    Kannst ja mal in Deiner lokalen Version ausprobieren, ob Du mehr Erfolg hast. 🙂

    Zum Rechtesystem an sich:
    Ich finde diese Variante der Rechtevergabe (inzwischen schon ueberarbeitet) deutlich besser und granularer als vorher, nutze diese Moeglichkeiten auch und bin sehr zufrieden. Allerdings gibt es auch immer wieder Fehler (wo denn nicht), die manche Einstellungen nicht ermoeglichen (siehe oben). Wenn man den Support darauf hinweist, werden diese Fehler auch behoben. 😉

    Gruss,
    jkondek



  • hi jkondek,

    pass auf: den gleichen Effekt habe ich ebenfalls festgestellt, aber ich werde deine Rechte mal 1:1 übernehmen und schauen, was passiert. Ich habe von der Gruppe mal die Rechte komplett wieder entzogen und nach dem Einloggen lande ich auf CMDB -> Anwendungen. Ich hätte eher erwartet … nichts zu sehen. Siehe Anhang.

    klick hier und klick da

    So, nach dem Setzen deiner Rechte, sehe ich nun Infrastruktur und Switch (yeahh) und unter "Andere" auch Layer2 und, aber einige Sachen scheinen noch nicht zu passen. Da muss man wohl noch etwas zusätzlich auswählen. Doch für den Anfang nicht schlecht.

    Dennoch ist das System irgendwie verwirrend, insb. wenn man sich fragt, wofür dann "Personen/Personengruppe -> <objekt>-> Rechteverwaltung" dann ist.

    Ich glaube was ich gut finden würde, wären fertige Rollen bzw. Gruppen die bereits passend vorkonfiguriert sind. Man nehme typische Rollen von einem Unternehmen und gieße diese dann in passende Rechte. Z.B. eben Den Netzwerkadmin, Arbeitsplatzadmin, Druckeradmin ... etc. pp. Darauf aufbauend kann man dann eigene Änderungen vornehmen und müsste nicht bei 0 anfangen 🙂

    cu denny

    (ps. nach Änderung von "Ansehen bezieht sich auf Kategorie Alle", auf "Ansehen + Bearbeiten bezieht sich auf Kategorie Alle", war dann auch das Rechteproblem weg. Ob das "Nebenwirkungen" hat, muss ich noch schauen 🙂 )

    Bildschirmfoto 2015-07-13 um 08.28.03.png
    Bildschirmfoto 2015-07-13 um 08.21.52.png</objekt>



  • hi,

    ich habe jetzt noch ein wenig experimentiert. Nun kann ich den gleichen Effekt wie bei meinen ersten Versuchen nachstellen: beim hinzufügen von weiteren "Objekten von Typ" <typ>, erhalte ich in der Ansicht "Objektsicht" nur den Typ "Switch", statt zusätzlich "Raum", Gebäude", "Router". etc. …

    Ich würde daher auf einen Bug tippen.

    Nachtrag:

    In der Demo tritt wie du bereits gesagt hast, der gleiche Effekt auf: ich bekomme nur einen einzigen Objekttyp angezeigt, egal wie viele ich auswähle.

    Nachtrag2:

    der Support hat geantwortet: es muss der "Systemcache" geleert werden, damit die neuen Objekte entsprechend angezeigt werden. Ab der Version 1.5.4 soll dies automatisiert passieren.

    Bildschirmfoto 2015-07-13 um 09.08.45.png</typ>


  • i-doit Kenner

    Hallo Denny,

    danke fuer Deine Muehe, scheint, als haette sie sich gelohnt. 🙂

    Noch mal zu dem Rechtesystem allgemein:
    Ich denke nicht, dass es Sinn macht, vorgefertigte Rollen anzubieten, ausser eben in dem Ausmass, wie sie bereits vorhanden sind (reader, editor, author, …).
    Es gibt keine "typischen Rollen" fuer alle Unternehmen, das ist abhaengig von der Groesse, Strukturierung und Arbeitsteilung eines Unternehmes. Daher finde ich es ziemlich praktisch, ein solch granulares Rechtesystem zu haben, auch wenn man zu Beginn vielleicht etwas mehr Zeit in die Rechtevergabe investieren muss.
    Lohnt sich auf jeden Fall 😉

    Gruss,
    jkondek



  • hi,

    ich weiß nicht. Da das Handbuch nur erklärt, was die Optionen bedeutet, aber nicht erklären wie sie genutzt werden, würde ich das als sehr sinnvolle Stütze annehmen. Es ist ja wie bei einem Windows Server: auch dort gibt es für die wichtigsten Szenarien eine Gruppe (zumindest damals, als ich noch Windows 2000 administrieren durfte 😉 ..) Da würde nichts dagegen sprechen.

    In die Gleiche Kerbe würde ich auch schlagen, wenn es zum Beispiel eine Rolle "Buchhaltung" geben würde, bei der alles ausgeblendet wird, bis auf eben für die Buchhaltung notwendigen Informationen. Da frage ich mich eh, ob das jeder Benutzer für sich konfigurieren muss, oder ob ich als Admin das global vorkauen kann. Dafür muss ich nochmal die Suche beanspruchen 🙂

    cu denny


Log in to reply
 

Looks like your connection to Community was lost, please wait while we try to reconnect.