Systém oprávnení v GLPI mätie väčšinu nových administrátorov. Profily, entity, rekurzívne práva, dynamické priradenie -- tieto koncepty interagujú neintuítívnym spôsobom. Tento návod vysvetľuje, ako model funguje, a prevedie vás konfiguráciou reálneho používateľa krok za krokom.
Dva rozmery: profily a entity
Každé oprávnenie v GLPI je definované dvoma osami:
- Profily definujú, ČO používateľ môže robiť -- prezerať tikety, upravovať aktíva, spravovať používateľov, pristupovať k administračným panelom, schvaľovať zmeny. GLPI sa dodáva s predvolenými profilmi (Super-Admin, Admin, Technik, Pozorovateľ, Self-Service), ktoré je možné prispôsobiť alebo rozšíriť
- Entity definujú, KDE to používateľ môže robiť -- na ktorú organizačnú jednotku, lokalitu alebo obchodnú divíziu sa oprávnenia vzťahujú. Entity sú hierarchické: "Spoločnosť" na vrchu, s dcérskymi entitami ako "Bratislava," "Praha," "Remote"
Používateľ s profilom "Technik" priradeným v entite "Bratislava" môže prezerať a upravovať tikety v Bratislave. Neuvidí tikety v Prahe, pokiaľ tam nedostane explicitný prístup.
Rekurzívne práva
Pri priraďovaní profilu používateľovi v entite existuje zaškrtávacie políčko: "Dcérske entity." Ak je zaškrtnuté, oprávnenia sa kaskádovo šíria nadol stromom entít. Technik priradený do "Spoločnosť" s rekurzívnymi právami môže pracovať v každej dcérskej entite. Technik priradený do "Bratislava" bez rekurzívnych práv vidí len dáta na úrovni Bratislavy.
Toto je dôležité pre nasadenia s viacerými pobočkami alebo divíziami. IT riaditeľ môže dostať profil Admin v koreňovej entite (rekurzívne), zatiaľ čo regionálni technici dostanú profil Technik len vo svojej lokálnej entite.
Ako profily fungujú interne
Každý profil je matica oprávnení naprieč modulmi GLPI. Pre každý typ objektu (tikety, počítače, softvér, používatelia atď.) nastavíte jednu z týchto úrovní oprávnení:
- Žiadny prístup -- modul je pre tento profil neviditeľný
- Čítanie -- len zobrazenie
- Aktualizácia -- môže upravovať existujúce položky
- Vytváranie -- môže pridávať nové položky
- Zmazanie -- môže odstraňovať položky
- Trvalé zmazanie -- môže natrvalo odstrániť (obídenie koša)
Oprávnenia môžu byť aj ohraničené: "len vlastné tikety," "tikety skupiny" alebo "všetky tikety." Self-service používateľ vidí len svoje tikety. Technik vidí tikety priradené jeho skupine. Admin vidí všetko.
Krok za krokom: nastavenie nového používateľa
Scenár: nový sieťový technik nastupuje do bratislavskej kancelárie a potrebuje prístup k tiketom a sieťovým zariadeniam, ale nie k serverom ani správe softvéru.
- Vytvorte (alebo importujte cez LDAP) používateľský účet v Správa > Používatelia
- Naklonujte predvolený profil Technik a pomenujte ho "Sieťový technik"
- V novom profile odstráňte oprávnenia pre Počítače a Softvér. Zachovajte plný prístup k Sieťovým zariadeniam, Tiketom a Znalostnej báze
- Prejdite na záznam používateľa, otvorte záložku "Autorizácie"
- Pridajte: Profil = "Sieťový technik," Entita = "Bratislava," Rekurzívne = Nie
- Uložte. Používateľ sa teraz môže prihlásiť a vidí len sieťové zariadenia a tikety v Bratislave
Dynamické vs. statické priradenie
GLPI podporuje dva spôsoby priradenia profilov:
- Statické -- manuálne pridané per používateľ, ako je popísané vyššie
- Dynamické -- priradené automaticky cez pravidlá. LDAP atribúty, skupiny používateľov alebo e-mailové domény môžu spustiť automatické priradenie profilu a entity. Toto je preferovaný prístup pre organizácie s Active Directory alebo inými adresárovými službami, pretože noví používatelia dostanú správny prístup bez manuálneho zásahu
Časté chyby
Tri chyby sa opakovane objavujú: danie Super-Admin všetkým "pretože je to jednoduchšie" (toto marí účel oprávnení a vytvára auditné problémy), zabudnutie na rekurzívne práva a následné čudovanie sa, prečo sú dáta dcérskych entít neviditeľné, a vytváranie príliš veľa vlastných profilov, keď by oddelenie na úrovni entít dosiahlo rovnaký výsledok. Začnite s predvolenými profilmi, upravte oprávnenia podľa potreby a nové profily vytvárajte len vtedy, keď sa vzorec prístupu skutočne líši.