Tilgangar i bofh

Tilgangskontrollen i bofh styrer kva kommandoar du har lov til ? k?yre, og kva endringar du har lov til ? gjere. Dersom du f?r informasjon om ein kommando fr? bofh, s? har du ¨°g lov til ? bruke den ¨C men det kan vere begrensningar p? korleis du kan bruke den.

Ei kort oppsummering av korleis tilgangar er satt opp:

• Alle vanlege brukarar kan sj? og endre p? noko av informasjonen om seg sj?lv, som er det du kan gjere i Brukerinfo og litt til.
• Leiarar/ansvarlege for enheter har tilgangar til sin enhet.
• Lokale IT-ansvarlege kan endre p? informasjonen til brukarane, grupper og anna som er tilknytta deira eining. Dette gjerast vanlegvis gjennom eigne driftsbrukarar.
• Houston/USIT kan endre p? informasjonen til dei fleste brukarar.

Tildeling av rettigheter skjer i hovudsak med grupper. Lokale IT-ansvarlege har eigne driftsbrukarar, som er medlem av spesielle driftsgrupper per enhet.

For ? f? utvida tilgangar i bofh, m? din linjeleiar sende e-post til Houston med kva tilgangar som trengs og oppgitt ?rsak.

Sj? tilgangar

Dersom du ikkje har tilgang til ? endre p? ein entitet kan du sl? opp kva grupper som har tilgang til entiteten:

• access user brukarnavn - Tilgang til brukarkonto
• access disk disken - Tilgangar til ein disk. I praksis betyr dette som oftast tilgang til alle brukarkontoane med heimeomr?det sitt p? denne disken.
• access host host - Tilgangar til ein host. I praksis betyr dette som oftast tligang til alle brukarkontoane med heimeomr?det sitt p? denne hosten.
• access group gruppe -  Tilgangar til ei gruppe. Merk at moderatortilgangar har blitt flytta. Sj? kommandoane "group info" og "group list_roles".

Desse returnerer ei liste over driftsgruppene som har tilgang til den spesifikke brukarkontoen, disken, gruppa eller maskina. Det er d? medlemma i desse gruppene som kan gjere endringar p? entiteten. D?me:

jbofh> access user olano
Operation set  TType Target               Attr    Type      Name
Lita1          host  arkimedes            s.*     group     studit
Studit         host  arkimedes            s.*     group     studit
Termvakter     host  arkimedes            s.*     group     hf-brukeradm
Termvakter     host  arkimedes            s.*     group     hf-imv-drift
Termvakter     host  arkimedes            s.*     group     imk-drift
Termvakter     host  arkimedes            s.*     group     jus-drift-supervakt
Termvakter     host  arkimedes            s.*     group     mntv
Termvakter     host  arkimedes            s.*     group     studit-forstelinje-fak
Termvakter     host  arkimedes            s.*     group     svit-supervakt
Termvakter     host  arkimedes            s.*     group     uv-drift-supervakt 

I d?met over har ulike grupper tilgang til brukarkontoen olano, bl.a. hf-brukeradm, mntv og uv-drift-supervakt, som er lokal IT-ansvarlig-grupper. For ? sj? kva desse gruppene kan gjere p? oppgitt brukarkonto m? du sj? p? handlingssetta som st?r under Operation set. Bruk kommandoen access show_opset for ? liste ut handlingane til handlingssettet. D?me:

jbofh> access show_opset Lita1
Operation        Attribute        Description
disk_quota_show                   View disk quota information
email_info_det                    View detailed information about e-mail account
qua_add                           Set quarantine on entity
qua_disable                       Temporarily disable quarantine on entity
qua_remove                        Remove quarantine on entity
set_password                      Set password

I dette tilfellet har dei med Lita1-tilgang til brukarkontoen mulighet til ? blant anna f? ut meir detaljert informasjon om diskkvota og e-postkontoen til brukarkontoen, kunne sette og fjerne karantener, og sette nytt passord.

For ? sj? alle Operation set kan du bruke kommandoen access list_opset.

Tildele tilgangar

Alle skal i utgangspunktet ha s? f? rettigheter som mogeleg i bofh - du skal berre ha tilgang til det som er n?dvendig for ? f? gjort p?krevd arbeid og f? gjort dette effektivt, men minst mogeleg anna.

For ? gje nokon tilgang til ? utf?re operasjonar bruker du bofh-kommandoen access grant. D?me:

jbofh> access grant Group-owner teo-drift group teo
OK, granted teo-drift access Group-owner to group teo

Gruppa teo-drift har no moderator-tilgang til gruppa teo, og alle medlem av gruppa teo-drfit kan no fritt melde folk inn og ut av gruppa teo.

Du kan ogs? knytte rettigheter mot anna enn grupper, til d?mes kva disk brukarkontoar ligg p?. D?me:

jbofh> access grant Lita2 teo-drift disk /uio/teo-u1
OK, granted teo-drift access Lita2 to disk /uio/teo-u1

Denne kommandoen gir alle i gruppa teo-drift tilgang til ? utf?re alle operasjonar i OpSet Lita2 (du ser kva med access show_opset) mot alle brukarkontoar som har heimeomr?det sitt p? disken /uio/teo-u1.

Merk: Brukarkontoar som f?r tildelt nye rettigheter m? logge av og p? bofh att dersom dei ikkje har hatt samme type rettighet f?r. Dette kjem av at kva kommandoar du f?r sett i bofh berre sjekkast ved p?logging - tilgangskontroll k?yrast for kvar kommando.

For ? sj? kva OpSet som kan tildelast, k?yr acces list_opsets. Du ser ikkje n?dvendigvis kva du sj?lv har tilgang til ? sette av OpSets. D? m? du sj? p? kva grupper du er medlem av har tilgang til.

Det er berre enkeltgrupper som har tilgang til ? tildele rettigheter, og det er ogs? begrensa kva du f?r lov til ? tildele, og kva som er mogeleg ? tildele.

Vil du fjerne ein rettighet, gjer du det med kommandoen access revoke. Kommandoen bruker samme parametera som access grant.

jbofh> access revoke Group-owner teo-drift group teo
OK, revoked Group-owner access for teo-drift from group teo

Gruppetilgangar

Tilgangar til grupper har eit eige opplegg. Sj? meir detaljar under Administrasjon av manuelle grupper: Administratorer og moderatorer.

Du f?r oversikt over kven som har admin- og moderatortilgang til ei gruppe med kommandoen group info. Du kan liste ut kva ein entitet har av admin- og moderatortilgangar for grupper, b?de direkte og via andre grupper, med kommandoen "group list_roles".