Berechtigungen

Einleitung

OpenCms bietet Ihnen die Möglichkeit über ein Berechtigungssystem die Zugriffe innerhalb der Workplace (also die Offline-Version) als auch außerhalb (Online-Version) einzuschränken. Auf dieser Seite werden drei typische Szenarien beschrieben:

  1. einmal die Beschränkung der Rechte für das Bearbeiten von Ressourcen in der Workplace
  2. eine Zugriffsbeschränkung im Internet im Sinne eines Intranets (nur Abteilungsszugriff) und
  3. eine Zugriffsbeschränkung im Internet für externe Gruppen (z.B. Studierende)

Wichtig ist dabei das Wissen über zwei Standardgruppen, namentlich Users und Guests. Die Gruppe Users gilt als Basisgruppe, die Rechte für den Zugriff auf die Workplace und deren Funktionen (z.B. die Editoren) besitzt. Alle anderen Gruppen sind davon abgeleitet. Die Gruppe Guests besitzt ausschließlich Leserechte für alle Ressourcen und ist am Wurzelordner definiert und vererbt ein Leserecht an alle Ressourcen. Damit ist sichergestellt, dass alle Inhalte (zuallererst) öffentlich sind.

Berechtigungen setzen:
Im Kontextmenü finden Sie den Punkt Berechtigung. Mit diesem können Sie sich gesetzte Berechtigungen zu einer Ressource anzeigen lassen oder diese ändern. Berechtigungen sind -ähnlich wie bei Dateisystemen- die Zuordnung von Benutzern oder Gruppen und deren Rechten. Diese sind:

  • Lesen (+read)
  • Auflisten (+view)
  • Schreiben (+write)
  • Direkt veröffentlichen (+direct publish)
  • Berechtigungen ändern (+control).

 

Auflisten ist dabei in die Eigenschaft für die Sichtbarkeit von Ressourcen innerhalb der Workplace.

Für die erweiterte Nutzung von Berechtigungen mit dem Anlegen eigener Gruppen benötigen Sie eine eigene Organsiationseinheit.

↑ Inhaltsverzeichnis



Standard-Berechtigungen für Ihre Site

Wir entziehen der allgemeinen Gruppe Users die Rechte für Ihre Site. Stattdessen erhält Ihre eigene (organisationsspezifische) Gruppe alle Rechte. Diese lautet vollständig OU/Users, wobei OU die intere Bezeichnung Ihrer Organisationseinheit, z.B. fak5_int ist.

Standardmäßig ist diese Benutzergruppe mit allen Rechten (+r+w+v+c+d) ab Ihrem Startordner versehen.

↑ Inhaltsverzeichnis



Szenario: Einschränkung der Bearbeitungsrechte

Ausgangssituation:
Bestimmte Mitarbeiter sollen nur bestimmte Ressourcen bearbeiten dürfen.

Vorarbeit:
Legen Sie am besten für jede Teilmenge an Ressourcen, die nur von einer spezifischen Gruppe berbeitet werden soll eine eigene Gruppe an. Die jeweiligen Benutzer werden dann dieser Gruppe zugewiesen. Beim Anlegen der Gruppe wählen Sie als abgeleitete Gruppe immer Ihre OU/Users. Nochmals der Hinweis: hiermit erhält der Benutzer sinnvolle Basisrechte für die Workplace.

Berechtigungen setzen:
Unsere Standardberechtigung gibt OU/Users alle Rechte zum Editieren. Dies muss als erstes eingeschränkt werden. Ändern Sie an Ihrem Startordner diese Berechtigung unter Erlaubt zu +r+v sowie Vererbte überschreiben und An Unterordner vererben wählen. Damit können vor allem Benutzer keine Ressourcen mehr editieren. Genau diese zusätzlichen Rechte erhalten die Benutzer anschließend durch Zuweisung Ihrer Gruppe an den Ressourcen, die Sie editieren dürfen. Sinnvollerweise sollte man dies für Verzeichnisse und weniger für Dateien tun (reduziert den Aufwand!). Diese Ressourcen erhalten in der Berechtigungsspalte Erlaubt die vollen Rechte (+r+w+v+c+d) sowie Vererbte überschreiben und An Unterordner vererben, damit dies rekursiv für den gesamten Teilbaum gilt.

↑ Inhaltsverzeichnis



Szenario: Intranet

Ausgangssituation:
Nicht alle Ressourcen sollen öffentlich sein, sondern nur einer eigenen Benutzergruppe, auch nicht anderen OpenCms-Benutzern.

Berechtigungen setzen:
An allen Ordnern, die nicht öffentlich sein sollen muss der Gruppe Guests das Lese- und Auflist-Recht entzogen werden. Setzen Sie also an diesem Ordner eine Berechtigung für die Gruppe Guests mit dem Haken in der Spalte Erlaubt nur für Vererbte überschreiben und An Unterordner vererben. Damit gelten ab diesem Ordner neue Rechte (vererbte überschrieben) und es wurden keine expliziten Rechte vergeben, die berechtigen würden Ressourcen zu lesen. Bei einem Web-Zugriff auf diese Ressourcen fordert OpenCms dann eine Authentifikation an. Nur Ihre Gruppe OU/Users hat standardmäßig noch Rechte für diese.

↑ Inhaltsverzeichnis



Szenario: Webinhalte nicht öffentlich zugänglich machen (passwortgeschützter Bereich)

Ausgangssituation:
Bestimmte Ressourcen sollen nicht öffentlich sein und durch einen Passwortschutz gesichert werden. Das Tupel Benutzername und Passwort ist i.d.R. ein Gruppenaccount und wird an mehrere Personen kommuniziert (z.B. Benutzername="studierende", Passwort="geheim"). Damit werden beispielsweise Vorlesungsunterlagen nur Studierenden zur Verfügung gestellt, die die Accountinformationen in Vorlesungen oder an schwarzen Brettern genannt bekommen. Dies sind sog. WebUsers.

1) Benutzer in eigener Organisationseinheit anlegen:
WebUsers sind Benutzer ohne Rolle und ohne Ableitung von einer übergeordneten Gruppe. Wechseln Sie in die Adminstratoransicht wählen Sie den "LDAP-Connector"  aus und anschließend "User Management" und legen Sie einen neuen Bentzer an, vergeben Sie ein Passwort. Achten Sie aber bitte tatsächlich auf die Einhaltung der Nichtzuweisung von Rolle und Gruppe.

2)
Berechtigungen auf Ordner setzen:
An allen Ordnern, die nicht öffentlich sein sollen muss der Gruppe Alle anderen das Leserecht entzogen werden. Setzen Sie also an diesem Ordner eine Berechtigung für die Gruppe Alle anderen mit dem Haken in der Spalte Erlaubt nur für Auflisten, Vererbte überschreiben und An Unterordner vererben

In einem zweiten Schritt weisen Sie dem neuen Benutzer z.B. "studierende" an dieser Ressource die Rechte +r+v zu und wählen die Punkte Lesen, Auflisten, Geerbte überschreiben sowie Vererbe an Unterordner aus.

3) Anmeldung und Accountname:
Sind Ressourcen durch entsprechende Berechtigungen vom Zugriff geschützt, so erhalten Sie beim Zugriff auf diese Ressourcen von Ihrem Browser einen Authentifikationsdialog, in dem Sie Ihre Anmelddaten bestehend aus Benutzernamen und Passwort eintippen. 
Achten Sie bitte darauf, dass Accountnamen immer nur innerhalb einer OU gelten und diese mit angegeben werden muss, also muss Ihr Benutzername vollständig "/OU/account" lauten!

↑ Inhaltsverzeichnis



Anmeldungen über Loginformular

Die Anmeldung kann auch in einem etwas schöneren Login-Formular erfolgen. Dies hat zwei Vorteile: a) Sie können einen kleinen Erklärungstext schreiben, in dem Sie mitteilen, dass ein Zugriff auf eine geschützte Ressource stattfand und die Person sich anmelden muss und b) der interne OU-Name dort hinterlegt werden kann, sodass der Benutzer diesen nicht kennen und nicht eingeben muss z.B. Benutzername= "studierende".

In Template 2.1:

Dieses Formular ist vom Typ rus_login (unter Neu >> Universität Stuttgart zu finden). Legen Sie eine solche Seite an und editieren Sie sie. Tragen Sie an Ihrem Startordner z.B. "/ze/tik" in der Eigenschaft login-form den vollständigen Pfad auf diese Ressource z.B. "/ze/tik/login/index.html" ein. Damit erfolgt immer eine automatische Weiterleitung zu dem Anmeldformular, falls Ressourcen aufgerufen werden, für die die aktuellen Berechtigungen nicht ausreichen.
Im Formular  haben Sie zudem die Möglichkeit Benutzer nach einer erfolgreichen Anmeldung auf eine bestimmte Zielseite zu leiten. Tragen Sie hierfür im Feld Weiterleitung eine vollständige URL z.B. "http://www.tik.uni-stuttgart.de/intern/index.html" ein. Sie können leider keine lokalen Pfade angeben.

Ein vereinfachtes Login-Formular kann ebenso in der rechten Spalte als oberstes Element automatisch integriert werden, falls der Ordner mit dem Formular den Namen login trägt, in Ihrem Startordner liegt und die Datei auf index.html lautet.

In Template 2.2:

Legen Sie eine neue Containerpage an mit dem Ordnernamen "login", damit wird die Seite "index.html" im Ordner "login" angelegt. Über den Zauberstab ziehen Sie das Seitenelement "RUS-Login" in die mittlere Spalte. Über das Stiftsymbol können Sie das neue Seitenelement bearbeiten. Sie können den internen OU-Name dort hinterlegen, so dass der Benutzer diesen nicht kennen und nicht eingeben muss z.B. nur den Benutzername= "studierende".

Sie habe zwei Felder "Intro" und "Extro" für einen einleitenden und/oder abschließenden Text zur Verfügung.

Tragen Sie hierfür im Feld Weiterleitung eine vollständige URL z.B. "http://www.tik.uni-stuttgart.de/intern/index.html" ein. Sie können leider keine lokalen Pfade angeben.

Tragen Sie an Ihrem Startordner z.B. "/ze/tik" in der Eigenschaft "login-form" den vollständigen Pfad auf diese Ressource z.B. "/ze/tik/login/index.html" ein.

Um ein Login-Symbol in der Globalnavi zu erhalten, tragen Sie im Ordner "elements" in der Datei "_config.html" im Reiter "Login" den Pfad zum Loginformular z.B. "/ze/tik/login/index.html" ein.

↑ Inhaltsverzeichnis