Zugriff und Administration

Berechtigungen an Verzeichnissen

Schreibrechte und Leserechte können Sie für Pfade und Elemente individuell steuern.

OpenCms bietet Ihnen die Möglichkeit über ein Berechtigungssystem die Zugriffe innerhalb der Workplace (also die Offline-Version) als auch außerhalb (Online-Version) einzuschränken. Auf dieser Seite werden zwei typische Szenarien beschrieben:

  1. die Beschränkung der Rechte für das Bearbeiten von Ressourcen in der Workplace,
  2. eine Zugriffsbeschränkung im Internet im Sinne eines internen Bereichs.
 (c)
Beispiel für Berechtigungen einer Gruppe an einem Verzeichnis: Die Gruppe OU/Users hat sämtliche Rechte bekommen. Alle Personen der OU mit Workplace-Benutzerrolle können alle Ressourcen des Baums absteigend lesen, bearbeiten, veröffentlichen.

Berechtigungen setzen:

Im Kontextmenü finden Sie den Punkt „Berechtigung“. Mit diesem können Sie sich gesetzte Berechtigungen zu einer Ressource anzeigen lassen oder diese ändern. Berechtigungen sind die Zuordnung von Benutzern oder Gruppen und deren Rechten. Diese sind:

  • Lesen (+read)
  • Auflisten (+view)
  • Schreiben (+write)
  • Direkt veröffentlichen (+direct publish)
  • Berechtigungen ändern (+control).

„Auflisten“ ist dabei die Eigenschaft für die Sichtbarkeit von Ressourcen innerhalb der Workplace.

Standard-Berechtigungen für Ihre Site

Wir entziehen der allgemeinen Gruppe Users die Schreibrechte für Ihre Site. Stattdessen erhält Ihre eigene (organisationsspezifische) Gruppe alle Rechte. Diese lautet vollständig OU/Users, wobei OU die intere Bezeichnung Ihrer Organisationseinheit, z.B. fak5_int ist.

Standardmäßig ist diese Benutzergruppe mit allen Rechten (+r+w+v+c+d) ab Ihrem Startordner versehen.

 (c)
Die Gruppe OU/Users erhält in diesem Beispiel nur die Lese- und Auflistrechte, um die Schreibrechte für einzelne Verzeichnisse aufzuteilen.

Szenario: Bearbeitungsrechte einschränken

Bestimmte Redakteurinnen und Redakteure sollen nur bestimmte Ressourcen bearbeiten dürfen.

Legen Sie am besten für jede Teilmenge an Ressourcen, die nur von einer spezifischen Gruppe berbeitet werden soll eine eigene Gruppe an. Die jeweiligen Benutzer werden dann dieser Gruppe zugewiesen. Beim Anlegen der Gruppe wählen Sie als abgeleitete Gruppe immer Ihre OU/Users.

Nochmals der Hinweis: Hiermit erhält der Benutzer sinnvolle Basisrechte für die Workplace.

Unsere Standardberechtigung gibt OU/Users alle Rechte zum Editieren. Dies muss als erstes eingeschränkt werden. Ändern Sie an Ihrem Startordner diese Berechtigung unter „Erlaubt“ zu +r+v sowie „Vererbte überschreiben“ und „An Unterordner vererben“ wählen. Damit können vor allem Benutzer keine Ressourcen mehr editieren. Genau diese zusätzlichen Rechte erhalten die Benutzer anschließend durch Zuweisung Ihrer Gruppe an den Ressourcen, die Sie editieren dürfen.

Sinnvollerweise sollte man dies für Verzeichnisse und weniger für Dateien tun (reduziert den Aufwand!). Diese Ressourcen erhalten in der Berechtigungsspalte „Erlaubt“ die vollen Rechte (+r+w+v+c+d) sowie „Vererbte überschreiben“ und „An Unterordner vererben“, damit dies rekursiv für den gesamten Teilbaum gilt.

Szenario: Interner Bereich

Nicht alle Ressourcen sollen öffentlich sein, sondern nur einer eigenen Benutzergruppe.

 (c)
Um für „Alle anderen“ den Zugriff zu verweigern, tippen Sie den Gruppennamen z.B. in die Textzeile im Berechtigungsfenster ein. Anschließend klicken Sie aufs „+“-Symbol und haken für die Gruppe keine Rechte an.

An allen Ordnern, die nicht öffentlich sein sollen muss der Gruppe Alle anderen das Leserecht entzogen werden. Setzen Sie also an diesem Ordner bei den Berechtigungen für die Gruppe Alle anderen nur bei „Geerbte überschreiben“ und „An Unterordner vererben“ die Haken.

Damit gelten ab diesem Ordner neue Rechte (Vererbe an Unterordner) und es wurden keine Rechte vergeben, die berechtigen würden, Ressourcen zu lesen. Bei einem Web-Zugriff auf diese Ressourcen fordert OpenCms dann eine Authentifikation an. Nur Ihre Gruppe OU/Users hat standardmäßig noch Rechte für diese.

Setzen Sie die Haken in der Spalte „Erlaubt“ bei „Lesen“ und „Auflisten“, sowie bei „Geerbte überschreiben“ und „Vererbe an Unterordner“. (c)
Die Gruppe „UniS-MuA“ für Mitglieder und Angehörige der Universität – also Beschäftigte, Studierende und Gäste – erhält die Rechte zum Lesen und Auflisten und kann damit die Ressource im Onlinemodus betrachten.

Damit im Onlinemodus die Seiten betrachtet werden können, geben Sie Lese- und Auflistrechte noch für eine Gruppe oder einen Account Ihrer Organisationseinheit (OU) frei. Dazu haben die die Wahl zwischen folgenden Varianten:

  1. alle Beschäftigten, Studierenden, Funktions- und Gastaccounts (= Mitglieder und Angehörige),
  2. eine Gruppe, deren Zugehörigkeit Sie über den LDAP-Connector selbst steuern
  3. einen lokalen Account, dessen Name und Passwort Sie nur an bestimmte Personen weitergeben.

Einstellung bei allen Varianten: Gehen Sie über das Kontextmenü des geschützten Verzeichnisses auf „Berechtigungen“. Tragen Sie die Gruppe mit dem Kürzel Ihrer OU vorneweg (z.B. fak_pi1/studierende) im Berechtigungsschema ein und übernehmen sie mit dem Plus-Zeichen. Für Accounts gilt das Gleiche, nur wählen Sie dann zuvor im Auswahlfeld „Benutzer“ aus.

Setzen Sie die Haken in der Spalte „Erlaubt“ bei „Lesen“ und „Auflisten“, sowie bei „Geerbte überschreiben“ und „Vererbe an Unterordner“.

1. Mitglieder und Angehörige
Mitglieder und Angehörige der Universität bekommen Sie durch die Gruppe OU/UniS-MuA.  Diese Gruppe haben alle Personen und Funktionsaccounts, die im Uni-System als aktiv geführt werden. Soll heißen: Wer einen AC-, ST-, FN- oder GS-Account hat, kann sich einloggen. Sie brauchen die Accounts nicht separat über den LDAP-Connector Ihrer OU hinzufügen.
2. Lokale Gruppe
Wie Sie lokale Gruppen anlegen und Accounts dieser Gruppe hinzufügen, lesen Sie in der Dokumentation zu Organisationseinheiten und Gruppen.
3. Lokaler Account (Sammelaccount)
Wie Sie einen lokalen Account anlegen, lesen Sie in der Anleitung zur Zugriffsberechtigung für Accounts.

Auf zugriffsgeschützte Bereiche kann sich nach erfolgreicher Konfiguration nur anmelden, wer über ein Login-Formular an den Server Account und Passwort übermittelt.

1. Anmeldeseite erstellen

Erstellen Sie im Sitemap-Editor eine neue Containerpage mit dem Titel „Login“ und dem Ordnernamen „login“. Wechseln Sie auf die neue Container-Seite. Über den Zauberstab ziehen Sie das Seitenelement „Login“ in eine Standard-Layoutzeile oder einen Ausreißer. Konfigurieren Sie das Element „Login“ gemäß der Anleitung für das Login-Element.

2. Anmeldeseite eintragen

Abschließend wechseln Sie in den Explorer und wählen im Kontextmenü des Wurzelverzeichnisses (Rootfolder) Ihres Webauftritts (z.B. /fak6/ila/) die „Eigenschaften“. Tragen Sie im Feld „Anmeldeseite“ den Pfad zu Ihrer Anmeldeseite ein (z.B. /fak6/ila/login/).

3. Caching einstellen

Wählen Sie in den Eigenschaften des Wurzelverzeichnisses und bei der Anmeldeseite bei „Cache-Control“ den Wert niemals. Erklärung: Regulär werden alle Elemente in OpenCms gecached, das heißt, Ihr Browser lädt nur nach einer bestimmten Zeit die Ressourcen neu herunter. Damit bei Anmeldung und Abmeldung unterschiedliche Inhalte sichtbar werden, müssen Sie das Caching unterbinden.

 

Support vom Webteam

 

TIK - NFL - Webteam

Allmandring 3a, 70550 Stuttgart, Holzbaracke

Zum Seitenanfang