OpenCms bietet Ihnen die Möglichkeit über ein Berechtigungssystem die Zugriffe innerhalb der Workplace (also die Offline-Version) als auch außerhalb (Online-Version) einzuschränken. Auf dieser Seite werden zwei typische Szenarien beschrieben:
OU/Users hat sämtliche Rechte bekommen. Alle Personen der OU mit Workplace-Benutzerrolle können alle Ressourcen des Baums absteigend lesen, bearbeiten, veröffentlichen.Berechtigungen setzen:
Im Kontextmenü finden Sie den Punkt „Berechtigung“. Mit diesem können Sie sich gesetzte Berechtigungen zu einer Ressource anzeigen lassen oder diese ändern. Berechtigungen sind die Zuordnung von Benutzern oder Gruppen und deren Rechten. Diese sind:
- Lesen (+read)
- Auflisten (+view)
- Schreiben (+write)
- Direkt veröffentlichen (+direct publish)
- Berechtigungen ändern (+control).
„Auflisten“ ist dabei die Eigenschaft für die Sichtbarkeit von Ressourcen innerhalb der Workplace.
Standard-Berechtigungen für Ihre Site
Wir entziehen der allgemeinen Gruppe Users die Schreibrechte für Ihre Site. Stattdessen erhält Ihre eigene (organisationsspezifische) Gruppe alle Rechte. Diese lautet vollständig OU/Users, wobei OU die intere Bezeichnung Ihrer Organisationseinheit, z.B. fak5_int ist.
Standardmäßig ist diese Benutzergruppe mit allen Rechten (+r+w+v+c+d) ab Ihrem Startordner versehen.
OU/Users erhält in diesem Beispiel nur die Lese- und Auflistrechte, um die Schreibrechte für einzelne Verzeichnisse aufzuteilen.1. Szenario: Bearbeitungsrechte einschränken
Bestimmte Redakteurinnen und Redakteure sollen nur bestimmte Ressourcen bearbeiten dürfen.
Legen Sie am besten für jede Teilmenge an Ressourcen, die nur von einer spezifischen Gruppe berbeitet werden soll eine eigene Gruppe an. Die jeweiligen Benutzer werden dann dieser Gruppe zugewiesen. Beim Anlegen der Gruppe wählen Sie als abgeleitete Gruppe immer Ihre OU/Users.
Nochmals der Hinweis: Hiermit erhält der Benutzer sinnvolle Basisrechte für die Workplace.
Unsere Standardberechtigung gibt OU/Users alle Rechte zum Editieren. Dies muss als erstes eingeschränkt werden. Ändern Sie an Ihrem Startordner diese Berechtigung unter „Erlaubt“ zu +r+v sowie „Vererbte überschreiben“ und „An Unterordner vererben“ wählen. Damit können vor allem Benutzer keine Ressourcen mehr editieren. Genau diese zusätzlichen Rechte erhalten die Benutzer anschließend durch Zuweisung Ihrer Gruppe an den Ressourcen, die Sie editieren dürfen.
Sinnvollerweise sollte man dies für Verzeichnisse und weniger für Dateien tun (reduziert den Aufwand!). Diese Ressourcen erhalten in der Berechtigungsspalte „Erlaubt“ die vollen Rechte (+r+w+v+c+d) sowie „Vererbte überschreiben“ und „An Unterordner vererben“, damit dies rekursiv für den gesamten Teilbaum gilt.
2. Szenario: Interner Bereich
Vorarbeit: Zugriffsgeschützten Bereich anlegen
Im Explorer: Wählen Sie im Navigationsbaum aus wo der neue Ordner angelegt werden soll. Erzeugen Sie mit dem Zauberstaub einen "zugriffsgeschützten Ordner".
- Wählen Sie rechts oben im Pulldown-Menü "Ordner" aus
- Wählen Sie "Zugriffsgeschützter Bereich" aus, ein neues Fenster geht auf, dort können Sie den Ordnername vergeben.
Setzt gleich Berechtigungen, dass der Ordner nicht öffentlich ist. Sie können selbst weitere Gruppen zuweisen, die Leserechte erhalten sollen.
Innerhalb des "Zugriffsgeschützten Bereichs", können Sie jetzt wie gewohnt Seiten und Seitenelemente erstellen.
Berechtigungen setzen
Nicht alle Ressourcen sollen öffentlich sein, sondern nur einer eigenen Benutzergruppe.
An allen Ordnern, die nicht öffentlich sein sollen muss der Gruppe Alle anderen das Leserecht entzogen werden. Setzen Sie also an diesem Ordner bei den Berechtigungen für die Gruppe Alle anderen nur bei „Geerbte überschreiben“ und „An Unterordner vererben“ die Haken.
Damit gelten ab diesem Ordner neue Rechte (Vererbe an Unterordner) und es wurden keine Rechte vergeben, die berechtigen würden, Ressourcen zu lesen. Bei einem Web-Zugriff auf diese Ressourcen fordert OpenCms dann eine Authentifikation an. Nur Ihre Gruppe OU/Users hat standardmäßig noch Rechte für diese.
Damit im Onlinemodus die Seiten betrachtet werden können, geben Sie Lese- und Auflistrechte noch für eine Gruppe oder einen Account Ihrer Organisationseinheit (OU) frei. Dazu haben die die Wahl zwischen folgenden Varianten:
- alle Beschäftigten, Studierenden, Funktions- und Gastaccounts (= Mitglieder und Angehörige),
- eine Gruppe, deren Zugehörigkeit Sie über den LDAP-Connector selbst steuern
- einen lokalen Account, dessen Name und Passwort Sie nur an bestimmte Personen weitergeben.
Einstellung bei allen Varianten: Gehen Sie über das Kontextmenü des geschützten Verzeichnisses auf „Berechtigungen“. Tragen Sie die Gruppe mit dem Kürzel Ihrer OU vorneweg (z.B. fak_pi1/studierende) im Berechtigungsschema ein und übernehmen sie mit dem Plus-Zeichen. Für Accounts gilt das Gleiche, nur wählen Sie dann zuvor im Auswahlfeld „Benutzer“ aus.
Setzen Sie die Haken in der Spalte „Erlaubt“ bei „Lesen“ und „Auflisten“, sowie bei „Geerbte überschreiben“ und „Vererbe an Unterordner“.
- 1. Mitarbeiter*innen
- Mitarbeiter*innen der Universität bekommen Sie durch die Gruppe
OU/Uni-S_Mitarbeiter. Diese Gruppe haben alle Personen, die im Uni-System als aktiv geführt werden und einen AC-Account hat. Sie brauchen die Accounts nicht separat über den LDAP-Connector Ihrer OU hinzufügen.
- 2. Mitarbeiter*innen aus LDAP-Gruppe
- Mitarbeiter*innen eines/r Instituts/Einrichtung bekommen Sie durch die LDAP-Gruppe z.B.
OU/060100-all(z.B. Alle IAG). Die Nummer in z.B.060100-allentspricht der Instituts-/Einrichtungsnummer im Organigramm der Uni Stuttgart. Diese LDAP-Gruppe haben alle Personen des jeweiligen Instituts bzw. Einrichtung, die zentral im Active Directory als aktiv geführt werden und einen AC-Account haben. Sie brauchen die Accounts nicht separat über den LDAP-Connector Ihrer OU hinzufügen.
Liste der Institute und Einrichtungen
- 3. Studierende
- Alle Studierenden sind in der Gruppe
OU/Uni-S_Studierende. Dies umfasst alle ST-Accounts.
- 4. Gäste
- Alle Gäste sind in der Gruppe
OU/Uni-S_Gäste. Dies umfasst alle GS-Accounts.
- 5. Lokale Gruppe
- Wie Sie lokale Gruppen anlegen und Accounts dieser Gruppe hinzufügen, lesen Sie in der Dokumentation zu Organisationseinheiten und Gruppen.
- 6. Lokaler Account (Sammelaccount)
- Wie Sie einen lokalen Account anlegen, lesen Sie in der Anleitung zur Zugriffsberechtigung für Accounts.
Auf zugriffsgeschützte Bereiche kann sich nach erfolgreicher Konfiguration nur anmelden, wer über ein Login-Formular an den Server Account und Passwort übermittelt.
Neue Komfort-Variante
Die unten stehenden händischen Arbeiten können Sie über den Ordnertyp "Anmeldebereich" anlegen und konfigurieren lassen. Wählen Sie dazu im Explorer -am besten im Startverzeichnis Ihrer Site- im Zauberstab die Gruppe der "Ordner" und darin das Element "Anmeldebereich" aus. Nennen Sie das Verzeichnis am besten kurz und knapp "login".
Manuelle Variante
1. Anmeldeseite erstellen
Erstellen Sie im Sitemap-Editor eine neue Containerpage mit dem Titel „Login“ und dem Ordnernamen „login“. Wechseln Sie auf die neue Container-Seite. Über den Zauberstab ziehen Sie das Seitenelement „Login“ in eine Standard-Layoutzeile oder einen Ausreißer. Konfigurieren Sie das Element „Login“ gemäß der Anleitung für das Login-Element.
2. Anmeldeseite eintragen
Abschließend wechseln Sie in den Explorer und wählen im Kontextmenü des Wurzelverzeichnisses (Rootfolder) Ihres Webauftritts (z.B. /fak6/ila/) die „Eigenschaften“. Tragen Sie im Feld „Anmeldeseite“ den Pfad zu Ihrer Anmeldeseite ein (z.B. /fak6/ila/login/).
3. Caching einstellen
Wählen Sie in den Eigenschaften des Wurzelverzeichnisses und bei der Anmeldeseite bei „Cache-Control“ den Wert niemals. Erklärung: Regulär werden alle Elemente in OpenCms gecached, das heißt, Ihr Browser lädt nur nach einer bestimmten Zeit die Ressourcen neu herunter. Damit bei Anmeldung und Abmeldung unterschiedliche Inhalte sichtbar werden, müssen Sie das Caching unterbinden.