Handbuch - Univention

Weitere Magazine

Empfehlungen

Info

3 Domänendienste / LDAP-Verzeichnisdienst Schema-Definitionen liegen als Text-Dateien vor und werden über die Konfigurationsdatei des OpenLDAP- Servers eingebunden. UCS verwendet nach Möglichkeit Standard-Schemata, so dass eine Interoperabilität mit anderen LDAP- Applikationen in der Regel gegeben ist. Für Univention-spezifische Attribute - etwa für den Richtlinien- Mechanismus - werden Schema-Erweiterungen mitgeliefert. 3.4.1.1 LDAP-Schema-Erweiterungen Um den Aufwand für kleine Erweiterungen im LDAP möglichst gering zu halten, bringt UCS ein eigenes LDAP-Schema für Kundenerweiterungen mit. Die LDAP-Objektklasse univentionFreeAttributes kann oh- ne Einschränkungen für erweiterte Attribute verwendet werden. Sie bringt 20 frei zu verwendende Attribute (univentionFreeAttribute1 bis univentionFreeAttribute20) mit und kann in Verbindung mit jedem belie- bigen LDAP-Objekt (z.B. einem Benutzerobjekt) verwendet werden. 3.4.1.2 LDAP-Schema-Replikation Über den Listener/Notifier-Mechanismus (siehe Kapitel 3.5) wird auch die Replikation der LDAP-Schemata automatisiert. Dies entbindet den Administrator von der Notwendigkeit, Schema-Änderungen auf allen OpenLDAP-Servern der Domäne manuell nachzupflegen. Mit der Ausführung der Schema-Replikation vor der Replikation von LDAP-Objekten wird sichergestellt, dass diese nicht aufgrund fehlender Objektklassen oder Attribute scheitert. Auf dem Domänencontroller Master wird beim Start des OpenLDAP-Servers über alle Verzeichnisse mit Schema-Definitionen eine Prüfsumme erzeugt. Diese Prüfsumme wird mit der letzten in der Datei /var/lib/univention-ldap/schema/md5 gespeicherten Prüfsumme verglichen. Die eigentliche Replikation der Schema-Definitionen wird vom Univention Directory Listener initiiert. Vor jeder Abfrage einer neuen Transaktions-ID durch den Univention Directory Notifier wird dessen aktuelle Schema-ID abgefragt. Ist diese höher als die Schema-ID auf der Listener-Seite, wird über eine LDAP- Suche vom LDAP-Server des Notifier-Systems dessen aktuell verwendetes Subschema bezogen. Das ausgelesene Subschema wird auf dem Listener-System im LDIF-Format in die Datei /var/lib/univention-ldap/schema.conf eingebunden und der lokale OpenLDAP-Server neu ge- startet. Ist die Schema-Replikation mit diesem Schritt abgeschlossen, wird die Replikation der LDAP- Objekte fortgeführt. 3.4.2 Revisionssichere LDAP-Protokollierung Das Paket univention-directory-logger ermöglicht die Protokollierung von Änderungen im LDAP- Verzeichnisdienst. Eine integrierte Hash-Summe stellt zusätzlich sicher, dass keine Änderungen aus der Logdatei entfernt werden. 3.4.3 Timeout für inaktive LDAP-Verbindungen Mit der Univention Configuration Registry-Variable ldap/idletimeout kann ein Zeitraum in Sekunden konfiguriert werden, nach dessen Ablauf eine LDAP-Verbindung serverseitig geschlossen wird. Wenn der 42
3.4 LDAP-Verzeichnisdienst Wert auf 0 gesetzt wird, wird kein Ablaufzeitraum angewendet. Seit UCS 3.0 beträgt der Ablaufzeitraum standardmäßig sechs Minuten. 3.4.4 Zugriffskontrolle auf das LDAP-Verzeichnis Der Zugriff auf die Informationen im LDAP-Verzeichnis wird serverseitig durch Access Control Lists (ACLs) geregelt. Die ACLs werden in der zentralen Konfigurations-Datei /etc/ldap/slapd.conf definiert und über Univention Configuration Registry verwaltet. Die slapd.conf wird dabei durch ein Multifile-Template verwaltet; weitere ACL-Elemente kön- nen unterhalb von /etc/univention/templates/files/etc/ldap/slapd.conf.d/ zwischen den Dateien 60univention-ldap-server_acl-master und 70univention-ldap-server_acl-master-end eingefügt werden oder die bestehenden Tem- plates erweitert werden. Die Grundeinstellung des LDAP-Servers bei Neuinstallationen mit UCS erlaubt keinen anonymen Zu- griff auf das LDAP-Verzeichnis. Dieses Verhalten kann mit der Univention Configuration Registry-Variable ldap/acl/read/anonymous konfiguriert werden. Einzelne IP-Adressen können über die Univention Configuration Registry-Variable ldap/acl/read/ips für den anonymen Lesezugriff freigeschaltet werden. Nach erfolgreicher Authentifizierung am LDAP-Server können alle Attribute eines Benutzer-Kontos von diesem Benutzer ausgelesen werden. Das Tool univention-ldapsearch vereinfacht die authentifizier- te Suche im LDAP-Verzeichnis. Ein zusätzlicher, interner Account, der Root-DN, besitzt darüberhinaus auch schreibenden Voll-Zugriff. Unter UCS gibt es darüberhinaus einige standardmässig installierte ACLs, die den Zugriff auf sensitive Daten unterbinden (z.B. auf das Benutzerpasswort) und für den Betrieb notwendige Regeln setzen (etwa nötige Zugriffe auf Rechnerkonten für Anmeldungen). Der lesende und schreibende Zugriff auf diese sensi- tiven Daten ist nur für die Mitglieder der Gruppe Domain Admins vorgesehen. Dabei werden auch enthal- tene Gruppen unterstützt. Mit der Univention Configuration Registry-Variable ldap/acl/nestedgroups kann diese Gruppen-in-Gruppen-Funktionalität für die LDAP-ACLs deaktiviert werden, wodurch eine Ge- schwindigkeitssteigerung bei den Verzeichnisdienst-Anfragen zu erwarten ist. 3.4.4.1 Delegation des Zurücksetzens von Benutzerpasswörtern Um einer Teilgruppe von Administratoren mit eingeschränkten Rechten, z.B. einem Helpdesk, das Zurücksetzen von Benutzerpasswörtern zu ermöglichen, kann das Paket univention-admingrp-user- passwordreset installiert werden. Es legt über ein Joinskript die Benutzergruppe User Password Ad- mins an, sofern diese noch nicht existiert. Mitglieder dieser Gruppe erhalten über zusätzliche LDAP-ACLs die Berechtigung, Passwörter von anderen Benutzern zurückzusetzen. Diese LDAP-ACLs werden bei der Paketinstallation automatisch akti- viert. Um eine andere ggf. schon existierende Gruppe statt der Gruppe User Password Admins zu ver- wenden, kann der DN der zu verwendenden Gruppe in die Univention Configuration Registry-Variable ldap/acl/user/passwordreset/accesslist/groups/dn eingetragen werden. Nach der Ände- rung ist ein Neustart des LDAP-Servers erforderlich. Das Zurücksetzen der Passwörter kann über den Univention Directory Manager erfolgen. In der Standar- deinstellung bietet Univention Directory Manager nur dem Benutzer Administrator den Benutzer-Assis- 43
Seite 1 und 2: Univention Corporate Server
Seite 3 und 4: Inhaltsverzeichnis 1 Einführung 11
Seite 5 und 6: Inhaltsverzeichnis 4.4.1 Anlegen ei
Seite 7 und 8: Inhaltsverzeichnis 7.5.7.1 Integrat
Seite 9 und 10: Inhaltsverzeichnis 10 Freigaben-Ver
Seite 11 und 12: 1 Einführung Inhaltsverzeichnis 1.
Seite 13 und 14: 1.2 Überblick über UCS einer als
Seite 15 und 16: Abbildung 1.2: Univention Managemen
Seite 17 und 18: 1.3 Weitere Dokumentationen 1.3 Wei
Seite 19 und 20: 2 Installation Inhaltsverzeichnis 2
Seite 21 und 22: Abbildung 2.1: Bootprompt der Insta
Seite 23 und 24: 2.6 Auswahl der Tastaturbelegung Ab
Seite 25 und 26: Abbildung 2.5: Auswahl der Systemro
Seite 27 und 28: 2.9 Partitionieren der Festplatten
Seite 29 und 30: Abbildung 2.8: Netzwerkkonfiguratio
Seite 31 und 32: 2.12 Auswahl von Software-Komponent
Seite 33 und 34: Abbildung 2.10: Installationsüberb
Seite 35 und 36: 3 Domänendienste / LDAP-Verzeichni
Seite 37 und 38: 3.2.1.1 Nachträglicher Domänenbei
Seite 39 und 40: 3.3 UCS-Systemrollen werden, dass d
Seite 41: 3.3.7 Mobile Client 3.4 LDAP-Verzei
Seite 45 und 46: 3.5 Domänenreplikation mit dem Lis
Seite 47 und 48: 3.7 Kerberos 3.7 Kerberos Kerberos
Seite 49 und 50: 4 Zentrales Domänen-Management mit
Seite 51 und 52: 4.2 Bedienung der Univention Manage
Seite 53 und 54: 4.2 Bedienung der Univention Manage
Seite 55 und 56: 4.4 Richtlinien Mit der Option UDM-
Seite 57 und 58: 4.5 Erweiterung der in UMC verwalte
Seite 59 und 60: 4.5 Erweiterung der in UMC verwalte
Seite 61 und 62: genschaften zu entfernen. Dies ist
Seite 63 und 64: 4.7 Kommandozeilenschnittstelle der
Seite 65 und 66: 4.8 Auswertung von Daten aus dem LD
Seite 67 und 68: 5 Benutzerverwaltung Inhaltsverzeic
Seite 69 und 70: Vorname Hier wird der Vorname des B
Seite 71 und 72: • Nur Windows/Kerberos gesperrt
Seite 73 und 74: Vorgabewert ist hier der Benutzerna
Seite 75 und 76: 5.1 Verwaltung von Benutzern in der
Seite 77 und 78: 5.3 Automatisches Sperren von Benut
Seite 79 und 80: 5.4 Benutzervorlagen Hier kann übe
Seite 81 und 82: 6 Gruppenverwaltung Inhaltsverzeich
Seite 83 und 84: Mail Reiter ’Erweiterte Einstellu
Seite 85 und 86: 7 Rechnerverwaltung Inhaltsverzeich
Seite 87 und 88: IP-Adresse 7.1 Verwaltung der Rechn
Seite 89 und 90: 7.1 Verwaltung der Rechnerkonten in
Seite 91 und 92: 7.2 Konfiguration von Hardware und
Seite 93 und 94:
Abbildung 7.2: Konfiguration der Ne
Seite 95 und 96:
7.2 Konfiguration von Hardware und
Seite 97 und 98:
7.3 Verwaltung der lokalen Systemko
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Abbildung 7.5: Konfiguration der Sp
Seite 105 und 106:
7.4.7 Ausführen von wiederkehrende
Seite 107 und 108:
nscd -i group nscd -i hosts 7.4 Bas
Seite 109 und 110:
7.5 Softwareverteilung hinsichtlich
Seite 111 und 112:
7.5 Softwareverteilung Mit dem Tool
Seite 113 und 114:
7.5 Softwareverteilung Von einer Re
Seite 115 und 116:
7.5 Softwareverteilung Abbildung 7.
Seite 117 und 118:
Karteikarte ’[Paketpflege]’ Sys
Seite 119 und 120:
7.5 Softwareverteilung repository/o
Seite 121 und 122:
7.5 Softwareverteilung wieder aktiv
Seite 123 und 124:
8 Services für Windows Inhaltsverz
Seite 125 und 126:
8.3 Dienste einer Samba-Domäne uni
Seite 127 und 128:
8.4 Konfiguration und Management vo
Seite 129 und 130:
8.4.4 Servergespeicherte Profile 8.
Seite 131 und 132:
8.5 UCS Active Directory Connector
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
8.5.4.2.1 Besonderheiten 8.5 UCS Ac
Seite 139 und 140:
8.6 Vertrauensstellungen Die Vertra
Seite 141 und 142:
9 IP- und Netzverwaltung Inhaltsver
Seite 143 und 144:
9.2 Verwaltung von DNS-Daten mit Bi
Seite 145 und 146:
9.2 Verwaltung von DNS-Daten mit Bi
Seite 147 und 148:
Reiter ’IP-Adressen’ IP-Adresse
Seite 149 und 150:
Reiter ’Allgemein’ Dienst Der N
Seite 151 und 152:
9.2.2.6 Pointer Records 9.3 IP-Verg
Seite 153 und 154:
9.3.2.2 Verwaltung von DHCP-Server-
Seite 155 und 156:
9.3 IP-Vergabe über DHCP ten feste
Seite 157 und 158:
DNS-Server 9.3 IP-Vergabe über DHC
Seite 159 und 160:
9.4 Paketfilter mit Univention Fire
Seite 161 und 162:
9.5 Web-Proxy für Caching und Poli
Seite 163 und 164:
10 Freigaben-Verwaltung Inhaltsverz
Seite 165 und 166:
Reiter ’Allgemein’ Name 10.2 Ve
Seite 167 und 168:
10.2 Verwaltung von Freigaben in de
Seite 169 und 170:
10.2 Verwaltung von Freigaben in de
Seite 171 und 172:
Erzwinge Datei-Modus 10.2 Verwaltun
Seite 173 und 174:
Richtlinie für das Caching beim Cl
Seite 175 und 176:
11 Druckdienste Inhaltsverzeichnis
Seite 177 und 178:
Abbildung 11.1: Anlegen einer Druck
Seite 179 und 180:
11.3 Konfiguration von Druckerfreig
Seite 181 und 182:
11.4 Konfiguration von Druckergrupp
Seite 183 und 184:
11.7 Einbinden von Druckerfreigaben
Seite 185 und 186:
12 Maildienste Inhaltsverzeichnis 1
Seite 187 und 188:
12.3 Verwaltung der Mailserver-Date
Seite 189 und 190:
Seite 191 und 192:
Seite 193 und 194:
mit der Univention Configuration Re
Seite 195 und 196:
12.7 Webmail und Verwaltung von E-M
Seite 197 und 198:
12.7 Webmail und Verwaltung von E-M
Seite 199 und 200:
13 Infrastruktur-Monitoring mit Nag
Seite 201 und 202:
13.2 Installation Der Nagios-Client
Seite 203 und 204:
13.3 Konfiguration der Nagios-Über
Seite 205 und 206:
nagios-client installiert sein. Rei
Seite 207 und 208:
13.3 Konfiguration der Nagios-Über
Seite 209 und 210:
13.4 Abfrage des Systemstatus über
Seite 211 und 212:
14 Virtualisierung Inhaltsverzeichn
Seite 213 und 214:
14.3 Image-Dateien virtueller Masch
Seite 215 und 216:
14.6 Migration virtueller Maschinen
Seite 217 und 218:
14.7 Verwaltung virtueller Maschine
Seite 219 und 220:
Reiter ’Allgemein’ Name 14.7 Ve
Seite 221 und 222:
14.7 Verwaltung virtueller Maschine
Seite 223 und 224:
Literaturverzeichnis [1] Univention
Alle anzeigen

Handbuch - Univention

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?