Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
3.4 LDAP-Verzeichnisdienst<br />
Wert auf 0 gesetzt wird, wird kein Ablaufzeitraum angewendet. Seit UCS 3.0 beträgt der Ablaufzeitraum<br />
standardmäßig sechs Minuten.<br />
3.4.4 Zugriffskontrolle auf das LDAP-Verzeichnis<br />
Der Zugriff auf die Informationen im LDAP-Verzeichnis wird serverseitig durch Access<br />
Control Lists (ACLs) geregelt. Die ACLs werden in der zentralen Konfigurations-Datei<br />
/etc/ldap/slapd.conf definiert und über <strong>Univention</strong> Configuration Registry verwaltet. Die<br />
slapd.conf wird dabei durch ein Multifile-Template verwaltet; weitere ACL-Elemente kön-<br />
nen unterhalb von /etc/univention/templates/files/etc/ldap/slapd.conf.d/<br />
zwischen den Dateien 60univention-ldap-server_acl-master und<br />
70univention-ldap-server_acl-master-end eingefügt werden oder die bestehenden Tem-<br />
plates erweitert werden.<br />
Die Grundeinstellung des LDAP-Servers bei Neuinstallationen mit UCS erlaubt keinen anonymen Zu-<br />
griff auf das LDAP-Verzeichnis. Dieses Verhalten kann mit der <strong>Univention</strong> Configuration Registry-Variable<br />
ldap/acl/read/anonymous konfiguriert werden. Einzelne IP-Adressen können über die <strong>Univention</strong><br />
Configuration Registry-Variable ldap/acl/read/ips für den anonymen Lesezugriff freigeschaltet wer-<br />
den.<br />
Nach erfolgreicher Authentifizierung am LDAP-Server können alle Attribute eines Benutzer-Kontos von<br />
diesem Benutzer ausgelesen werden. Das Tool univention-ldapsearch vereinfacht die authentifizier-<br />
te Suche im LDAP-Verzeichnis.<br />
Ein zusätzlicher, interner Account, der Root-DN, besitzt darüberhinaus auch schreibenden Voll-Zugriff.<br />
Unter UCS gibt es darüberhinaus einige standardmässig installierte ACLs, die den Zugriff auf sensitive<br />
Daten unterbinden (z.B. auf das Benutzerpasswort) und für den Betrieb notwendige Regeln setzen (etwa<br />
nötige Zugriffe auf Rechnerkonten für Anmeldungen). Der lesende und schreibende Zugriff auf diese sensi-<br />
tiven Daten ist nur für die Mitglieder der Gruppe Domain Admins vorgesehen. Dabei werden auch enthal-<br />
tene Gruppen unterstützt. Mit der <strong>Univention</strong> Configuration Registry-Variable ldap/acl/nestedgroups<br />
kann diese Gruppen-in-Gruppen-Funktionalität für die LDAP-ACLs deaktiviert werden, wodurch eine Ge-<br />
schwindigkeitssteigerung bei den Verzeichnisdienst-Anfragen zu erwarten ist.<br />
3.4.4.1 Delegation des Zurücksetzens von Benutzerpasswörtern<br />
Um einer Teilgruppe von Administratoren mit eingeschränkten Rechten, z.B. einem Helpdesk, das<br />
Zurücksetzen von Benutzerpasswörtern zu ermöglichen, kann das Paket univention-admingrp-user-<br />
passwordreset installiert werden. Es legt über ein Joinskript die Benutzergruppe User Password Ad-<br />
mins an, sofern diese noch nicht existiert.<br />
Mitglieder dieser Gruppe erhalten über zusätzliche LDAP-ACLs die Berechtigung, Passwörter von an-<br />
deren Benutzern zurückzusetzen. Diese LDAP-ACLs werden bei der Paketinstallation automatisch akti-<br />
viert. Um eine andere ggf. schon existierende Gruppe statt der Gruppe User Password Admins zu ver-<br />
wenden, kann der DN der zu verwendenden Gruppe in die <strong>Univention</strong> Configuration Registry-Variable<br />
ldap/acl/user/passwordreset/accesslist/groups/dn eingetragen werden. Nach der Ände-<br />
rung ist ein Neustart des LDAP-Servers erforderlich.<br />
Das Zurücksetzen der Passwörter kann über den <strong>Univention</strong> Directory Manager erfolgen. In der Standar-<br />
deinstellung bietet <strong>Univention</strong> Directory Manager nur dem Benutzer Administrator den Benutzer-Assis-<br />
43