Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
3 Domänendienste / LDAP-Verzeichnisdienst<br />
tenten an, über den neue Passwörter gesetzt werden können. Während der Installation wird automatisch<br />
eine neue Richtlinie default-user-password-admins erstellt, die mit den Mitgliedern der Gruppe User<br />
Password Admins bzw. mit einem entsprechenden Container im LDAP-Verzeichnis verknüpft werden<br />
kann.<br />
Die Richtlinie ermöglicht dabei die Suche nach Benutzern sowie die Ansicht aller Attribute eines Benutze-<br />
robjektes. Wird versucht, neben dem Passwort weitere Attribute zu modifizieren, für die keine ausreichen-<br />
den Zugriffsrechte auf das LDAP-Verzeichnis existieren, wird der Schreibzugriff vom <strong>Univention</strong> Directory<br />
Manager mit der Meldung Zugriff verweigert abgelehnt.<br />
Achtung:<br />
Das Paket ist auf dem Domaincontroller Master- sowie den Domaincontroller Backup-Systemen zu instal-<br />
lieren. Während der Installation wird der LDAP-Server neu gestartet und ist kurzzeitig nicht erreichbar.<br />
Um das Zurücksetzen von Passwörtern für bestimmte Benutzer (z.B. Domänen-Administratoren) zu<br />
verhindern, können die UIDs der zu schützenden Benutzer in der <strong>Univention</strong> Configuration Registry-<br />
Variable ldap/acl/user/passwordreset/protected/uid kommasepariert angegeben werden.<br />
Nach einer Änderung der Variable ist es erforderlich, den LDAP-Verzeichnisdienst über den Befehl<br />
/etc/init.d/slapd restart neu zu starten, damit die geänderten LDAP-ACLs wirksam werden.<br />
In der Standardeinstellung wird der Benutzer Administrator vor Passwortänderungen durch die Gruppe<br />
User Password Admins geschützt.<br />
Sollte für die Änderung des Passworts der Zugriff auf zusätzliche LDAP-Attribute not-<br />
wendig sein, können die Attributnamen in der <strong>Univention</strong> Configuration Registry-Variable<br />
ldap/acl/user/passwordreset/attributes ergänzt werden. Nach der Änderung ist zur Übernah-<br />
me ein Neustart des LDAP-Verzeichnisdienstes notwendig. Für eine UCS-Standard-Installation ist diese<br />
Variable bereits passend gesetzt.<br />
3.4.5 Name Service Switch / LDAP-NSS-Modul<br />
Die in <strong>Univention</strong> Corporate Server verwendete GNU C-Standardbibliothek (glibc) bietet eine modula-<br />
re Schnittstelle zur Auflösung von Namen von Benutzern, Gruppen und Rechnern, den Name Service<br />
Switch.<br />
Das LDAP-NSS-Modul wird auf UCS-Systemen standardmässig für den Zugriff auf die Domänen-<br />
Daten (z.B. Benutzer) verwendet. Das Modul greift dabei auf den in der <strong>Univention</strong> Configurati-<br />
on Registry-Variable ldap/server/name (und ggf. zusätzlich der <strong>Univention</strong> Configuration Registry-<br />
Variable ldap/server/addition) festgelegten LDAP-Server zu.<br />
Das Verhalten bei nicht erreichbarem LDAP-Server kann durch die <strong>Univention</strong> Configuration Registry-<br />
Variable nssldap/bindpolicy festgelegt werden. Standardmässig wird bei nicht erreichbarem Server<br />
eine erneute Verbindung aufgebaut. Wird die Variable auf soft gesetzt, wird kein erneuter Verbindungs-<br />
aufbau durchgeführt. Dies kann den Boot eines Systems mit nicht erreichbarem LDAP-Server - z.B. in<br />
einer abgeschottenen Testumgebung - deutlich beschleunigen.<br />
3.4.6 Syncrepl zur Anbindung von Nicht-UCS OpenLDAP-Servern<br />
Für die Anbindung von nicht auf UCS-Systemen installierten OpenLDAP-Servern an das UCS-<br />
Managementsystem kann parallel zum Notifier-Dienst der Syncrepl-Replikations-Dienst aktiviert werden.<br />
44