Handbuch - Univention
Handbuch - Univention
Handbuch - Univention
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
5 Benutzerverwaltung<br />
70<br />
Karteikarte ’Konto’<br />
Konto-Deaktivierung<br />
Mit dem Auswahlfeld Konto-Deaktivierung kann das Benutzerkonto für ein oder mehrere Anmelde-<br />
verfahren deaktiviert werden. Solange der jeweilige Konto-Typ deaktiviert ist, kann sich der Benutzer<br />
nicht am System anmelden. Ein typischer Anwendungsfall ist ein Benutzer, der das Unternehmen ver-<br />
lassen hat. Eine Kontodeaktivierung kann in einer heterogenen Umgebung ggf. auch durch externe<br />
Tools ausgelöst werden, das Auswahlfeld spiegelt dann den Zustand des Kontos wieder. Normaler-<br />
weise sollten Benutzer immer für alle Konto-Typen deaktiviert werden. Folgende Deaktivierungszu-<br />
stände können umgesetzt werden:<br />
• Keine - Der Grundzustand; alle Anmeldungen sind möglich.<br />
• Alle deaktiviert - Alle Kontotypen sind gesperrt.<br />
• Windows deaktiviert<br />
• Kerberos deaktiviert<br />
• POSIX deaktiviert<br />
• Windows und POSIX deaktiviert<br />
• Windows und Kerberos deaktiviert<br />
• POSIX und Kerberos deaktiviert<br />
Folgende Querbeziehungen zwischen den verschiedenen Anmeldeverfahren ergeben sich aus der<br />
UCS-PAM-Konfiguration:<br />
• Die Linux-Anmeldung (z.B. an GDM oder einem tty) wird nur deaktiviert, wenn alle Anmelde-<br />
verfahren deaktiviert werden; ein deaktiviertes POSIX-Konto reicht dazu nicht aus.<br />
• Samba setzt ein nicht deaktiviertes POSIX-Konto voraus, d.h. durch das Deaktivieren des<br />
POSIX-Kontos wird auch Samba deaktiviert.<br />
• Die Kerberos-Bibliothek (Heimdal) wertet auch die Samba-Kontoeinstellungen aus, d.h. durch<br />
das Deaktivieren des Windows-Kontos wird auch Kerberos deaktiviert.<br />
Gesperrte Anmeldeverfahren<br />
Mit diesem Auswahlfeld können einzelne Anmeldeverfahren gesperrt werden. Dies kann beispielswei-<br />
se aus Sicherheitsgründen automatisch erfolgen, wenn ein Benutzer sein Passwort zu oft fehlerhaft<br />
eingegeben hat, siehe Kapitel 5.3.<br />
Normalerweise sollten Benutzer immer für alle Anmeldeverfahren gesperrt werden.<br />
Im Gegensatz zur Konto-Deaktivierung wird dabei nicht das Konto deaktiviert, sondern nur die<br />
Anmeldung verweigert. Folgende Anmeldeverfahren können eingeschränkt werden:<br />
• Kein gesperrtes Anmeldeverfahren<br />
• Alle Anmeldeverfahren sind gesperrt