UCS-Handbuch - Univention

Univention Corporate Server 

Handbuch für Benutzer und Administratoren

Version 2.4 

Revision 8447 

Stand: 3. April 2011 

Alle Rechte vorbehalten. / All rights reserved. 

(c) 2002 bis 2011 

Univention GmbH 

Mary-Somerville-Straße 1 

28359 Bremen 

Deutschland 

feedback@univention.de 

Jede aufgeführte Marke und jedes Warenzeichen steht im Eigentum ihrer jeweiligen eingetragenen Rechts- 

inhaber. Linux ist ein eingetragenes Warenzeichen von Linus Torvalds. 

The mentioned brand names and registered trademarks are owned by the respective legal owners in each 

case. Linux is a registered trademark of Linus Torvalds.

Inhaltsverzeichnis 

1 Einführung 11 

1.1 Was ist Univention Corporate Server? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

1.2 Überblick über UCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

1.3 Weitere Dokumentationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

1.4 Verwendete Symbole und Konventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

2 Domänenkonzept 17 

2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

2.2 UCS-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

2.2.1 Domänencontroller Master . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

2.2.2 Domänencontroller Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

2.2.3 Domänencontroller Slave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.4 Member-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.5 Basissystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.6 Managed Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.7 Mobile Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

2.2.8 Thin Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

2.3 Systemrollen in Windows-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

2.3.1 Wie sind diese Rollen in das UCS-Konzept integriert? . . . . . . . . . . . . . . . . . 20 

2.4 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 

2.4.1 Domänenbeitritt von UCS-Systemen . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 

2.4.2 Windows-Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 

2.4.3 Rotation von Maschinenpasswörtern . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

3 Installation 27 

3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 

3.2 Textbasierte Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

3.2.1 Bedienung des Installers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 

3.2.2 Ablauf der textbasierten Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 

3.3 Hardwareabhängige Installationsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 

3.3.1 Starten der Installation mit zusätzlichen Kernelparametern . . . . . . . . . . . . . . 41 

3.3.2 Zusätzliche Kernelparameter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 

3.3.3 Anpassung der automatischen Hardwareerkennung . . . . . . . . . . . . . . . . . . 42 

3.4 Lizenz installieren und aktualisieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

3.5 Software nachinstallieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

4 Univention Directory Manager 45 

3


4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 

4.2 Hinweise zur Programmbedienung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 

4.2.1 Hinweise zu Listenfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

4.2.2 Hinweise zu Mehrfachauswahlfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

4.3 Univention Directory Manager-Assistenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

4.3.1 Untermenü ”Suchen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 

4.3.2 Untermenü ”Hinzufügen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 

4.4 Navigation / LDAP-Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 

4.4.1 Im Verzeichnisbaum navigieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 

4.4.2 Objekte in der Navigation anzeigen und bearbeiten . . . . . . . . . . . . . . . . . . . 56 

4.5 Univention Directory Manager Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

4.5.1 Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 

4.5.2 Gruppenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 

4.5.3 Netzwerkverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 

4.5.4 Rechnerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 

4.5.5 Freigabeverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 

4.5.6 Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 

4.5.7 Druckerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 

4.5.8 Container, Organisationseinheiten, Domänen . . . . . . . . . . . . . . . . . . . . . . 100 

4.5.9 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 

4.5.10 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 

4.5.11 Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 

4.5.12 Univention Directory Manager Einstellungen . . . . . . . . . . . . . . . . . . . . . . 143 

4.5.13 Benutzerdefinierte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 

4.5.14 Erweiterte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 

4.6 Richtlinien gesteuerte Ansichten des Univention Directory Manager Web-Frontends . . . . 161 

5 Univention Management Console 167 

4 

5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

5.2 Aufbau der Web-Oberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

5.2.1 Anmeldemaske . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

5.2.2 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 

5.3 Standard-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 

5.3.1 System Statistiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 

5.3.2 Kernel Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

5.3.3 VNC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

5.3.4 Systeminformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 

5.3.5 Univention Configuration Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 

5.3.6 Drucker Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 

5.3.7 Prozessübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 

5.3.8 Dateisystem-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 

5.3.9 System-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 

5.3.10 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 

5.3.11 Software Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178


5.3.12 Neustarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 

5.3.13 Online-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 

5.4 Wizards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

5.4.1 Basis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

5.4.2 Nagios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

5.4.3 Mail-Server Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 

6 Univention Virtual Machine Manager (UVMM) 185 

6.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

6.1.1 Paravirtualisierung / virtIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

6.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 

6.3 Verwaltung virtueller Maschinen mit UVMM . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 

6.3.1 Erstellen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 

6.3.2 Bearbeiten der Einstellungen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . 188 

7 UCS Verzeichnisdienst 195 

7.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

7.2 Protokollierung von LDAP-Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

7.2.1 Installation und Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

7.2.2 Format der Log-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 

7.3 Timeout für inaktive LDAP-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

7.4 Konfiguration von LDAP-ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

7.4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

7.4.2 Definition der Objekte, auf die eine Regel gilt (access to) . . . . . . . . . . . . . . . 198 

7.4.3 Definition der Zugriffsberechtigten auf die Objekte . . . . . . . . . . . . . . . . . . . 198 

7.4.4 Definition der Berechtigung auf die Objekte . . . . . . . . . . . . . . . . . . . . . . . 199 

7.4.5 Definition der Verarbeitung weiterer Regeln bei angewendeten Regeln . . . . . . . . 200 

7.4.6 Delegation des Zurücksetzens von Benutzerpasswörtern . . . . . . . . . . . . . . . 200 

8 Services für Windows 203 

8.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

8.2 Univention Corporate Server und Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

8.2.1 Authentifizierungsdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

8.2.2 Dateidienst (File-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

8.2.3 Druckdienst (Print-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

8.2.4 NetBIOS-Netzwerkdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

8.3 Aufbau von Samba-Domänen mit UCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 

8.4 Erweiterte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

8.4.1 Vertrauensstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

8.4.2 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 

8.4.3 NETLOGON-Freigabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

8.4.4 Anlegen von Objekten im LDAP-Verzeichnis über Samba . . . . . . . . . . . . . . . 214 

8.4.5 Konfiguration von Windows-Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . 214 

8.4.6 Konfiguration von Samba-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 

5


9 Desktop-Systeme 221 

9.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 

9.2 Desktop-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 

9.2.1 Thin Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 

9.2.2 Managed Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 

9.2.3 Mobile Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 

9.3 Einstellungen im Univention Directory Manager für Desktop-Systeme . . . . . . . . . . . . 223 

9.3.1 Grafische Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 

9.3.2 Anbindung an Serversysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 

9.3.3 Autostart-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 

9.3.4 NX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 

9.4 VNC-Desktopfreigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 

9.4.1 Konfiguration des VNC-Zugangs auf Thin Clients . . . . . . . . . . . . . . . . . . . . 226 

9.4.2 Konfiguration des VNC-Zugangs auf Managed/Mobile Clients . . . . . . . . . . . . . 226 

9.5 Thin Client-Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 

9.5.1 Unterstützung des Starts von Compact Flash-Karten oder USB-Sticks . . . . . . . . 229 

9.5.2 Thin Client Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 

9.6 Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 

9.6.1 Erzeugen von neuen Heimatverzeichnissen . . . . . . . . . . . . . . . . . . . . . . . 234 

9.6.2 Ändern des Standardinhalts von Heimatverzeichnissen . . . . . . . . . . . . . . . . 234 

9.6.3 Setzen von Umgebungsvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 

9.7 Globale Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 

9.7.1 Erstellen und Verwalten globaler Heimatverzeichnisse . . . . . . . . . . . . . . . . . 236 

10 Basis-Systemdienste 241 

6 

10.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

10.2 Server-Startseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

10.3 Paketfilter mit Univention Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

10.3.1 Service-Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

10.3.2 Service-Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

10.3.3 Lokale Filterregeln durch Univention Configuration Registry . . . . . . . . . . . . . . 244 

10.3.4 Lokale Filterregeln durch iptables-Kommandos . . . . . . . . . . . . . . . . . . . . . 245 

10.3.5 Testen von Univention Firewall-Einstellungen . . . . . . . . . . . . . . . . . . . . . . 245 

10.4 Authentifizierung / PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 

10.4.1 Automatisches Sperren von Benutzer nach fehlgeschlagenen Anmeldungen . . . . 247 

10.5 Netz-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 

10.5.1 Netzwerk-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 

10.5.2 DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

10.5.3 Proxy-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

10.6 Protokollierung von Systemmeldungen und -zuständen . . . . . . . . . . . . . . . . . . . . 249 

10.6.1 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

10.6.2 Protokollierung des Systemzustands . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 

10.7 Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 

10.7.1 Verfügbare Kernel-Varianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250


10.7.2 Treiber-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 

10.8 GRUB Boot-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 

10.9 Ausführen von wiederkehrenden Aktionen mit Cron . . . . . . . . . . . . . . . . . . . . . . . 252 

10.9.1 Stündliches/tägliches/wöchentliches/monatliches Ausführen von Skripten . . . . . . 253 

10.9.2 Definition eigener Cron-Jobs in /etc/cron.d . . . . . . . . . . . . . . . . . . . . . . . 253 

10.9.3 Definition eigener Cron-Jobs in Univention Configuration Registry . . . . . . . . . . 253 

10.10Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 

10.11Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 

10.11.1Name Service Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 

10.11.2LDAP-NSS-Modul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 

10.11.3Name Server Cache Daemon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 

10.11.4Konfiguration von /etc/hosts in Univention Configuration Registry . . . . . . . . . . . 256 

10.12SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 

10.13Zeitsynchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 

11 Softwarepflege 259 

11.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 

11.2 UCS Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 

11.2.1 UCS-Security-Updates und Hotfixes . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 

11.2.2 UCS-Release-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 

11.3 Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 

11.3.1 Repository-Server zuweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 

11.3.2 Aktualisierung von Paketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 

11.3.3 Hinzufügen von Komponenten-Repositories . . . . . . . . . . . . . . . . . . . . . . . 265 

11.3.4 Verwalten von Paketlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 

11.3.5 Release-Aktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 

11.3.6 Manuelle Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 

11.4 Software-Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 

11.5 Repository-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 

11.5.1 Anlegen eines Repository . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 

11.5.2 Pakete hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 

11.5.3 Pakete entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 

11.5.4 Zusammenführen von Repositorys . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 

11.5.5 Repository-Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 

12 Mail 277 

12.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 

12.2 Basis-Maildienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 

12.3 Einrichtung des Mail-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 

12.3.1 SMTP-Server (Postfix) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 

12.3.2 IMAP/POP3-Server (Cyrus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

12.3.3 Mail-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

12.3.4 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 

12.4 Spamfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 

7


12.5 Virenfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 

12.6 Konfiguration von Mail-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 

12.6.1 Kontact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 

12.6.2 Outlook Express . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 

13 Druckdienste 289 

13.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 

13.2 Druckserver installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 

13.2.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 

13.2.2 Serversysteme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.3 Windows-Systeme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.4 Thin Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.5 Managed/Mobile Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.6 Richtlinienbasierte Zuweisung eines Druck-Servers . . . . . . . . . . . . . . . . . . 292 

13.3 Druckerfreigaben konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 

13.3.1 Einrichtung eines lokal angeschlossenen Druckers . . . . . . . . . . . . . . . . . . . 292 

13.3.2 Netzwerkdrucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 

13.3.3 PDF-Drucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 

13.3.4 Druckergruppen einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 

13.4 Druckfreigaben unter Windows einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 

13.5 Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 

13.5.1 Aktivierung der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 

13.5.2 Erstellen einer Druck-Quota-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . 297 

13.5.3 Auswerten der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 

13.5.4 Modifizieren der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 

13.6 Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

13.6.1 Einstellungen für Druck-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

13.6.2 Einstellungen für die Authentifizierung an Druckerfreigaben . . . . . . . . . . . . . . 301 

13.6.3 Einstellungen für Druck-Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

13.6.4 Einstellungen für Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

14 Univention Configuration Registry 303 

8 

14.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 

14.2 Anzeige der aktuellen Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 

14.3 Übernahme von Variablen in Shell-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 

14.4 Ändern von Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . 306 

14.5 Anlegen neuer Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . 307 

14.6 Löschen von Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . 307 

14.7 Registrierung von Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . 307 

14.8 Neuerzeugung von Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 

14.9 Richtlinienbasierte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 

14.9.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 

14.9.2 Konfiguration der Richtlinie im Univention Directory Manager . . . . . . . . . . . . . 310 

14.10Univention Configuration Registry in selbst erstellten Paketen . . . . . . . . . . . . . . . . . 311


14.11Einbinden zusätzlicher Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . 313 

14.12Integration von Python-Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 

15 Univention System Setup 315 

15.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 

15.2 Univention System Setup-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 

15.2.1 Basis-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 

15.2.2 Tastatur-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 

15.2.3 Sprach-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 

15.2.4 Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 

15.2.5 Software-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 

15.2.6 Zeitzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 

15.3 Univention System Setup-Event-Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . 323 

15.4 Konfiguration für Aufruf zum Systemstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 

15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart . . . . . . . . . . 325 

16 Häufig gestellte Fragen (FAQ) 327 

16.1 Wie ersetze ich den DC Master durch den DC Backup? . . . . . . . . . . . . . . . . . . . . 327 

16.2 Wie kann ich Microsoft TrueType-Fonts nachinstallieren? . . . . . . . . . . . . . . . . . . . . 328 

16.3 Wie ändert ein Benutzer sein Passwort? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.1 Am Linux-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.2 Am Windows-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.3 Bei der Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.4 Über Univention Directory Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.4 Wie wird das Passwort von root geändert? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

16.5 Welche Kriterien muss ein Passwort erfüllen? . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

16.6 Einzelne Webseiten können nicht erreicht werden . . . . . . . . . . . . . . . . . . . . . . . 330 

16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients Anmeldeprobleme auf . . 331 

16.8 Wie ändere ich den Timeout von Univention Directory Manager? . . . . . . . . . . . . . . . 331 

16.9 Warum werden NFS-Freigaben beim Boot nicht gemountet? . . . . . . . . . . . . . . . . . . 332 

16.10Was bedeutet ”No DB-Server-Name found.” ? . . . . . . . . . . . . . . . . . . . . . . . . . . 332 

16.11Rechnername und Netzwerkeinstellungen unter Windows XP Prof. . . . . . . . . . . . . . . 333 

16.12Doppelte Anmeldung an Windows-Terminalserver verhindern . . . . . . . . . . . . . . . . . 334 

Hinweise auf weitere Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 

9


10

1 Einführung 


1.1 Was ist Univention Corporate Server? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

1.2 Überblick über UCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 

1.3 Weitere Dokumentationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

1.4 Verwendete Symbole und Konventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 

1.1 Was ist Univention Corporate Server? 

Univention Corporate Server (UCS) ist ein Linux-basiertes Betriebssystem, das vom Server bis zum Client 

ein durchgängiges Gesamtkonzept mit einheitlicher und zentraler Administration umsetzt. Dabei macht es 

ausgiebigen Gebrauch von einem umfangreichen Domänenkonzept. 

UCS setzt sich aus drei Hauptbestandteilen zusammen: 

1. UCS-Basissystem 

2. Univention Management System 

3. UCS-Komponenten 

Das Basissystem umfasst das Betriebssystem (die UCS-Linux-Distribution auf Basis von Debian GNU/- 

Linux) sowie Werkzeuge zur Installation, zur Aktualisierung und zur lokalen Konfiguration von Clients und 

Servern. 

Das Univention Management System realisiert einen Single-Point-of-Administration, über den die Kon- 

ten aller Domänenmitglieder (Benutzer, Gruppen und Rechner) und Dienste wie DNS und DHCP in 

einem Verzeichnisdienst verwaltet werden. Dafür bedient es sich der Standardkomponenten OpenLDAP, 

Kerberos, DNS und SSL. Es lässt sich sowohl über eine webbasierte als auch über eine kommandozei- 

lenbasierte Schnittstelle verwenden. Es ist erweiterbar und besitzt eine flexible Client-Server-Architektur, 

durch die Änderungen auf die davon betroffenen Systeme übertragen und dort aktiviert werden. 

Die UCS-Komponenten erweitern das System um zahlreiche Funktionen wie Thin-Client-Infrastruktur, 

Terminal-Services, Groupware oder Services für Windows, die sich ebenfalls in das Univention Manage- 

ment System einfügen. 

UCS ermöglicht die einfache, komfortable Verwaltung einzelner Server, aber auch die Administration kom- 

plexer Berechtigungsstrukturen großer Organisationen mit vielen Standorten, Servern, Clients und mehre- 

ren zehntausend Benutzern. Durch seinen modularen Aufbau lässt es sich sehr einfach um zusätzliche 

oder kundenspezifische Features erweitern. 

11

1 Einführung 

1.2 Überblick über UCS 

Als Betriebssystem, das von Anfang an für den Multiuser- und Multitasking-Einsatz vorgesehen war und 

stets Wert auf Stabilität, Sicherheit und die Kompatibilität zu anderen Betriebssystemen legte, ist Linux 

prädestiniert für den Einsatz in komplexen Umgebungen. Allerdings gilt traditionell die Administration von 

Linux-Systemen als schwierig und wenig komfortabel. An diesem Punkt setzt UCS an. 

UCS ermöglicht den Einsatz von Linux als zentrale und wirtschaftliche Komponente in Ihrer IT-Infrastruktur. 

Alle unternehmenskritischen Anwendungen sind in ein einheitliches Konzept integriert, aufeinander abge- 

stimmt und für den professionellen Einsatz vorkonfiguriert. Es eignet sich gleichermaßen für kleine Organi- 

sationen mit wenigen Servern und Clients wie für komplexe, heterogene Umgebungen, in denen mehrere 

zehntausend Benutzer Rechner mit verschiedenen Betriebssystemen und Aufgaben einsetzen. 

Der Einsatz von UCS beginnt mit der problemlosen Installation, die interaktiv oder vollautomatisch, von 

CD-ROM beziehungsweise DVD oder über das Netzwerk erfolgen kann. Während der Installation wird 

dem Rechner eine Systemrolle zugewiesen. Bei UCS sind ähnlich wie bei Windows alle Server, Clients 

und Benutzer in einen gemeinsamen Sicherheits- und Vertrauenskontext, die UCS-Domäne, eingebet- 

tet. Dementsprechend stehen als Systemrollen Domänencontroller, Memberserver und Clients zur Wahl. 

Ausserdem können Stand-alone-Server aufgesetzt werden, die unabhängig von einer Domäne sind. 

Abhängig von der Systemrolle werden neben dem Betriebssystem grundlegende Dienste wie Kerberos, 

OpenLDAP, Module für einen Notification-Mechanismus oder eine Root-CA (Zertifizierungsstelle) auf dem 

Rechner installiert und automatisch für die gewählte Systemrolle konfiguriert. Das manuelle Einrichten und 

Konfigurieren jedes einzelnen Dienstes und jeder einzelnen Anwendung erübrigt sich damit. Durch den 

modularen Aufbau lassen sich dennoch auf individuelle Bedürfnisse zugeschnittene Lösungen umsetzen. 

Über die Auswahl verschiedener zusätzlicher Komponenten während der Installation lässt sich der Funkti- 

onsumfang eines Rechners gezielt erweitern. Durch den modularen Aufbau skaliert UCS gut und lässt sich 

problemlos um kundenspezifische Features ergänzen. Die Komponenten können ebenfalls ohne aufwendi- 

ge Konfigurationsarbeiten eingesetzt werden, denn sie sind auf das Gesamtkonzept von UCS abgestimmt 

und fügen sich nahtlos in das Univention Management System ein. 

Mit dem Univention Management System können alle Bestandteile der UCS-Domäne über Rechner-, 

Betriebssystem- und Standortgrenzen hinweg organisationsweit zentral verwaltet werden. Es steht so- 

mit ein echter Single-Point-of-Administration für die Domäne zur Verfügung. Ein tragendes Element des 

Univention Management Systems ist ein LDAP-Verzeichnis, in dem alle verwaltungsrelevanten Daten vor- 

gehalten werden. Dort wird neben Benutzerkonten und Ähnlichem auch die Konfiguration von Diensten 

wie DHCP gespeichert. Die zentrale Datenhaltung im LDAP-Verzeichnis erspart nicht nur die wiederholte 

Eingabe derselben Daten in verschiedene Konfigurationsdateien, sondern verringert auch die Wahrschein- 

lichkeit von Fehlern und Inkonsistenzen erheblich. 

Ein LDAP-Verzeichnis ist eine baumartige Struktur, deren Wurzel die Basis der UCS-Domäne bildet. Die 

UCS-Domäne ist ein Sicherheits- und Vertrauenskontext für ihre Mitglieder. Bei Benutzern begründet ein 

Konto im LDAP-Verzeichnis die Mitgliedschaft in der UCS-Domäne. Rechner werden durch Beitritt Mitglied. 

Auch Windows-Benutzer und -Rechner können in die Domäne aufgenommen werden. 

Bei der Anmeldung an die Domäne wird der Benutzer gegen das LDAP-Verzeichnis authentifiziert und 

erhält ein Kerberos-Ticket. Anschließend kann er auf alle Ressourcen der Domäne, wie Dateien, Anwen- 

12

1.2 Überblick über UCS 

dungen und Rechner, seinen Rechten entsprechend zugreifen, ohne sein Passwort erneut einzugeben, 

weil ihn sein Kerberos-Ticket intern authentifiziert (Für einige Dienste steht die Implementierung dieses 

Single-Sign-on noch aus). 

UCS setzt als Verzeichnisdienst OpenLDAP ein. Das Verzeichnis wird vom Domänencontroller Master be- 

reitgestellt und auf alle anderen Domänencontroller (DC) in der Domäne repliziert. Weil ein DC Backup 

im Notfall den DC Master ersetzen soll, wird immer das komplette LDAP-Verzeichnis auf ihn repliziert. Die 

Replikation auf DC Slaves kann dagegen mithilfe von ACLs (Access Control Lists) auf beliebige Berei- 

che des LDAP-Verzeichnisses beschränkt werden, wodurch eine selektive Replikation erreicht wird. Dies 

kann z.B. dann gewünscht sein, wenn Daten aus Sicherheitsgründen auf möglichst wenigen Servern ge- 

speichert werden sollen. Damit diese und andere Daten verschlüsselt übertragen werden können, ist in 

UCS eine Root-CA (Zertifizierungsstelle) integriert. Der Zugang zum LDAP-Verzeichnis erfolgt über das 

Programm Univention Directory Manager, das über ein Web-Frontend und eine Kommandozeilen-Schnitt- 

stelle verfügt. Letztere eignet sich besonders, um Administrationsaufgaben mit Skripten zu erledigen. Das 

Web-Frontend ist eine graphische Oberfläche, die sich intuitiv bedienen lässt. Mit Univention Directory 

Manager kann prinzipiell von jedem beliebigen Ort aus auf das LDAP-Verzeichnis zugegriffen werden. 

Mit Univention Directory Manager können Daten in das LDAP-Verzeichnis eingetragen und die Daten be- 

trachtet, bearbeitet und gelöscht werden. Auch die Suche — gefiltert nach einer Vielzahl von Kriterien 

— ist möglich. Im Web-Frontend stehen Assistenten zur Verwaltung von Benutzern, Gruppen, Netzwer- 

ken, Rechnern, Verzeichnisfreigaben und Druckern zur Verfügung. Die Rechnerverwaltung umfasst auch 

umfangreiche Funktionen zur Verteilung und Aktualisierung von Software. 

Fortgeschrittene Einstellungen wie DHCP, DNS, Richtlinien und die Einstellungen für Univention Directory 

Manager selbst, sind über den Verzeichnis-Browser des Web-Frontends zugänglich. Auch hier können 

problemlos kundenspezifische Objektklassen und Attribute hinzugefügt werden. 

Richtlinien erleichtern die Administration, da eine Richtlinie die enthaltenen Einstellungen an alle mit ihr 

verbundenen Objekte weiter gibt. Diese Objekte wiederum vererben die Einstellungen an die ihnen nach- 

geordneten Objekte. 

Werden zum Beispiel an verschiedenen Stellen im Unternehmen Rechner mit dem gleichen Bildschirm 

verwendet, so müssen die Grafik-Einstellungen nur einmal in einer Richtlinie zusammengefasst und mit 

den betroffenen Rechnern verbunden werden. Wenn die Einstellungen für alle Rechner eines Zweigs des 

LDAP-Verzeichnisbaums gelten sollen, so wird die Richtlinie an den Zweig gebunden. Über den Verer- 

bungsmechanismus gilt die Richtlinie dann für alle darunterliegenden Rechner. 

Ein weiteres wesentliches Element des Univention Management Systems stellt der Listener-/Notifier- 

Mechanismus dar. Dadurch lösen bestimmte Einträge im LDAP-Verzeichnis definierte Aktionen auf be- 

troffenen Rechnern aus. Wenn zum Beispiel mit Univention Directory Manager ein Verzeichnis auf einem 

bestimmten Server über NFS und Samba freigegeben wird, wird die Freigabe nicht nur in das LDAP- 

Verzeichnis eingetragen, sondern auch die NFS- und Samba-Konfigurationsdateien auf dem gewählten 

Server entsprechend erweitert. Außerdem wird das Verzeichnis im Dateisystem des gewählten Servers 

erstellt, falls es noch nicht existiert. Das Univention Management System sorgt also auch auf entfernten 

Rechnern automatisch für die Ausführung aller Schritte, die im Zusammenhang mit einem bestimmten 

Vorgang nötig sind. Der Listener-/Notifier-Mechanismus kann leicht um Module für weitere - auch kunden- 

spezifische - Vorgänge ergänzt werden. 

Neben Univention Directory Manager als Zugang zum LDAP-Verzeichnis mit den Domänendaten steht mit 

13

1 Einführung 

Univention Management Console ein Programm zur webbasierten Konfiguration und Administration der 

einzelnen Rechner zur Verfügung. Dies umfasst zum Beispiel das Setzen von Parametern, die automa- 

tisch in alle relevanten Konfigurationsdateien übertragen werden, die lokale Softwareverwaltung und die 

Überwachung und Steuerung von Diensten und Betriebssystem. Mit dem Univention Management Sys- 

tem ist also die Verwaltung sowohl der Domänendaten als auch der lokalen Rechnerdaten von jedem 

beliebigen Ort über komfortable graphische Web-Oberflächen möglich. 

1.3 Weitere Dokumentationen 

Dieses Handbuch behandelt nur einen kleinen Ausschnitt der Möglichkeiten von UCS. In UCS findet sich 

u.a.: 

• Umfangreiche Unterstützung für komplexe Serverumgebungen und Replikationsszenarien 

• Weitergehende Einsatzmöglichkeiten für Windows-Umgebungen (u.a. automatische Windows-Client- 

Installationen) 

• Zentrales Netzmanagement mit DNS und DHCP 

• System- und Netzüberwachung mit Nagios 

• Druckserver-Funktionalität 

• Thin-Client-Support 

• Fax-Dienst 

• Proxy-Server 

• Virtualisierung mit Xen 

• Integriertes Backup 

• Linux-Desktop für den Business-Einsatz 

Unter [1] sind weitere Dokumentationen zu UCS veröffentlicht, die weiterführende Themen behandeln. 

1.4 Verwendete Symbole und Konventionen 

Im Handbuch werden folgende Symbole verwendet: 

Achtung: 

Das Achtung-Symbol soll auf einen Sachverhalt aufmerksam machen, der an dieser Stelle beachtet wer- 

den sollte. 

14 

Infobox ’Konventionen’ 

Hinweis: 

Das Info-Symbol kennzeichnet Infoboxen, in denen Informationen zu einem bestimmten Thema zu- 

sammengefasst sind.

1.4 Verwendete Symbole und Konventionen 

Menüeinträge, Schaltflächenbeschriftungen und ähnliches sind fett gesetzt. 

[Schaltflächenbeschriftungen] sind zusätzlich durch eckige Klammern gekennzeichnet. 

Hinweise sind kursiv gesetzt. 

Computernamen, LDAP-DNs, Programmnamen, Dateinamen und -pfade, Internetadressen und Op- 

tionen werden ebenfalls optisch hervorgehoben. 

Befehle und andere Tastatureingaben sind in der Schriftart Courier gesetzt. 

Auszüge aus Konfigurationsdateien, Bildschirmausgaben und ähnliches haben 

zusätzlich einen grauen Hintergrund. 

Ein Backslash \ am Ende einer Zeile weist darauf hin, dass der folgende Zeilenumbruch nicht die Bedeu- 

tung eines End-of-Line hat. Das kommt z.B. bei Befehlen vor, die nicht in einer Zeile des Handbuches 

dargestellt werden können, an der Kommandozeile aber entweder ohne den Backslash in einem Stück 

oder mit dem Backslash und einem anschließenden Enter eingegeben werden müssen. 

Der Weg zu einer Funktion wird ähnlich wie ein Dateipfad dargestellt. Benutzer ➞ Hinzufügen bedeutet 

beispielsweise, dass im Hauptmenü auf Benutzer und im erscheinenden Untermenü auf Hinzufügen zu 

klicken ist. 

15

1 Einführung 

16

2 Domänenkonzept 


2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

2.2 UCS-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

2.2.1 Domänencontroller Master . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

2.2.2 Domänencontroller Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 

2.2.3 Domänencontroller Slave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.4 Member-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.5 Basissystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.6 Managed Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

2.2.7 Mobile Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

2.2.8 Thin Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

2.3 Systemrollen in Windows-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

2.3.1 Wie sind diese Rollen in das UCS-Konzept integriert? . . . . . . . . . . . . . . . . . 20 

2.4 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 

2.1 Einführung 

2.4.1 Domänenbeitritt von UCS-Systemen . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 

2.4.2 Windows-Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 

2.4.3 Rotation von Maschinenpasswörtern . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

Univention Corporate Server bietet ein plattformübergreifendes Domänenkonzept mit einem gemeinsamen 

Vertrauenskontext zwischen Linux- und Windows-Systemen. Innerhalb dieser Domäne ist ein Benutzer mit 

seinem im Univention Management System hinterlegten Benutzernamen und Passwort auf allen Systemen 

bekannt, und kann für ihn freigeschaltete Dienste nutzen. 

Die Replikation der Verzeichnisdaten innerhalb einer UCS-Domäne erfolgt über den Listener-/Notifier- 

Mechanismus: Auf dem Domänencontroller Master überwacht der Notifier-Dienst Änderungen im LDAP- 

Verzeichnis und stellt die aufgezeichneten Änderungen transaktionsbasiert den Listener-Diensten auf den 

weiteren Domänensystemen mit LDAP-Verzeichniskopie zur Verfügung. Die Verteilung der domänenwei- 

ten Datenänderungen beinhaltet neben der Replikation der LDAP-Inhalte auch eine Übertragung von Än- 

derungen an LDAP-Inhalten in Konfigurationsdateien nicht-LDAP-fähiger Dienste (wie z.B. NFS). Das fol- 

gende Schaubild gibt einen Überblick, für eine ausführlichere Dokumentation der technischen Verfahren 

und den Möglichkeiten der Fehleranalyse kann das technische Dokument [2] herangezogen werden. 

17


2.2 UCS-Systemrollen 

Abbildung 2.1: Listener/Notifier-Mechanismus 

In einer UCS-Domäne können Systeme in unterschiedlichen Systemrollen installiert werden. Im Folgen- 

den werden die verschiedenen Systemrollen kurz charakterisiert: 

2.2.1 Domänencontroller Master 

Auf dem Domänencontroller Master (kurz DC Master) befindet sich der Originaldatenbestand des gesam- 

ten LDAP-Verzeichnisses. Änderungen im LDAP-Verzeichnis werden nur auf diesem Server vorgenom- 

men. Deswegen muss dieser als erstes System in Betrieb genommen werden und kann innerhalb einer 

Domäne nur einmal existieren. Außerdem befindet sich die Root Certification Authority (Root-CA) auf dem 

DC Master. Alle ausgestellten SSL-Zertifikate werden auf dem DC Master archiviert. 

2.2.2 Domänencontroller Backup 

Auf Servern mit der Rolle Domänencontroller Backup (kurz DC Backup) befindet sich eine replizierte Kopie 

des gesamten LDAP-Verzeichnisses, die nicht verändert werden kann, da alle Schreibzugriffe grundsätz- 

lich am DC Master durchgeführt werden. Ausserdem wird eine Kopie aller SSL-Zertifikate einschließlich 

des privaten Schlüssels der Root-CA auf dem DC Backup vorgehalten. 

Die Root-CA wird auf dem DC Master bei der Installation erzeugt. Das Root-CA-Verzeichnis 

/etc/univention/ssl wird beim Domänenbeitritt zum DC Backup übertragen und anschließend syn- 

chron gehalten. Hierzu wird das Rechner-Konto in eine spezielle Gruppe (DC Backup Hosts) aufgenom- 

men. Nur diese Gruppe kann die kompletten Daten des Root-CA-Verzeichnisses lesen. Die Informationen 

des DC Master stehen in der Domäne also mehrmals zur Verfügung. Dadurch kann die Last zwischen 

18

2.2 UCS-Systemrollen 

DC Master und einem oder mehreren DC Backup verteilt werden und bei Ausfall eines Servers bleibt die 

Domäne durch den/die anderen Server arbeitsfähig. 

Der DC Backup dient somit als Sicherheitskopie des DC Master. Sollte der DC Master dauerhaft ausfallen, 

kann ein DC Backup innerhalb kürzester Zeit durch Aufruf des Befehls univention-backup2master 

die Rolle des DC Master dauerhaft übernehmen. Dies ist nur notwendig, wenn Änderungen am LDAP- 

Verzeichnis vorgenommen oder neue Zertifikate ausgestellt werden sollen, weil diese Aufgaben nur von 

einem DC Master durchgeführt werden können. 

2.2.3 Domänencontroller Slave 

Auf einem Domänencontroller Slave (kurz DC Slave) befindet sich eine replizierte Kopie des LDAP- 

Verzeichnisses, die nicht verändert werden kann, da alle Schreibzugriffe am DC Master durchgeführt 

werden. Die Kopie kann das gesamte Verzeichnis umfassen oder durch selektive Replikation auf an ei- 

nem Standort benötigte Daten eingeschränkt werden. 

Auf einem DC Slave wird nur das eigene und das öffentliche SSL-Zertifikat der Root-CA vorgehalten. 

Ein DC Slave-System kann nicht zum DC Master hochgestuft werden. 

2.2.4 Member-Server 

Member-Server sind Mitglieder einer LDAP-Domäne und bieten Dienste wie z.B. Datenspeicherung für 

die Domäne an. Auf einem Member-Server befindet sich keine Kopie des LDAP-Verzeichnisses. 

Auf ihm wird nur das eigene und das öffentliche SSL-Zertifikat der Root-CA vorgehalten. 

2.2.5 Basissystem 

Ein Basissystem ist ein eigenständiges System. Es ist nicht Mitglied einer Domäne und unterhält keine 

Vertrauensbeziehungen zu anderen Servern oder Domänen. 

Ein Basissystem bietet sich somit für Dienste an, die ausserhalb des Vertrauenskontextes der Domäne 

betrieben werden, etwa als Web-Server oder Firewall. 

Die Dienste eines Basissystems können nicht über das UCS-Managementsystem konfiguriert werden. Es 

können aber DNS- und DHCP-Einstellungen für Basissysteme über das Univention Management System, 

sofern das betreffende Basissystem als IP-Managed-Client im Verzeichnisdienst eingetragen wurde (Siehe 

Kapitel 4.5.4). 

2.2.6 Managed Client 

Ein Managed Client ist ein PC mit Linux-Desktop, der Mitglied der UCS-Domäne ist. Er speichert stan- 

dardmäßig die Passwörter der letzten drei unterschiedlichen Benutzer zwischen, so dass für diese drei 

Benutzer eine Anmeldung auch ohne Netzwerkverbindung zu einem Domänencontroller möglich ist. An- 

wendungen werden lokal auf dem Client ausgeführt. Durch diese beiden Faktoren ist er weitgehend un- 

abhängig von Serversystemen. 

19


2.2.7 Mobile Client 

Ein Mobile Client bietet wie ein Managed Client einen Linux-Desktop an, behält die letzten drei Passwörter 

in seinem Cache und ist Mitglied der UCS-Domäne. Er bietet jedoch die Möglichkeit, speziell auf die 

Hardware von Notebooks abgestimmte Software zu pflegen. 

2.2.8 Thin Client 

Ein Thin Client ist ein festplattenloser Rechner, der über das Netz gebootet wird und der auf einem 

Terminal-Server (Linux oder Windows) ausgeführte Anwendungen darstellt. 

Auf dem Thin Client ist also kein Betriebssystem installiert, wodurch er sehr wartungsarm ist. 

2.3 Systemrollen in Windows-Domänen 

In einer Windows-NT-Domäne, die von UCS durch die Software Samba zur Verfügung gestellt wer- 

den kann, muss immer ein primärer Domänencontroller (PDC) vorhanden sein. Außerdem kann es 

Backup-Domänencontroller (BDC), Mitgliedsserver und Clients geben. Der PDC stellt dabei die Passwort- 

Datenbank bereit. BDCs beziehen eine Kopie der Passwort-Datenbank vom PDC, so dass sie den PDC 

entlasten oder bei einem Ausfall seine Rolle übernehmen können. Die Kopien sollten aber nicht direkt 

geändert werden. Änderungen werden gewöhnlich immer an den Originalen auf dem PDC vorgenommen 

und dann auf die BDCs repliziert. In einer Windows-NT-Domäne kann es nur eine Original-Passwort- 

Datenbank geben. Infolgedessen kann es auch nur einen PDC geben. Ein Mitgliedsserver stellt Diens- 

te wie z.B. Datenspeicherung zur Verfügung. Er hat im Gegensatz zu PDC und BDCs keine Passwort- 

Datenbank. 

2.3.1 Wie sind diese Rollen in das UCS-Konzept integriert? 

Unter UCS wird als Passwort-Datenbank und für weitere Administrationsaufgaben in der Windows- 

Domäne das LDAP-Verzeichnis eingesetzt. Weil das LDAP-Verzeichnis, an dem Änderungen vorgenom- 

men werden dürfen, vom DC Master bereitgestellt wird, übernimmt er in der Regel auch die Rolle des PD- 

Cs. BDCs befinden sich standardmäßig auf DC Backup oder DC Slave. Soll von diesem Schema abgewi- 

chen werden, wird ein LDAP-Referral genutzt, mithilfe dessen der PDC Änderungen im LDAP-Verzeichnis 

des DC Master vornehmen kann. Die Replikation zwischen Windows-NT-basierten Domänencontrollern 

und solchen auf der Basis von UCS ist nicht möglich. Deswegen müssen der PDC und alle BDCs in ei- 

ner Windows-Domäne auf Basis von UCS mit UCS realisiert werden, während Mitgliedsserver sowohl 

mit UCS als auch mit Windows betrieben werden können. PDC und BDCs geben sich gegenüber den 

Windows-Clients als solche aus, so dass Windows-Clients Operationen, bei denen die Benutzerdaten- 

bank verändert wird (z.B. das Ändern eines Benutzerpassworts) auf dem PDC durchführen. Die Replika- 

tion der Passwort-Datenbank erfolgt durch die Replikation des LDAP-Verzeichnisses. Die Replikation wird 

anhand der Systemrolle, die Sie bei der Installation eines Rechners angeben, automatisch eingerichtet. 

Eine manuelle Konfiguration ist auch dann nicht notwendig, wenn Sie zu einem späteren Zeitpunkt einen 

20

2.4 Domänenbeitritt 

weiteren Server zu der Domäne hinzufügen. Server und Clients, auf denen lokal ein Microsoft-Windows- 

Betriebssystem installiert ist, werden als Rechner vom Typ Windows im LDAP-Verzeichnis verwaltet. 


Alle Benutzer, Linux- und Windowssysteme innerhalb einer UCS-Domäne verfügen über ein Domänenkon- 

to. Mit diesem können sich die Systeme untereinander sowie der Benutzer gegenüber einem der Systeme 

oder Dienste authentifizieren. Das Konto wird über das Managementsystem sowohl für die Windows- 

Anmeldung als auch für Linux/Posix-Systeme und Kerberos synchron gehalten. 

Ein UCS- oder Windows-System muss nach der Installation der Domäne beitreten. Im Folgenden werden 

die verschiedenen Möglichkeiten hierzu vorgestellt: 

2.4.1 Domänenbeitritt von UCS-Systemen 

Es gibt drei Möglichkeiten ein UCS-System einer bestehenden Domäne beitreten zu lassen; direkt 

am Ende der Installation im Univention Installer (siehe Kapitel 13) oder nachträglich durch den Befehl 

univention-join bzw. mit der Univention Management Console. 

Der Domänencontroller Master sollte immer auf dem aktuellsten Release-Stand der Domäne installiert 

sein, da beim Join eines Systems in aktuellerer Version gegen einen älteren DC Master Probleme auftreten 

können. 

Beim Beitritt eines Rechners wird für diesen ein Rechnerkonto angelegt, die SSL-Zertifikate synchro- 

nisiert und ggf. eine LDAP-Replikation angestossen. Ausserdem werden am Ende des Join-Vorgangs 

Join-Skripte ausgeführt. Diese registrieren anhand der auf dem System installierten Software-Pakete 

z.B. weitere Objekte im Verzeichnis-Dienst. 

Der Domänenbeitritt wird auf Client-Seite in der Logdatei /var/log/univention/join.log aufge- 

zeichnet, die zur Fehleranalyse herangezogen werden kann. Auf dem Domänencontroller Master ausge- 

führte Aktionen werden in der Logdatei /home//.univention-server-join.log 

abgelegt. 

Der Join-Vorgang kann jederzeit wiederholt werden. Nach bestimmten administrativen Schritten (etwa 

nach Änderungen wichtiger Systemeigenschaften auf dem Domänencontroller Master) kann ein erneuter 

Beitritt der Systeme sogar zwingend erforderlich sein. 

2.4.1.1 Domänenbeitritt mit univention-join 

univention-join fragt eine Reihe essentieller Parameter direkt ab, ist aber auch durch mehrere Para- 

meter konfigurierbar: 

• Der Domänencontroller Master wird im Regelfall durch eine DNS-Abfrage ermittelt, wenn das nicht 

möglich sein sollte (z.B. weil ein Standortserver mit einer abweichenden DNS-Domäne beitreten 

soll), lässt sich der Rechnername des DC Master auch durch den Parameter -dcname HOSTNAME 

21


direkt angegeben werden. Der Rechnername muss dabei als vollqualifizierter Name angeben wer- 

den, also beispielsweise master.firma.de. 

Der DNS-Verweis kann auch auf einem bestehenden externen DNS-Server nachträg- 

lich eingerichtet werden. Dazu muss in der Zonendatei ein Service Record mit Namen 

_domaincontroller_master._tcp. hinzugefügt wer- 

den. Als Rechnername muss der vollständige Domänenname (FQDN) des DC Masters mit einem 

abschließendem Punkt eingetragen werden. 

• Als Join-Account wird ein Benutzerkonto bezeichnet, das berechtigt ist, Systeme der UCS-Domäne 

hinzuzufügen. Standardmäßig ist dies der Benutzer Administrator oder ein Mitglied der Gruppe Do- 

main Admins. Der Join-Account kann durch den Parameter -dcaccount ACCOUNTNAME über- 

geben werden. 

• Das Passwort kann durch den Parameter -dcpwd DATEI übergeben werden. Das Passwort wird 

dabei aus der angegebenen Datei ausgelesen. 

2.4.1.2 Domänenbeitritt mit Univention Management Console 

Der Domänenbeitritt kann auch webbasiert über die Univention Management Console erfolgen, die auf 

dem zu joinenden Rechner unter https:///univention-management-console/ 

aufgerufen werden kann. Da auf einem noch nicht der Domäne beigetretenen System der domänenweite 

Administrator-Benutzer noch nicht vorhanden ist, muss die Anmeldung an Univention Management Con- 

sole als Benutzer root erfolgen. 

Im UMC-Modul Domänenbeitritt muss der gleichnamige Button ausgewählt werden. In dem darauf fol- 

genden Dialog muss nun der Benutzername und das Passwort eines Benutzers eingetragen werden, der 

berechtigt ist, Rechner der Domäne hinzuzufügen. 

Wie beim Domänenbeitritt über die Kommandozeile ist es auch bei der Univention Management Con- 

sole erforderlich, dass ein DNS-Service-Record für den DC Master vorhanden ist. Es besteht hier keine 

Möglichkeit, den FQDN des DC Masters explizit anzugeben. 

Durch Betätigen der Schaltfläche [Erneuter Domänenbeitritt] wird der Join-Vorgang erneut gestartet 

(siehe Abbildung 2.2). Die dabei ausgegebenen Informationen können über Logdateien verfolgt werden. 

22 

Abbildung 2.2: Erneutes Joinen über Univention Management Console


Auf der Registerkarte Status des Domänenbeitritt werden zusätzlich bisher nicht initialisierte Dienste an- 

gezeigt. Durch Auswahl von [Erneut ausführen] kann dies für jeden einzelnen Dienst manuell nachgeholt 

werden. Auch hierbei muss der Benutzername und das Passwort eines Benutzers angegeben werden, der 

berechtigt ist, Rechner der Domäne hinzuzufügen. 

2.4.1.3 Nachträgliches Ausführen von Join-Skripten 

Mit dem Befehl univention-run-join-scripts lassen sich alle auf einem System installierten Join- 

Skripte ausführen. Ob sie bereits gestartet wurden prüfen die Skripte selbst und beenden sich ggf. mit 

Exitcode 1; die Exitcodes werden für jedes Join-Skript ausgegeben. Mit dem Parameter -force werden 

alle Skripte erneut ausgeführt. 

Der Name des Join-Skriptes, die Ausgabe des Skriptes und der Exitcode werden auch in 

/var/log/univention/join.log festgehalten. 

Wird univention-run-join-scripts auf einer anderen Systemrolle als Domänencontroller Master 

oder Domänencontroller Backup ausgeführt, so wird der Benutzer nach einem Benutzernamen und einem 

Passwort gefragt. 

2.4.2 Windows-Domänenbeitritt 

Der Domänenbeitritt von Windows-Systemen zu einer durch Samba bereitgestellten UCS-Domäne wird 

nachfolgend für Windows 7, Windows Vista, Windows XP Professional, Windows 2000 Server und Win- 

dows NT 4.0 Workstation beschrieben. Bei anderen Windows-Versionen geht er ähnlich vonstatten. Bei 

Windows 95/98/Me/XP Home Edition ist nur die Authentifizierung gegen die Domäne aber kein Domänen- 

beitritt möglich. 

Beim Domänenbeitritt kann automatisch ein Samba-Account für den Rechner im LDAP-Verzeichnis 

— also ein Rechner-Objekt vom Typ Windows — erstellt werden, das lediglich den Rechnerna- 

men und die vorgegebene primäre Gruppe enthält. Mit der Univention Configuration Registry-Variable 

samba/defaultcontainer/computer kann ein Container bestimmt werden, in dem der Rechner an- 

gelegt wird (der Vorgabewert ist cn=computers,). Soll das Rechner-Objekt an einer anderen 

Stelle im LDAP-Verzeichnis gespeichert werden, muss der Windows-Rechner vor dem Domänenbeitritt 

mit Univention Directory Manager erfasst werden (siehe auch Kapitel 8.4.4). Angaben zu MAC- und IP- 

Adresse, Netzwerk, DHCP oder DNS können vor oder nach dem Domänenbeitritt mit Univention Directory 

Manager ergänzt werden. 

Anschließend sollte nach einer lokalen Anmeldung als Administrator den Anweisungen zur verwendeten 

Windows-Version gefolgt werden (siehe unten). 

Hinweis: 

Wird der Rechner über das Eingabefeld Computername umbenannt, muss der Rechner neu gestartet 

werden, bevor der Domänenbeitritt durchgeführt werden kann. Der Computername muss mit dem durch 

Univention Directory Manager im LDAP-Verzeichnis eingetragenen Rechnernamen übereinstimmen. 

Der Domänenbeitritt dauert einige Zeit und sollte nicht vorzeitig abgebrochen werden. Nach einem erfolg- 

reichen Beitritt erscheint ein kleines Fenster mit der Nachricht Willkommen in der Domäne


name>, die mit [OK] bestätigt werden muss. Abschließend muss der Rechner neu gestartet werden, um 

die Änderungen in Kraft zu setzen. 

Domänennamen sollten auf 15 Zeichen beschränkt werden, da diese auf Seite der Windows-Clients an- 

sonsten verkürzt dargestellt werden, was zu Anmeldefehlern führen kann. 

2.4.2.1 Windows 7 

Der Domänenbeitritt ist nur mit der Professional, Enterprise oder Ultimate-Edition von Windows 7 möglich. 

Unter Windows 7 müssen vor dem Domänenbeitritt einige Einstellungen in der Windows-Registry vor- 

genommen werden. Eine entsprechende REG-Datei kann unter http://sdb.univention.de/1102 

heruntergeladen werden. Anschließend muss das System neu gestartet werden. 

Über Start ➞ Systemsteuerung ➞ System und Sicherheit ➞ Computernamen anzeigen kann der 

Basiskonfigurationsdialog erreicht werden. Unter Einstellungen für Computernamen, Domäne und Ar- 

beitsgruppe muss Einstellungen ändern gewählt werden und auf Ändern geklickt werden. 

Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne 

in das Eingabefeld eingetragen werden. Nach einem Klick auf die Schaltfläche [OK] muss in das 

Eingabefeld Name der Name Administrator und in das Eingabefeld Kennwort das Passwort von 

uid=Administrator,cn=users, eingetragen werden. Abschließend kann der Domänenbeitritt 

mit einem Klick auf [OK] gestartet werden. 

2.4.2.2 Windows Vista 

Der Domänenbeitritt ist nur mit der Business, Enterprise oder Ultimate-Edition von Windows Vista möglich. 

Über Start ➞ Einstellungen ➞ Systemsteuerung ➞ System kann der Basiskonfigurationsdialog erreicht 

werden. Unter Einstellungen für Computernamen, Domäne und Arbeitsgruppe muss Einstellungen 

ändern gewählt werden, die nachfolgende Sicherheitsabfrage bestätigt werden und auf Ändern geklickt 

werden. 






2.4.2.3 Windows XP Professional 

Über einen Rechtsklick auf den Eintrag Arbeitsplatz im Startmenü kann der Dialog zum Domänenbeitritt 

erreicht werden. Dort muss Eigenschaften ➞ Computername ➞ Ändern ausgewählt werden. 




24




2.4.2.4 Windows 2000 Server 

Über einen Klick mit der rechten Maustaste auf das Desktop-Icon Arbeitsplatz kann im Menü Eigen- 

schaften ➞ Netzwerkidentifikation ➞ Eigenschaften der Domänenbeitritt angestossen werden. 

Dort muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne in das Eingabefeld einge- 

geben werden. Nach einem Klick auf die Schaltfläche [OK] muss in das Eingabefeld Name der Name Ad- 

ministrator und in das Eingabefeld Kennwort das Passwort von uid=Administrator,cn=users, eingetragen werden. Es entspricht standardmäßig dem Passwort des lokalen Benutzers root auf 

dem DC Master. Abschließend kann der Domänenbeitritt mit einem Klick auf [OK] gestartet werden. 

2.4.2.5 Windows NT 4.0 Workstation 

Über Start ➞ Einstellungen ➞ Systemsteuerung ➞ Netzwerk ➞ Identifikation ➞ Ändern wird eine 

Eingabemaske erreicht, in der das Optionsfeld Domäne markiert und der Name der Samba-Domäne in 

das Eingabefeld eingetragen werden muss. 

Wenn der Rechner bereits mit Univention Directory Manager in das LDAP-Verzeichnis eingetragen wurde 

und dabei auf der Karteikarte Rechner-Konto das Auswahlkästchen Passwort mit dem Rechnernamen 

initialisieren markiert wurde, kann der Domänenbeitritt mit einem Klick auf [OK] begonnen werden. Beim 

Domänenbeitritt wird das Passwort geändert. (Falls der Rechner erneut der Domäne hinzugefügt werden 

soll, muss das Passwort durch erneutes Markieren des Auswahlkästchens Passwort mit dem Rechner- 

namen initialisieren wieder auf den Rechnernamen gesetzt werden.) 

Wenn der Rechner noch nicht im LDAP-Verzeichnis eingetragen ist, muss das Auswahlkästchen Compu- 

terkonto in der Domäne erstellen markiert und in das Eingabefeld Benutzername der Name Adminis- 

trator und in das Eingabefeld Kennwort das Passwort von uid=Administrator,cn=users, 

eingetragen werden. Es entspricht dem Passwort des lokalen Benutzers root auf dem DC Master. Ab- 

schließend kann der Domänenbeitritt mit einem Klick auf [OK] gestartet werden. 

2.4.3 Rotation von Maschinenpasswörtern 

Die Passwörter der Rechnerkonten der Server-Systemrollen werden standardmässig im Drei- 

Wochen-Rhythmus automatisch geändert. Mit der Univention Configuration Registry-Variable 

server/password/interval kann ein abweichender Wert in Tagen angegeben werden. 

Die alten Passwörter werden in der Datei /etc/machine.secret.old gesichert und der Ablauf in der 

Datei /var/log/univention/server_password_change.log protokolliert. 

25


26

3 Installation 


3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 

3.2 Textbasierte Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

3.2.1 Bedienung des Installers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 

3.2.2 Ablauf der textbasierten Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 

3.3 Hardwareabhängige Installationsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 

3.3.1 Starten der Installation mit zusätzlichen Kernelparametern . . . . . . . . . . . . . . 41 

3.3.2 Zusätzliche Kernelparameter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42 

3.3.3 Anpassung der automatischen Hardwareerkennung . . . . . . . . . . . . . . . . . . 42 

3.4 Lizenz installieren und aktualisieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 

3.5 Software nachinstallieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 


Die folgende Dokumentation beschreibt die Installation von Univention Corporate Server. 

Im Wesentlichen verläuft die Installation von Univention Corporate Server wie bei anderen Linux- 

Distributionen auch. Im Unterschied zu diesen hängt die Funktion des zu installierenden Systems maß- 

geblich von der ausgewählten Systemrolle ab. Systemrollen sind Bestandteil des UCS Domänenkonzepts 

und sind in Kapitel 2.1 beschrieben. 

Mehrere Installationsvarianten werden unterstützt: 

• Univention Corporate Server kann von DVD installiert werden. Die Installation des ersten UCS- 

Systems einer Domäne wird in der Regel von DVD vorgenommen. Dabei kann die Installation in- 

teraktiv erfolgen oder automatisiert durch ein vorbereitetes Installationsprofil. Bei der interaktiven 

Installation werden alle System-Einstellungen abgefragt, siehe Kapitel 3.2. 

• Bei der profilbasierten Installation werden System-Einstellungen in Textdateien, den so genannten 

Installationsprofilen gespeichert, weiterführende Informationen dazu sind in einem separaten Do- 

kument zu finden [3]. Installationsprofile lassen sich lokal über Disketten oder USB-Speichergeräte 

einbinden oder im Rahmen einer angepassten Installations-CD im Vorfeld auf dem Installationsme- 

dium speichern. 

• Weiterhin können Installationsprofile im Rahmen der netzbasierten Installation mittels Univention 

Net Installer von einem Installationsserver bezogen werden, siehe [3]. 

27


3.2 Textbasierte Installation 

Abbildung 3.1: Bootprompt der Installation 

Nach dem Starten des Systems vom Installationsmedium, erscheint der Bootprompt von Abbildung 3.1. 

Hier kann zwischen verschiedenen Installationsverfahren gewählt werden. 

28 

• Univention Installer startet die textbasierte Installation auf Grundlage des Linux-Kernels in Version 

2.6.32. Bei der textbasierten Installation fragt das System nach einigen Parametern wie Netzwerk- 

einstellungen, Festplattenpartitionierung, Systemrolle und ggf. Komponentenauswahl für den zu in- 

stallierenden Rechner und führt anschließend die Installation durch. Die textbasierte Installation ist 

in Kapitel 3.2.2 dokumentiert. 

• Additional options erlaubt die Auswahl fortgeschrittener Optionen für den Installationsprozess. 

Zuerst erscheint eine Abfrage, die den zu installierenden Linux-Kernel abfragt. Im Gegensatz zur 

Standard-Installation kann hier auch ein Kernel auf Basis von Linux 2.6.18 ausgewählt werden. An- 

schließend können verschiedene Installationsvarianten ausgewählt werden: 

– Univention Installer (normal mode) führt eine interaktive Standardinstallation durch. 

– Univention Installer Software RAID (expert mode) startet ebenso wie der vorherige Mo- 

dus eine textbasierte Installation. In dieser Variante wird die Partitionierung jedoch nicht mit


Unterstützung des Installer durchgeführt, sondern manuell vorgenommen. Dafür stehen Pro- 

gramme wie cfdisk, mdadm und mkfs.ext3 und weitere zur Verfügung. Dieser Modus kann 

beispielsweise genutzt werden um ein Software RAID oder eine verschlüsselte Festplattenpar- 

tition einzurichten. Nach der Partitionierung wird die textbasierte Installation fortgesetzt. 

– Univention Installer Profil startet die profilbasierte Installation. Bei der profilbasierten Instal- 

lation wird ein vorbereitetes Installationsprofil ausgewählt, aus dem das System die Installati- 

onsparameter ausliest. Das zu verwendende Installationsprofil wird aus einem Verzeichnis des 

Installationsmediums gelesen. Die profilbasierte Installation ist in einer separaten Dokumenta- 

tion unter [3] beschrieben. 

– Univention Installer Profil USB startet ebenfalls die profilbasierte Installation. Das Installati- 

onsprofil wird dabei von einem USB Speichermedium gelesen. 

– Univention Installer Profil Floppy startet ebenfalls die profilbasierte Installation. Das Instal- 

lationsprofil wird von einer Diskette gelesen. 

• Boot from first harddisk partition startet nicht die UCS-Installation, sondern das auf der ersten 

Festplatte installierte Betriebssystem. 

Nun wird der Kernel vom Installationsmedium geladen und es werden Statusmeldungen am Bildschirm 

ausgegeben. Die eigentliche Installation gliedert sich in einzelne Module. In einem Modul werden inhaltlich 

zusammenhängende Einstellungen getroffen, es gibt beispielsweise Module für die Netzkonfiguration oder 

die Auswahl der zu installierenden Software. 

3.2.1 Bedienung des Installers 

Die Eingabemasken der Module werden ausschließlich über die Tastatur bedient: 

• Mit der Tabulator-Taste kann der Cursor auf das nächste Feld bewegt werden. 

• Auf das vorige Feld wird mit der Tastenkombination Shift-Tabulator gesprungen. 

• Mit der Eingabetaste werden Werte im Eingabefeld übergeben und Schaltflächen betätigt. 

• Innerhalb einer Liste oder Tabelle kann mit den Pfeiltasten zwischen den Einträgen gewechselt 

werden. 

• Um nähere Informationen zum aktuellen Modul zu bekommen, kann über die Funktionstaste F1 

einen Hilfe-Dialog aufgerufen werden. 

• Das nächste Modul wird über die Funktionstaste F12 aufgerufen, über die Funktionstaste F11 

kann zu bereits bearbeiteten Modulen zurückgekehrt werden. Alternativ zu F11 und F12 können die 

Schaltflächen betätigt werden. 

Weitere Belegungen von Funktionstasten sind in den folgenden Beschreibungen der jeweiligen Module 

genannt. 

Hinweis: 

Im linken Fenster der Installationsoberfläche ist die Liste der einzelnen Module eingeblendet, das aktu- 

elle Modul ist farblich hervorgehoben. Diese Liste kann nicht zur Navigation verwendet werden, sie dient 

lediglich zur Orientierung. 

29


3.2.2 Ablauf der textbasierten Installation 

Die Module werden in einer festgelegten Reihenfolge ausgeführt. Die Beschreibung der Module berück- 

sichtigt diese Reihenfolge. Abhängig von der ausgewählten Systemrolle werden einige Module nicht ver- 

wendet. 

30 

1. Auswahl der Installationssprache 

Die Sprache wird ausgewählt, die während der Installation verwendet werden soll. Zur Auswahl 

stehen Deutsch oder Englisch. 

2. Hardwarerkennung 

Die Hardware des Rechners wird automatisch erkannt. Für Geräte, die der Kernel über Module 

unterstützt, werden diese Module geladen. Über die Schaltfläche [Modul hinzufügen] wird die Liste 

aller verfügbaren Module angezeigt. Durch das Auswählen weiterer Module können Geräte aktiviert 

werden, die nicht automatisch erkannt wurden. 

3. Auswahl des Installationsmediums 

Das aktuell verwendete Installationsmedium wird ermittelt. Über die Funktionstaste F2 wird das zu 

verwendende Installationsmedium vorgegeben. Dieser Parameter kann verwendet werden, wenn 

Probleme mit einem von mehreren CD-Laufwerken festgestellt werden oder die netzwerkbasierte 

Installation von einem anderen Installationsserver ausgeführt werden soll. Mit der Funktionstaste F4 

kann die Liste der Installationsmedien erneut eingelesen werden. 

4. Festlegen der Zeitzone 

Hier wird die gewünschte Zeitzone ausgewählt. Wenn als Installationssprache Deutsch gewählt 

wurde, ist die Zeitzone Europe/Berlin vorausgewählt, für Englisch wird US/Eastern verwendet. 

5. Auswahl der Tastaturbelegung 

Hier wird die Tastaturbelegung der verwendeten Tastatur ausgewählt. Wenn als Installationssprache 

Deutsch gewählt wurde, ist als Tastaturbelegung qwertz:de-latin1 vorausgewählt, für Englisch wird 

qwerty/us verwendet. 

Die angegebene Tastaturbelegung wird bei Verlassen dieses Dialoges umgehend geladen. 

6. Auswahl der Systemsprache(n) 

Hier wird die Systemsprache ausgewählt, die verwendet werden soll. Die Auswahl beeinflusst die 

Verwendung von sprachspezifischen Schriftzeichen und ermöglicht die Darstellung von Programm- 

ausgaben in den ausgewählten Sprachen. 

Es können mehrere Sprachen ausgewählt werden, der Administrator kann im späteren Betrieb die 

zu verwendende Sprache über die Univention Configuration Registry-Variable locale festlegen. 

7. Auswahl der Standard-Systemsprache 

Hier wird eine der vorher ausgewählten Systemsprache als Standard-Systemsprache definiert. Die- 

se Sprache wird dann beispielweise für Univention Directory Manager oder Univention Management 

Console verwendet, sofern eine entsprechende Übersetzung vorhanden ist. 

8. Auswahl der Systemrolle 

Hier wird die Systemrolle ausgewählt, als welche das spätere System installiert werden soll.

Zur Auswahl stehen: 

a) Domaincontroller Master 

b) Domaincontroller Backup 

c) Domaincontroller Slave 

d) Memberserver 

e) Managed Client 

f) Mobile Client 

g) Basissystem 

Hinweis: 


Das erste zu installierende System einer UCS Domäne sollte immer ein Domaincontroller Master. 

Die Installation weiterer UCS-Systeme benötigt während der Installation einen laufenden Domain- 

controller Master. Die einzige Ausnahme bildet die Systemrolle Basissystem, dieses kann ohne 

erreichbaren Domaincontroller Master installiert werden. 

Die Systemrollen sind in Kapitel 2.1 beschrieben. 

9. Domäneneinstellungen 

Unter Systemname wird ein Name eingetragen, unter dem der Rechner im Netzwerk erreichbar 

sein soll. Es dürfen ausschließlich die Buchstaben a-z in Kleinschreibung, die Ziffern 0-9, Binde- und 

Unterstriche verwendet werden. Der Rechnername muss mit einem Buchstaben beginnen und darf 

maximal 15 Zeichen lang sein. 

Unter Domänenname wird der DNS-Name der UCS-Domäne eingetragen, beispielsweise firma.de. 

Nachdem der Domänenname gesetzt wurde, werden die Felder LDAP-Basis und Windows- 

Domäne mit abgeleiteten Werten belegt. Wenn die LDAP-Basis geändert werden soll, müssen die 

Konventionen für die Benennung von DNs beachtet werden. Die Basis-DN muss mit ’cn=’, ’dc=’, ’c=’, 

’l=’ oder ’o=’ beginnen. Basis-DNs, die diese Konventionen verletzen, werden abgewiesen. Der Na- 

me der Windows-Domäne darf maximal 15 Zeichen lang sein und nur aus Buchstaben, Zahlen und 

Bindestrichen bestehen. Das Eingabefeld LDAP-Basis erscheint nur bei der Systemrolle Domain- 

controller Master. 

Unter Root-Passwort wird das Passwort für den Benutzer root eingetragen. Dieses Passwort wird 

auch für den Benutzer Administrator eingetragen. Mit dem Benutzer Administrator werden Windows- 

Clients in die UCS-Domäne aufgenommen. Im späteren Betrieb können die Passworte der Benutzer 

root und Administrator unabhängig voneinander verwaltet werden. Das Passwort wird im letzten 

Feld erneut eingetragen. Die doppelte Eingabe ist erforderlich, um Tippfehler zu vermeiden, da die 

eingegebenen Zeichen nicht angezeigt werden, siehe Abbildung 3.2. 

Das Root-Passwort muss aus Sicherheitsgründen mindestens acht Zeichen umfassen. 

10. Partitionieren der Festplatten 

In dieser Einstellungsmaske wird die Partitionierung der vorhandenen Festplatten vorgenommen. Es 

wird empfohlen, mindestens zwei Partitionen zu verwenden - eine für das Root-Dateisystem, eine 

für den Swap-Bereich, der von Linux intern verwendet wird. 

Nach dem ersten Wechsel auf diese Einstellungsmaske bietet der Installer die automatische 

Partitionierung des Systems an. Nach der Zustimmung zur automatischen Partitionierung zeigt 

31


32 

Abbildung 3.2: Domäneneinstellungen 

der Installer einen Partitionierungsvorschlag an, bei dem alle vorhandenen Festplatten unter 

Verwendung des Logical Volume Managers (LVM) neu partitioniert und formatiert werden. 

Achtung: 

Alle Daten auf diesen Festplatten gehen dabei verloren! Sollte der Partitionierungsvorschlag unpas- 

send sein, kann er durch die Funktionstaste F5 verworfen werden. Es wird auch der Speicherplatz 

von externen Speichermedien wie z.B. USB-Sticks und USB-Festplatten in die automatische Parti- 

tionierung einbezogen. Diese müssen ggf. vorher abgezogen bzw. abgeschaltet werden. 

Die Eigenschaften der gefundenen Laufwerke, vorhandener Partitionen und LVM-Medien (Name, 

Grenzen einer Partition, Typ, Formatierung, Verzeichnis, unter dem die Partition eingebunden wer- 

den soll und Größe in MB) werden in einer Tabelle angezeigt. Siehe Abbildung 3.3. 

Um eine neue Partition anzulegen, wird der Eintrag frei des gewünschten Laufwerks ausgewählt 

und die Schaltfläche [F2-Erstellen] betätigt (Funktionstaste F2). Im nächsten Dialog müssen das 

Verzeichnis, unter dem die Partition eingebunden werden soll (Mount-Point), die Größe der anzu- 

legenden Partition in Megabyte, das Dateisystem, welches auf der Partition erzeugt werden soll 

und die Art der Partition (primär Partition oder logische Partition innerhalb einer erweiterten Partiti- 

on) angegeben werden. Wenn eine Partition für den Swap-Bereich erzeugt werden soll, muss kein 

Verzeichnisname angegeben werden, unter dem die Partition eingebunden werden soll. Wenn al- 

le Einstellungen getroffen sind, wird die Schaltfläche [Speichern] zum Sichern der Einstellungen 

betätigt.

Abbildung 3.3: Partitionierung der Festplatten 


Um Partitionen aus vorherigen Installationen einzubinden oder beim Anlegen neuer Partitionen vor- 

genommene Einstellungen zu korrigieren, wird die gewünschte Partition markiert und die Schaltflä- 

che [F3-Editieren] betätigt (Funktionstaste F3). Es kann das Verzeichnis angegeben werden, unter 

dem die Partition eingebunden werden soll, das Dateisystem ausgewählt und festgelegt werden, ob 

die Partition formatiert werden soll. Wenn die Option Formatieren ausgewählt wird, werden alle Da- 

ten auf dieser Partition gelöscht. Die Größe der Partition kann nachträglich nicht verändert werden. 

Um Partitionen aus vorherigen Installationen oder neu angelegte Partitionen zu löschen, werden die 

gewünschten Partitionen markiert und die Schaltfläche [F4-Löschen] betätigt (Funktionstaste F4). 

Die manuelle Partitionierung der Festplatten kann optional unter Verwendung des Logical Volume 

Managers stattfinden. Vom Installer wird hierbei nur eine einzelne LVM-Medien-Gruppe (Volume 

Group) unterstützt, die automatisch den Namen vg_ucs trägt. Die Möglichkeit zum Anlegen von 

physikalischen und logischen LVM-Medien (Physical/Logical Volume) steht nur dann zur Verfügung, 

wenn die LVM-Unterstützung zuvor manuell aktiviert wurde oder bereits ein physikalisches LVM- 

Medium auf einer der angeschlossenen Festplatten vorhanden ist. 

Beim Löschen von physikalischen LVM-Medien (Physical Volume) ist zu beachten, daß der Instal- 

ler diesen Vorgang nur dann unterstützt, wenn zuvor alle logischen LVM-Medien über den Installer 

gelöscht wurden. Anderenfalls muß der Inhalt des physikalischen LVM-Mediums manuell über den 

Befehl pvmove auf andere physikalische LVM-Medien verschoben und das physikalische LVM-Me- 

dium mittels vgreduce und pvremove aus der LVM-Medien-Gruppe entfernt und gelöscht werden. 

Nachdem die Einstellungen für eine neue Partition vorgenommen wurden, werden diese nicht um- 

gehend aktiviert. Um die ursprünglichen Einstellungen wiederherzustellen, kann die Schaltfläche 

[F5-Änderungen verwerfen] betätigt werden (Funktionstaste F5) . Erst über die Schaltfläche [F6- 

33


34 

Änderungen schreiben] (Funktionstaste F6) wird die neue Partitionstabelle auf die Festplatte ge- 

schrieben. 

11. Bootloader 

In diesem Dialogfeld wird ausgewählt, ob der Bootloader in den Master Boot Record (MBR) installiert 

wird, oder ob der Bootloader in den ersten Sektor einer bootbaren Festplattenpartiton installiert 

werden soll. Wenn das UCS System das einzige auf dem Rechner installierte Betriebssystem ist, so 

sollte hier der Master Boot Record und die entsprechende Festplatte ausgewählt werden. 

12. Netzwerkkonfiguration 

Beim ersten Aufruf der Netzwerkkonfiguration wird ein Dialog angezeigt, über den die Einstellungen 

für die erste gefundene Netzwerkkarte vorgenommen werden können. Wurde keine Netzwerkkarte 

gefunden, so sollte geprüft werden, ob das notwendige Kernelmodul geladen ist. Gegebenenfalls 

kann es über das Modul Hardwareerkennung nachgeholt werden. Sollte die Netzwerkkarte den- 

noch nicht erkannt werden, wird vom Installer eine virtuelle Netzwerkkarte angelegt mit der die 

Installation fortgesetzt werden kann. 

Abbildung 3.4: Netzwerkeinstellungen 

Wenn die Option DHCP nicht gewählt wurde, muss die IP-Adresse eingegeben werden, die an die 

Netzwerkkarte gebunden werden soll. Zusätzlich zur IP-Adresse muss die Netzmaske angegeben 

werden. Mit F5-DHCP-Anfrage kann eine Adresse von einem DHCP-Server abgefragt werden. Die- 

se wird als Vorgabe verwendet und kann auch statisch konfiguriert werden. 

Nachdem die erste Netzwerkkarte eingerichtet wurde, können weitere netzwerkbezogene Einstellun- 

gen vorgenommen werden. In das Eingabefeld Gateway kann die IP-Adresse oder der vollständige

Name des im Subnetz eingesetzten Standard-Gateway eingegeben werden. 


Unter Nameserver wird die IP-Adresse des Nameservers eingetragen, der zur Auflösung von Rech- 

nernamen in IP-Adressen verwendet werden soll. Über die Schaltfläche [Mehr] können weitere Na- 

meserver aufgenommen werden. Sollte außer einer virtuellen Netzwerkkarte keine Netzwerkkarten 

existieren, so sollte kein Nameserver angegeben werden, um längere Wartezeiten während der In- 

stallation zu vermeiden. Wenn der Nameserver während der Installation nicht erreicht werden kann, 

sollte dieser nicht im Univention Installer angegeben, sondern später per Univention System Setup 

konfiguriert werden. Dies vermeidet längere Timeouts während der Installation. 

Forwarder werden nur eingetragen, wenn auf dem System ein lokaler Nameserver betrieben wird. 

Können Rechernamen oder IP-Adressen aus DNS-Anfragen an den lokalen Nameserver nicht be- 

antwortet werden, wird die Anfrage an den Forwarder weitergereicht. Die vom Forwarder erhaltene 

Antwort wird an den anfragenden Rechner zurückgegeben. Über die Schaltfläche [Mehr] können 

weitere Forwarder aufgenommen werden. 

DNS Forwarder werden nur bei der Installation der Systemrollen Domänencontroller Master, Domä- 

nencontroller Backup und Domänencontroller Slave abgefragt. 

Bei der DNS-Einrichtung können drei unterschiedliche Situationen auftreten: 

a) Das installierte System ist ein Domaincontroller Master. Auf diesem soll ein Nameserver für die 

UCS Domäne betrieben werden. Dieser Nameserver verwaltet ausschließlich Rechnernamen 

und IP-Adressen der UCS Domäne. Um Anfragen nach externen Rechnernamen beantwor- 

ten zu können, muss für dieses System ein externer Nameserver als Forwarder eingetragen 

werden. 

Falls während der Installation des Systems Paketen von externen Web-Servern herunterge- 

laden werden, muss ein Nameserver angegeben werden über den Rechnernamen der Web- 

Server aufgelöst werden können. Es kann der bereits als Forwarder eingetragene Nameserver 

oder ein anderer externer Nameserver unter Nameserver aufgenommen werden. Im späteren 

Betrieb wird der Domaincontroller Master nur noch seinen lokalen Nameserver verwenden. Der 

oder die externen Nameserver werden als Forwarder verwendet und wenn der lokale Name- 

server nicht verfügbar ist. 

b) Das installierte System ist ein weiteres UCS Server-System auf dem ein Nameserver für die 

UCS Domäne betrieben werden soll. Es muss die IP-Adresse eines Rechners unter Name- 

server eingetragen werden, über den innerhalb der UCS Domäne verwendete DNS Service 

Records aufgelöst werden können, in der Regel Domaincontroller Master oder Backup. Dieser 

Nameserver wird im späteren Betrieb nur verwendet, wenn der lokale Nameserver nicht ver- 

fügbar ist. Als Forwarder können IP-Adressen von externen Nameservern eingetragen werden 

oder von anderen UCS Server Systemen mit Nameserver, die selbst einen externen Nameser- 

ver als Forwarder verwenden. 

c) Auf dem installierten System wird kein lokaler Nameserver betrieben. Es muss die IP-Adresse 

mindestens eines Rechners unter Nameserver eingetragen werden, über den innerhalb der 

UCS Domäne verwendete DNS Service Records aufgelöst werden können. Es muss kein 

Forwarder eingetragen werden. 

35


36 

Achtung: 

Es wird empfohlen auf mindestens einem der UCS Server Systeme den Nameserver zu instal- 

lieren und diesen UCS Server bei allen weiteren UCS Systemen als ersten Nameserver einzu- 

tragen, da innerhalb der UCS-Domäne so genannte DNS Service Records und Alias Namen 

verwendet werden, die teilweise von Managementsystem automatisch angepasst werden. Z.B. 

wird bei der Installation eines zweiten Repository-Servers der DNS Alias univention-repository 

auf den neuen Repository-Server gesetzt. Für die Verwendung eines externen Nameservers 

stellt Univention ein technisches Dokument bereit, in dem die unterschiedlichen Service Re- 

cords und DNS Alias Namen beschrieben sind, die ein externer Nameserver neben den einzel- 

nen UCS Rechnernamen bereitstellen muss. 

Während der Installation einiger Pakete müssen aufgrund rechtlicher Einschränkungen Dateien von 

externen Web-Servern heruntergeladen werden, z.B. Installations-Images für das Paket univention- 

windows-installer-image. Wenn das UCS-System keinen unmittelbaren Zugang zum Internet 

besitzt, kann unter HTTP-Proxy die URL eines erreichbaren Proxy-Servers angegeben werden, 

über den die Download-Vorgänge abgewickelt werden. Das Format der URL lautet http://: 

Achtung: 

Da die Auflösung von Hostnamen während der Installation in Abhängigkeit von den installierten 

Komponenten nicht zu jedem Zeitpunkt sichergestellt werden kann, sollte die IP-Adresse des Proxy- 

Servers eingetragen werden. 

Um weitere Netzwerkkarten einzubinden oder auf einer bereits eingerichteten Netzwerkkarte weitere 

virtuelle Netzwerkadapter zu konfigurieren, wird in der Tabelle den entsprechenden Eintrag markiert 

und die Schaltfläche [F2-Neu] betätigt (Funktionstaste F2). Es wird erneut der Dialog zur Eingabe 

von IP-Adresse, Broadcast-Adresse, Netzmaske und Netzwerkbereich angezeigt. 

13. Join-Optionen 

Diese Eingabemaske erscheint nicht bei den Systemrollen Domaincontroller Master und Basissys- 

tem. 

Standardmäßig wird der Beitritt zu einer UCS Domäne am Ende der Installation vorgenomme- 

nen. Über die Option Starte den Join Vorgang am Ende der Installation kann der Beitritt un- 

terbunden werden. Das System muss dann im laufenden Betrieb der Domäne über das Kommando 

univention-join beitreten. 

Wenn ein UCS Server System als Nameserver in der entsprechenden Einstellungsmaske eingetra- 

gen wurde, wird der Name des Domaincontroller Master über eine DNS-Anfrage bestimmt. Ande- 

renfalls muss die Option DNS nach Domain Controller Master durchsuchen deaktiviert und der 

vollständige Name (FQDN) des Domaincontroller Master in das Feld Systemname des DC Master 

eingetragen werden. 

Als Join-Account wird ein Benutzerkonto bezeichnet, das berechtigt ist, Systeme der UCS Domä- 

ne hinzuzufügen. Standardmäßig ist dies der Benutzer Administrator, der bei der Installation des 

Domaincontroller Master angelegt wurde. Unter Passwort muss das entsprechende Passwort des 

Benutzerkontos angegeben werden. Das Passwort muss in beiden Feldern in identischer Schreib- 

weise eingetragen werden.

Weitere Informationen zum Domänenbeitritt finden sich in Kapitel 2.4.1. 

14. SSL-Einstellungen 


Diese Eingabemaske erscheint nur bei der Systemrolle Domaincontroller Master. Auf einem UCS 

Domaincontroller Master wird eine SSL-Zertifikatsinfrastruktur verwaltet. Die Zertifikate werden von 

den UCS Systemen zur gegenseitigen Authentisierung und zur Verschlüsselung von Netzwerkver- 

bindungen verwendet. Unter Länderkennung wird das zweistellige Kürzel des Ländernamens nach 

ISO 3166-1, z.B. DE für Deutschland eingetragen, unter Staat wird das Bundesland, der Bundes- 

staat oder die Provinz, unter Ort der Ort des Unternehmens und unter Abteilung der Abteilungsna- 

men eingetragen. Die Mail-Adresse wird aus dem Domänennamen konstruiert. Sie wird in Zertifika- 

ten dieser Zertifikatsinfrastruktur verwendet. 

15. Sicherheits-Optionen 

Der Univention Installer ermöglicht die Vorkonfiguration von Paketfilterprofilen. Folgende drei Profile 

stehen während der Installation zur Auswahl: 

• Deaktiviert (kein Dienst wird geblockt). 

• Empfohlene Auswahl an Systemdiensten (einige typischerweise nicht benötigte Dienste werden 

gefiltert). 

• Abgesicherte Grundinstallation (nur SSH, LDAP und HTTPS werden erlaubt). 

Ausführliche Hinweise dazu finden sich in Kapitel 10.3.2. 

16. Auswahl von Software-Komponenten 

Komponenten sind inhaltlich zusammenhängende Software-Pakete, die zum Bereitstellen unter- 

schiedlicher Dienste installiert werden können. Komponenten können wiederum aus mehreren Teil- 

komponenten bestehen Es können einzelne oder alle Teilkomponenten installiert werden. 

Die Navigation innerhalb der Komponentenliste erfolgt mit den Pfeiltasten. Um zu den Teilkompo- 

nenten zu gelangen, wird eine Komponente markiert und die Tabulator-Taste gedrückt. 

Es gibt drei Auswahlzustände einer Komponente, die im Kästchen vor dem Namen abgebildet sind. 

Wenn alle Teilkomponenten einer Komponente für die Installation ausgewählt sind, steht im Kästchen 

ein X. Wenn keine Teilkomponente zur Installation ausgewählt ist, ist das Kästchen leer. Sind nicht 

alle Teilkomponenten ausgewählt, steht im Kästchen ein Schrägstrich (/). Siehe Abbildung 3.5. 

Folgende Komponenten sind verfügbar: 

• Services für Windows 

– Samba - Ermöglicht den Einsatz von Linux-Rechnern als Domänencontroller und Fileser- 

ver in einer Windows-Domäne (siehe Kapitel 8). 

– Windows Installer - Ermöglicht die vollautomatische Installation von Windows-Rechnern 

(siehe [4]). 

– DC Slave als Samba PDC - Diese Option ermöglicht den Betrieb eines Windows PDC auf 

anderen Systemrollen als dem Domänencontroller Master (nur verfügbar auf Domänen- 

controller Slave/Backup und Memberservern, siehe auch Kapitel 8.3). 

– Winbind - Dieser Dienst wird insbesondere bei Vertrauensstellungen zwischen UCS und 

Windows-Domänen benötigt (siehe Kapitel 8.4.1). 

37


38 

Abbildung 3.5: Auswahl von Software-Komponenten 

– Univention AD Connector - Lösung zur bidirektionalen Synchronisation zwischen dem 

UCS-Verzeichnisdienst und Active Directory. 

• Mail/Groupware 

– Standard Mail-Dienste - Basis-Maildienste auf Basis von Postfix für den Mail-Versand 

über SMTP und Cyrus für die Bereitstellung von Postfächern über IMAP und POP3. Vi- 

renprüfungen über den Scanner ClamAV und Spam-Erkennung über Spamassassin sind 

integriert (siehe Kapitel 12). 

– Kolab 2 für UCS - Eine Groupware-Lösung nach dem Kolab-Standard. 

• IP-Verwaltung 

– DNS - Dienst zur Auflösung von Rechnernamen in IP-Adressen auf Basis der Software 

Bind. 

– DHCP - Dienst zum dynamischen IP-Management. 

– Squid-Proxyserver - Dienst zum zentralen Caching und Policy-Management abgerufener 

Web-Seiten 

• Systemdienste 

– Terminalserver - Linux-Terminalserver für die Anmeldung Linux-basierter Thin Clients. 

(siehe Kapitel 9.5) 

– Thinclient Environment - Komponenten für den Betrieb von Thin Clients. (siehe Kapitel 

9.5) 

– Druckserver - Druck-Server auf Basis der Software CUPS. 

– Druck-Quota - Erlaubt die Quotierung von Druckaufträgen. 

– Nagios-Server - System- und Netzwerk-Überwachung auf Basis der Software Nagios.


– Nagios-Client - Erlaubt die Einbindung von Nagios-Systemen über das NRPE-Protokoll. 

– Fax-Server - Verwaltung von ein- und ausgehenden Fax-Nachrichten auf Basis der Soft- 

ware Hylafax (siehe [5]). 

– OpenSSH-Server - Server zur Bereitstellung eines verschlüsselten SSH-Remote-Logins. 

– FreeNX-Server - Server zur Bereitstellung eines NX-Remote-Logins. NX bietet effiziente 

Kompression und ist auch über langsame Verbindung interaktiv benutzbar. 

• Virtualisierung 

– Virtual Machine Manager (UVMM) - UMC-Modul zur Verwaltung virtueller Maschinen 

– Xen Virtualisierungsserver - Virtualisierung von Systemen durch den Hypervisor Xen 

– KVM Virtualisierungsserver - Virtualisierung von Systemen durch KVM 

• Administrative Werkzeuge 

– Univention Directory Manager - Zentrale Komponente des UCS-Managementsystems 

(siehe Kapitel 4.1). 

– Univention Management Console - Administration von UCS-Systemen über ein Web- 

Interface. 

– Univention Software Monitor - Zentrale Erfassung von installierten Softwarepaketen auf 

UCS Systemen. 

– UCS-Net Installer - Netzwerkbasierte Installation von UCS Systemen mit Unterstützung 

• Backup 

von Installationsprofilen. 

– Backup (Bacula) - Enterprise-Backuplösung 

– Unidump - Werkzeug zur Datensicherung auf Bandlaufwerk. 

– Remote-Backup - Sicherung von Daten entfernter Rechner für Unidump 

• Desktop-Umgebung 

– Grafische Benutzeroberfläche - Die X.org-Oberfläche und der GDM-Login-Manager. 

– KDE-Desktop - Eine benutzerfreundliche Desktop-Arbeitsumgebung. 

– KDE-Erweiterungen - Weitere KDE-Desktop-Applikationen, u.a. k3b zum Brennen von 

DVD/CDs und die Video- und Musik-Abspielprogramme Amarok, Kaffeine und MPlayer. 

– OpenOffice.org - Ein Office-Paket mit u.a. Textverarbeitung, Tabellenkalkulation, Präsen- 

tation und Datenbankanbindung. 

– Mozilla Firefox - Web-Browser für den Internetzugriff. 

– Java Plugin/Java-Umgebung - Java-Integration für den Firefox-Browser. 

– Flash-Plugin - Ein Installationsprogramm zur Integration des Flash-Plugins in den Firefox- 

Browser. 

– Mplayer-Plugin - Ein Plugin für den Firefox-Browser zum Abspielen von Videos. 

– Microsoft-Schriften - Ein Installationsprogramm zur Integration kostenloser Truetype 

Standardschriften von Microsoft. 

• Werkzeuge 

– Java - Die Java-Laufzeitumgebung von Sun. 

– Kommandozeilen-Programme - Die Editoren vim und emacs, das Tool less zum Be- 

trachten von Textdateien, der textbasierte Web-Browser elinks, der Portscanner nmap, 

die Kompressions-Tools zip und unzip, das Download-Tools wget und eject zum 

skriptgesteuerten Öffnen eines DVD-Laufwerks. 

39


17. Optionen 

In diesem Dialog kann festgelegt werden, ob auf dem UCS System ein lokales Software-Repo- 

sitory eingerichtet werden soll. Das lokale UCS System, aber auch andere UCS Systeme kön- 

nen dieses Software-Repository für Software-Installationen und -Aktualisierungen verwenden. Auch 

für eine netzwerkbasierte Installation wird ein Software-Repository benötigt. Über die Option 

Heimatverzeichnis-Freigabe wird festlegt, ob das Verzeichnis /home über NFS und bei installierter 

Komponente Services for Windows als Benutzerverzeichnis über Samba freigegeben werden soll. 

18. Überblick 

In diesem Dialog werden die wichtigsten vorgenommenen Einstellungen angezeigt. Sind alle Ein- 

stellungen korrekt, kann über die Schaltfläche [Starte Installation] die Installation der Software ver- 

anlasst werden. 

Während der Installation wird eine große Zahl an Statusmeldungen am Bildschirm ausgegeben. Das Sys- 

tem formatiert die Festplatten wie angegeben, hängt die Partitionen in den Verzeichnisbaum ein und in- 

stalliert zuerst das Basissystem und danach gegebenenfalls die zusätzlichen Komponenten und Pakete. 

Hinweis: 

Wenn bestimmte Komponenten installiert werden, wird außerdem versucht, Dateien aus dem Internet 

herunterzuladen, z.B. das Flashplugin. Wenn das Herunterladen fehlschlägt, können die Dateien später 

nachinstalliert werden. Die Installation wird dadurch nicht beeinträchtigt, allerdings können wiederholte 

Versuche, die Dateien während der Installation herunterzuladen, einige Zeit in Anspruch nehmen. 

Vorausgesetzt die Option Starte den Join Vorgang am Ende der Installation wurde nicht deaktiviert, 

versuchen alle Rechner außer Basissysteme und Domaincontroller Master, der UCS-Domäne beizutre- 

ten, Konfigurationseinstellungen für ihre Dienste aus dem LDAP-Verzeichnis zu lesen und die Dienste 

entsprechend zu konfigurieren. In Kapitel 2.4 wird beschrieben, wie der Domänenbeitritt erneut veranlasst 

werden kann, falls der Beitritt während der Installation fehlschlägt. 

Das Installationsprotokoll des Univention Installers wird als installer.log und das Protokoll der 

Paketinstallation als installation.log im Verzeichnis /var/log/univention/ abgelegt. Zuletzt 

wird das bei der Installation erzeugte Installationsprofil installation_profile in das Verzeichnis 

/etc/univention/ kopiert. Wenn die entsprechende Anweisung über die Einstellung Lokales Reposi- 

tory gegeben wurde, wird außerdem die Installations-CD nach /var/lib/univention-repository 

kopiert. 

Zum Abschluss der Installation muss die Eingabetaste gedrückt werden, um das System neu zu starten. 

Hier finden sich auch Hinweise auf eine eventuell fehlgeschlagene Installation und ein Verweis auf URLs, 

unter denen das UCS-Management-System erreicht werden kann (siehe auch Abbildung 3.6). 

Die DVD sollte während des Neustarts entnommen werden, damit nicht erneut von der Installations-DVD 

gebootet wird. Alternativ kann das BIOS des Rechners so eingestellt werden, dass erst von Festplatte und 

danach von DVD gebootet wird. 

Das System startet nun von Festplatte. Nach dem Bootvorgang können sich der Benutzer root oder der 

Benutzer Administrator mit dem während der Installation angegebenen Passwort anmelden. Wenn der 

Rechner als Domänencontroller Master installiert wurde, kann nun die Lizenz eingespielt werden (siehe 

Abschnitt 1.6). Zur Verwaltung des Systems steht unter anderem das Web-Frontend Univention Directory 

Manager (siehe Kapitel 4.1) zur Verfügung. 

40

Abbildung 3.6: Abschluss der Installation 

3.3 Hardwareabhängige Installationsprobleme 

3.3 Hardwareabhängige Installationsprobleme 

Falls bei der Installation hardwarebedingte Probleme auftreten, können diese normalerweise durch zusätz- 

liche Kernelparameter oder eine Anpassung der automatischen Hardwareerkennung umgangen werden. 

3.3.1 Starten der Installation mit zusätzlichen Kernelparametern 

Um die Installation mit zusätzlichen Kernelparametern zu starten, ist am Bootprompt (siehe auch Abbil- 

dung 3.1 auf Seite 28) das gewünschte Installationsverfahren mit den Pfeiltasten zu markieren. 

Durch Drücken der Taste ’e’, werden die Konfigurationszeilen des Bootloaders für das ausgewählten In- 

stallationsverfahren angezeigt. Die mit kernel beginnende, obere Zeile wird ausgewählt. Nach erneutem 

Drücken der Taste ’e’ kann jetzt die Liste der Bootparameter angepasst werden. Zusätzliche Kernelpa- 

rameter müssen am Ende der Zeile hinzugefügt werden. Sollen mehrere Parameter angegeben werden, 

sind diese durch Leerzeichen zu trennen. 

Die Eingabe wird über die Return-Taste übernommen. Durch Drücken der Taste ‘b’ wird mit den geänder- 

ten Bootparametern gebootet. Der UCS Installer übernimmt die zusätzlichen Parameter nach der Instal- 

41


lation automatisch in die Univention Configuration Registry-Variable grub/append, so dass sie auch bei 

künftigen Rechnerstarts berücksichtigt werden. 

3.3.2 Zusätzliche Kernelparameter 

Manche Grafikkarten unterstützen den VESA-Standard für Framebuffer nicht, der zur Darstellung von 

Bootsplash-Grafiken benötigt wird. Auf solchen Systemen kann die Verwendung des Framebuffers über 

den Kernelparameter 

video=vga16:off 

unterbunden werden. Dieser Parameter wird jedoch nicht dauerhaft in die Boot-Konfiguration übernom- 

men. 

Bei der Verwendung älterer Hardware kann es auch zu Problemen bei der Verwendung des “Advanced 

Configuration and Power Interface” (ACPI) kommen. In diesen Fällen sollte die Verwendung von ACPI über 

den Kernelparameter 

acpi=off 

deaktiviert werden. 

3.3.3 Anpassung der automatischen Hardwareerkennung 

Der UCS Installer führt beim Start eine automatische Hardwareerkennung durch. Sollte es zu Systemab- 

stürzen oder Hardwareproblemen während der automatischen Hardwareerkennung kommen, kann diese 

über den zusätzlichen Bootparameter noprobe deaktiviert werden. 

Für die Verwaltung der Geräte im Univention Installer wird standardmässig udev verwendet. Um die au- 

tomatische Hardwareerkennung zu unterbinden muss auch udev mit dem Bootparameter noudev unter- 

bunden werden. 

Der Bootparameter wird ausschließlich von UCS Installer ausgewertet und ist wie ein zusätzlicher Kernel- 

parameter am Bootprompt anzugeben. Dabei ist zu beachten, dass anschließend im UCS Installer alle 

benötigten Kerneltreiber (für Festplatten, Ethernetkarte, usw.) manuell angegeben werden müssen, um 

eine erfolgreiche Installation durchführen zu können. 

Um bestimmte Kerneltreiber bereits am Bootprompt mit in die Liste der zu ladenden Kerneltreiber auf- 

zunehmen (z.B. bei einer profilbasierten Installation), kann der Bootparameter loadmodules verwendet 

werden. Über ihn können auch mehrere Kerneltreiber kommasepariert angegeben werden: 

loadmodules="treibermodul1,treibermodul2,treibermodul3" 

In einigen Fällen ist es erforderlich, das Laden bestimmter Kerneltreiber zu unterbinden. Der Bootpa- 

rameter excludemodules verhindert, dass die angegebenen Kerneltreiber bei der Hardwareerkennung 

automatisch geladen werden. Falls mehrere Kerneltreiber ausgeschlossen werden sollen, sind diese kom- 

masepariert anzugeben: 

excludemodules="treibermodul1,treibermodul2,treibermodul3" 

42

Achtung: 

3.4 Lizenz installieren und aktualisieren 

Der Kernel verwendet beim Laden von Kerneltreibern enthaltene Minuszeichen ’–’ und Unterstriche ’_’ 

synonym. Das heisst, bei der Verwendung von loadmodules muss nicht z.B. zwischen usb-storage und 

usb_storage unterschieden werden. excludemodules benötigt jedoch die exakte aktuell vom Kernel ver- 

wendete Schreibweise. Daher sollten die betreffenden Kerneltreiber in beiden Schreibweisen (nur Minus- 

zeichen oder nur Unterstrich) in excludemodules aufgeführt werden: 

excludemodules="usb-storage,usb_storage" 

3.4 Lizenz installieren und aktualisieren 

Die Lizenz wird über den Univention Directory Manager installiert. Dazu muss als Administrator der Über 

Dialog im Univention Directory Manager aufgerufen werden. Dort kann durch einen Klick auf den Button 

Durchsuchen eine Lizenzdatei ausgewählt werden. Nach einer Bestätigung mittels des Datei laden But- 

tons wird diese an den DC Master übertragen und installiert. Nach der Installation ist ein erneuter Login 

am Univention Directory Manager erforderlich. Anschließend können die Informationen über die installierte 

Lizenz im Über Dialog eingesehen werden. 

3.5 Software nachinstallieren 

UCS basiert auf der im professionellen Umfeld am häufigsten eingesetzten Linux-Distribution Debian. Zu 

den Vorzügen von Debian - und damit auch von UCS - gehört ein äußerst flexibles und durchdachtes 

Paket-Management. 

Auf der DVD, die zur Installation von UCS genutzt werden kann, befinden sich neben den Paketen zur 

Installation des UCS-Basissystems auch Pakete für die unterschiedlichen Rollen eines UCS-Rechners 

(z.B. DC Master, DC Backup, DC Slave, Memberserver, Managed Client). Zudem sind auf der UCS-DVD 

weitere Pakete enthalten, die für den Betrieb von UCS nicht nötig sind, aber UCS um sinnvolle Funktionen 

ergänzen. 

Sollen also zusätzliche Pakete auf einem Univention Corporate Server-System installiert werden, empfiehlt 

es sich, zuerst auf der DVD nachzusehen, ob die gewünschte Funktionalität durch eines der dort vorhan- 

denen Pakete bereitgestellt werden kann. Der Vorteil der Verwendung von mitgelieferten Programmen ist 

die vorhergehende Prüfung der Verwendbarkeit mit UCS durch Univention. Auf Anfrage kann Univention 

in vielen Fällen auch weitere Pakete zur Verfügung stellen. 

Der empfohlene Weg zur Integration fremder Software in UCS ist das Kompilieren der Software auf dem 

betreffenden UCS-Rechner aus den Debian-Quellpaketen und die Installation der daraus entstandenen 

Binärprogramme. Bei der Installation muss allerdings darauf geachtet werden, dass durch die Installation 

keine anderen Pakete aktualisiert oder deinstalliert werden, weil dadurch Funktionsstörungen des UCS- 

Systems hervorgerufen werden können. Auf Anfrage kann Univention in vielen Fällen weitere Pakete zur 

Verfügung stellen. 

Paketquellen für die Installation von Debian-Paketen werden in die Datei /etc/apt/sources.list eingetra- 

gen. Dort sind bereits Einträge vorhanden, die nicht geändert oder entfernt werden sollten. 

43


Zusätzlich stellt Univention ein Online-Repository zur Verfügung. Die aktuell relevanten sources.list- 

Einträge werden jeweils unter der URL http://apt.univention.de bekannt gegeben. 

Neben dem üblichen Weg über die Softwareverteilung gibt es zum Installieren zusätzlicher Debian- 

Pakete grundsätzlich drei weitere Wege: Die Univention Management Console, univention-install 

und dpkg. Die Univention Management Console bietet einen komfortablen Weg, über die grafische Be- 

nutzeroberfläche eines Webbrowsers Softwarepakete zu verwalten. Dabei wird im Hintergrund der apt- 

Mechanismus verwendet. Dieser ist in der Lage, Abhängigkeiten automatisch aufzulösen, kann allerdings 

nur Pakete aus Paketquellen einspielen. (Das Repository dient als Paketquelle. Wie sie Pakete zum Re- 

pository hinzufügen, ist in Kapitel 11 beschrieben.) 

Mit dpkg können Pakete aus beliebigen Verzeichnissen installiert werden. Eventuell nicht erfüllte Abhän- 

gigkeiten werden von dpkg nicht selbständig aufgelöst. 

Beispiel für die Installation des Paketes univention-samba: 

univention-install univention-samba 

Im ersten Beispiel muss sich ein Paket mit dem Namen univention-samba in irgendeiner der in 

/etc/apt/sources.list eingetragenen Paketquellen befinden. Es wird nach Eingabe des Befehls 

zusammen mit eventuellen Abhängigkeiten aus den verfügbaren Paketquellen geholt und installiert. 

Durch den Befehl dpkg -i werden keine Abhängigkeiten auf weitere Pakete aufgelöst, daher werden kei- 

ne weiteren Pakete aus Paketquellen installiert. Es wird lediglich das als Parameter übergebene Debian- 

Paket installiert. 

Software, die nicht in Form von Debian-Paketen vorliegt, sollte nach Möglichkeit in die Verzeichnisse /opt 

oder /usr/local installiert werden. In diese Verzeichnisse werden keine UCS- oder Debian-Pakete in- 

stalliert, dadurch ist eine saubere Trennung von UCS-/Debian-spezifischer Software und solcher, die nicht 

in eine dieser Kategorien fällt, gewährleistet. 

44

4 Univention Directory Manager 


4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 

4.2 Hinweise zur Programmbedienung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 

4.2.1 Hinweise zu Listenfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

4.2.2 Hinweise zu Mehrfachauswahlfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

4.3 Univention Directory Manager-Assistenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

4.3.1 Untermenü ”Suchen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 

4.3.2 Untermenü ”Hinzufügen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 

4.4 Navigation / LDAP-Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 

4.4.1 Im Verzeichnisbaum navigieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 

4.4.2 Objekte in der Navigation anzeigen und bearbeiten . . . . . . . . . . . . . . . . . . . 56 

4.5 Univention Directory Manager Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

4.5.1 Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 

4.5.2 Gruppenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 

4.5.3 Netzwerkverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 

4.5.4 Rechnerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 

4.5.5 Freigabeverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 

4.5.6 Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 

4.5.7 Druckerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 

4.5.8 Container, Organisationseinheiten, Domänen . . . . . . . . . . . . . . . . . . . . . . 100 

4.5.9 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 

4.5.10 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 

4.5.11 Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 

4.5.12 Univention Directory Manager Einstellungen . . . . . . . . . . . . . . . . . . . . . . 143 

4.5.13 Benutzerdefinierte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 

4.5.14 Erweiterte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 

4.6 Richtlinien gesteuerte Ansichten des Univention Directory Manager Web-Frontends . . . . 161 


Univention Directory Manager ermöglicht die komfortable webbasierte Verwaltung von Objekten in einem 

LDAP-Verzeichnis. Objekte können z.B. Benutzer, Gruppen, Rechner oder DHCP-Einträge sein. Neben 

dem hier beschriebenen Web-Interface von Univention Directory Manager existiert auch eine Kommando- 

zeilenschnittstelle, siehe [6]. Welche Operationen ein Benutzer des Univention Directory Manager durch- 

führen darf, richtet sich nach den Rechten im Verzeichnisdienst (ACLs). Univention Directory Manager 

führt selbst keine Rechteverwaltung oder -prüfung durch, sondern leitet die Authentifizierungsinformatio- 

nen und Anfragen des Benutzers direkt an den Verzeichnisdienst weiter. 

45


Das Web-Interface von Univention Directory Manager kann aufgerufen werden, indem die URL 

https://IP-Adresse-des-Servers/univention-directory-manager/ in das Adressfeld des 

Browsers eingegeben wird. Dabei ist IP-Adresse-des-Servers durch die IP-Adresse des Servers, 

auf dem Univention Directory Manager installiert ist, zu ersetzen. Standardmäßig ist Univention Directory 

Manager auf dem DC Master installiert. Falls die DNS-Namensauflösung richtig eingerichtet ist, kann auch 

direkt auf den Namen des Univention Directory Manager-Rechners zugegriffen werden. Dafür ist die URL 

https://Name-des-Servers.Domänenname/univention-directory-manager/ einzugeben. 

Univention Directory Manager verwendet für die Darstellung der Web-Oberfläche Javascript- und CSS- 

Funktionen, die mit einigen Browsern Darstellungsprobleme aufwerfen können. Wird die Oberfläche mit 

einem anderen Browser als Firefox 3.x oder dem Internet Explorer ab 6.0 aufgerufen, erscheint eine Warn- 

meldung. 

Unter besonderen Umständen kann es nötig sein, auf den Univention Directory Manager über 

eine ungesicherte Verbindung zuzugreifen. Dies ist zum Beispiel dann der Fall, wenn für 

das System noch keine SSL-Zertifikate erstellt worden sind. Der ungesicherte Zugriff erfolgt 

über die Adresse http://IP-Adresse-des-Servers/univention-directory-manager/ bzw. 

http://Name-des-Servers.Domänenname/univention-directory-manager/. 

Achtung: 

Passwörter werden in diesem Fall im Klartext über das Netzwerk gesendet. 

Auf dem Bildschirm erscheint nun das Anmeldeformular. Für die erste Anmeldung am System kann der 

Benutzer Administrator mit dem Passwort, das bei der Installation des DC Master für den Benutzer root 

vergeben wurde, verwendet werden. 

In der Anmeldemaske kann unter Sprache die Anzeigesprache des Univention Directory Manager konfi- 

guriert werden, zur Auswahl stehen Deutsch und Englisch. 

Nach der Eingabe des Benutzernamens und des Passwortes ist die Anmeldung durch einen Klick auf die 

Schaltfläche [Login] abzuschliessen. 

Nach der erfolgreichen Anmeldung erscheint die Univention Directory Manager-Begrüßungsseite. Siehe 

dazu auch Abbildung 4.2. 

Auf der linken Seite ist das Hauptmenü zu erkennen. Unter dem Hauptmenü ist ein Statusfeld mit aktuellen 

Statusmeldungen zu getätigten Aktionen. Am oberen Rand ist der angemeldete Benutzername zu sehen, 

in diesem Fall Administrator. 

Über den Menüeintrag Navigation kann durch das LDAP-Verzeichnis navigiert werden und es können 

neue Objekte im LDAP-Verzeichnis erzeugt, modifiziert oder gelöscht werden. Weitere Hinweise dazu 

sind im Kapitel 4.4 zu finden. 

Mit den Menüeinträgen auf der linken Seite, im folgenden Assistenten genannt, können komfortabel be- 

stimmte Objekte bearbeitet werden. 

Je nach verwendeter Lizenz bzw. Installation können die angezeigten Assistenten variieren. Hierzu sind 

weitere Hinweise in Kapitel 4.5 zu finden. 

In der oberen Bildleiste finden sich Links, die einen direkten Zugriff auf häufig verwendete Funktionalität 

ermöglichen: Das Anlegen eines Rechner- oder Benutzerobjekts, der Zugriff auf die Navigation und die 

Abmeldung von der Oberfläche. 

46

Abbildung 4.1: ungesicherte Begrüßungsseite 


Der Menüpunkt Über UDM gibt u.a. Angaben zu der verwendeten Lizenz und zur Univention Directory 

Manager-Programmversion an. Dort kann auch über Lizenz aktualisieren eine Softwarelizenzdatei im- 

portiert werden. 

Nach einem Klick auf den Eintrag Abmelden im Hauptmenü auf der linken Seite erscheint eine Nachfrage, 

ob die Abmeldung tatsächlich durchgeführt werden soll. Die Schaltfläche [Abbrechen] führt wieder zum 

vorherigen Menüeintrag zurück ins Programm. Die Schaltfläche [Ok] führt die Abmeldung durch. Anschlie- 

ßend wird eine Seite mit einem Link für eine erneute Anmeldung angezeigt. 

Ein ähnliches Fenster erscheint, nachdem die laufende Univention Directory Manager-Sitzung bei einer 

Zeitüberschreitung aus Sicherheitsgründen automatisch beendet wird (siehe Abbildung 4.3). 

Um das Zeitintervall bis zum automatischen Beenden der Sitzung zu verändern, kann die Univention 

Configuration Registry-Variable directory/manager/timeout verändert werden. Das Zeitintervall ist 

in Sekunden anzugeben. Soll das Zeitintervall bis zum Beenden der nächsten Sitzung auf zehn Minuten 

gesetzt werden, so ist der Wert auf 600 einzustellen. In der Standardeinstellung beträgt das Intervall 

fünfzehn Minuten. 

Die verwendete Standardsprache von Univention Directory Manager kann über die Univention Configura- 

tion Registry-Variable directory/manager/web/language gesteuert werden. Für die englische Uni- 

vention Directory Manager-Version muss die Variable auf den Wert us gesetzt werden. 

In der Standardeinstellung prüft das UCS-System regelmäßig auf verfügbare Updates. Sollte ein Update 

zur Verfügung stehen, wird im oberen Teil der Begrüßungsseite (Abbildung 4.2) ein entsprechender Hin- 

weis angezeigt. Dieser Hinweis wird nur Benutzern gezeigt, die in mindestens einer der in der Univention 

Configuration Registry-Variable directory/manager/web/update/available/groups angegebe- 

nen Gruppen vertreten sind. Der Standardwert wird bei der Installation auf Domain Admins gesetzt. Die 

47


Gruppen sind kommasepariert anzugeben. 

4.2 Hinweise zur Programmbedienung 

Abbildung 4.2: Begrüßungsseite 

Univention Directory Manager ist für den Einsatz von Webbrowsern mit JavaScript-Unterstützung opti- 

miert. Aus diesem Grund geht diese Dokumentation bei Abbildungen und Beschreibungen davon aus, 

dass ein grafischer Browser mit aktivierter JavaScript-Unterstützung verwendet wird. Ohne aktiviertes Ja- 

vaScript werden manche Funktionen nicht automatisch ausgeführt und es ergeben sich somit Abweichun- 

gen in der Programmbedienung. 

Im Univention Directory Manager angezeigte Eingabefelder, die mit einem Stern (*) gekennzeichnet sind, 

müssen ausgefüllt werden, alle anderen Felder sind nicht zwingend erforderlich. 

Soweit nicht anders angegeben, sind alle Zeichen erlaubt, also auch Sonderzeichen wie < und > sowie 

die Umlaute ä, ö, ü und ß. 

In Listenfeldern können mittels der Tasten [Strg] oder [Umschalten] und der Maus oder Pfeiltasten mehrere 

48

Abbildung 4.3: Automatische Abmeldung nach Zeitüberschreitung 

Einträge auf einmal ausgewählt werden. 

4.2.1 Hinweise zu Listenfeldern 

4.2 Hinweise zur Programmbedienung 

Unter den Eingabefeldern des Univention Directory Manager befinden sich auch spezielle Listenfelder. 

Diese Listenfelder kommen zum Einsatz, wenn für eine Einstellung ein einzelner oder mehrere Werte an- 

gegeben werden können. Abbildung 4.4 zeigt ein Beispiel für ein Listenfeld, anhand dessen seine Funktion 

näher erläutert wird. 

In dem Eingabefeld (➊ in Abbildung 4.4) kann der gewünschte Wert eingetragen und über einen Klick auf 

die Schaltfläche [+] ➋ übernommen werden. Der Wert wird anschließend in dem Listenfeld Einträge ➌ 

angezeigt. 

Listenfelder existieren in mehreren Varianten, die sich in der Art des Eingabefeldes ➊ unterscheiden. Hier 

können statt eines einzelnen Eingabefeldes auch mehrere Eingabefelder angezeigt werden. Weiterhin 

treten auch Auswahllisten oder Kombinationen von Eingabefeldern und Auswahllisten auf. Das weitere 

Verhalten der Listenfelder unterscheidet sich dadurch jedoch nicht. 

In einigen Fällen ist es notwendig, dass die Einträge in dem Listenfeld Einträge ➌ eine bestimmte Rei- 

henfolge aufweisen. Nach der Selektion eines Eintrags durch einfaches Anklicken kann dieser über die 

49


Abbildung 4.4: Angabe von DNS-Servern über ein Listenfeld 

Schaltflächen [△] ➍ und [▽] ➎ innerhalb der Liste nach oben bzw. nach unten verschoben werden. 

Mittels der Tasten [Strg] oder [Umschalten] und der Maus oder Pfeiltasten können auch mehrere Einträge 

auf einmal ausgewählt und verschoben bzw. gelöscht werden. 

Über die Schaltfläche [-] ➏ können einzelne oder mehrere Einträge aus dem Listenfeld entfernt werden, 

sofern sie zuvor markiert wurden. 

Hinweis: 

Werte, die zwar in das Eingabefeld ➊ eingetragen, aber nicht über die Schaltfläche [+] dem Listenfeld 

Einträge hinzugefügt wurden, werden beim Bestätigen der Änderungen am Objekt nicht übernommen! 

4.2.2 Hinweise zu Mehrfachauswahlfeldern 

Für einige komplexe Eingabefelder wie die Gruppenmitgliedschaften gibt es Mehrfachauswahlfelder. (sie- 

he auch Abbildung 4.5). Das Dialogelement zeichnet sich dadurch aus, dass in einer Menge von Objekten 

nach bestimmten Kriterien gesucht werden kann und sich daraus markierte Objekte der Gruppe hinzufü- 

gen lassen. 

In der Auswahlliste Eigenschaft (➊ in Abbildung 4.5) kann ein Attribut ausgewählt werden, das als Such- 

kriterium verwendet wird. Bei einigen Attributen wird nach der Auswahl automatisch ein Eingabefeld gela- 

den, das an die Stelle des Platzhalters Keine ➋ tritt. 

In dem zusätzlichen Eingabefeld ➋, das den Namen des gewählten Attributs trägt, kann ein Suchmuster 

eingegeben werden. Dabei ist es möglich, einen Stern ’*’ als Platzhalter für beliebige Zeichenketten zu 

verwenden. 

Nach einem Klick auf die Schaltfläche [Anzeigen] werden die Objekte, auf die das angegebene Suchkrite- 

rium zutrifft, in dem Listenfeld Alles ➌ angezeigt. Das Listenfeld Aktuell ➍ zeigt die derzeit ausgewählten 

Objekte an. 

Mit den Schaltflächen [▹] und [◃] ➎ lassen sich zuvor markierte Objekte zwischen den Listenfeldern Alles 

und Aktuell verschieben, wodurch die Objekte in die Gruppe aufgenommen bzw. aus ihr entfernt werden. 

4.3 Univention Directory Manager-Assistenten 

Neben der Navigation im Verzeichnisbaum bietet Univention Directory Manager eine Reihe von Assisten- 

ten im linken Hauptmenü an (siehe Abbildung 4.2). Diese Assistenten bieten eine einfache Schnittstelle für 

50

Abbildung 4.5: Beispiel für Gruppenmitgliedschaften 


häufig auftretende Administrationsschritte. Standardmäßig werden die folgenden Assistenten angezeigt: 

• Benutzer 

• Gruppen 

• Netzwerk 

• Rechner 

• DNS 

• DHCP 

• Drucker 

• Freigaben 

• Richtlinien 

Je nach installierter Software und verwendeter Lizenz kann die Anzahl der Assistenten variieren. 

Nach einem Klick auf einen Assistenten öffnet sich ein Untermenü und die Einträge Suchen und Hin- 

zufügen werden angezeigt. Das Untermenü Suchen wird direkt aktiviert und eine Suche nach dem ak- 

tuellen Objekttyp durchgeführt. Wenn nicht direkt gesucht werden soll - etwa in grossen Umgebungen 

mit vielen Objekten - kann dieses Verhalten durch Setzen der Univention Configuration Registry-Variable 

directory/manager/web/modules/autosearch auf false unterbunden werden. 

4.3.1 Untermenü ”Suchen” 

Durch das Untermenü Suchen können sehr einfach Objekte eines bestimmten Typs oder einer bestimmten 

Typengruppe gesucht und ggf. bearbeitet werden. 

In der Auswahlliste Suchen in kann zwischen verschiedenen Suchbereichen gewählt werden; damit wird 

bestimmt, welche Teile des LDAP-Verzeichnisses durchsucht werden sollen. Weitere Hinweise zu den 

registrierten Containern finden sich in Kapitel 4.5.12.7. 

51


Abbildung 4.6: Suche nach Benutzernamen 

Falls der Assistent für unterschiedliche Univention Directory Manager-Module zuständig ist (so ist bei- 

spielsweise der Rechner-Assistent für unterschiedliche Rechnertypen (UCS DC Systeme, Windows Rech- 

ner usw.) zuständig), so wird unter Typ auswählen eine Liste mit den möglichen Objekt-Typen angezeigt. 

In der Auswahlliste Eigenschaft kann die Suche auf bestimmte Attribute beschränkt werden. Bei einigen 

Eigenschaften, beispielsweise in der Suche nach Benutzern mit der Eigenschaft Deaktiviert, erscheint ein 

Auswahlkästchen. Bei den meisten anderen Eigenschaften erscheint ein Eingabefeld, in das der gesuchte 

Wert für das Attribut eingetragen wird. 

Wildcards, wie bsp. der Stern *, sind möglich, es hängt dabei aber von den Schema-Definitionen des 

LDAP-Verzeichnisses ab, ob die Suche erfolgreich ist. 

Beispiel: 

Wenn alle Benutzer, deren Nachname mit dem Buchstaben m beginnt, gesucht werden sollen, so ist der 

Benutzer-Assistent aufzurufen. In der Auswahlliste Eigenschaften wird das Attribut Nachname gewählt 

und in das Eingabefeld wird m* eingetragen. 

Im Eingabefeld Ergebnisse pro Seite wird definiert, wie viele Objekte auf einer Seite angezeigt werden. 

Standardmässig werden maximal 1000 Objekte auf einer Seite angezeigt werden, durch die Univention 

Configuration Registry-Variable directory/manager/web/ldap/sizelimit kann ein abweichender 

Wert konfiguriert werden. 

Wenn für alle Objekte mehr als eine Seite benötigt wird, ist es durch einen Klick auf die Seitenzahlen 

möglich, in den Seiten zu blättern. Die Seitennummer der aktuell angezeigten Seite wird gegenüber den 

anderen Seitenzahlen optisch hervorgehoben. 

52


Durch Klick auf die Schaltfläche [Suchen] wird die Suche mit den gewählten Kriterien ausgeführt. Durch 

Klick auf die Schaltfläche [Zurücksetzen] werden dagegen alle Kriterien auf ihre Ausgangswerte zurück- 

gesetzt. In diesem Fall wird keine Suche im Verzeichnisbaum durchgeführt. Zusätzlich existiert bei den 

Assistenten für Benutzer , Rechner und Gruppen die Schaltfläche [Report erstellen]. Darüber können 

Suchergebnisse in ein PDF-Dokument oder alternativ auch in eine Datei im CSV-Format übertragen wer- 

den. Details zu den Univention Directory Reports sind in der Dokumentation unter [7] zu finden. 

Das durch Klick auf die Schaltfläche [Suchen] erzeugte Suchergebnis wird in einer Tabelle mit den Spalten 

Objekt, ggf. Eigenschaft, Ort und einem Auswahlkästchen Auswählen präsentiert. In der Spalte Objekt 

sind alle Ergebnisse, auf die die Suchkriterien zutreffen, mit einem entsprechenden Symbol für das Objekt 

und mit ihrem Namen aufgeführt. 

Wenn eine bestimmte Eigenschaft ausgewählt wurde, so wird eine Spalte mit der Eigenschaft als Über- 

schrift und den jeweiligen Werten als Einträge dargestellt. Wenn bspw. bei den Benutzern nach den Nach- 

namen gesucht wurde, so wird eine Spalte mit den Nachnamen angezeigt. 

In der nächsten Spalte Ort wird die Position des Suchergebnisses im LDAP-Verzeichnis angezeigt. Die 

Position setzt sich zusammen aus der Domäne gefolgt von dem Namen des aktuell ausgewählten Contai- 

ners. 

In der letzten Spalte Auswählen wird ein Auswahlkästchen angezeigt, darunter wird eine Auswahl von 

möglichen Operationen unter dem Punkt Die ausgewählten Objekte ... angeboten. Mit der Option Aus- 

wahl umkehren kann die Auswahl der markierten Objekte umgekehrt werden. Durch die Option Bearbei- 

ten besteht die Möglichkeit mehrere Objekte auf einmal zu editieren. Wenn bspw. mehrere Benutzer auf 

einmal deaktiviert werden sollen, kann dieser Befehl verwendet werden. Die Option Löschen erlaubt das 

Löschen von Objekten. 

Durch Klick auf den Namen des Objekts oder auf das Symbol vor dem Namen in der Liste der Sucher- 

gebnisse werden die Daten des Objektes zur Anzeige bzw. zur Bearbeitung geöffnet. Die Daten sind auf 

mehrere Karteikarten verteilt und entsprechen im wesentlichen den Daten beim Hinzufügen eines Ob- 

jektes. Die Abweichungen sind in den jeweiligen Univention Directory Manager-Modul-Dokumentationen 

beschrieben (siehe Kapitel 4.5.1 bis 4.5.12). 

Nach Abschluss der Bearbeitung werden die Änderungen mittels der Schaltfläche [OK] in das LDAP- 

Verzeichnis übernommen bzw. mittels der Schaltfläche [Abbrechen] verworfen. 

Hinweis: 

Nach Betätigung einer der beiden Schaltflächen wird das vorherige zwischengespeicherte Suchergebnis 

wieder angezeigt. Soeben gemachte Änderungen sind in dem zwischengespeicherten Suchergebnis noch 

nicht enthalten! 

4.3.2 Untermenü ”Hinzufügen” 

Durch das Untermenü Hinzufügen können sehr einfach Objekte eines bestimmten Typs hinzugefügt wer- 

den. 

In der Auswahlliste Container auswählen kann zwischen verschiedenen Positionen im LDAP-Verzeichnis 

gewählt werden. Weitere Hinweise zu diesen registrieren Containern finden sich in Kapitel 4.5.12.7. 

53


Abbildung 4.7: Hinzufügen eines Benutzers 

Falls der Assistent für unterschiedliche Univention Directory Manager-Module zuständig ist (so ist bei- 

spielsweise ist der Rechner-Assistent für unterschiedliche Rechnertypen - (UCS DC Systeme, Windows 

Rechner usw. zuständig) - , so wird unter Typ auswählen eine Liste mit den möglichen Typen angezeigt. 

Falls das Univention Directory Manager-Modul, welches für diesen Assistenten zuständig ist, den Vorla- 

gen-Mechanismus unterstützt, so wird unter Vorlage auswählen eine Liste der möglichen Vorlagen zur 

Auswahl gestellt. 

Ein Klick auf die Schaltfläche [Abbrechen] verwirft die Eingaben und aktiviert das Untermenü Suchen 

des Assistenten. 

Durch einen Klick auf die Schaltfläche [Weiter] werden die Karteikarten des neuen Objektes angezeigt. 

In diesen Karteikarten können nun die Daten des neuen Objektes eingegeben werden. Durch einen ab- 

schließenden Klick auf die Schaltfläche [Ok] werden die Einträge in das LDAP-Verzeichnis übernommen, 

durch einen Klick auf die Schaltfläche [Abbrechen] werden die eingetragenen Informationen verworfen. 

Hinweise zu den Karteikarten sind in den jeweiligen Univention Directory Manager-Modul-Kapiteln zu fin- 

den, siehe Kapitel 4.5.1 bis 4.5.12. 

4.4 Navigation / LDAP-Browser 

4.4.1 Im Verzeichnisbaum navigieren 

Über den Menüeintrag Navigation kann durch das LDAP-Verzeichnis navigiert werden und es können 

neue Objekte im LDAP-Verzeichnis erzeugt, modifiziert oder gelöscht werden. 

Ein Klick auf den Menüeintrag Navigation öffnet eine Seite, die eine Tabelle mit einem Ausschnitt der 

Daten aus dem LDAP-Verzeichnis anzeigt. Diese Tabelle wird im folgenden Verzeichnisübersicht genannt 

(siehe Abbildung 4.8). 

Die angezeigte Position (➊ in der Abbildung 4.8) gibt die Position im Verzeichnisbaum der Domäne an. 

Die oberste Ebene wird durch den Namen der Domäne angezeigt. Wenn per Mausklick in einen Contai- 

ner gewechselt wird, bsp. durch Klick auf den Container users ➋, wird der aktuelle Pfad unter Position 

angezeigt. Die einzelnen Pfad-Segmente können zum Wechseln in die jeweilige Ebene angeklickt werden. 

Durch Klick auf den grauen Pfeil nach oben mit dem Text übergeordneter Ordner (➌ in Abbildung 4.9) 

kann im LDAP-Verzeichnis eine Ebene nach oben navigiert werden. Auf der obersten Ebene wird das 

Ordnersymbol für den übergeordneten Ordner nicht angezeigt. 

54

Abbildung 4.8: Verzeichnisübersicht 

4.4 Navigation / LDAP-Browser 

In der Auswahlliste Neues Objekt an aktueller Position hinzufügen ➍ stehen jeweils Objekttypen zur 

Auswahl, die an dieser Position im LDAP-Verzeichnis angelegt werden können. 

Über die Auswahlliste Typ ➎ und die Schaltfläche [Anzeigen] ➏ kann gesteuert werden, welche Objekte 

zusätzlich zu den Containerobjekten dieser Ebene angezeigt werden. Wenn ein Typ in der Liste ➎ markiert 

ist, wird ggf. eine weitere Auswahlliste Eigenschaft ➐ angezeigt. Nach der Auswahl der gewünschten 

Eigenschaft wird ggf. ein weiteres Eingabefeld angezeigt, in dem ein Suchbegriff eingegeben werden 

kann. 

Im Eingabefeld Ergebnisse pro Seite ➑ wird festgelegt, wie viele Objekte auf einer Seite anzuzeigen 

sind. Wenn für alle Objekte mehr als eine Seite benötigt wird, ist es durch einen Klick auf die Seitenzahlen 

➒ möglich, in den Seiten zu blättern. Die Seitennummer der aktuell angezeigten Seite wird gegenüber den 

anderen Seitenzahlen optisch hervorgehoben. 

Durch Klick auf die Schaltfläche [Anzeigen] ➏ werden die Objekte der aktuellen Ebene, die den Auswahl- 

kriterien entsprechen, in der Verzeichnisübersicht angezeigt. Die Ordner-Objekte werden unabhängig von 

den Suchkriterien angezeigt. 

In der Verzeichnisübersicht wird für ein Objekt in der Spalte Objekt ein Symbol für den Objekttyp und 

ein Name angezeigt. In der Spalte Typ wird der Objekttyp in Worten angegeben. Falls ein Suchkriterium 

definiert wurde, so wird in der nächsten Spalte das Ergebnis des Suchkriteriums angezeigt. In der letzten 

Spalte Auswählen wird ein Auswahlkästchen angezeigt, darunter wird eine Auswahl von möglichen Ope- 

rationen unter dem Punkt Die ausgewählten Objekte ... angeboten. Mit der Option Auswahl umkehren 

55


Abbildung 4.9: Benutzerobjekte Anzeigen 

kann die Auswahl der markierten Objekte umgekehrt werden. Durch die Option Bearbeiten besteht die 

Möglichkeit, mehrere Objekte auf einmal zu editieren. Wenn beispielsweise mehrere Benutzer auf ein- 

mal deaktiviert werden sollen, kann dieser Befehl verwendet werden. Die Option Löschen erlaubt das 

Löschen von Objekten. Durch Verschieben besteht die Möglichkeit, ein oder mehrere Objekte an eine 

andere Position im Verzeichnisbaum zu verschieben. 

4.4.2 Objekte in der Navigation anzeigen und bearbeiten 

Die über ein Objekt gespeicherten Informationen können angeschaut bzw. bearbeitet werden, indem auf 

das Symbol oder den Namen des Objektes in der Verzeichnisübersicht geklickt wird. Es werden dann 

sogenannte Karteikarten mit den Informationen zu diesem Objekt angezeigt (siehe Abbildung 4.10). 

Handelt es sich bei dem Objekt um einen Container, in dem weitere Objekte enthalten sein können, so 

wird zunächst der Inhalt des Containers als Verzeichnisübersicht dargestellt. Das Objekt selbst erscheint 

in dieser Verzeichnisübersicht mit seinem Symbol und der Bezeichnung (aktuell). Nach einem Klick auf 

das Symbol oder auf (aktuell) erscheinen die Karteikarten und Information zu diesem Objekt. 

Die Karteikarten beim Bearbeiten entsprechen weitgehend den Karteikarten beim Hinzufügen von Objek- 

ten und werden in den entsprechenden Anleitungen dazu ausführlich beschrieben (siehe Kapitel 4.5). 

Wenn die Informationen lediglich angezeigt werden sollen, so sollte das Objekt nach der Betrachtung 

56

Abbildung 4.10: Benutzerobjekt des Administrators 

durch einen Klick auf die Schaltfäche [Abbrechen] verlassen werden. 

4.5 Univention Directory Manager Module 

Manche Werte sind vor Änderung geschützt und können nicht geändert werden. Diese Werte werden 

ausgegraut dargestellt und lassen sich nicht ändern. 

Andere Werte sind zwingend erforderlich, sie können meistens geändert, aber nicht gelöscht werden. Hin- 

ter der Feldbeschriftung eines solchen Feldes wird in der Regel ein Stern mit Klammern angezeigt (*). 

Diese Werte müssen ausgefüllt sein, bevor die Karteikarte gewechselt wird. Abgesehen davon kann zwi- 

schen den Karteikarten beliebig gewechselt werden. Die eingetragenen Werte bleiben bei einem Wechsel 

der Karteikarte erhalten. 

Wenn alle gewünschten Änderungen an einem Objekt durchgeführt wurden, so wird durch einen Klick 

auf die Schaltfläche [Ok] die Eingabe übernommen und im LDAP-Verzeichnis werden die entsprechenden 

Änderungen durchgeführt. 


Neben der Möglichkeit, über die Navigation das LDAP-Verzeichnis zu modifizieren, stellt Univention Di- 

rectory Manager mehrere Univention Directory Manager-Module bereit, die dem Benutzer das Suchen, 

57


Hinzufügen, Modifizieren und Löschen von LDAP-Objekten erleichtern sollen, indem sie gängige Abläufe 

zusammenfassen (z.B. das Anlegen von DHCP- und DNS-Einträgen beim Anlegen eines neuen Rechner- 

Objektes). 

Die in einem Univention Directory Manager-Modul verwaltbaren Attribute werden unterteilt in Standard- 

Attribute und erweiterte Attribute. Standardmässig werden in den Reitern eines Moduls nur die 

Standard-Attribute angezeigt. Durch einen Klick auf Zeige die erweiterten Einstellungen wer- 

den die übrigen Reiter eingeblendet. Durch Setzen der Univention Configuration Registry-Variable 

directory/manager/web/modules/advancedview auf true werden standardmässig alle Attribute 

angezeigt. 

4.5.1 Benutzerverwaltung 

Die folgenden Richtlinien-Objekte können auf die Benutzerverwaltung angewendet bzw. vererbt werden 

(siehe Kapitel 4.5.11): 

58 

• Mail-Quota 

• Passwort-Richtlinie 

• Univention Admin-Ansicht 

• Desktop-Einstellungen 

• UMC-Zugriff 

Karteikarte ’Allgemein’ 

Benutzername (*) 

Mit diesem Namen meldet sich der Benutzer am System an. Die Angabe des Benutzernamens ist für 

einen Benutzer zwingend erforderlich, auch muss der Name mit einem Buchstaben beginnen und darf 

anschließend Buchstaben von a bis z, die Ziffern 0 bis 9, einen Punkt, Bindestrich oder Unterstrich 

enthalten. Nur der erste Buchstabe des Benutzernamens darf ein Großbuchstabe sein. 

Hinweis: 

Um die Kompatibilität mit anderen nicht-UCS-Systemen zu gewährleisten, verhindert Univention Di- 

rectory Manager das Anlegen von Benutzern, die sich lediglich in der Groß- und Kleinschreibung 

unterscheiden. Wenn beispielsweise der Benutzername ’meier’ bereits existiert, wird der Benutzer- 

name ’Meier’ nicht mehr zugelassen. 

Beschreibung 

Hier können beliebige Beschreibungen für den Benutzer eingetragen werden. 

Passwort (*) 

Hier wird das Passwort des Benutzers eingeben. 

Passwort (Wiederholung) (*) 

Um Tippfehler auszuschließen wird das Passwort des Benutzers erneut eingegeben.

Passwort-History ignorieren 


Durch die Auswahl dieses Auswahlkästchens wird die Passwort-History für diesen Benutzer und für 

diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Passwortän- 

derung ein bereits verwendetes Passwort zugewiesen werden. Weitere Hinweise zu den Passwort- 

Richtlinien für Benutzer finden sich in Kapitel 4.5.11.5. 

Passwort-Prüfungen ignorieren 

Durch die Auswahl dieses Auswahlkästchens wird die Prüfung der Passwortlänge und -qualität für 

diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer 

mit dieser Passwortänderung z.B. ein kürzeres Passwort zugewiesen werden, als in der Mindestlän- 

ge vorgegeben ist. Weitere Hinweise zu den Passwort-Richtlinien für Benutzer finden sich in Kapi- 

tel 4.5.11.5. 

Vorname 

Hier wird der Vorname des Benutzers eingetragen. 

Nachname (*) 

Hier wird der Nachname des Benutzers angegeben. 

Titel 

Der Titel des Benutzers kann hier eingegeben werden. 

Organisation 

Die Organisation wird in diesem Feld eingetragen. 

Karteikarte ’Benutzer-Konto’ 

Konto-Ablaufdatum 

In diesem Eingabefeld wird das Datum festgelegt, ab wann dieses Benutzerkonto ungültig ist. Das 

Ablaufdatum ist in der Form TT MM JJ anzugeben, also 05 03 06 für den 5. März 2006. Ab dem 

eingestellten Datum bekommt der Benutzer, wenn er versucht sich am System anzumelden, eine 

Meldung, dass seine Benutzerkennung ungültig ist; er hat somit keinen Zugang mehr zum System. 

Wenn das Datum entfernt oder ein anderes, zukünftiges Datum eingetragen wird, kann der Benutzer 

sich wieder anmelden. 

Passwort-Ablaufdatum 

Wenn das Passwort zu einem bestimmten Datum abläuft, wird dieses Datum in diesem Eingabefeld 

in der Form TT MM JJ angezeigt, also 05 03 06 für den 5. März 2006. Diese Eingabefelder sind 

nicht direkt änderbar. Das Datum kann über das Auswahlkästchen Passwort bei der nächsten An- 

meldung ändern auf dieser Karteikarte und über das Eingabefeld Passwort-Ablaufintervall auf der 

Richtlinien-Karteikarte Passwort geändert bzw. beeinflusst werden. 

59


60 

Ist das Passwort-Ablaufdatum erreicht oder überschritten, wird der Benutzer bei der Anmeldung am 

System aufgefordert, sein Passwort zu ändern. Nachdem das Passwort geändert wurde, hat der 

Benutzer wieder Zugang zum System. 

Ändert der Benutzer sein Passwort, wird das Passwort-Ablaufdatum automatisch angepasst, wenn 

auf der Richtlinien-Karteikarte Passwort ein Wert für das Passwort-Ablaufintervall eingetragen ist 

oder von einem übergeordneten Objekt der Wert geerbt wird. Das neue Ablaufdatum wird, gerechnet 

vom Zeitpunkt der Passwortänderung, um den in Passwort-Ablaufintervall angegebenen Zeitraum 

in die Zukunft gesetzt. 

Ist kein Passwort-Ablaufintervall gesetzt, so wird das alte Passwort-Ablaufdatum gelöscht und kein 

neues eingetragen. 

Konto-Deaktivierung 

Mit dem Auswahlfeld Konto-Deaktivierung kann das Benutzerkonto für ein oder mehrere Anmelde- 

verfahren deaktiviert werden. Solange der jeweilige Konto-Typ deaktiviert ist, kann sich der Benutzer 

nicht am System anmelden. Ein typischer Anwendungsfall ist ein Benutzer, der das Unternehmen ver- 

lassen hat. Eine Kontodeaktivierung kann in einer heterogenen Umgebung ggf. auch durch externe 

Tools ausgelöst werden, das Auswahlfeld spiegelt dann den Zustand des Kontos wieder. Normaler- 

weise sollten Benutzer immer für alle Konto-Typen deaktiviert werden. Folgende Deaktivierungszu- 

stände können umgesetzt werden: 

• Keine - Der Grundzustand; alle Anmeldungen sind möglich. 

• Alle deaktiviert - Alle Kontotypen sind gesperrt. 

• Windows deaktiviert 

• Kerberos deaktiviert 

• POSIX deaktiviert 

• Windows und POSIX deaktiviert 

• Windows und Kerberos deaktiviert 

• POSIX und Kerberos deaktiviert 

Folgende Querbeziehungen zwischen den verschiedenen Anmeldeverfahren ergeben sich aus der 

UCS-PAM-Konfiguration: 

• Die Linux-Anmeldung (z.B. an GDM oder einem tty) wird nur deaktiviert, wenn alle Anmelde- 

verfahren deaktiviert werden; ein deaktiviertes POSIX-Konto reicht dazu nicht aus. 

• Samba setzt ein nicht deaktiviertes POSIX-Konto voraus, d.h. durch das Deaktivieren des 

POSIX-Kontos wird auch Samba deaktiviert.


• Die Kerberos-Bibliothek (Heimdal) wertet auch die Samba-Kontoeinstellungen aus, d.h. durch 

das Deaktivieren des Windows-Kontos wird auch Kerberos deaktiviert. 

Passwort bei der nächsten Anmeldung ändern 

Wenn dieses Auswahlkästchen aktiviert ist, muss der Benutzer bei der nächsten Anmeldung an 

der Domäne sein Passwort ändern. Bei der Aktivierung wird das aktuelle Datum als Passwort- 

Ablaufdatum gespeichert. Weitere Hinweise sind in der Beschreibung zum Passwort-Ablaufdatum 

auf der selben Karteikarte zu finden. 

Gesperrte Anmeldeverfahren 

Mit diesem Auswahlfeld können einzelne Anmeldeverfahren gesperrt werden. Dies kann beispielswei- 

se aus Sicherheitsgründen automatisch erfolgen, wenn ein Benutzer sein Passwort zu oft fehlerhaft 

eingegeben hat. Normalerweise sollten Benutzer immer für alle Anmeldeverfahren gesperrt werden. 

Im Gegensatz zur Konto-Deaktivierung wird dabei nicht das Konto deaktiviert, sondern nur die 

Anmeldung verweigert. Folgende Anmeldeverfahren können eingeschränkt werden: 

• Kein gesperrtes Anmeldeverfahren 

• Alle Anmeldeverfahren sind gesperrt 

• Nur Windows/Kerberos gesperrt 

• Nur POSIX/LDAP gesperrt 

Karteikarte ’Mail’ 

Primäre E-Mail-Adresse 

Hier wird die primäre E-Mail-Adresse des Benutzers angegeben. E-Mail-Adressen können die Zei- 

chen a-z, die Ziffern 0-9, Punkte, Bindestriche und Unterstriche enthalten. Als weitere Vorgabe müs- 

sen die E-Mail-Adressen mit einem Buchstaben beginnen und ein @-Zeichen enthalten. 

Alternative E-Mail-Adressen 

Hier können weitere E-Mail-Adressen für den Benutzer eingetragen werden. E-Mails an diese Adres- 

se werden an denselben Posteingang geliefert wie E-Mails an die primäre E-Mail-Adresse des Be- 

nutzers. Es ist möglich, dass mehrere Benutzer die gleiche alternative E-Mail-Adresse erhalten, aller- 

dings sollte die mehrfach verwendete alternative E-Mail-Adresse nicht bei einem Benutzer als primäre 

E-Mail-Adresse verwendet werden. 

Achtung: 

Wird Scalix für UCS verwendet, so ist der Betrieb von mehreren Benutzern mit identischer alternativer 

Email-Adresse nicht möglich. 

61


62 

Globalen Spam-Ordner verwenden 

Als Spam eingestufte E-Mail wird nicht an den persönlichen Spam-Ordner des Benutzers zugestellt, 

sondern in einen globalen Spam-Ordner, wenn diese Option aktiviert ist. 

Karteikarte ’Kontakt’ 

Hinweis: 

Die Daten für Telefonnummer, Straße, Postleitzahl und Stadt werden in den Attributen für die Ge- 

schäftsadresse im LDAP-Verzeichnis gespeichert. Die privaten Kontaktdaten können auf der Kartei- 

karte Kontakt privat eingetragen werden. 

E-Mail-Adresse 

Hier wird die E-Mail-Adresse des Benutzers eingetragen. Im LDAP-Verzeichnisdienst werden die 

Werte dieses Attributes in das LDAP-Attribut mail eingetragen. Die meisten Adressbücher mit einer 

LDAP-Suchfunktion suchen für die E-Mail-Adresse nach diesem Attribut. Die Syntax ist identisch zu 

dem Attribut Primäre E-Mail-Adresse. 

Telefonnummer 

Dieses Feld beinhaltet die Telefonnummer des Benutzers. Erlaubte Werte sind die Ziffern 0-9, die 

Buchstaben a-z in Groß- und Kleinschreibung und die Zeichen ), (, /, + und -. 

Straße 

Die Straße und die Hausnummer des Benutzers kann hier eingetragen werden. 

Postleitzahl 

Dieses Feld beinhaltet die Postleitzahl des Benutzers. 

Stadt 

Dieses Feld beinhaltet die Stadt der Anschrift des Benutzers. 

Geburtsdatum 

In diesem Feld kann das Geburtsdatum eines Benutzers gespeichert werden 

Bild des Benutzers (JPEG-Format) 

Über diese Maske kann ein Bild des Benutzers im JPEG-Format im LDAP hinterlegt werden. Stan- 

dardmäßig ist die Dateigröße nicht limitiert; über die Univention Configuration Registry-Variable 

directory/manager/jpegphoto/maxsize kann aber eine Beschränkung konfiguriert werden.

Karteikarte ’Kontakt privat’ 


Rufnummern können die Ziffern 0-9, die Buchstaben a-z in Groß- und Kleinschreibung und die Zei- 

chen ), (, /, + und - enthalten. 

Telefonnummer Mobil 

Hier werden die Mobilfunknummern des Benutzers eingetragen. 

Telefonnummer Festnetz 

Die privaten Festnetznummern können hier angegeben werden. 

Rufnummer Pager 

Pager-Rufnummern werden in diesem Feld angegeben. 

Private Adresse 

Eine oder mehrere private Postadressen des Benutzers kann in diesem Feld angegeben werden. In 

UCS-Versionen vor 2.3 konnte in diesem Feld nur eine Adresse gespeichert werden. Wenn von einer 

früheren Version aktualisiert wurde, kann hier nur eine Adresse gespeichert werden. 

Karteikarte ’Organisation’ 

Mitarbeiternummer 

Nummern für Mitarbeiter können in diesem Feld eingetragen werden. 

Mitarbeiterkategorie 

Hier kann die Kategorie des Mitarbeiters festgelegt werden. 

Abteilungsnummer 

Hier kann die Abteilungsnummer des Mitarbeiters angegeben werden. 

Raumnummer 

Die Raumnummer des Benutzers. 

Vorgesetzter 

Der Vorgesetzte des Benutzers kann hier ausgewählt werden. 

Karteikarte ’POSIX (Linux/UNIX)’ 

UNIX-Heimatverzeichnis (*) 

Hier ist der Verzeichnispfad zum Heimatverzeichnis des Benutzers einzutragen. Standardmäßig wird 

hier /home/ gefolgt von dem Benutzernamen eingetragen. Die Angabe des Heimatverzeichnisses 

63


64 

sollte domänenweit eindeutig sein. 

Weitere Hinweise findet sich in der Desktop-Dokumentation in Kapitel 9.7. 

Login-Shell 

In diesem Feld wird die Login-Shell des Benutzers eingetragen. Dieses Programm wird bei der text- 

basierten Anmeldung des Benutzers gestartet. Standardmäßig wird hier /bin/bash eingetragen. 

Benutzer-ID 

Wenn der Benutzer eine bestimmte Benutzer-ID bekommen soll, so kann die Benutzer-ID in die- 

ses Feld eingetragen werden. Wird keine Benutzer-ID zugewiesen, so vergibt Univention Directory 

Manager beim Hinzufügen eine freie Benutzer-ID. Die Benutzer-ID kann nur beim Hinzufügen des 

Benutzers angegeben werden, beim späteren Bearbeiten des Benutzers kann die Benutzer-ID nicht 

geändert werden und wird ausgegraut dargestellt. 

Gruppen-ID 

Beim Hinzufügen des Benutzers wird hier die Gruppen-ID der primären Gruppe des Benutzers einge- 

tragen. Dieser Wert kann nur beim Hinzufügen geändert werden. Beim Bearbeiten kann die primäre 

Gruppe auf der Karteikarte Gruppen bearbeitet werden. 

Heimatverzeichnisfreigabe 

Hier kann, alternativ zur bereits bestehenden Heimatverzeichnisfreigabe, ein Verzeichnis ausgewählt 

werden, in dem sich das Heimatverzeichnis des Benutzers befindet bzw. in dem das Verzeichnis 

angelegt werden soll. 

Pfad der Heimatverzeichnisfreigabe 

Der Pfad zum Heimatverzeichnis relativ zur Heimatverzeichnisfreigabe wird hier angegeben. Als 

Vorgabewert ist hier der Benutzername bereits eingetragen. 

Hinweis: 

Nur wenn beide Werte eingetragen sind, Heimatverzeichnisfreigabe und Pfad der Heimatver- 

zeichnisfreigabe, werden diese Einstellungen in das LDAP-Verzeichnis übernommen. 

GECOS 

Ein Benutzer-Eintrag in der Datei /etc/passwd wird auch als GECOS-Feld bezeichnet. Ein hier 

eingetragener Benutzername wird aber nicht in die Datei /etc/passwd übertragen, sondern als 

LDAP-Attribut gecos abgespeichert. Er kann so von Applikationen abgefragt werden, die nicht ein- 

zeln auf die Attribute für Vor- und Nachname zugreifen. 

Beim Anlegen eines neuen Benutzers wird das Attribut auf ’ ’ gesetzt, wobei 

Umlaute ersetzt werden.


Beim Bearbeiten des Vor- oder Nachnamens eines Benutzers wird der Eintrag automatisch neu ge- 

setzt, wenn der vorherige Wert auf ’ ’ gesetzt war. 

Karteikarte ’Windows’ 

Auf dieser Karteikarte können Angaben zum Windows-Konto des Benutzers gemacht werden. Für 

leere Felder werden die Vorgabewerte aus der Samba-Konfiguration verwendet. 

Windows-Heimatverzeichnis 

Hier wird der Pfad zu dem Verzeichnis angegeben, das als Windows-Heimatverzeichnis für den Be- 

nutzer dienen soll. 

Beispiel: 

\\ucs-file-server\meier 

Laufwerk für das Windows-Heimatverzeichnis 

Wenn das Windows-Heimatverzeichnis bei diesem Benutzer auf einem anderen Windows-Laufwerk 

erscheinen soll, als in der Samba-Konfiguration vorgegeben, so kann hier ein Laufwerksbuchstabe 


Beispiel: 

M: 

Anmeldeskript 

Hier wird das benutzerspezifische Anmeldeskript relativ zur Netlogon-Freigabe eingetragen. 

Beispiel: 

scripts\user.bat 

Profilverzeichnis 

Das Profilverzeichnis für den Benutzer kann hier angegeben werden. 

Beispiel: 

\\ucs-file-server\user\profile 

Relative ID 

Die relative ID (RID) ist der lokale Teil der SID. Wenn ein Benutzer eine bestimmte RID erhalten 

soll, so kann diese hier eingetragen werden. Wenn keine RID eingetragen wird, so wird automatisch 

die nächste freie RID verwendet. Die RID kann nachträglich nicht geändert werden, es sind ganze 

Zahlen ab 1000 zulässig. RIDs unter 1000 sind Standard-Gruppen und anderen speziellen Objekten 

vorbehalten. 

Anmeldung 

In diesem Eingabefeld kann der Administrator bestimmte Tageszeiten (0-24h) der Wochentage in In- 

tervallen von einer Stunde festlegen, zu denen dieser Benutzer sich an Windows-Rechnern anmelden 

kann. Das heißt, es kann ein Zeitfenster erstellt werden, in dem der Benutzer sich anmelden kann. 

65


66 

Wird keine Einstellung in diesem Feld vorgenommen, so kann sich der Benutzer zu jeder Tageszeit 

anmelden. 

Erlaubte Rechner 

Diese Einstellung gibt an, an welchen Rechnern sich der Benutzer anmelden darf. Werden keine 

Einstellungen vorgenommen, ist der Benutzer berechtigt, sich an jedem Rechner anzumelden. 

Karteikarte ’Gruppen’ 

Auf dieser Karteikarte kann die Gruppenzugehörigkeit des Benutzers eingestellt werden. Falls beim 

Anlegen des Benutzers an dieser Karteikarte keine Änderungen gemacht werden, so wird der Vor- 

gabewert für die primäre Gruppe gespeichert. 

Primäre Gruppe 

In dieser Auswahlliste kann die primäre Gruppe für den Benutzer bestimmt werden. Zur Auswahl 

stehen alle in der Domäne eingetragenen Gruppen. Standardmäßig ist die Gruppe Domain Users 

als Vorgabe eingestellt. Diese Voreinstellung kann geändert werden, weitere Hinweise dazu sind in 

Kapitel 4.5.12.6 zu finden. Sollte die primäre Gruppe eines Benutzers durch eine externe LDAP- 

Modifikation gelöscht worden sein, wird bei der nächsten Bearbeitung des Benutzerobjektes automa- 

tisch die Standardgruppe als primäre Gruppe zugewiesen. 

Gruppen 

Hier können dem Benutzer weitere Gruppen zugeordnet werden, in denen er Mitglied sein soll. 

Karteikarte ’Windows Erweiterungen’ 

Hier können Einstellungen für das Arbeiten am Windows-Terminalserver vorgenommen werden. 

Basisverzeichnis des Terminalservers 

Hier kann der Pfad zu einem Verzeichnis angegeben werden, das als Windows-Heimatverzeichnis 

für den Benutzer am Terminalserver dienen soll. 

Beispiel: 

\\ucs-file-server\ts\user 

Laufwerksbuchstabe für das Basisverzeichnis des Terminalservers 

Wenn das Windows-Heimatverzeichnis bei diesem Benutzer auf einem anderen Windows-Laufwerk 

erscheinen soll, als in der Samba-Konfiguration vorgegeben, so kann der entsprechende Laufwerks- 

buchstabe mit anschließendem Doppelpunkt hier eingetragen werden. 

Beispiel: 

M:

Startprogramm Befehlszeile 


Pfad zu einem Programm, das beim Starten der Terminal-Sitzung ausgeführt werden soll. Unter 

Microsoft Windows wird standardmäßig der Explorer gestartet. 

Startprogramm Arbeitsverzeichnis 

Arbeitsverzeichnis des Programms, das unter Startprogramm Befehlszeile eingetragen ist. 

Client Konfiguration übernehmen für das Startprogramm 

Die beiden Konfigurations-Einstellungen Startprogramm Befehlszeile und Startprogramm Ar- 

beitsverzeichnis können von der Client-Anwendung überschrieben werden. Wird dieses Auswahl- 

kästchen aktiviert, so wird die Client-Konfiguration verwendet. 

Windows Terminalserver Profilpfad 

Der Pfad zum Windows-Profil, das in der Terminalserver-Sitzung verwendet werden soll, ist hier an- 

zugeben. Wird hier kein Wert angegeben, so wird der Standard-Profilpfad verwendet. 

Tastaturlayout 

Das Tastaturlayout für die Terminalserver-Sitzung. 

Anmeldung am Terminalserver zulassen 

Ist dieses Auswahlkästchen aktiviert, so darf sich der Benutzer an einem Terminalserver anmelden. 

Client-Laufwerke beim Anmelden verbinden 

Die Client-Laufwerke können in der Terminalserver-Sitzung zur Verfügung gestellt werden, wenn die- 

ses Auswahlkästchen aktiviert ist. 

Client-Drucker beim Anmelden verbinden 

Die Client-Drucker werden bei der Anmeldung am Terminalserver verbunden und stehen somit in der 

Terminalserver-Sitzung zur Verfügung. 

Standardmäßig der Client Hauptdrucker 

Wird dieses Auswahlkästchen aktiviert, so wird der Client Standard-Drucker zum Standard-Drucker 

für diese Terminalserver-Sitzung deklariert. 

CTX Spiegelung 

Diese Auswahlliste gibt an, ob eine Benutzersitzung gespiegelt werden kann. Wenn deaktiviert aus- 

gewählt ist, so kann diese Sitzung nicht gespiegelt werden. 

Wird ein Eintrag mit der Option Eingabe EIN ausgewählt, wird dem Benutzer, welcher die Spiegelung 

veranlasst hat, die Erlaubnis erteilt, Tastatureingaben und Mausaktionen in der gespiegelten Sitzung 

vorzunehmen. Sollte ein Eintrag mit der Option Benachrichtigung EIN ausgewählt sein, so wird auf 

67


68 

dem Client eine Meldung angezeigt, in der um die Berechtigung zum Spiegeln der Sitzung gebeten 

wird. 

Beendete oder abgelaufene Verbindungen 

In dieser Auswahlliste kann ausgewählt werden, ob beendete oder abgelaufene Verbindungen ge- 

trennt oder zurückgesetzt werden sollen. 

Wiederherstellung von beendeten Verbindungen 

Hier wird ausgewählt, ob die beendete Verbindung von jedem Client oder nur vom vorherigen Client 

wieder aufgebaut werden kann. 

CTX RAS Dialin 

Diese Option konfiguriert die Callback-Funktion eines Remote Access Servers. Dabei wird die Ein- 

wahlleitung des Benutzer nach Authentifizierung unterbrochen und der Benutzer zurückgerufen. 

Karteikarte ’(Optionen)’ 

Diese Karteikarte ermöglicht es, einzelne LDAP-Objektklassen für den Benutzer abzuwählen. Einga- 

befelder für Attribute deaktivierter Klassen können dann nicht ausgefüllt werden. 

Mail-Konto 

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse univention- 

Mail nicht. 

Kerberos Prinzipal 

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen 

krb5Principal und krb5KDCEntry nicht. 

Samba-Konto 

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse sambaSa- 

mAccount nicht. 

POSIX-Konto 

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen posixAc- 

count und shadowAccount nicht. 

Persönliche Informationen 

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen organizatio- 

nalPerson und inetOrgPerson nicht. 

Groupware-Konto 

Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen univention-

KolabInetOrgPerson und kolabInetOrgPerson nicht. 

Public Key Infrastruktur Konto 


Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse pkiUser nicht. 

Einfaches Authentisierungskonto 

Diese Option kann verwendet werden, um Benutzer-Objekte anzulegen die ausschließlich einen Be- 

nutzernamen und ein Passwort haben. Mit diesen Benutzern ist ausschließlich eine Authentisie- 

rung gegen den LDAP-Verzeichnisdienst möglich, aber keine Anmeldung an UCS- oder Windows- 

Systemen. Wird diese Option gesetzt, dann werden die Objektklassen uidObject und simpleSecu- 

rityObject verwendet. 

4.5.2 Gruppenverwaltung 

Die folgenden Richtlinien-Objekte können auf die Gruppenverwaltung angewendet bzw. vererbt werden 


• UMC-Zugriff 


Name (*) 

Der Name der Gruppe muss mit einem Buchstaben oder einer Ziffer beginnen und auch enden. Die 

übrigen Zeichen des Benutzernamens dürfen aus Buchstaben, Ziffern, Leerzeichen, Bindestrich oder 

Punkt bestehen. 

Beschreibung 

Hier kann eine beliebige Beschreibung für die Gruppe eingetragen werden. 

Gruppen ID 

Wenn der Gruppe eine bestimmte Gruppen-ID zugewiesen werden soll, kann die Gruppen-ID in die- 

sem Eingabefeld eingetragen werden. Anderenfalls ordnet Univention Directory Manager der Gruppe 

beim Hinzufügen automatisch die nächste freie Gruppen-ID zu. Sie kann nachträglich nicht geändert 

werden und wird beim Bearbeiten der Gruppe ausgegraut angezeigt. Als Gruppen-ID können ganze 

Zahlen zwischen 1000 und 59999 sowie zwischen 65536 und 1000000 frei vergeben werden. 

Relative ID 

Die relative ID (RID) ist der lokale Teil der Security-ID (SID) und wird in Windows- bzw. Samba-Do- 

mänen verwendet. Wenn der Gruppe eine bestimmte RID zugewiesen werden soll, kann sie in die- 

sem Eingabefeld eingetragen werden. Anderenfalls ordnet Univention Directory Manager der Gruppe 

beim Hinzufügen automatisch eine RID zu. Die RID kann nachträglich nicht geändert werden und wird 

beim Bearbeiten der Gruppe ausgegraut angezeigt. Weil RIDs domänenweit eindeutig sein müssen, 

69


70 

verhindert Univention Directory Manager, dass eine RID mehrfach vergeben wird. Als RID sind gan- 

ze Zahlen grösser 999 zulässig. RIDs kleiner 1000 sind Standard-Gruppen und anderen speziellen 

Objekten vorbehalten. 

Gruppentyp Samba 

Man unterscheidet zwischen drei Gruppentypen: 

• Globale Gruppen: 

Diese Gruppen sind domänenweit bekannt. In Univention Directory Manager sind neu erstellte 

Gruppen standardmäßig vom Typ ’Globale Gruppe’. 

• Lokale Gruppen: 

Lokale Gruppen sind nur auf Windows-Servern von Bedeutung. Wird auf einem Windows-Ser- 

ver eine lokale Gruppe erstellt, ist sie nur dem Server bekannt und ist nicht domänenweit ver- 

fügbar. UCS hingegen unterscheidet nicht zwischen lokalen und globalen Gruppen. Nach der 

Übernahme einer NT-Domäne können lokale Gruppen in UCS wie globale Gruppen verwaltet 

werden. 

• Bekannte Gruppen: 

Unter diesem Gruppentyp werden von Samba- bzw. Windows-Servern vorkonfigurierte Grup- 

pen zusammengefasst, die sowohl domänenweit als auch lokal begrenzt sein können. 

Beispiel: 

Adminusers, Printer Admins, etc. 

Mail-Adresse 

In diesem Eingabefeld kann die Mail-Adresse eingetragen werden, über die alle Mitglieder dieser 

Gruppe erreicht werden können. 

Karteikarte ’Mitglieder’ 

Mitglieder dieser Gruppe 

Auf dieser Karteikarte können Benutzer als Mitglieder in diese Gruppe aufgenommen werden. 

Karteikarte ’enthaltene Rechner’ 

In dieser Gruppe enthaltene Rechner 

Auf dieser Karteikarte können Rechner als Mitglieder in diese Gruppe aufgenommen werden.

Karteikarte ’enthaltene Gruppen’ 

Mitgliedschaft von weiteren Gruppen 


Auf dieser Karteikarte können Gruppen als Mitglieder in diese Gruppe aufgenommen werden (Grup- 

pen in Gruppen). 

Zirkuläre Abhängigkeiten von Gruppen in Gruppen werden erkannt und abge- 

wiesen. Diese Prüfung kann durch die Univention Configuration Registry-Variable 

directory/manager/web/modules/groups/group/checks/circular_dependency 


Karteikarte ’Mitglied von’ 

Mitgliedschaft in weiteren Gruppen 

Auf dieser Karteikarte kann diese Gruppe einer oder mehreren anderen Gruppen als Mitglied hinzu- 

gefügt werden. 


Diese Karteikarte steht nur beim Hinzufügen von Gruppen zur Verfügung, nicht aber beim Bearbeiten 

von Gruppen. Sie ermöglicht es, bestimmte LDAP-Objektklassen für die Gruppe abzuwählen. Die 

Eingabefelder für Attribute dieser Klassen können dann nicht ausgefüllt werden. 

Samba-Gruppe: 

Dieses Auswahlkästchen gibt an, ob die Gruppe die Objektklasse SambaGroupMapping erhält. 

Posix-Gruppe: 

Dieses Auswahlkästchen gibt an, ob die Gruppe die Objektklasse PosixGroup erhält. 

4.5.3 Netzwerkverwaltung 

Netzwerke dienen dazu, Geräten wie Rechnern und Druckern mit eigener Netzwerkkarte automatisch eine 

passende IP-Adresse zuzuweisen sowie DNS- und DHCP-Einträge zu erstellen. 


Name (*) 

In diesem Eingabefeld ist der Name des Netzwerks einzutragen. Unter diesem Namen erscheint das 

Netzwerk auch in anderen Bereichen von Univention Directory Managers wie z.B. in der Rechnerver- 

waltung (siehe Abschnitt 4.5.4). 

71


72 

Netzwerk (*) 

In diesem Eingabefeld muss die Netzwerk-Adresse in Oktettschreibweise eingetragen werden. 

Beispiel: 

192.168.1.0 

Netzmaske (*) 

Die Netzmaske kann in diesem Eingabefeld wahlweise als Bitzahl (Netzpräfix) oder in Oktettschreib- 

weise eingetragen werden. 

Hinweis: 

Wenn die Netzmaske in Oktettschreibweise eingegeben wird, wird sie automatisch in den entspre- 

chenden Netzpräfix umgewandelt und später auch ausgegeben. 

Beispiel: 

Die Netzmaske 255.255.255.0 wird später als 24 angezeigt. 

Karteikarte ’IP’ 

Auf dieser Karteikarte können ein oder mehrere IP-Adressbereiche angelegt werden. Wenn später 

ein Gerät diesem Netzwerk zugeordnet werden soll, wird dem Gerät automatisch die nächste freie 

IP-Adresse aus den hier eingetragenen IP-Adressbereichen zugewiesen. 

Wenn an dieser Stelle kein IP-Adressbereich eingerichtet wird, verwendet das System automatisch 

den Bereich, der sich aus dem Netzwerk und der Netzmaske, die auf der Karteikarte Allgemein 

eingetragen wurde, ergibt. 

Hinweis: 

Falls eine einzelne IP-Adresse als Bereich angelegt werden soll, so muss diese IP-Adresse in die 

beiden Eingabefelder Erste Adresse und Letzte Adresse eingetragen werden. 

Achtung: 

Die angegebenen IP-Adressbereiche dürfen sich dabei nicht überschneiden. Andernfalls weist eine 

entsprechende Fehlermeldung beim Bestätigen über die Schaltfläche [OK] auf die Überschneidung 

hin. 

Karteikarte ’DNS’ 

Auf dieser Karteikarte können Forward Lookup Zone und Reverse Lookup Zone ausgewählt werden. 

Wird später ein Gerät diesem Netzwerk zugeordnet, wird für das Gerät automatisch ein Host Record 

in der Forward Lookup Zone beziehungsweise ein Pointer Record in der Reverse Lookup Zone an- 

gelegt. Wird hier keine Zone ausgewählt, werden auch keine automatischen Einträge angelegt. In 

jedem Fall bleibt die Möglichkeit, die Einstellungen sowohl am Geräte-Objekt als auch direkt in den 

DNS-Zonen zu bearbeiten.

Forward Lookup Zone für DNS-Eintrag 


Hier ist die Forward Lookup Zone anzugeben, in die Geräte aus diesem Netzwerk eingetragen wer- 

den sollen. Zur Wahl stehen alle in der Domäne eingetragenen Forward Lookup Zonen sowie deren 

Untercontainer. 

Reverse Lookup Zone für DNS-Eintrag 

Hier ist die Reverse Lookup Zone anzugeben, in die Geräte aus diesem Netzwerk eingetragen wer- 

den sollen. Zur Wahl stehen alle in der Domäne eingetragenen Reverse Lookup Zonen sowie deren 

Untercontainer. 

Karteikarte ’DHCP’ 

Auf dieser Karteikarte kann dem Netzwerk ein DHCP-Service zugeteilt werden. Wird später ein Gerät 

diesem Netzwerk zugeordnet, wird für das Gerät automatisch ein DHCP-Rechner-Eintrag mit einer 

festen IP-Adresse unterhalb des gewählten DHCP-Services angelegt. Wenn hier kein DHCP-Service 

ausgewählt wird, wird ebenfalls kein automatischer DHCP-Rechner-Eintrag angelegt. Es bleibt in 

jedem Fall die Möglichkeit, die Einstellungen am Geräte-Objekt oder unter dem DHCP-Service zu 

bearbeiten. 

4.5.4 Rechnerverwaltung 

Die folgenden Rechner-Objekte können in der Rechnerverwaltung angelegt werden. Weitergehende Hin- 

weise zu den einzelnen Systemrollen finden sich in Kapitel 2.1. 

• Domänencontroller Master 

Auf einem Domaincontroller Master, auch DC Master genannt, befindet sich der veränderbare Ver- 

zeichnisdienst. Es darf in einer UCS-Domäne immer nur einen DC Master geben. 

• Domänencontroller Backup 

Auf einem Domänencontroller Backup, auch DC Backup genannt, befindet sich eine exakte Kopie 

des Verzeichnisdienstes. Ein DC Backup kann zu einem DC Master hochgestuft werden. In einer 

UCS-Domäne darf es beliebig viele DC Backup Systeme geben. 

• Domänencontroller Slave 

Auf einem Domänencontroller Slave, auch DC Slave genannt, befindet sich eine Kopie des Verzeich- 

nisdienstes. Diese Kopie kann alle oder nur einen Teil der Daten enthalten. In einer UCS-Domäne 

darf es beliebig viele DC Slave Systeme geben. 

• Member-Server 

Im Gegensatz zu den anderen Domänencontroller-Systemrollen ist auf dem Member-Server kein 

Verzeichnisdienst vorhanden. Ein Member-Server fügt sich ansonsten in eine UCS-Domäne ein, 

bspw. sind alle Benutzer und Gruppen der UCS-Domäne auch auf dem Member-Server vorhanden. 

In einer UCS-Domäne darf es beliebig viele Member-Server geben. 

73


• Domain Trust Account 

Ein Domain Trust Account wird für Vertrauensstellungen zwischen Windows und UCS Domänen 

eingerichtet. 

• IP-Managed-Client 

Ein IP-Managed-Client ist speziell für Nicht-UCS-Systeme vorgesehen, bspw. für Netzwerkdrucker 

oder Router, um somit eine vereinfachte DNS und DHCP-Verwaltung zu ermöglichen. UCS-Basis- 

systeme können ebenfalls als IP-Managed-Clients angelegt werden. 

• Mac OS X Client 

Ein Mac OS X Client kann zur Verwaltung und Integration von Max OS X Clients angelegt werden. 

• Managed Client 

Ein Managed Client ist ein UCS-Domänenmitglied mit einem Linux-Desktop. 

• Mobile Client 

Ein Mobile Client ist dem Managed Client ähnlich, allerdings liegt der Fokus bei Mobile Clients auf 

Notebooks. 

• Thin Client 

Ein Thin Client ist ein Rechner, der Anwendungen, die auf einem Terminal-Server (Linux oder Win- 

dows) ausgeführt werden, lediglich darstellt. Somit ist ein Thin Client sehr wartungsarm. 

• Windows 

Die Rolle Windows ist speziell für Windows-Rechner vorgesehen. Wenn ein WindowsSystem der 

UCS-Domäne beitritt, wird automatisch ein Windows-Konto angelegt, sofern es nicht vorab angelegt 

wurde. 

Auf diese Rechner-Objekte können die folgenden Richtlinien-Objekte angewendet werden (siehe dazu 

auch Kapitel 4.5.11): 

74 

• Autostart 

• Client-Peripherie 

• Display 

• Druckserver 

• LDAP-Server 

• Pakete Client 

• Pakete Master 

• Pakete Member 

• Pakete Mobile Client 

• Pakete Slave 

• Paketpflege 

• Release 

• Repository-Server 

• Repository-Synchronisation

• Sound 

• Thin Client 

• Windows-Installation 


Name (*) 


In dieses Eingabefeld muss der Name für den Rechner eingetragen werden. Dabei sollten die an- 

schließenden Hinweise in der Infobox ’Rechnernamen’ beachtet werden. 

Beschreibung 

Für den Rechner kann in diesem Eingabefeld eine beliebige Beschreibung hinterlegt werden. 

MAC-Adresse 

An dieser Stelle kann die MAC-Adresse des Rechners eingetragen werden. Soll der Rechner einen 

DHCP-Eintrag erhalten, ist die Angabe der MAC-Adresse zwingend erforderlich. Da ein Thin Client 

ohne DHCP-Eintrag nicht in Betrieb genommen werden kann, muss die MAC-Adresse bei Thin Cli- 

ents immer angegeben werden! 

Beispiel: 

2e:44:56:3f:12:32 

oder 

2e-44-56-3f-12-32 

Netzwerk 

Der Rechner kann einem bereits angelegten Netzwerk zugeordnet werden. Zur Wahl stehen alle in 

der Domäne eingetragenen Netzwerke. Anhand des Netzwerks wird dem Rechner dann automa- 

tisch die nächste freie IP-Adresse aus diesem Netzwerk zugewiesen. Wenn das Netzwerk DNS- und 

DHCP-Einstellungen enthält, wird der Rechner außerdem automatisch im DNS- und im DHCP-Ser- 

vice eingetragen. Die nach der Auswahl eines Netzwerks automatisch zugewiesenen Werte auf den 

Karteikarten IP, DNS und DHCP können anschließend überprüft und verändert werden. 

Inventarnummer 

Hier können Inventarnummern für Rechner hinterlegt werden. 

Infobox ’Rechnernamen’ 

Im Prinzip können Rechnernamen frei gewählt werden. Unter bestimmten Umständen, z.B. beim 

Einsatz von Windows-Betriebssystemen, muss allerdings der im LDAP-Verzeichnis eingetragenene 

und in der DNS-Domäne verwendete Rechnername mit dem Namen übereinstimmen, der (in der 

Regel bei der Installation des Betriebssystem) lokal direkt auf dem Rechner selbst eingetragen wurde. 

75


76 

Rechnername wird im Englischen mit hostname übersetzt. 

Wenn an den Rechnernamen der Name der Domäne angehängt wird, zu der der Rechner gehört, 

erhält man den voll qualifizierten Domänennamen des Rechners. Dieser ist besser bekannt unter 

der englischen Abkürzung FQDN für fully qualified domain name. 

Um die Kompatibilität mit verschiedenen Betriebssystemen und Diensten zu gewährleisten, sollten 

Rechnernamen ausschließlich die Buchstaben a bis z in Kleinschreibung, Zahlen, Bindestriche und 

Unterstriche enthalten. 

Umlaute und Sonderzeichen sind nicht erlaubt. Der Punkt wird als Trennzeichen zwischen den einzel- 

nen Bestandteilen eines FQDN interpretiert und darf deswegen nicht innerhalb des Rechnernamens 

vewendet werden. Rechnernamen sollten mit einem Buchstaben beginnen. 

Microsoft Windows akzeptiert nur Rechnernamen mit maximal 15 Zeichen, so dass man sich bei 

Rechnernamen grundsätzlich auf 15 Zeichen beschränken sollte, sofern nicht ausgeschlossen ist, 

dass Microsoft Windows zum Einsatz kommen wird. 

Karteikarte ’IP’ 

IP-Adresse 

Hier können feste IP-Adressen für den Rechner eingegeben werden. Wenn auf der Karteikarte All- 

gemein ein Netzwerk ausgewählt wurde, wird die IP-Adresse, die dem Rechner aus dem Netzwerk 

automatisch zugewiesen wurde, hier angezeigt. Die hier angezeigten IP-Adressen können nachträg- 

lich noch verändert werden. Ein Thin Client benötigt in jedem Fall eine feste IP-Adresse. 

Hinweis: 

Eine hier (also im LDAP-Verzeichnis) eingetragene IP-Adresse kann dem Rechner nur über DHCP 

übermittelt werden. Sollte kein DHCP-Server verwendet werden, so ist die IP-Adresse auch lokal auf 

dem Rechner einzutragen. 

Achtung: 

Werden die eingetragenen IP-Adressen eines Rechners ohne Wechsel der DNS-Zonen geändert, 

werden diese im Rechner-Objekt und — soweit vorhanden — auch automatisch in den DNS-Einträ- 

gen in der Forward und Reverse Lookup Zone geändert. Falls die IP-Adresse des Rechners noch 

an anderen Stellen eingetragen wurde, müssen diese Einträge manuell geändert werden! Wurde 

beispielsweise in einer DHCP-Boot-Richtlinie nicht der Name des Boot-Servers, sondern seine IP- 

Adresse dort eingetragen, muss diese IP-Adresse manuell durch das Bearbeiten der Richtlinie ange- 

passt werden.



Auf dieser Karteikarte können Forward Lookup Zonen und Reverse Lookup Zonen ausgewählt wer- 

den, in die der Rechner eingetragen wird und ein DNS-Alias festgelegt werden. Für diese Einträge 

ist eine feste IP-Adresse erforderlich, die auf der Karteikarte IP eingetragen sein muss, damit die 

DNS-Einträge automatisch erstellt werden können. Es wird kein Eintrag angelegt, wenn keine Zone 

ausgewählt wurde. Für die korrekte Funktion eines Thin Clients wird ein DNS-Eintrag (Host-Record 

in der Forward Lookup Zone) benötigt! 

Nähere Informationen zum Thema DNS finden sich in Kapitel 4.5.9. 

Forward Lookup Zone für DNS-Eintrag 

Für den Rechner kann an dieser Stelle eine Forward Lookup Zone ausgewählt werden. Zur Wahl ste- 

hen alle in der Domäne eingetragenen Forward Lookup Zonen bzw. darin enthaltene Untercontainer. 

Zusätzlich ist es notwendig, eine der IP-Adressen des Rechners auszuwählen, mit der der Rechner 

in die Forward Lookup Zone eingetragen werden soll. 

Reverse Lookup Zone für DNS-Eintrag 

Für den Rechner kann an dieser Stelle eine Reverse Lookup Zone ausgewählt werden. Zur Wahl ste- 

hen alle in der Domäne eingetragenen Reverse Lookup Zonen bzw. darin enthaltene Untercontainer. 

Zusätzlich ist es notwendig, eine zur Reverse Lookup Zone passenden IP-Adresse des Rechners 

auszuwählen, mit der der Rechner in die Reverse Lookup Zone eingetragen werden soll. 

Alias 

Wenn für den Rechner im Feld Forward Lookup Zone für DNS-Eintrag ein Zoneneintrag zur Vor- 

wärtsauflösung eingerichtet wurde, können hier zusätzlich Alias-Einträge konfiguriert werden, über 

die der Rechner erreichbar ist. 


Nähere Informationen zum Thema DHCP finden sich in Kapitel 4.5.10. 

DHCP-Service für DHCP-Eintrag 

Damit ein Rechner von einem DHCP-Service eine IP-Adresse erhält, muss ein Eintrag aus DHCP- 

Service, MAC-Adresse und IP-Adresse gebildet werden. 

Im ersten Auswahlfeld ist der DHCP-Service auszuwählen, der dem Rechner eine IP-Adresse zu- 

teilen soll. Zur Wahl stehen alle in der Domäne eingetragenen DHCP-Services. Es muss darauf 

geachtet werden, dass der ausgewählte DHCP-Server für das physikalische Netzwerk zuständig ist. 

Im zweiten Auswahlfeld ist die MAC-Adresse der Netzwerkkarte auszuwählen, mit der der Rechner 

beim DHCP-Service eine IP-Adresse anfordert. Die dafür erforderliche MAC-Adresse der Netzwerk- 

karte des Rechners muss zuvor auf der Karteikarte Allgemein eingetragen werden. 

77


78 

Die IP-Adresse, die dem Rechner vom DHCP-Service zugeordnet wird, ist im dritten Auswahlfeld 

auszuwählen. 

Wurde auf der Karteikarte Allgemein ein Netzwerk ausgewählt, wird automatisch ein für das Netz- 

werk passender Eintrag hinzugefügt. Er kann nachträglich manuell angepasst werden. Für einen Thin 

Client wird in jedem Fall ein DHCP-Eintrag benötigt. 

Karteikarte ’Konto’ 

Diese Karteikarte findet sich nur bei Rechnertypen, die der UCS-Domäne beitreten, z.B. Domaincon- 

troller, Managed Clients, Mac OS X-Clients, . . . 

Passwort 

Rechner, die Mitglied der UCS-Domäne sind, benötigen ein Passwort, um im LDAP-Verzeichnis le- 

sen und ihre eigenen Daten ändern zu können. Bei Domänenbeitritt erzeugt der Rechner automa- 

tisch ein Passwort und schreibt dieses in die Datei /etc/machine.secret und in das LDAP-Ver- 

zeichnis. Dabei werden gegebenenfalls bereits eingetragene Passwörter überschrieben. Wenn das 

Passwort hier gesetzt oder geändert wird, muss es ebenfalls lokal auf dem Rechner in der Datei 

/etc/machine.secret eingetragen werden. 

Passwort (Wiederholung) 

Wenn das Passwort im Eingabefeld Passwort von Hand eingetragen oder verändert wurde, muss es 

in diesem Eingabefeld wiederholt werden, um Tippfehler auszuschliessen. 


In diesem Auswahlfeld kann die primäre Gruppe des Rechners selektiert werden. Das ist nur notwen- 

dig, wenn von den automatisch eingestellten Vorgabewerten abgewichen werden soll. Der Vorgabe- 

wert für einen DC Master oder DC Backup lautet DC Backup Hosts, für einen DC Slave DC Slave 

Hosts und für Member-Server, Managed Clients und Mobile Clients Computers. 

Karteikarte ’POSIX (Linux/UNIX)-Konto’ 

Diese Karteikarte findet sich nur bei Rechnertypen, die der UCS-Domäne beitreten, z.B. Domaincon- 

troller, Managed Clients, Mac OS X-Clients, . . . 

UNIX-Heimatverzeichnis (*) 

In diesem Eingabefeld kann ein abweichendes Heimatverzeichnis für das Rechner-Konto eingetragen 

werden. Der automatisch eingestellte Vorgabewert für das Heimatverzeichnis lautet /dev/null. 

Login-Shell 

Falls eine vom Vorgabewert abweichende Login-Shell für das Rechner-Konto verwendet werden soll, 

kann die Login-Shell in diesem Eingabefeld manuell angepasst werden. Der automatisch eingestellte

Vorgabewert sieht /bin/bash als Login-Shell vor. 

Karteikarte ’Rechner-Konto’ 

Diese Karteikarte findet sich nur bei Rechnern vom Typ Windows. 



Diese Auswahlliste ermöglicht die Angabe der primären Gruppe für den Windows-Rechner. In der 

Regel braucht der Vorgabewert Windows Hosts nicht verändert werden. 

Passwort mit dem Rechnernamen initialisieren 

Bei Windows NT 4.0-Rechnern, die der Domäne beitreten sollen, muss dieses Auswahlkästchen 

markiert werden. Es wird dann der Rechnername als Passwort gespeichert. Wenn das Rechner-Ob- 

jekt mit Univention Directory Manager erneut aufgerufen wird, ist das Auswahlkästchen nicht mehr 

markiert. Beim Domänenbeitritt wird das Passwort geändert (Windows NT 4.0 erwartet beim Domä- 

nenbeitritt, dass das Passwort dem Rechnernamen entspricht). 

Karteikarte ’(Re)installation’ 

Diese Karteikarte steht bei den Rechnertypen DC Master, DC Backup, DC Slave, Member-Servern, 

Managed Clients, Mobile Clients und Windows-Rechnern zur Verfügung. Weitere Informationen über 

die automatische Installation können den Dokumentationen der profilbasierten UCS-Installation [3] 

und des Univention Windows Installers [4] entnommen werden. 

(Neu-)Installation bei nächstem Systemstart 

Bei UCS-Rechnern: Dieses Auswahlkästchen ist zu markieren, wenn auf dem Rechner beim nächs- 

ten Rechnerstart automatisch UCS installiert werden soll. 

Achtung: 

Die Markierung muss während oder nach der Installation wieder mit Univention Directory Manager 

entfernt werden, sonst erfolgt beim nächsten Booten des Rechners ein erneuter Installationsvorgang! 

Bei Windows-Rechnern muss dieses Auswahlkästchen markiert werden, wenn auf dem Rechner 

beim nächsten Rechnerstart automatisch Windows installiert werden soll. Dafür sollte außerdem eine 

unattend.txt-Datei auf der Karteikarte [Windows Installation] eingetragen werden. Die Markie- 

rung wird während der Windows-Installation automatisch wieder entfernt. 

Eindeutiger Installationsprofilname 

Bei UCS-Rechnern kann in diesem Eingabefeld ein Installationsprofil für den Rechner vorgege- 

ben werden. Profile sollten auf dem Server, auf dem Univention Server Installer ausgeführt wird, 

im Verzeichnis /var/lib/univention-repository/profiles/ bereitgestellt werden. Der Da- 

teiname des Profils ist ohne die Angabe des Pfads einzutragen. 

79


80 

Erweiterte Startoptionen 

Die in diesem Feld eingetragenen Optionen werden dem Kernel bei der netzbasierten Installation 

übergeben, etwa für die Deaktivierung von ACPI beim Systemstart. 

Interaktive Installation 

Standardmäßig wird bei der Installation mit Univention Server Installer eine profilbasierte Installation 

durchgeführt. Wenn stattdessen eine interaktive Installation durchgeführt werden soll, muss dieses 

Auswahlkästchen markiert werden. Werte im Eingabefeld Eindeutiger Installationsprofilname wer- 

den dann im LDAP-Verzeichnis gespeichert, aber nicht bei der Installation verwendet. 

Bei Windows-Rechnern sind das Eingabefeld Eindeutiger Installationsprofilname und das Aus- 

wahlkästchen Interaktive Installation nicht auf dieser Karteikarte zu finden. Stattdessen muss die 

Karteikarte [Windows Installation] verwendet werden. 

Karteikarte ’Dienste’ 

Diese Karteikarte steht bei den Rechnertypen DC Master, DC Backup, DC Slave und Member-Server 

zur Verfügung. 

Dienst 

Aus den Vorgabewerten können die System-Dienste ausgewählt und in dieses Listenfeld eingetragen 

werden, die dieses UCS-System zur Verfügung stellt. 


Diese Karteikarte steht nur beim Hinzufügen eines Rechners und nur bei Rechnertypen, die stan- 

dardmäßig ein Rechner-Konto erhalten, zur Verfügung. Beim Bearbeiten von Rechnern wird die Kar- 

teikarte nicht angezeigt. Die Karteikarte ermöglicht es, bestimmte Objektklassen für den Rechner 

abzuwählen. Die Eingabefelder für Attribute abgewählter Objektklassen werden dann nicht ange- 

zeigt. 

Bei UCS-Rechnern: 

Kerberos Principal 

Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklassen krb5Principal und 

krb5KDCEntry nicht. 

Posix Account 

Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklasse posixAccount nicht. 

Bei Windows-Rechnern: 

Samba Account 

Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklasse sambaSamAccount

nicht. 

4.5.4.1 Domain Trust Account 


Windows-Domänen (Windows NT/2000/2003, Samba), die der UCS-Samba-Domäne eine Vertrauens- 

stellung einräumen möchten, benötigen einen Domain Trust Account-Eintrag im LDAP-Verzeichnis (siehe 

dazu auch Kapitel 8.4.1.1). 


Name (*) 

In dieses Eingabefeld ist der Name der Windows-Domäne einzutragen, die der Samba-Domäne ver- 

traut. 

Beschreibung 

Für den Domain Trust Account kann in diesem Eingabefeld eine beliebige Beschreibung hinterlegt 

werden. 

Karteikarte ’Domain Trust Account’ 

Passwort (*) 

Das Passwort, das später auf dem PDC der Windows-Domäne verwendet wird, muss in diesem 

Eingabefeld eingetragen werden. Das Passwort kann frei gewählt werden. Dabei sollten jedoch die 

allgemeinen Anforderungen an Passwörter beachtet werden. 

Passwort (Wiederholung) (*) 

Um Tippfehler auszuschließen, muss das obige Passwort erneut eingegeben werden. 

4.5.5 Freigabeverwaltung 

In der Freigabeverwaltung können Verzeichnisfreigaben für NFS und Samba hinzufügt, gesucht, bearbeitet 

und gelöscht werden. In Univention Directory Manager gelöschte Verzeichnisfreigaben werden automa- 

tisch auch aus dem System entfernt. Die in dem freigegebenen Verzeichnis enthaltenen Daten bleiben 

beim Entfernen einer Verzeichnisfreigabe erhalten. 

Die folgenden Richtlinien-Objekte können auf die Freigabenverwaltung angewendet bzw. vererbt werden 


• Benutzer-Quota 

81


82 

Karteikarte Allgemein 

Name (*) 

Hier ist der Name der Freigabe einzutragen. 

Server 

Der Server, auf dem die Freigabe liegt. Zur Wahl stehen alle im LDAP-Verzeichnis für die Domäne 

eingetragenen Rechner vom Typ Domänencontroller Master/Backup/Slave und Member-Server, die 

in einer DNS Forward Lookup Zone im LDAP-Verzeichnis eingetragen sind. Die Einstellung kann 

nachträglich nicht mehr bearbeitet werden. 

Pfad (*) 

Der absolute Pfad des freizugebenden Verzeichnisses ohne Anführungszeichen (auch wenn der Pfad 

z.B. Leerzeichen enthält). Wenn das Verzeichnis noch nicht existiert, wird es automatisch auf dem 

ausgewählten Server angelegt. Auf und unterhalb von /proc, /tmp, /root, /dev und /sys können 

keine Freigaben angelegt werden. 

Verzeichnis-Besitzer 

Der Benutzer, dem die Freigabe gehören soll. Zur Wahl stehen alle im LDAP-Verzeichnis für die Do- 

mäne eingetragenen Benutzer. Wenn mehr als 1000 Benutzer gefunden werden (dieser Wert kann 

mit der Univention Configuration Registry-Variable directory/manager/web/sizelimit konfi- 

guriert werden) oder die Suche der Benutzer im LDAP-Verzeichnis länger als zehn Sekunden dauert, 

wird anstelle der Auswahlliste ein Eingabefeld angezeigt, in das der Benutzername einzutragen ist. 

Verzeichnis-Gruppe 

Die Gruppe, der die Freigabe gehören soll. Zur Wahl stehen alle im LDAP-Verzeichnis für die Do- 

mäne eingetragenen Gruppen. Wenn mehr als 1000 Gruppen gefunden werden (dieser Wert kann 

mit der Univention Configuration Registry-Variable directory/manager/web/sizelimit konfi- 

guriert werden) oder die Suche der Gruppen im LDAP-Verzeichnis länger als zehn Sekunden dauert, 

wird anstelle der Auswahlliste ein Eingabefeld angezeigt, in das der Gruppenname einzutragen ist. 

Verzeichnis-Modus 

Lese-, Schreib- und Zugriffsrechte für die Freigabe. 

Achtung: 

Univention Directory Manager speichert die eingestellten Werte für Besitzer, Gruppe und Zugriffs- 

berechtigungen im LDAP-Verzeichnis und sorgt dafür, dass das Verzeichnis entsprechend angelegt 

und freigegeben wird. Existiert das Verzeichnis bereits, so werden die im Dateisystem festgelegten 

Werte mit den Werten aus dem LDAP-Verzeichnis überschrieben. Änderungen an einem freigege- 

benen Verzeichnis, die direkt im Dateisystem vorgenommen wurden, werden nicht an das LDAP- 

Verzeichnis weitergeleitet und dementsprechend nicht von Univention Directory Manager angezeigt. 

Wird das Freigabe-Objekt im LDAP-Verzeichnis bearbeitet, werden die Änderungen im Dateisystem 

überschrieben. Einstellungen sollten deshalb nur mit Univention Directory Manager gesetzt und be-

arbeitet werden. 

Karteikarte ’Samba Allgemein’ 

Samba-Name 


Der von Samba zu verwendende Name der Freigabe (NetBIOS-Name). Unter diesem Namen er- 

scheint das Verzeichnis z.B. auf Windows-Rechnern in der Netzwerkumgebung. Univention Directory 

Manager übernimmt beim Hinzufügen einer Verzeichnisfreigabe automatisch den Namen, der auf der 

Karteikarte Allgemein im Feld Name (*) eingetragen ist, als Samba-Namen. 

Hinweis: 

Die Freigabe homes nimmt unter Samba eine Sonderstellung ein. Sie dient der Freigabe der Hei- 

matverzeichnisse der Benutzer. Für jeden Benutzer wird diese Freigabe automatisch in das eigene 

Heimatverzeichnis umgewandelt. Deswegen ignoriert Samba die der Freigabe zugewiesenen Rechte 

und verwendet die Rechte des jeweiligen Heimatverzeichnisses. 

Sichtbar 

Konfiguriert, ob diese Freigabe auf Windows-Rechnern in der Netzwerkumgebung angezeigt werden 

soll. 

Öffentlich 

Erlaubt den Zugriff auf diese Freigabe ohne Passwortabfrage. Alle Zugriffe werden dabei über einen 

gemeinsamen Gast-Nutzer nobody durchgeführt. 

Postexec-Skript 

Ein Skript oder ein Befehl, der ausgeführt werden soll, wenn die Verbindung zu dieser Freigabe 

beendet wird. 

Preexec-Skript 

Ein Skript oder ein Befehl, der bei jeder Verbindungsaufnahme zu dieser Freigabe ausgeführt werden 

soll. 

VFS-Objects 

Virtual File System (VFS)-Module werden in Samba verwendet, um Aktionen vor dem Zu- 

griff auf das Dateisystem einer Freigabe auszuführen. Ein VFS-Modul könnte z.B. ein 

Virenscanner sein, der jede infizierte Datei, auf die in der Freigabe zugegriffen wird, 

in einem Quarantänebereich ablegt. VFS-Module sind im offiziellen Samba-Howto un- 

ter http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/VFS.html do- 

kumentiert. 

MSDFS-Wurzel 

Durch ein verteiltes Dateisystem ist es möglich Freigaben über mehrere Server und Pfade auf eine 

83


84 

virtuelle Ordner-Hierarchie abzubilden. Dieser Mechanismus kann dazu genutzt werden Lasten auf 

verschiedene Server zu verteilen oder Speicherorte auszulagern. Auch logische Strukturen lassen 

sich so besser abbilden. 

MSDFS steht für Microsoft Distributed File System und ist eine Implementierung eines verteilten 

Dateisystems. 

Das Setzen der MSDFS-Wurzel Option gibt an, dass es sich bei dem freigegebenen Ordner um eine 

Freigabe handelt die für MSDFS genutzt werden kann. Nur innerhalb einer solchen MSDFS-Wurzel 

werden Verweise auf andere Freigaben angezeigt, andernfalls werden diese ausgeblendet. 

Um die Funktionen eines verteilten Dateisystem nutzen zu können, muss die Univention Configu- 

ration Registry-Variable samba/enable-msdfs auf yes gesetzt werden. Anschließend muss der 

Samba-Dienst neu gestartet werden. 

Um einen Verweis von Server sa in der Freigabe fa auf die Freigabe fb des Servers sb anzulegen 

muss im Ordner fa folgender Befehl ausgeführt werden. 

ln -s msdfs:sb\\fb zufb 

Dieser Verweis wird in jedem MSDFS fähigem Client (z.B. Windows 2000 und XP) als regulärer 

Ordner angezeigt. 

Achtung: 

Auf Wurzel-Verzeichnisse sollten nur eingeschränkte Benutzergruppen Schreibzugriff haben. Andern- 

falls könnten Benutzer Verweise auf andere Freigaben umlenken und so Dateien abfangen oder ma- 

nipulieren. Weiterhin müssen Pfade zu den Freigaben und die Verweise komplett klein geschrieben 

werden. 

Sollten Änderungen an den Verweisen vorgenommen werden, müssen beteiligte Clients neu gest- 

artet werden. Weitere Informationen dazu befinden sich in der Samba Dokumentation [8] im Kapitel 

’Hosting a Microsoft Distributed File System Tree’. 

Benutzer mit Schreibrechten dürfen die Berechtigungen verändern 

Im Unix-Dateiberechtigungs-Konzept können nur die Besitzer einer Datei Zugriffsberechtigungen än- 

dern. Dieses Schema wird standardmässig auch in Samba abgebildet. Wird diese Option aktiviert, 

erhalten alle Benutzer mit Schreibrechten auf eine Datei auch die Möglichkeiten Berechtigungen, 

ACL-Einträge und Dateibesitzrechte zu ändern. Es ist zu beachten, dass Mitglieder einer Besitzer- 

gruppe keine Änderungsberechtigung erhalten, wenn diese nur über Leserechte verfügen. 

Verstecke nicht lesbare Dateien und Verzeichnisse 

Wenn diese Option aktiviert ist, werden Dateien, die anhand der Dateirechte für einen Benutzer nicht

lesbar sind, für diesen nicht angezeigt. 

Karteikarte ’Samba-Rechte’ 

Samba-Schreibzugriff 

Erlaubt den Schreibzugriff auf diese Freigabe von Windows-Rechnern aus. 

Erzwungener Benutzer 


Der Benutzername, mit dessen Namen, Rechten und primärer Gruppe alle Dateioperationen aller Be- 

nutzer ausgeführt werden sollen. Der Benutzername wird erst verwendet, nachdem der Benutzer mit 

seinem tatsächlichen Benutzernamen und gültigem Passwort eine Verbindung zur Samba-Freigabe 

aufgebaut hat. Ein gemeinsamer Benutzername ist nützlich, um Dateien gemeinsam zu benutzen, 

kann bei falscher Anwendung aber Sicherheitsprobleme verursachen. 

Erzwungene Gruppe 

Eine Gruppe, die alle Benutzer, die sich mit dieser Freigabe verbinden, als primäre Gruppe verwen- 

den sollen. Dadurch gelten die Rechte dieser Gruppe als Gruppenrechte für alle diese Benutzer. 

Eine hier eingetragene Gruppe hat Vorrang über eine Gruppe, die über das Eingabefeld Erzwunge- 

ner Benutzer zur primären Gruppe eines Benutzers geworden ist. 

Wird dem Gruppennamen ein Plus-Zeichen vorangestellt, wird die Gruppe nur solchen Benutzern 

als primäre Gruppe zugeschrieben, die bereits Mitglied dieser Gruppe sind. Alle anderen Benutzer 

behalten ihre gewöhnliche primäre Gruppe 

Gültiger Benutzer 

Namen von Benutzern oder Gruppen, die auf diese Samba-Freigabe zugreifen dürfen. Alle anderen 

Benutzern wird der Zugriff verweigert. Wenn das Feld leer ist, dürfen alle Benutzer - ggf. mit ihrem 

Passwort - auf die Freigabe zugreifen. 

Die Einträge sind durch Leerzeichen zu trennen. Durch die Zeichen @, + und & in Verbindung mit 

einem Gruppennamen kann den Mitgliedern der angegebenen Gruppe die Berechtigung zum Zugriff 

auf die Samba-Freigabe erteilt werden: 

• Ein Name, der mit @ beginnt, wird zunächst als NIS-Netgroup interpretiert. Wenn keine NIS- 

Netgroup mit diesem Namen gefunden wird, wird der Name als UNIX-Gruppe angesehen. 

• Ein Name, der mit + beginnt, wird ausschließlich als UNIX-Gruppe aufgefasst, ein Name, der 

mit & beginnt, ausschließlich als NIS-Netgroup. 

• Ein Name, der mit +& beginnt, wird zunächst als UNIX-Gruppe interpretiert. Wenn keine UNIX- 

Gruppe mit diesem Namen gefunden wird, wird der Name als NIS-Netgroup betrachtet. Die 

Zeichen &+ als Namensanfang entsprechen @. 

85


86 

Dieser Parameter ist standardmäßig nicht gesetzt. 

Nicht erlaubte Benutzer 

Die hier aufgeführten Benutzer oder Gruppen dürfen auf diese Samba-Freigabe nicht zugreifen. Die 

Syntax ist identisch zu den gültigen Benutzern. Wenn ein Benutzer oder eine Gruppe in der Liste der 

gültigen Benutzer und der nicht erlaubten Benutzer enthalten ist, so wird der Zugriff verweigert. 


Zugelassene Rechner 

Namen von Rechnern, die auf diese Samba-Freigabe zugreifen dürfen. Allen anderen Rechnern wird 

der Zugriff verweigert. Neben Rechnernamen können auch Netzwerkadressen angegeben werden, 

bspw. 192.168.0.0/255.255.255.0. 


Nicht zugelassene Rechner 

Das Gegenteil von den zugelassenen Rechnern. Sollte ein Rechner in beiden Listen auftauchen, so 

wird dem Rechner der Zugriff auf die Samba-Freigabe gestattet. 


Liste von Schreibberechtigten 

Nur die aufgeführten Benutzer oder Gruppen erhalten Schreibrecht auf die jeweiligen Freigabe. 

Verstecke Dateien 

Dateien und Verzeichnisse, auf die ein Zugriff unter Windows möglich sein soll, die aber nicht sichtbar 

sein sollen. Die Dateien bzw. Verzeichnisse erhalten das DOS-Attribut hidden. 

Datei- bzw. Verzeichnisnamen müssen unter Beachtung von Groß- und Kleinschreibung angege- 

ben werden. Die einzelnen Einträge sind durch Schrägstriche zu trennen. Da der Schrägstrich nicht 

als Verzeichnistrenner eingegeben werden kann, dürfen nur Namen, aber keine Pfade eingetragen 

werden. Alle Dateien bzw. Verzeichnisse mit diesen Namen innerhalb der Freigabe werden dann 

versteckt. Die Namen dürfen Leerzeichen und die Platzhalter * und ? enthalten. 

Beispiel: 

/.*/test/ versteckt alle Dateien und Verzeichnisse, die mit einem Punkt beginnen oder test heißen. 

Hinweis: 

Einträge in diesem Feld beeinflussen die Geschwindigkeit von Samba, da vor Anzeige von Freiga- 

beinhalten alle Dateien und Verzeichnisse auf Übereinstimmung mit den gesetzten Filtern geprüft

werden müssen. 

NT ACL-Support 


Ist diese Option aktiviert, versucht Samba, POSIX-ACLs unter Windows anzuzeigen und Änderungen 

an den ACLs, die unter Windows vorgenommen werden, in die POSIX-ACLs zu übernehmen. Dafür 

muss das Linux-Dateisystem POSIX-ACLs unterstützen. In UCS unterstützen die Dateisysteme ext3 

und XFS POSIX-ACLs. 

Wenn die Option nicht gesetzt ist, werden vorhandene POSIX-ACLs beachtet, aber nicht unter Win- 

dows angezeigt und können von dort nicht verändert werden. 

Ererbte ACLs 

Bei Aktivierung dieser Option erbt jede in dieser Freigabe neu erzeugte Datei die ACL (Access Control 

List) des Verzeichnisses, in dem sie angelegt wird. 

Besitzer erben 

Bei Aktivierung dieser Option wird jede neu erzeugte Datei dem Besitzer des übergeordneten Ver- 

zeichnis zugeordnet und nicht dem Benutzer, der die Datei erstellt hat. 

Rechte erben 

Bei Aktivierung dieser Option werden für jede Datei oder jedes Verzeichnis, die in einer Freigabe neu 

erzeugt werden, automatisch die UNIX-Rechte des übergeordneten Verzeichnisses übernommen. 

Karteikarte ’Samba-Erweiterte-Einstellungen’ 

Erweiterte Einstellungen für Samba-Freigaben 

Neben den standardmässig konfigurierbaren Eigenschaften einer Samba-Freigabe ermöglicht diese 

Einstellung beliebige weitere Samba-Einstellungen an einer Freigabe zu setzen. Eine Liste der ver- 

fügbaren Optionen kann mit dem Befehl man smb.conf abgerufen werden. Unter Key ist der Name 

der Option anzugeben und unter Value der zu setzende Wert. Doppelt angebene Konfigurationsop- 

tionen werden nicht überprüft. 

Achtung: 

Das Setzen erweiterter Samba-Einstellungen ist nur in Sonderfällen nötig. Die Optionen sollten vor 

dem Setzen gründlich geprüft werden, da sie unter Umständen sicherheitsrelevante Auswirkungen 

haben können. 

Karteikarte ’Erweiterte Samba-Rechte’ 

Wenn von einem Windows-Rechner aus eine neue Datei auf einem Samba-Server angelegt wird, 

werden die Rechte der Datei in mehreren Schritten gesetzt. 

87


88 

1. Zunächst werden die DOS-Rechte in UNIX-Rechte übersetzt. 

2. Anschließend werden die Rechte durch den Datei-Modus “gefiltert”. Nur die UNIX-Rechte, die 

im Datei-Modus markiert sind, bleiben erhalten. Rechte, die hier nicht gesetzt sind, werden ent- 

fernt. Die Rechte müssen also als UNIX-Rechte und im Datei-Modus gesetzt sein, um erhalten 

zu bleiben. 

3. Im nächsten Schritt werden die Rechte um die unter Erzwinge Datei-Modus gesetzten Rechte 

ergänzt. Als Ergebnis hat die Datei alle Rechte, die nach Schritt 2 oder unter Erzwinge Datei- 

Modus gesetzt sind. Rechte, die unter Erzwinge Datei-Modus markiert sind, werden also auf 

jeden Fall gesetzt. 

Entsprechend erhält ein neu angelegtes Verzeichnis zunächst die Rechte, die sowohl als UNIX- 

Rechte als auch im Verzeichnis-Modus gesetzt sind. Danach werden die Rechte ergänzt, die unter 

Erzwinge Verzeichnis-Modus markiert sind. 

In ähnlicher Weise werden die Sicherheits-Einstellungen auf bestehende Dateien und Verzeichnisse 

angewandt, deren Rechte unter Windows bearbeitet werden: 

Ausschließlich Rechte, die im Sicherheits-Modus bzw. Sicherheits-Verzeichnis-Modus markiert 

sind, können von Windows aus verändert werden. Anschließend werden die Rechte, die unter Er- 

zwinge Sicherheits-Modus bzw. Erzwinge Sicherheits-Verzeichnis-Modus markiert sind, auf je- 

den Fall gesetzt. 

Die Parameter Datei-Modus und Erzwinge Datei-Modus bzw. Verzeichnis-Modus und Erzwinge 

Verzeichnis-Modus finden also beim Anlegen einer Datei bzw. eines Verzeichnisses Anwendung, die 

Parameter Sicherheits-Modus und Erzwinge Sicherheits-Modus bzw. Sicherheits-Verzeichnis- 

Modus und Erzwinge Sicherheits-Verzeichnis-Modus beim Ändern der Rechte. 

Hinweis: 

Es ist zu beachten, dass sich die Sicherheitseinstellungen nur auf den Zugriff über Samba beziehen. 

Der Benutzer auf Windows-Seite erhält keinen Hinweis, dass die Datei- bzw. Verzeichnisrechte ge- 

gebenenfalls entsprechend den Samba-Einstellungen auf dieser Karteikarte verändert werden. 

Datei-Modus 

Die Rechte, die Samba beim Anlegen einer Datei übernehmen soll, sofern sie unter Windows gesetzt 

sind. 

Dieser Parameter ist standardmäßig auf 0744 gesetzt, d.h. der Besitzer kann alle Rechte erhalten, 

die Gruppe und Andere können Leserechte erhalten. 

Verzeichnis-Modus


Die Rechte, die Samba beim Anlegen eines Verzeichnisses übernehmen soll, sofern sie unter Win- 

dows gesetzt sind. 

Dieser Parameter ist standardmäßig auf 0755 gesetzt, d.h. der Besitzer kann alle Rechte erhalten, 

die Gruppe und Andere können lediglich die Rechte, den Inhalt des Verzeichnisses aufzulisten und 

in das Verzeichnis zu wechseln, erhalten. 

Erzwinge Datei-Modus 

Die Rechte, die Samba beim Anlegen einer Datei auf jeden Fall setzen soll, also unabhängig davon, 

ob sie unter Windows gesetzt wurden oder nicht. 

Dieser Parameter ist standardmäßig auf 000 gesetzt, d.h. standardmäßig werden keine zusätzlichen 

Rechte gesetzt. 

Erzwinge Verzeichnis-Modus 

Die Rechte, die Samba beim Anlegen eines Verzeichnisses auf jeden Fall setzen soll, also unabhän- 

gig davon, ob sie unter Windows gesetzt wurden oder nicht. 

Dieser Parameter ist standardmäßig auf 0000 gesetzt, d.h. standardmäßig werden keine zusätzlichen 

Rechte gesetzt. 

Sicherheitsmodus 

Die Dateirechte, an denen Samba Änderungen von Windows-Seite aus zulassen soll. 

Dieser Parameter ist standardmäßig auf 0777 gesetzt, d.h. standardmäßig können alle Rechte ge- 

ändert werden. 

Verzeichnis-Sicherheitsmodus 

Die Verzeichnisrechte, an denen Samba Änderungen von Windows-Seite aus zulassen soll. 

Dieser Parameter ist standardmäßig auf 0777 gesetzt, d.h. standardmäßig können alle Rechte ge- 

ändert werden. 

Erzwinge Sicherheitsmodus 

Die Rechte, die Samba auf jeden Fall setzen soll (unabhängig davon, ob die Rechte unter Windows 

gesetzt wurden oder nicht), wenn die Rechte einer Datei von Windows-Seite aus geändert werden. 

Dieser Parameter ist standardmäßig auf 0000 gesetzt, d.h. bei Änderung werden keine Rechte zwin- 

gend gesetzt. 

Erzwinge Verzeichnis-Sicherheitsmodus 

89


90 

Die Rechte, die Samba auf jeden Fall setzen soll, wenn die Rechte eines Verzeichnisses von 

Windows-Seite aus geändert werden (unabhängig davon, ob die Rechte unter Windows gesetzt wur- 

den oder nicht). 

Dieser Parameter ist standardmäßig auf 0000 gesetzt, d.h. bei Änderung werden keine Rechte zwin- 

gend gesetzt. 

Karteikarte ’Samba-Performance’ 

Locking 

Unter Locking versteht man das Sperren konkurrierender Zugriffe auf eine Ressource, so dass ein 

exklusiver Zugriff ermöglicht wird. 

Bei Aktivierung dieses Auswahlkästchens sperrt Samba auf Client-Anfrage den Zugriff auf Dateien. 

Ist Locking deaktiviert, werden Lock- und Unlock-Wünsche nur scheinbar ausgeführt. Alle Lock- 

Anfragen werden mit der Behauptung beantwortet, die angefragte Datei könne gelockt werden. 

Diese Option kann nützlich sein, um die Performance zu erhöhen, sollte jedoch auf Freigaben mit 

Schreibzugriff grundsätzlich nicht gesetzt werden, weil Dateien bei konkurrierenden Schreibzugriffen 

ohne Locking korrumpiert werden können. 

Blocking Locks 

Clients können einen Lock-Request mit einem Zeitlimit für einen Bereich einer geöffneten Datei sen- 

den. 

Kann Samba einem Lock-Request nicht entsprechen und ist diese Option aktiviert, so versucht Sam- 

ba bis zum Ablauf des Zeitlimits periodisch den angefragten Dateibereich zu sperren. Ist die Option 

deaktiviert, wird kein weiterer Versuch unternommen. 

Strict Locking 

Ist diese Option aktiviert, prüft Samba bei jedem Lese- und Schreibzugriff, ob die Datei gesperrt ist 

und verweigert ggf. den Zugriff. Auf einigen Systemen kann dies lange dauern. 

Ist die Option deaktiviert, prüft Samba nur auf Client-Anfrage, ob eine Datei gesperrt ist. Gut konfigu- 

rierte Clients bitten in allen wichtigen Fällen um eine Prüfung, so dass diese Option im Regelfall nicht 

notwendig ist. 

Oplocks 

Wird diese Option aktiviert, verwendet Samba so genannte opportunistic locks. Dies kann die Zu- 

griffsgeschwindigkeit auf Dateien deutlich erhöhen. Allerdings erlaubt die Option Clients Dateien in 

großem Umfang lokal zwischenzuspeichern. Deswegen kann es in unzuverlässigen Netzwerken nö-

tig sein, auf Oplocks zu verzichten. 

Level 2 Oplocks 


Bei Aktivierung dieser Option unterstützt Samba eine erweiterte Form der Oplocks, sogenannte 

opportunistic read-only locks oder auch Level-2-Oplocks. Windows-Clients, die ein Read-write- 

Oplock auf eine Datei halten, können dieses Oplock dann zu einem Read-only-Oplock herunterstu- 

fen anstatt das Oplock ganz aufgeben zu müssen, sobald ein zweiter Client die Datei öffnet. Alle 

Clients, die Level-2-Oplocks unterstützen, speichern dann nur Lesezugriffe auf die Datei zwischen. 

Wenn einer der Clients in die Datei schreibt, werden alle anderen Clients benachrichtigt, ihre Oplocks 

aufzugeben und ihre Zwischenspeicher zu löschen. 

Es wird empfohlen, diese Option zu aktivieren, um den Zugriff auf Dateien, die normalerweise nicht 

geschrieben werden (z.B. Programme/ausführbare Dateien) zu beschleunigen. 

Hinweis: 

Wenn Kernel-Oplocks unterstützt werden, werden Level-2-Oplocks nicht bewilligt, selbst wenn die 

Option aktiviert ist. Die Option ist nur wirksam, wenn das Auswahlkästchen Oplocks ebenfalls markiert 

ist. 

Fake Oplocks 

Bei Aktivierung dieser Optionen bewilligt Samba alle Oplock-Anfragen unabhängig von der Anzahl 

auf eine Datei zugreifender Clients. Dies verbessert die Performance deutlich und ist sinnvoll bei 

Freigaben, auf die nur lesend zugegriffen werden kann (z.B. CD-ROMs) oder bei denen sichergestellt 

ist, dass niemals mehrere Clients gleichzeitig auf sie zugreifen können. 

Wenn nicht ausgeschlossen werden kann, dass mehrere Clients lesend und schreibend auf eine 

Datei zugreifen, sollte die Option nicht aktiviert werden, weil es sonst zu Datenverlusten kommen 

kann. 

Block Größe 

Die Blockgröße, in der freier Festplattenplatz an Clients gemeldet werden soll. Standardmäßig beträgt 

sie 1024 Byte. 

Richtlinie für das Caching beim Client 

Konfiguriert, auf welche Weise Clients Dateien aus dieser Freigabe offline zwischenspeichern sollen. 

Zur Wahl stehen manuell, Dokumente, Programme und deaktiviert. 

Karteikarte (Optionen) 

Für Samba-Clients exportieren 

Diese Option legt fest, ob die Freigabe für Samba-Clients exportiert werden soll. 

91


92 

Für NFS-Clients exportieren 

Diese Option legt fest, ob die Freigabe für NFS-Clients exportiert werden soll. 

Für Web-Clients exportieren 

Diese Option legt fest, ob die Freigabe für den Zugriff aus dem Webbrowser durch den Horde-Client 

exportiert werden soll. 

Karteikarte ’NFS Allgemein’ 

NFS-Schreibzugriff 

Erlaubt schreibenden NFS-Zugriff auf diese Freigabe. 

NFS-Synchronisation 

Der Synchronisations-Modus für die Freigabe. Die Einstellung sync veranlasst die sofortige Syn- 

chronisation der Daten, async veranlasst die Synchronisation, wenn die Arbeitslast des Servers es 

zulässt. Diese Synchronisation läuft dann im Hintergrund ab. 

Root-Zugriff umlenken 

Die Identifikation von Nutzern im NFS-Standardverfahren erfolgt über User-IDs. Um zu verhindern, 

dass ein lokaler root-Nutzer auf fremden Freigaben ebenfalls mit root-Rechten arbeitet, kann der 

Root-Zugriff umgelenkt werden. Ist diese Option aktiviert, erfolgen Zugriffe als Benutzer nobody. 

Achtung: 

Die standardmäßig leere lokale Gruppe staff verfügt über Privilegien, die root-Rechten recht nahe 

kommen, wird aber vom Umlenkungs-Mechanismus nicht berücksichtigt. Dies sollte bei der Aufnah- 

me von Nutzern in diese Gruppe berücksichtigt werden. 

Subtree Überprüfung 

Wird nur ein Unterverzeichnis eines Dateisystems exportiert, muss der NFS-Server bei jedem Zugriff 

überprüfen, ob die zugriffene Datei auf dem exportierten Dateisystem und in dem exportierten Pfad 

liegt. Für diese Prüfung werden Pfad-Informationen an den Client übergeben. Die Aktivierung dieser 

Funktion kann zu Problemen führen, wenn eine auf dem Client geöffnete Datei umbenannt wird. 

Zugelassene Rechner 

Standardmäßig wird allen Rechnern der Zugriff auf eine Freigabe erlaubt. In die Auswahlliste können 

Rechnernamen und IP-Adressen aufgenommen werden, auf die dann der Zugriff auf die Freigabe 

beschränkt wird. Hier liesse sich etwa der Zugriff auf eine Freigabe mit Maildaten auf den Mailserver 

der Domäne einschränken.

4.5.6 Samba 


Samba bildet mit seinen umfangreichen Funktionen das Bindeglied zwischen einer UCS-Domäne und 

Windows-Rechnern. In Univention Directory Manager können einige Einstellungen zu Samba vorgenom- 

men werden. So ist es beispielsweise möglich, Einstellungen für Passwörter und RIDs zu verwalten. 

4.5.6.1 Einstellungen: Samba-Domäne 

Über das Objekt Einstellungen: Samba-Domäne kann die Vergabe von RIDs für Benutzer, Gruppen und 

andere Objekte gesteuert werden, sowie passwortrelevante Einstellungen vorgenommen werden. Es wird 

typischerweise in der LDAP-Navigation im Container samba angelegt. 


Samba-Domänenname (*) 

Der hier angegebene Samba-Domänenname wird der Samba-Sicherheits-ID (SID) zugeordnet. Der 

Samba-Domänenname kann auch nach dem Anlegen des Objektes modifiziert werden. 

Bei Änderungen sollte lokal auf den Samba-Servern die Univention Configuration Registry-Variable 

windows/domain auf den jeweils verwendeten Domänennamen gesetzt werden (siehe dazu auch 

Kapitel 8.4.6). 

Samba SID 

Die Samba-Sicherheits-ID kann nur während des Anlegens des Objektes angegeben bzw. modifiziert 

werden. Spätere Änderungen sind nicht möglich. Das Feld ist in diesem Fall ausgegraut. 

nächste Samba-Benutzer-RID 

Die hier angegebene Zahl wird als nächste Samba-Benutzer-RID vergeben. Wird keine manuelle 

Einstellung vorgenommen, verwaltet Samba die RIDs selbständig. 

nächste Samba-Gruppen-RID 

Die hier angegebene Zahl wird als nächste Samba-Gruppen-RID vergeben. Wird keine manuelle 

Einstellung vorgenommen, verwaltet Samba die RIDs selbständig. 

nächste RID 

Die hier angegebene Zahl wird als nächste RID für Objekte vergeben, die keine Benutzer oder Grup- 

pen sind. 

Passwort-Länge 

Gibt die Mindestlänge von Passwörtern vor. Kürzere Passwörter können vom Benutzer nicht gesetzt 

werden. 

Passwort-History 

93


94 

Um unterschiedliche Passwörter vom Benutzer zu erzwingen, werden die zuletzt verwendeten Pass- 

wörter gespeichert. Wird beim Setzen eines neuen Passwortes ein bereits bekanntes Passwort ver- 

wendet, wird dieses abgelehnt. In diesem Eingabefeld kann die Anzahl der gespeicherten Passwörter 

angegeben werden. 

Minimales Passwortalter 

Wird ein minimales Passwortalter angegeben, kann ein Benutzer erst nach Ablauf des hier angege- 

benen Zeitraums sein Passwort erneut wechseln. Die Angabe kann in Sekunden, Minuten, Stunden 

oder Tagen erfolgen. 

Maximales Passwortalter 

Wird ein maximales Passwortalter angegeben, wird ein Benutzer zum Passwortwechsel aufgefordert, 

wenn seit dem letzten Passwortwechsel die hier angegebene Zeit verstrichen ist. Die Angabe kann 

in Sekunden, Minuten, Stunden oder Tagen erfolgen. 

Fehlgeschlagene Anmeldeversuche vor Aussperrung 

Um das ungehinderte Ausprobieren von Passwörtern zu unterbinden bzw. zu verlangsamen, kann ein 

Benutzer nach einer hier angegebenen Anzahl an fehlgeschlagenen Anmeldeversuchen automatisch 

gesperrt werden. 

Dauer der Aussperrung 

Ein Benutzer, der durch zu viele fehlgeschlagene Anmeldeversuche gesperrt wurde, wird nach Ab- 

lauf des hier angegebenen Zeitraums automatisch wieder entsperrt. Die Angabe kann in Sekunden, 

Minuten, Stunden oder Tagen erfolgen. 

Fehlgeschlagene Anmeldeversuche zurücksetzen nach 

Der Zähler für fehlgeschlagene Anmeldeversuche wird nach Ablauf des hier angegebenen Zeitraums 

automatisch zurückgesetzt. Die Angabe des Zeitraums erfolgt in Minuten. 

Änderung des Passwortes erfordert Anmeldung 

Mit der Aktivierung dieses Auswahlkästchens muss sich ein Benutzer anmelden, bevor er sein Pass- 

wort ändern kann. Ist das maximale Passwortalter bereits überschritten, kann der Benutzer sich nicht 

mehr einloggen und muss das Passwort durch einen Administrator zurücksetzen lassen. Ist das Aus- 

wahlkästchen nicht aktiviert, kann der Benutzer ein abgelaufenes Passwort während der Anmeldung 

ändern. 

Verbindung trennen nach 

Über dieses Eingabefeld kann bestimmt werden, nach welcher Zeit der Inaktivität die Verbindung zu 

einer Samba-Freigabe getrennt werden soll. Die Angabe kann in Sekunden, Minuten, Stunden oder 

Tagen erfolgen.

4.5.7 Druckerverwaltung 


In der Druckerverwaltung können Druckerfreigaben hinzugefügt, gesucht, bearbeitet und entfernt werden. 

Beim Hinzufügen einer Druckerfreigabe wird der Drucker automatisch in CUPS eingerichtet. Alle in CUPS 

eingerichteten Drucker werden über Samba automatisch auch für Windows-Rechner bereitgestellt. Beim 

Entfernen einer Druckerfreigabe wird der Drucker ebenfalls automatisch aus der CUPS-Konfiguration und 

gegebenenfalls der Samba-Konfiguration entfernt. 

Hinweis: 

Netzwerkdrucker mit eigener Netzwerkkarte sollten als IP Managed Client über die Rechnerverwaltung 


Zusätzlich können Druckergruppen definiert werden, deren Mitglieder abwechselnd zur Bearbeitung von 

Druckaufträgen verwendet werden, was eine automatische Lastverteilung zwischen räumlich benachbart 

aufgestellten Druckern ermöglicht. Druckergruppen sind als Teil des gesamten UCS Drucksystems in Ka- 

pitel 13.3.4 beschrieben. 

Druck-Quota-Einstellungen können über eine Richtlinie auf die Druckerverwaltung angewendet bzw. ver- 

erbt werden (siehe Kapitel 4.5.11). 

4.5.7.1 Drucker 


Name (*) 

Dieses Eingabefeld enthält den Namen der Druckerfreigabe, der von CUPS verwendet wird. Unter 

diesem Namen erscheint der Drucker unter Linux und Windows. Der Name darf alphanumerische 

Zeichen (also die Buchstaben a bis z in Groß- und Kleinschreibung und die Ziffern 0 bis 9) sowie 

Binde- und Unterstriche enthalten. Andere Zeichen (einschließlich Leerzeichen) sind nicht erlaubt. 

Server (*) 

Ein Druckserver (Spooler) verwaltet die Druckerqueue für den freizugebenden Drucker. Falls notwen- 

dig, wandelt er die Druckdaten in das passende Druckerformat um. Ist der Drucker nicht bereit, spei- 

chert der Druckserver die anstehenden Druckaufträge zwischen und sendet sie später zum Drucker. 

Werden mehrere Druckserver angegeben, wird der Druckauftrag vom Client zum ersten Druckserver 

gesendet, der erreichbar ist. 

Protokoll und Ziel (*) 

Diese beiden Eingabefelder bilden den URI (Universal Ressource Identifier). Über das Kommunika- 

tionsprotokoll (http://, ipp://, . . . ) und den Pfad kann eine Ressource (z.B. eine Queue) adressiert 

werden. Die folgende Tabelle beschreibt die Syntax der einzelnen Protokolle und gibt jeweils ein 

Beispiel an: 

Protokoll Ziel-Syntax Beispiele für Ziel 

file:/ /tmp/druck.datei 

95


96 

http:// [:]/ 192.168.0.10:631/printers/remote_prn 

ipp:// /printers/ printer_01/printers/kopierer 

lpd:// / 10.200.18.30/bwdraft 

parallel:/ dev/lp0 

socket:// : printer_03:9100 

usb:/ dev/usb/lp0 

smb:// / prRaum104/schacht3 

cups-pdf:/

Drucker-Hersteller 


Nach dem Auswählen des gewünschten Drucker-Herstellers wird die Auswahlliste Drucker-Modell 

automatisch aktualisiert. 

Drucker-Modell (*) 

Diese Auswahlliste zeigt alle verfügbaren Drucker für den ausgewählten Drucker-Hersteller an. 

Wenn das gesuchte Drucker-Modell nicht vorhanden ist, kann ein ähnliches Modell ausgewählt wer- 

den und mit einem Drucktest die korrekte Funktion überprüft werden. In Kapitel 4.5.12.2 wird erläu- 

tert, wie die Liste der Drucker-Modelle erweitert werden kann. 

Hinweis: 

Über den “Drucker-Hersteller” misc stehen die “Drucker-Modelle” None und smb zur Verfügung. 

Wenn der Drucker PostScript-fähig ist und die druckenden Rechner Druckaufträge bereits im 

PostScript-Format senden, kann das Modell None ausgewählt werden. Dies ist auch der Fall, wenn 

die Rechner Druckaufträge bereits im Format des Druckers senden. Die Druckaufträge werden dann 

von CUPS gespoolt, aber nicht gefiltert. 

Das Modell smb eignet sich für Drucker, die über das smb-Protokoll angesprochen werden können. 

Dies ist bei Druckern, die an einem Windows-Rechner angeschlossen sind, in der Regel der Fall. 

Samba-Name 

Für einen Drucker kann ein zusätzlicher Name vergeben werden, unter dem er von Windows aus 

erreichbar sein soll. Im Gegensatz zum CUPS-Namen (siehe Name) darf der Samba-Name Leerzei- 

chen und Umlaute enthalten. Der Drucker steht für Windows dann sowohl unter dem CUPS-Namen 

als auch unter dem Samba-Namen zur Verfügung. 

Die Verwendung des Samba-Namens zusätzlich zum CUPS-Namen ist z.B. dann sinnvoll, wenn der 

Drucker schon früher unter Windows mit einem Namen verwendet wurde, der Leerzeichen oder 

Umlaute enthielt. Der Drucker kann dann weiterhin unter diesem Namen erreicht werden und die 

Windows-Rechner müssen nicht umkonfiguriert werden. 

Quota aktivieren 

Wurden Quota für den Drucker aktiviert, gelten die Quota-Einstellungen der Karteikarte [Druck- 

Quota]. 

Hinweis: 

Für die Berechnung von Druck-Quota und -Kosten muss die Komponente ’Dienste/Druck-Quota’ bei 

der Installation ausgewählt worden sein oder durch Aufruf von univention-system-setup-software 

installiert werden. 

Preis pro Seite 

Dem Benutzer wird für jede gedruckte Seite der in diesem Eingabefeld angegebene Wert berech- 

97


net. Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen 

Abrechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt. 

Preis pro Druckauftrag 

Dem Benutzer wird für jeden Druckauftrag der in diesem Eingabefeld angegebene Wert berechnet. 

Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen Ab- 

rechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt. 

Standort 

Diese Angabe wird von einigen Anwendungen bei der Druckerauswahl angezeigt. Sie kann mit belie- 

bigem Text gefüllt werden. 

Beschreibung 

Diese Angabe wird von einigen Anwendungen bei der Druckerauswahl angezeigt. Sie kann mit belie- 

bigem Text gefüllt werden. 

Karteikarte ’Zugriffskontrolle’ 

Zugriffslisten 

Über diese Auswahl lassen sich Zugriffsrechte für den Drucker festlegen. Der Zugriff kann auf be- 

stimmte Gruppen oder Benutzer beschränkt werden oder er kann generell freigegeben und spezifisch 

für bestimmte Gruppen oder Benutzer gesperrt werden. Standardmäßig ist der Zugriff für alle Grup- 

pen und Benutzer zugelassen. Diese Rechte werden auch für die entsprechende Samba Druckerfrei- 

gabe übernommen, so dass beim Drucken über Samba die gleichen Zugriffsrechte gelten, wie beim 

Drucken direkt über CUPS. 

Zugelassene/abgewiesene Benutzer 

Diese Auswahl führt Einzelbenutzer auf, für die der Zugriff reguliert werden soll. 

Zugelassene/abgewiesene Gruppen 

Diese Auswahl führt Gruppen auf, für die der Zugriff reguliert werden soll. 

4.5.7.2 Druckergruppen 

98 


Name (*) 

Dieses Eingabefeld enthält den Namen der Druckergruppenfreigabe, der von CUPS verwendet wird. 

Unter diesem Namen erscheint die Druckergruppe unter Linux und Windows. Der Name darf alpha- 

numerische Zeichen (also die Buchstaben a bis z in Groß- und Kleinschreibung und die Ziffern 0 bis 

9) sowie Binde- und Unterstriche enthalten. Andere Zeichen (einschließlich Leerzeichen) sind nicht

erlaubt. 

Server (*) 


Um die zur Auswahl stehende Liste der Drucker zu erweitern, kann hier eine Reihe von Druckservern 

(Spooler) angegeben werden. Drucker, die hier angegebenen Servern zugeordnet sind, können dann 

in der darunter angeordneten Auswahl in die Liste der Gruppenmitglieder aufgenommen werden. 

Samba-Name 

Für eine Druckergruppe kann ein zusätzlicher Name vergeben werden, unter dem sie von Windows 

aus erreichbar sein soll. Im Gegensatz zum CUPS-Namen (siehe Name) darf der Samba-Name 

Leerzeichen und Umlaute enthalten. Der Drucker steht für Windows dann sowohl unter dem CUPS- 

Namen als auch unter dem Samba-Namen zur Verfügung. 

Die Verwendung des Samba-Namens zusätzlich zum CUPS-Namen ist z.B. dann sinnvoll, wenn die 

Druckergruppe schon früher unter Windows mit einem Namen verwendet wurde, der Leerzeichen 

oder Umlaute enthielt. Die Druckergruppe kann dann weiterhin unter diesem Namen erreicht werden 

und die Windows-Rechner müssen nicht umkonfiguriert werden. 

Gruppenmitglieder 

Durch diese Liste werden Drucker der Druckergruppe zugeordnet. 

Quota aktivieren 

Wurden Quota für die Druckergruppe aktiviert, gelten die Quota-Einstellungen der Karteikarte 

[Druck-Quota]. 

Hinweis: 

Für die Berechnung von Druck-Quota und -Kosten muss die Komponente ’Dienste/Druck-Quota’ 

bei der Installation ausgewählt worden sein oder durch Aufruf von univention-system-setup- 

software installiert werden. 

Preis pro Seite 

Dem Benutzer wird für jede gedruckte Seite der in diesem Eingabefeld angegebene Wert berech- 

net. Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen 

Abrechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt. 

Preis pro Druckauftrag 

Dem Benutzer wird für jeden Druckauftrag der in diesem Eingabefeld angegebene Wert berechnet. 

Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen Ab- 

rechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt. 

99


4.5.8 Container, Organisationseinheiten, Domänen 

4.5.8.1 Container und Organisationseinheiten hinzufügen 

Container und Organisationseinheiten dienen der Strukturierung der Daten im LDAP-Verzeichnis. Sie kön- 

nen an jeder beliebigen Position eingefügt werden. Organisationseinheiten sollen in der realen Welt exis- 

tierende Einheiten wie z.B. eine Abteilung einer Firma oder Behörde wiedergeben, während Container 

fiktive Einheiten wie z.B. alle Computer eines Unternehmens verkörpern sollten. 


Name (*) 

Ein beliebiger Name für den Container / die Organisationseinheit. 

Beschreibung 

Ein beliebige Beschreibung für den Container / die Organisationseinheit. 

Karteikarte ’Container-Einstellungen’ 

Zu Standard--Container hinzufügen 

Ist diese Option aktiviert, wird der Container/die Organisationseinheit als Standard-Container für 

einen bestimmten Objekttyp angesehen (siehe Kapitel 4.5.12.7). 

Karteikarte ’Richtlinien’ 

Diese Karteikarte wird in Kapitel 4.5.11.3 beschrieben. 

4.5.8.2 Domäne bearbeiten 

Das Domänen-Objekt wird bei der Installation automatisch im LDAP-Verzeichnis angelegt, kann mit Uni- 

vention Directory Manager bearbeitet werden und stellt die Basis des LDAP-Verzeichnisses dar. Das Ver- 

zeichnis wird häufig als Verzeichnisbaum und das Domänen-Objekt als Wurzel bezeichnet. 

100 


Name (*) 

Der Name der Domäne. Er kann nach dem Anlegen nicht mehr verändert werden.

Karteikarte ’Domänen-Passwort’ 

Diese Karteikarte findet im Ein-Domänen-Konzept keine Anwendung. 


Hier werden alle in der Domäne gespeicherten DNS-Zonen aufgeführt. 


DNS-Zonen werden wie in Kapitel 4.5.9 beschrieben angelegt, bearbeitet und gelöscht; Änderun- 

gen werden dabei automatisch in die hier angezeigten Listen übernommen. Die Listen auf dieser 

Karteikarte können nicht von Hand verändert werden. 

Forward Lookup Zone 

Hier werden alle in der Domäne gespeicherten Forward Lookup Zonen aufgeführt. 

Reverse Lookup Zone 

Hier werden alle in der Domäne gespeicherten Reverse Lookup Zonen aufgeführt. 

Karteikarte ’Samba’ 

Die Samba-Einstellungen werden hier nur dann vorgenommen, wenn die Installation mit einer UCS 

Version bis 1.2-3 vorgenommen wurde. Seit UCS 1.2-4 werden die Samba-Einstellungen in eigenen 

Objekten verwaltet (siehe Kapitel 4.5.6). 

Samba-Domänenname (*) 

Hier können Namen für die Samba-Domäne hinzugefügt und entfernt werden. Die Samba- 

Domänennamen werden dabei lediglich der auf dieser Karteikarte sichtbaren Samba-Sicherheits-ID 

zugewiesen. Auf den Samba-Servern muss außerdem lokal die Univention Configuration Registry- 

Variable windows/domain auf den jeweils verwendeten Domänennamen gesetzt werden (siehe 

Kapitel 8.4.6.1). 

Samba-Sicherheits-ID (*) 

Hier wird die Samba-Sicherheits-ID angezeigt. Sie ist ausgegraut, da sie nicht verändert werden 

kann. 

Nächste Samba-User-Rid (*) 

Mit dieser Option kann konfiguriert werden, welche Zahl als nächste Samba-User-RID vergeben wer- 

den soll. 

Nächste Samba-Gruppen-Rid (*) 

Mit dieser Option kann konfiguriert werden, welche Zahl als nächste Samba-Group-RID vergeben 

werden soll. 

101


Karteikarte ’Kerberos’ 

Kerberos Realm (*) 

Der Name des Kerberos-Realm. Er ist ausgegraut, da er nicht verändert werden kann. 


Mail Relay 

Hier können Sie den FQDN von Rechnern eintragen, die als Relay-Host verwendet werden sollen 

(siehe Kapitel 12) . 

Karteikarte Richtlinien 

Die Karteikarte Richtlinien wird in Kapitel 4.5.11.3 beschrieben. 

4.5.9 DNS 

DNS-Daten werden standardmäßig im Container cn=dns, abgelegt. Forward- und Reverse- 

Lookup-Zonen werden direkt in dem Container abgelegt. In den jeweiligen Zonen können zusätzliche 

DNS-Objekte wie z.B. Pointer angelegt werden. 

In Eingabefeldern für Rechner sollte immer der relativen Domänennamen oder der FQDN (siehe Infobox 

Rechnernamen, Seite 75) und nicht die IP-Adresse des Rechners verwendet werden. Um zu verhindern, 

dass der Domänenname erneut angehängt wird, sollte ein FQDN immer mit einem Punkt abgeschlossen 

werden. 

4.5.9.1 Forward Lookup Zone 

Eine Forward Lookup Zone enthält Informationen, die zum Auflösen von DNS-Namen in IP-Adressen 

herangezogen werden. 

102 


Name der Zone (*) 

Der komplette Name der DNS-Domäne, für die die Zone zuständig sein soll. 

Achtung: 

In Zonennamen darf der Domänenname nicht mit einem Punkt abgeschlossen werden! 

Zone Time-to-Live (*) 

Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert 

werden dürfen. Der Vorgabewert beträgt drei Stunden.

Karteikarte ’Start of Authority Eintrag’ 


Jede DNS-Zone verfügt über mindestens einen autoritativen, primären Nameserver, dessen Informa- 

tionen für eine Zone massgeblich sind, untergeordnete Server synchronisieren sich mit dem auto- 

ritativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, wird im DNS- 

Sprachgebrauch ’SOA Record’ genannt. 

Verantwortliche Person (*) 

Die E-Mail-Adresse der für die Verwaltung der Zone verantwortlichen Person (mit abschließendem 

Punkt). 

Nameserver (*) 

Der FQDN mit abschließendem Punkt oder der relative Domänenname des primären Master- 

Nameservers. 

Hinweis: 

In dieses Feld sollte nur der primäre Master-Nameserver eingetragen werden. Weitere Nameserver 

können Sie auf der Karteikarte Nameserver angegeben werden. 

Seriennummer (*) 

Anhand der Seriennummer erkennen andere DNS-Server, ob sich Zonendaten geändert haben. Der 

Slave-Nameserver vergleicht die Seriennummer seiner Kopie mit der auf dem Master-Nameserver. Ist 

die Seriennummer auf dem Slave niedriger als auf dem Master, so kopiert der Slave die geänderten 

Daten. 

Es gibt zwei häufig verwendete Muster für die Seriennummer: 

• Beginn mit 1 unter Inkrementierung der Seriennummer bei jeder Änderung 

• Unter Einbeziehung des Datums kann die Zahl im Format JJJJMMTTNN eingegeben werden, 

wobei J für Jahr, M für Monat, T für Tag und N für die Nummer der Änderung an diesem Tag 

steht. 

Wird die Seriennummer nicht von Hand geändert, erhöht Univention Directory Manager den Wert 

automatisch um 1, wenn auf [OK] geklickt wurde. Wenn abgebrochen wurde, bleibt die Seriennummer 

unverändert. 

Aktualisierungsintervall (*) 

Die Zeitspanne, nach der der Slave-Nameserver überprüft, ob seine Kopie der Zonendaten noch ak- 

tuell ist. Übliche Werte liegen zwischen einer und 24 Stunden. Der Vorgabewert beträgt acht Stunden. 

Intervall für erneute Versuche (*) 

Die Zeitspanne, nach der der Slave-Nameserver nach einer fehlgeschlagenen Aktualisierungs- 

Anfrage erneut versucht, die Aktualität seiner Zonendaten-Kopie zu überprüfen. Üblicherweise wird 

103


104 

diese Zeitspanne kürzer gewählt als das Aktualisierungsintervall, darf aber auch gleich lang sein. Der 

Vorgabewert beträgt zwei Stunden. 

Ablaufintervall (*) 

Die Zeitspanne, nach der die Zonendaten-Kopie auf dem Slave ungültig wird, wenn ihre Aktualität 

nicht überprüft werden konnte. 

Bei einem Ablaufintervall von einer Woche bedeutet dies beispielsweise, dass die Zonendaten-Kopie 

ungültig wird, wenn eine Woche lang alle Aktualisierungs-Anfragen fehlgeschlagen sind. In dem Fall 

wird davon ausgegangen, dass die Daten nach der Ablaufzeit zu veraltet sind, um weiter verwendet 

zu werden. Der Slave-Nameserver kann dann keine Namensauflösungs-Anfragen für diese Zone 

mehr beantworten. 

Übliche Werte liegen bei einer Woche. Bei problematischen Netz-Verbindungen zum Master- 

Nameserver können längere Ablaufzeiten gewählt werden. Der Vorgabewert beträgt eine Woche. 

Minimum Time-to-Live (*) 

Die Minimum Time-to-Live gibt an, wie lange andere Server No-such-Domain-Antworten (NXDO- 

MAIN) im Cache behalten dürfen. Der Wert darf nicht mehr als 3 Stunden betragen, der Vorgabewert 

beträgt 3 Stunden. 

Karteikarte ’Nameserver’ 

Auf der Karteikarte Nameserver können einer Zone Nameserver zugewiesen werden (im DNS- 

Sprachgebrauch zumeist NS-Records genannt). Der auf der Karteikarte SOA Record eingetragene 

Nameserver erscheint automatisch im Listenfeld Einträge. 

Nameserver 

Der FQDN mit abschließendem Punkt oder der relative Domänenname des Nameservers. 

Achtung: 

Der Nameserver, der in der Liste an oberster Stelle steht, ist immer der Master, unabhängig davon, 

was auf der Karteikarte SOA Record in das Eingabefeld Nameserver eingetragen wurde. 

Karteikarte ’TXT Records’ 

Hier lassen sich Text Records (im DNS-Sprachgebrauch TXT-Records) definieren. Diese enthalten 

menschenlesbaren Text und können beschreibende Information enthalten, die z.B. für einige Anti- 

Spam-Massnahmen verwendet werden. 

TXT Record 

Ein beschreibender Text zu dieser Zone. Text Records dürfen keine Umlaute oder sonstige Sonder-

zeichen enthalten. 

Karteikarte ’MX Records’ 


Der Mail Exchanger-Eintrag einer Zone (im DNS-Sprachgebrauch auch MX-Record genannt) ist ei- 

ne für das E-Mail-Routing notwendige DNS-Information. Er verweist auf den Rechner, der für eine 

Domäne Mails entgegennimmt. 

Mail-Server (*) 

Der für diese Domäne zuständige Mail-Server als FQDN mit abschließendem Punkt. Hierbei dürfen 

nur kanonische Namen und keine Alias-Namen verwendet werden. 

Priorität (*) 

Ein Zahlenwert zwischen 0 und 65535. Stehen mehrere Mail-Server für den MX-Record zur Verfü- 

gung, wird zuerst versucht, den Server mit dem niedrigsten Prioritätswert in Anspruch zu nehmen. 

4.5.9.2 Alias Record 

Mit einem Alias Record (im DNS-Sprachgebrauch auch CNAME-Record genannt) kann ein Verweis auf 

einen vorhandenen, kanonischen DNS-Namen definiert werden. Zu einem kanonischen Namen können 

beliebig viele Alias Records definiert werden. 

Ein Alias Record muss immer einer Forward Lookup Zone zugeordnet sein und kann deshalb nur in einer 

Forward Lookup Zone oder einem untergeordneten Container hinzugefügt werden. 


Alias (*) 

Der Aliasname als FQDN mit abschließendem Punkt oder als relativer Domänenname, der auf den 

kanonischen Namen verweisen soll. 

Zone Time-to-Live 


werden dürfen. Der Vorgabewert beträgt drei Stunden. 

Karteikarte ’Alias’ 

Kanonischer Name (*) 

Der kanonische Name des Rechners, auf den der Alias verweisen soll, angegeben als FQDN mit 

abschließendem Punkt oder als relativer Domänenname. 

105


Der kanonische Name ist der Name, der beim Host Record in das Eingabefeld Rechnername (*) 

eingetragen wurde. Wurde der Host Record beim Hinzufügen des Rechners automatisch angelegt, 

entspricht der Wert dem dabei eingetragenen Rechnernamen. 

4.5.9.3 Host Record 

In einem Host Record können zusätzliche Informationen über einen Rechner und dessen Konfiguration 

definiert werden. Er muss immer einer Forward Lookup Zone zugeordnet sein und kann deshalb nur in 

einer Forward Lookup Zone oder einem untergeordneten Container hinzugefügt werden. 

Hinweis: 

Beim Hinzufügen oder Bearbeiten eines Rechners kann ein Host Record automatisch erstellt oder geän- 

dert werden. 

106 


Rechnername (*) 

Der FQDN mit abschließendem Punkt oder der relativen Domänenname des Rechners. Dabei sind 

die Hinweise in der Infobox Rechnernamen (Kapitel 4.5.4) zu beachten. 

IP-Adresse 

Ein Host Record weist einem DNS-Namen eine IPv4-Adresse zu. Dieser Eintrag erzeugt für den 

aktuellen Host einen solchen Record. 




Karteikarte ’IP-Adressen’ 

Hier können weitere IP-Adressen des Rechners (also weitere A-Records) eintragen und wieder ent- 

fernt werden. 

IP-Adresse 

Zusätzliche IP-Adressen, unter denen der Rechner zu erreichen ist. 

Hinweis: 

Bei dieser Variante sind alle IP-Adressen demselben kanonischen Namen zugeordnet. Soll jede IP- 

Adresse unter einem eigenen kanonischen Namen erreichbar sein, muss für jede IP-Adresse ein Host 

Record angelegt und dabei unterschiedliche Namen in das Eingabefeld Rechnername eingetragen 

werden.

4.5.9.4 Service Record 


Service Records (im DNS-Sprachgebrauch SRV-Record) bieten die Möglichkeit, im DNS Informationen 

über verfügbare Systemdienste zu hinterlegen. In UCS werden Service Records u.a. verwendet, um 

LDAP-Server oder den Domaincontroller Master domänenweit bekannt zu machen. 

Ein Service Record muss immer einer Forward Lookup Zone zugeordnet sein und kann deshalb nur in 

einer Forward Lookup Zone oder einem untergeordneten Container hinzugefügt werden. 


Dienst (*) 

Der Name, unter dem der Dienst erreichbar sein soll. 

Protokoll (*) 

Zur Wahl stehen TCP und UDP. 

Priorität (*) 

Eine ganze Zahl zwischen 0 und 65535. Stellen mehrere Server denselben Dienst zur Verfügung, 

wendet sich der Client zuerst an den Server mit dem niedrigeren Prioritätswert. 

Gewichtung (*) 

Eine ganze Zahl zwischen 0 und 65535. Die Gewichtung dient der Lastverteilung zwischen Servern 

mit gleicher Priorität. Wenn mehrere Server denselben Dienst zur Verfügung stellen und denselben 

Prioritätswert haben, wird die Last im Verhältnis der Gewichtungen auf die Server verteilt. 

Beispiel: Server1 hat eine Priorität von 1 und eine Gewichtung von 1, während Server2 ebenfalls eine 

Priorität von 1, aber eine Gewichtung von 3 hat. In diesem Fall wird Server2 dreimal so oft verwendet 

wie Server1. Die Belastung wird abhängig vom Dienst beispielsweise als Anzahl der Anfragen oder 

Verbindungen gemessen. 

Port (*) 

Der Port, über den der Dienst auf dem Server zu erreichen ist (gültige Werte liegen zwischen 1 und 

65535). 

Server (*) 

Der Name des Servers, auf dem der Dienst bereitgestellt wird, als FQDN mit abschließendem Punkt 

oder als relativer Domänenname. 




Für jeden Dienst können über die Auswahlbox auch mehrere Server eingetragen werden. 

107


4.5.9.5 Reverse Lookup Zone 

Eine Reverse Lookup Zone dient zur Umwandlung von IP-Adressen in Rechnernamen. 

108 


Subnetz (*) 

Die IP-Adresse des Netzwerkes, für das die Reverse Lookup Zone gültig sein soll. Wenn beispiels- 

weise das betreffende Netz aus den IP-Adressen 192.168.1.0 bis 192.168.1.255 besteht, wäre 

192.168.1 einzutragen. 

Zone Time-to-Live (*) 



Karteikarte ’Start of Authority Eintrag’ 

Jede DNS-Zone verfügt über mindestens einen autoritativen, primären Nameserver, dessen Informa- 

tionen für eine Zone maßgeblich sind. Untergeordnete Server synchronisieren sich mit dem autori- 

tativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, wird im DNS- 

Sprachgebrauch SOA Record genannt. 

Verantwortliche Person (*) 

Die E-Mail-Adresse der für die Verwaltung der Zone verantwortlichen Person (mit abschließendem 

Punkt). 

Nameserver (*) 

Der FQDN mit abschließendem Punkt oder der relative Domänenname des primären Master- 

Nameservers. 

Hinweis: 

In dieses Feld sollte nur der primäre Master-Nameserver eingetragen werden. Weitere Nameserver 

können auf der Karteikarte Nameserver angegeben werden. 

Seriennummer (*) 

Anhand der Seriennummer erkennen andere DNS-Server, ob sich Zonendaten geändert haben. Der 

Slave-Nameserver vergleicht die Seriennummer seiner Kopie mit der auf dem Master-Nameserver. Ist 

die Seriennummer auf dem Slave niedriger als auf dem Master, so kopiert der Slave die geänderten 

Daten. 

Es gibt zwei häufig verwendete Muster für die Seriennummer: 

• Beginn mit 1 unter Inkrementierung der Seriennummer bei jeder Änderung.


• Unter Einbeziehung des Datums kann die Zahl im Format JJJJMMTTNN eingegeben werden, 

wobei J für Jahr, M für Monat, T für Tag und N für die Nummer der Änderung an diesem Tag 

steht. 

Wird die Seriennummer nicht von Hand geändert, erhöht Univention Directory Manager den Wert 

automatisch um 1, wenn auf [OK] geklickt wurde. Wenn abgebrochen wurde, bleibt die Seriennummer 

unverändert. 

Aktualisierungsintervall (*) 

Die Zeitspanne, nach der der Slave-Nameserver überprüft, ob seine Kopie der Zonendaten noch ak- 

tuell ist. Übliche Werte liegen zwischen einer und 24 Stunden. Der Vorgabewert beträgt acht Stunden. 

Intervall für erneute Versuche (*) 

Die Zeitspanne, nach der der Slave-Nameserver nach einer fehlgeschlagenen Aktualisierungs- 

Anfrage erneut versucht, die Aktualität seiner Zonendaten-Kopie zu überprüfen. Üblicherweise wird 

diese Zeitspanne kürzer gewählt als das Aktualisierungsintervall, darf aber auch gleich lang sein. Der 

Vorgabewert beträgt zwei Stunden. 

Ablaufintervall (*) 

Die Zeitspanne, nach der die Zonendaten-Kopie auf dem Slave-Nameserver ungültig wird, wenn ihre 

Aktualität nicht überprüft werden konnte. 

Bei einem Ablaufintervall von einer Woche bedeutet dies beispielsweise, dass die Zonendaten-Kopie 

ungültig wird, wenn eine Woche lang alle Aktualisierungs-Anfragen fehlgeschlagen sind. In dem Fall 

wird davon ausgegangen, dass die Daten nach der Ablaufzeit zu veraltet sind, um weiter verwendet 

zu werden. Der Slave-Nameserver kann dann keine Namensauflösungs-Anfragen für diese Zone 

mehr beantworten. 

Übliche Werte liegen bei einer Woche. Bei problematischen Netz-Verbindungen zum Master- 

Nameserver können längere Ablaufzeiten gewählt werden. Der Vorgabewert beträgt eine Woche. 

Minimum Time-to-Live (*) 

Die Minimum Time-to-Live gibt an, wie lange andere Server No-such-Domain-Antworten (NXDO- 

MAIN) im Cache behalten dürfen. Der Wert darf nicht mehr als 3 Stunden betragen, der Vorgabewert 

beträgt 3 Stunden. 

Karteikarte ’Nameserver’ 

Auf der Karteikarte Nameserver können einer Zone Nameserver zugewiesen werden (im DNS- 

Sprachgebrauch zumeist NS-Records genannt). Der auf der Karteikarte SOA Record eingetragene 

Nameserver erscheint automatisch im Listenfeld Einträge. 

109


Nameserver 

Der FQDN mit abschließendem Punkt oder der relative Domänenname des Nameservers. 

Achtung: 

Der Nameserver, der in der Liste an oberster Stelle steht, ist immer der Master, unabhängig davon, 

was auf der Karteikarte SOA Record in das Eingabefeld Nameserver eingetragen wurde. 

4.5.9.6 Pointer Record 

Ein Pointer Record (im DNS-Sprachgebrauch meist PTR-Record genannt) erlaubt die Auflösung einer IP- 

Adresse in einen Rechnernamen. Er stellt damit in einer Reverse Lookup Zone in etwa das Äquivalent 

zu einem Host Record in einer Forward Lookup Zone dar. Dieser Eintrag steht nur innerhalb von Reverse 

Lookup Zones zur Verfügung. 


Adresse (*) 

Die letzten Oktette der IP-Adresse des Rechners (abhängig vom Netz-Präfix — siehe unten). 

Pointer 

Der FQDN des Rechners mit abschließendem Punkt. 

Beispiel: 

In einem Netzwerk mit 24 Bit langem Netz-Präfix (Netzmaske 255.255.255.0) soll für den Rechner 

client001 mit der IP-Adresse 192.168.1.101 ein Pointer angelegt werden. In das Feld Adresse (*) ist 

dann 101 und in Pointer client001.firma.com. einzutragen. 

Bei einem Netzwerk mit 16 Bit langem Netz-Präfix (Netzmaske 255.255.0.0) müssten für diesen 

Rechner die letzten zwei Oktette in umgekehrter Reihenfolge (hier 101.1) eingetragen werden. In 

das Feld Pointer wäre auch hier client001.firma.com. einzutragen. 

4.5.10 DHCP 

Das Dynamic Host Configuration Protocol (DHCP) weist Rechnern eine IP-Adresse, die Subnetz-Maske 

und gegebenenfalls weitere Informationen wie Router oder NetBIOS-Server zu. Die IP-Adresse kann fest 

oder variabel sein. Sinn und Zweck des Verfahrens ist, IP-Adressen nicht lokal auf den Rechnern einzu- 

tragen, sondern zentral auf dem DHCP-Server (bzw. im LDAP-Verzeichnis), wo sie an einem Ort verwaltet 

werden können. 

Thin Clients sind sogar darauf angewiesen, eine IP-Adresse per DHCP zu erhalten, wenn sie keinen 

persistenten Speicher besitzen und deshalb keine Informationen dauerhaft lokal speichern können. Au- 

ßerdem erfahren sie vom DHCP-Service, mit welcher Boot-Datei sie von welchem Server booten sollen. 

110


In einem DHCP-Service werden DHCP-Server mit einer gemeinsamen Konfiguration zusammengefasst. 

Globale Konfigurationsparameter werden beim DHCP-Service angegeben, spezifische Parameter in den 

Objekten darunter. 

Mehrere DHCP-Server innerhalb desselben DHCP-Service können dann verwendet werden, wenn aus- 

schließlich feste IP-Adressen vergeben werden. Werden auch variable IP-Adressen verteilt, können maxi- 

mal zwei DHCP-Server in Kombination mit dem DHCP-Failover-Mechanismus eingesetzt werden. 

Mit einem DHCP-Rechner-Eintrag wird ein Rechner dem DHCP-Service bekannt gemacht. Solche Rech- 

ner-Einträge lassen sich beim Hinzufügen oder Bearbeiten eines Rechners in der Rechnerverwaltung 

oder in der Navigation automatisch erzeugen. Für Rechner, die per DHCP eine feste IP-Adresse beziehen 

sollen, ist ein Rechner-Eintrag zwingend erforderlich. 

Für jedes Subnetz wird ein DHCP-Subnetz-Eintrag benötigt, unabhängig davon, ob variable IP-Adressen 

aus diesen Subnetzen vergeben werden sollen. 

Über die Einrichtung von DHCP-Pools innerhalb von Subnetzen können den verschiedenen IP-Adress- 

bereichen unterschiedliche Konfigurationsparameter zugeordnet werden. Auf diese Weise können unbe- 

kannte Rechner in einem IP-Adressbereich zugelassen und in einem anderen IP-Adressbereich aus- 

geschlossen werden. Auch DHCP-Failover kann bei DHCP:Pool-Objekten eingerichtet werden. DHCP- 

Pools können nur unterhalb von DHCP-Subnetz-Objekten angelegt werden. 

Falls mehrere Subnetze gemeinsam dasselbe physikalische Netzwerk verwenden, sollten diese als DHCP- 

Shared Subnet unterhalb eines DHCP-Shared Network eingetragen werden. DHCP-Shared Subnet- 

Objekte können nur unterhalb von DHCP- Shared Network-Objekten angelegt werden. 

Anstelle von DHCP-Group-Deklarationen können Container erstellt werden, die die zu gruppierenden 

Objekte aufnehmen. Die Parameter einer solchen Objektgruppe werden über eine Richtlinie, welche mit 

dem Container verbunden wird, festgelegt. 

Werte, die auf einer Ebene der DHCP-Konfiguration angegeben werden, gelten immer für diese und alle 

darunterliegenden Ebenen, sofern dort keine anderen Angaben gemacht werden. Ähnlich wie bei Richt- 

linien gilt immer der Wert, der dem Objekt am nächsten ist. Anders als bei generellen Richtlinien kann 

jedoch nicht vorgegeben werden, dass ein Wert von tiefer liegenden Ebenen nicht mehr verändert werden 

darf. 

Achtung: 

Dabei muss bedacht werden, dass Werte, die ein Objekt über eine Richtlinie erhält, an untergeordne- 

te Objekte vererbt werden. Wenn beispielsweise über eine Richtlinie bei einem DHCP:Service-Objekt 

der Domänenname firma.com gesetzt und in demselben DHCP:Service-Objekt ein DHCP:Rechner- 

Objekt angelegt wird, übernimmt das DHCP:Rechner-Objekt den Domänennamen automatisch durch 

die Vererbung der Richtlinien-Einstellungen. Erhält dieses DHCP:Rechner-Objekt nun eine IP-Adresse 

aus einem DHCP-Pool, bei dem der Domänenname vertrieb.firma.com eingetragen wurde, gilt für das 

DHCP:Rechner-Objekt weiterhin der Domänenname firma.com. 

Dies betrifft alle Einstellungen, die auf Karteikarten vorgenommen werden, deren Beschriftung auf dem 

Karteikartenreiter in eckige Klammern eingeschlossen ist. Die vererbten Werte werden auf den entspre- 

chenden Karteikarten der untergeordneten Objekte angezeigt und können dort verändert werden (siehe 

dazu auch Kapitel 4.5.11). 

Auf die nachfolgend beschriebenen DHCP-Objekte können die folgenden Richtlinien angewendet werden: 

111


• Boot-Parameter 

• DHCP-Verschiedenes 

• DNS 

• DNS Aktualisierung 

• Erlauben/Verbieten 

• Lease-Zeit 

• NetBIOS 

• Routing 

Sie werden im Kapitel 4.5.11.5 näher erläutert. 

4.5.10.1 DHCP-Service 

Standardmäßig werden DHCP-Services in dem Container dhcp angelegt, der beim Erzeugen der Domäne 

automatisch erzeugt wird. 


Service-Name (*) 

In dieses Eingabefeld kann ein beliebiger eindeutiger Name für den DHCP-Service eingetragen wer- 

den. 

Beispiel: 

firma.com 

Auf dieser Ebene werden häufig folgende Parameter festgelegt, die dann für alle Rechner gültig sind, die 

von diesem DHCP-Service bedient werden (es sei denn, es werden auf tieferen Ebenen andere Angaben 

gemacht): 

• Domänenname und DNS-Nameserver auf der Karteikarte [DNS] 

• NetBIOS-Nameserver auf der Karteikarte [NetBIOS] 

Eine Beschreibung dieser und der anderen Eingabemöglichkeiten auf den richtlinien-basierten Karteikar- 

ten findet sich in Kapitel 4.5.11.5. 

4.5.10.2 DHCP-Server 

Jeder Server, der den DHCP-Dienst anbieten soll, benötigt zwingend einen DHCP:-Server-Eintrag im 

LDAP-Verzeichnis. Anderenfalls wird der DHCP-Dienst nicht gestartet. 

Um den DHCP-Server hinzuzufügen, muss zunächst das DHCP:Service-Objekt geöffnet werden. Das 

DHCP:Service-Objekt ist üblicherweise unter Navigation ➞ dhcp zu finden. Innerhalb des DHCP:Service- 

Objekts kann jetzt ein DHCP:Server-Objekt angelegt werden. 

112


Server-Name (*) 


In diesem Eingabefeld ist der Rechnername, der den DHCP-Dienst anbieten soll, einzutragen. 

Beispiel: 

ucs-master 

Hinweis: 

Ein Server kann nicht gleichzeitig in mehreren DHCP-Services eingetragen sein. 

Hinweis: 

Wenn mehrere DHCP-Server in demselben DHCP-Service eingetragen werden, muss der DHCP-Failover- 

Mechanismus aktiviert werden, um variable IP-Adressen vergeben zu können. 

4.5.10.3 DHCP-Subnetz 

Achtung: 

Ein DHCP-Subnetz-Eintrag ist für jedes Subnetz, aus dem variable oder feste IP-Adressen vergeben wer- 

den sollen, zwingend erforderlich. Das Eintragen von IP-Adressbereichen ist nur notwendig, wenn variable 

IP-Adressen vergeben werden sollen. 

Um ein DHCP-Subnetz hinzuzufügen, muss zunächst unter Navigation der entsprechende DHCP-Service 

geöffnet werden, in dem das DHCP:Subnetz-Objekt angelegt werden soll. 

Falls DHCP:Shared Subnet-Objekte verwendet werden sollen, sollten die entsprechenden Subnetze 

unterhalb des dafür angelegten DHCP:Shared Network-Containers angelegt werden (siehe Kapitel 

4.5.10.7). 


Subnetz-Adresse (*) 

In diesem Eingabefeld ist die IP-Adresse des Subnetzes in Oktettschreibweise einzutragen. 

Beispiel: 

192.168.1.0 

Netzmaske (*) 

Die Netzmaske kann in diesem Eingabefeld wahlweise als Dezimalzahl des Netzpräfix oder in Ok- 

tettschreibweise eingetragen werden. 

Hinweis: 

Wenn die Netzmaske in Oktettschreibweise eingegeben wird, wird sie automatisch in den entspre- 

chenden Netzpräfix umgewandelt und später auch ausgegeben. 

Beispiel: 

Die Netzmaske 255.255.255.0 wird später als 24 angezeigt. 

113


Broadcast-Adresse 

In diesem Eingabefeld kann die Broadcast-Adresse in Oktettschreibweise eingetragen werden. 

Beispiel: 

192.168.1.255 

Karteikarte ’Dynamische Adresszuweisung’ 

Auf dieser Karteikarte können ein einzelner oder mehrere IP-Adressbereiche (englisch “range”) ein- 

gerichtet werden. Die IP-Adressen aus diesen Bereichen stehen dann zur dynamischen Vergabe zur 

Verfügung. 

Achtung: 

IP-Adressbereiche für ein Subnetz sind immer entweder ausschließlich im Subnetz-Eintrag oder aus- 

schließlich in einem oder mehreren gesonderten Pool-Einträgen anzugeben. Die IP-Adressbereich- 

Eintragstypen innerhalb eines Subnetzes dürfen nicht gemischt werden! Wenn in einem Subnetz ver- 

schiedene IP-Adressbereiche mit unterschiedlichen Konfigurationen eingesetzt werden sollen, müs- 

sen dafür Pool-Einträge angelegt werden. Um sofort oder später in einem Subnetz den DHCP-Fai- 

lover-Mechanismus einzusetzen, müssen ebenfalls Pool-Einträge verwendet werden. 

Erste Adresse 

Hier ist die niedrigste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben. 

Letzte Adresse 

Hier ist die höchste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben. 

Hinweis: 

Um eine einzelne IP-Adresse als Bereich einzugeben, muss diese IP-Adresse einfach in beide Felder 


Auf dieser Ebene wird häufig der folgende Parameter festgelegt, der dann für alle Rechner in diesem 

Subnetz gültig sind (es sei denn, es werden auf tieferen Ebenen andere Angaben gemacht): 

• Router auf der Karteikarte [Routing] 

Eine Beschreibung dieser und der anderen Eingabemöglichkeiten auf den richtlinien-basierten Karteikar- 

ten findet sich in Kapitel 4.5.11.5. 

4.5.10.4 DHCP-Pool 

Achtung: 

Wenn in einem Subnetz DHCP-Pools angelegt werden, sollten keine IP-Adressbereiche im Subnetz-Ein- 

trag definiert werden. Diese sind ausschließlich in den Pool-Einträgen anzulegen. 

Ein DHCP:Pool-Objekt muss immer unterhalb eines DHCP:Subnetz-Objektes angelegt werden. 

114


Name (*) 


In dieses Eingabefeld kann ein beliebiger eindeutiger Name für den DHCP-Pool eingetragen werden. 

Beispiel: 

vertrieb.firma.com 

Erste Adresse 

Hier ist die niedrigste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben. 

Letzte Adresse 

Hier ist die höchste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben. 

Hinweis: 

Um eine einzelne IP-Adresse als Bereich einzugeben, muss diese IP-Adresse einfach in beide Felder 


Karteikarte ’Fortgeschritten’ 

Failover Peer 

Wenn der DHCP-Failover-Mechanismus eingesetzt werden soll, muss in diesem Eingabefeld der 

eindeutige Identifier des DHCP-Server-Paars angegeben werden, das für diesen Pool zuständig sein 

soll. Der hier eingetragene Identifier muss mit dem Identifier übereinstimmen, welcher auf den beiden 

beteiligten DHCP-Servern in der Datei /etc/dhcp3/dhcpd.conf eingetragen wurde. 

Da dynamisches BOOTP nicht mit dem DHCP-Failover-Mechanismus kompatibel ist, muss in der 

Auswahlliste Dynamische BOOTP-Clients erlauben der Eintrag deny ausgewählt werden. Es reicht 

nicht aus, beim DHCP-Service oder DHCP-Subnetz auf der Karteikarte [Erlauben/Verbieten] in der 

Auswahlliste BOOTP den Eintrag deny zu selektieren! 

Hinweis: 

Damit der DHCP-Failover-Mechanismus funktioniert, müssen die Server, die das Failover-Paar bil- 

den, entsprechend konfiguriert sein. Dazu werden die Konfigurationsdateien lokal auf den Servern 

angepasst und dementsprechend kann die Konfiguration nicht mit dem Univention Directory Manager 

vorgenommen werden. 

Erlaube bekannte Clients 

Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool an Cli- 

ents, die einen DHCP-Rechner-Eintrag unterhalb dieses DHCP-Services besitzen. Wird deny aus- 

gewählt, vergibt der DHCP-Service keine IP-Adressen aus diesem Pool an solche Clients (siehe 

Hinweis unten). 

115


Erlaube unbekannte Clients 

Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool an Cli- 

ents, die keinen DHCP-Rechner-Eintrag unterhalb dieses DHCP-Service besitzen. Wird deny aus- 

gewählt, vergibt der DHCP-Service keine IP-Adressen aus diesem Pool an solche Clients (siehe 

Hinweis unten). 

Dynamische BOOTP-Clients erlauben 

Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool auch 

an Clients, die über das BOOTP-Protokoll eine Anfrage gestellt haben. Dynamische BOOTP-Clients 

erhalten keine IP-Adresse aus diesem Pool, wenn der Eintrag deny eingestellt wird (siehe Hinweis 

unten). 

Alle Clients 

Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool an be- 

liebige Clients, soweit sie nicht durch andere Einstellungen ausgeschlossen werden. Der DHCP- 

Service vergibt keine IP-Adressen aus diesem Pool, egal von welcher Art Client die Anfrage kommt, 

sofern der Eintrag deny selektiert wurde (siehe Hinweis unten). 

Bei einer Adressumstellung im Netzwerk kann diese Einstellung genutzt werden, um alle aktiven 

Clients dazu zu zwingen, sich beim Erneuern ihrer bisherigen IP-Adresse eine neue IP-Adresse 

zuweisen zu lassen. 

Hinweis: 

Wenn aus einer oder mehreren Auswahllisten allow ausgewählt wurde, muss ein Client mindestens 

eine dieser allow-Einstellungen erfüllen, um eine IP-Adresse zu erhalten. Trifft mindestens eine de- 

ny-Einstellung auf einen Client zu, wird dem Client keine IP-Adresse zugeteilt, auch wenn andere 

allow-Einstellungen dies erlauben würden. 

4.5.10.5 DHCP-Rechner 

Mit einem DHCP:Rechner-Eintrag wird der betreffende Rechner dem DHCP-Service bekannt gemacht. 

Abhängig davon, ob ein Rechner dem DHCP-Service bekannt ist, kann er von ihm unterschiedlich behan- 

delt werden. Weiterhin können ausschließlich bekannte Rechner feste IP-Adressen vom DHCP-Service 

bekommen. Unbekannte Rechner erhalten nur variable IP-Adressen. 

Üblicherweise werden beim Hinzufügen eines Rechners über die Rechnerverwaltung oder die Navigation 

automatisch DHCP:Rechner-Einträge erstellt. Unterhalb des DHCP:Service-Objektes gibt es die Mög- 

lichkeit, manuell DHCP:Rechner-Einträge hinzuzufügen oder bestehende Einträge, egal ob manuell oder 

automatisch erzeugt, zu bearbeiten. 

Ein DHCP:Rechner-Objekt muss unterhalb eines DHCP:Service-Objekts angelegt werden. 

116


Rechnername (*) 


In diesem Eingabefeld ist ein Name für den Rechner einzugeben. In der Regel hat der Rechner auch 

einen Rechner-Eintrag in der Rechnerverwaltung. Es empfiehlt sich, in beiden Einträgen denselben 

Namen und dieselbe MAC-Adresse für den Rechner zu verwenden, um die Zuordnung zu erleichtern. 

Netzwerktyp (*) 

In dieser Auswahlliste ist der Typ des verwendeten Netzwerks auszuwählen. 

Hinweis: 

Der Netzwerktyp FDDI wird derzeit noch nicht von DHCP unterstützt. 

MAC-Adresse (*) 

In diesem Eingabefeld ist die MAC-Adresse der Netzwerkkarte einzutragen. 

Beispiel: 

2e:44:56:3f:12:32 

oder 

2e-44-56-3f-12-32 

Karteikarte ’Feste IP-Adressen’ 

Feste IP-Adressen 

Hier können dem Rechner, falls gewünscht, eine oder mehrere feste IP-Adressen zugewiesen wer- 

den. Neben einer IP-Adresse kann auch ein FQDN angegeben werden, der vom DNS-Server in eine 

oder mehrere IP-Adressen aufgelöst wird. 

Auf dieser Ebene wird häufig der folgende Parameter festgelegt, der dann für diesen Rechner gültig ist: 

• Boot-Server auf der Karteikarte [Boot-Parameter] 

4.5.10.6 DHCP-Shared Network 

DHCP:Shared Network-Objekte nehmen Subnetze auf, die ein physikalisches Netzwerk gemeinsam nut- 

zen. Ein DHCP:Shared Network-Objekt muss unterhalb eines DHCP:Service-Objektes hinzugefügt wer- 

den. 

Achtung: 

In das Shared Network sollte unbedingt ein Shared Subnet eingetragen werden, da sich der DHCP-Service 

sonst beendet und neu gestartet werden muss, wenn er ein leeres Shared Network in seiner Konfiguration 

vorfindet. 

117



Name (*) 

In dieses Eingabefeld ist ein Name für das Shared Network einzutragen. Der Name muss mit einem 

Buchstaben (a bis z) beginnen. Die restlichen Zeichen des Namens dürfen sich aus den Buchstaben 

a bis z, den Ziffern 0 bis 9, Punkt, Bindestrich und Unterstrich zusammensetzen. 

4.5.10.7 DHCP-Shared Subnet 

Als DHCP:Shared Subnet werden Subnetze deklariert, die gemeinsam dasselbe physikalische Netz- 

werk verwenden. Alle Subnetze, die dasselbe Netzwerk verwenden, sollten unterhalb desselben Shared 

Network-Containers angelegt werden. Für jedes Subnetz ist ein eigenes DHCP:Shared Subnet-Objekt 

anzulegen. DHCP:Shared Subnet-Objekte stehen ausschließlich unterhalb von DHCP:Shared Network- 

Objekten zur Verfügung. 

4.5.11 Richtlinien 

Richtlinien dienen der Vereinfachung der Administration, indem sie ihre Konfigurationseinstellungen an 

Objekte weitergeben, die mit der betreffenden Richtlinie verbunden sind oder anderen Objekten, die mit 

der Richtlinien verbunden sind, nachgeordnet sind. 

Wenn ein Objekt mit einer Richtlinie verbunden wird, werden die Angaben der Richtlinie auf das Objekt 

angewandt. So kann in einer Richtlinie z.B. die Konfiguration der graphischen Benutzeroberfläche für ein 

bestimmtes Client-Modell festgelegt und das Client-Objekt mit der Richtlinie verbunden werden. Die Werte 

aus der Richtlinie sind dann für den Client gültig. 

Die Werte, die über eine Richtlinie an einem übergeordneten Container gesetzt werden, haben ebenfalls 

für alle im Container enthaltenen Objekte Gültigkeit. Diesen Mechanismus nennt man Vererbung. 

Soll z.B. für alle Benutzer eines Standorts das gleiche Passwort-Intervall definiert werden, kann für diese 

Benutzer ein eigener Container angelegt werden. Nachdem die Benutzer-Objekte in den Container ver- 

schoben wurden, kann eine Passwort-Richtlinie mit dem Container verknüpft werden. Diese Richtlinie gilt 

für alle enthaltenen Benutzer-Objekte. 

Auf ein Objekt wird immer der Wert angewandt, der dem Objekt am nächsten liegt. Die Werte übergeord- 

neter Richtlinien können von denen nachgeordneter Richtlinien überschrieben werden. So kann für ein 

einzelnes Client-Objekt z.B. eine alternative Tastaturbelegung festgelegt werden, auch wenn die überge- 

ordnete Richtlinie eine Tastaturbelegung vorgibt. 

Eine Ausnahme bilden Werte, die in einer Richtlinie als festgelegte Attribute gesetzt wurden. Diese 

können von nachgeordneten Richtlinien nicht überschrieben werden. 

Die Mechanismen der Verknüpfung von Objekten mit Richtlinien, der Vererbung und der Festlegung von 

einzelnen Werten stellen ein weitreichendes und flexibles Mittel zur bequemen und zentralen Konfiguration 

und Administration einer UCS-Domäne dar. 

118


Mit dem Kommandozeilenprogramm univention-policy-result kann detailliert angezeigt werden, 

welche Richtlinie auf ein Verzeichnisdienst-Objekt Einfluss hat. 

4.5.11.1 Richtlinie hinzufügen 

Mit Univention Directory Manager können Richtlinien direkt oder indirekt angelegt werden. Um eine Richtli- 

nie direkt anzulegen, kann über die Navigation an die gewünschte Stelle im LDAP-Verzeichnis gewechselt 

und dort über die Auswahlliste Neues Objekt an aktueller Position hinzufügen der gewünschte Richtli- 

nientyp selektiert werden. 

Alternativ können neue Richtlinien auch über den Richtlinien-Assistenten (Richtlinien ➞ Hinzufügen) 

direkt erstellt werden. Nach Auswahl des gewünschten Richtlinientyps und des Zielcontainers können die 

Werte der neuen Richtlinie ausgefüllt werden. 

Richtlinien werden von Univention Directory Manager aber auch indirekt erstellt, wenn bei einem belie- 

bigen Objekt eine Karteikarte ausgefüllt bzw. bearbeitet wird, bei der die Beschriftung des Karteikarten- 

reiters in eckige Klammern eingeschlossen ist und auf der die Auswahlliste Konfiguration auswählen 

zur Verfügung steht (siehe Kapitel 4.5.11.4). Die auf diesen Karteikarten angepassten Werte werden als 

Richtlinie gespeichert. 

Standardmäßig werden Richtlinien in dem Container policies gespeichert, der beim Anlegen einer Domä- 

ne automatisch erzeugt wird. Zur weiteren Strukturierung gibt es im Container policies für jeden Richtlini- 

entyp einen eigenen Container. 

Beim Hinzufügen und Bearbeiten von Objekten stehen die Richtlinien vom passenden Typ aus den einge- 

tragenen Richtlinien-Containern in der Auswahlliste Konfiguration auswählen auf der jeweiligen Kartei- 

karte zur Verfügung. 

Hinweis: 

Es muss gegebenenfalls geprüft werden, ob der Container, in dem eine Richtlinie angelegt wird, als 

Standard-Container für Richtlinien eingetragen ist (siehe Kapitel 4.5.12.7). Andernfalls wird die Richtli- 

nie nicht gefunden. Der automatisch erzeugte Container policies ist bereits als Standard-Container für 

Richtlinien eingetragen. 

Einstellungen, die bei den verschiedenen Richtlinientypen vorgenommen werden können, werden bei den 

Karteikarten der jeweiligen Objekte näher erläutert. Zusätzlich findet sich beim direkten Hinzufügen einer 

Richtlinie das Eingabefeld Name, in das ein beliebiger Name für die Richtlinie eingetragen werden kann. 

Weiterhin erscheint die Karteikarte Objekt nur beim direkten Hinzufügen oder Bearbeiten einer Richtlinie. 

Diese Karteikarte wird im Anschluss näher erläutert. 

Karteikarte ’Objekt’ 

Diese Karteikarte steht bei jedem Richtlinien-Objekt zur Verfügung. Sie bietet die Möglichkeit, Ein- 

stellungen bezüglich Objektklassen und Attributen vorzunehmen. 

Benötigte Objektklassen 

Hier können Objektklassen angegeben werden, denen Objekte angehören müssen, die mit dieser 

119


Richtlinie verbunden werden. 

Ausgeschlossene Objektklassen 

Hier können Objektklassen angegeben werden, denen Objekte nicht angehören dürfen, die mit dieser 

Richtlinie verbunden werden. 

Festgelegte Attribute 

Hier können Attribute ausgewählt werden, deren Werte von nachgeordneten Richtlinien nicht verän- 

dert werden dürfen. 

Leere Attribute 

Hier können Attribute ausgewählt werden, die in der Richtlinie leergesetzt, also ohne Wert gespei- 

chert werden sollen. Dadurch können Werte, die ein Objekt von einer übergeordneten Richtlinie er- 

erbt hat, entfernt werden. In nachgeordneten Richtlinien können den Attributen wieder Werte zuge- 

wiesen werden. 

Achtung: 

Wird in einer untergeordneten Richtlinie bei einem Eingabefeld kein Wert eingetragen, so bedeutet dies, 

dass der Wert der übergeordneten Richtlinie unverändert übernommen werden soll. Damit der Wert der 

übergeordneten Richtlinie in untergeordneten Objekten keine Gültigkeit besitzt, muss das entsprechende 

Eingabefeld in der Karteikarte Objekt unter Leere Attribute eingetragen werden. 

4.5.11.2 Richtlinien anwenden 

Richtlinien können mit Container-Objekten über die Karteikarte Richtlinien verbunden werden. Bei ande- 

ren Objekten stehen die passenden Richtlinientypen auf einzelnen Karteikarten zur Verfügung, über die 

eine vorhandene Richtlinie ausgewählt oder eine neue Richtlinie für das Objekt erstellt werden kann. 

Wenn ein Objekt mit einer Richtlinie verbunden ist oder Richtlinien-Einstellungen erbt, die auf das Objekt 

nicht angewandt werden können, bleiben die Einstellungen ohne Auswirkung für das Objekt. Dadurch ist 

es z.B. möglich, eine Richtlinie mit der Wurzel des LDAP-Verzeichnisses zu verbinden, die dann für alle 

Objekte der Domäne, die diese Richtlinie anwenden können, gültig ist. Objekte, die diese Richtlinie nicht 

anwenden können, werden nicht beeinflusst. 

Achtung: 

Für ein Objekt, das mit einer Richtlinie verbunden ist, gelten immer die aktuellen Einstellungen dieser 

Richtlinie. Beim Bearbeiten einer Richtlinie werden also die Einstellungen für alle Objekte, die mit dieser 

Richtlinie verbunden sind, verändert! Diese Werte aus der geänderten Richtlinie gelten also nicht nur 

für Objekte, die in der Zukunft hinzugefügt werden, sondern auch für diejenigen, die bereits im System 

eingetragen und mit der Richtlinie verbunden sind. 

Die Karteikarte Referenzierende Objekte der Richtlinien-Objekte zeigt eine Liste aller mit der Richtlinie 

verbundenen Objekte an. 

120

4.5.11.3 Richtlinien mit Containern verbinden 

Karteikarte ’Richtlinien’ 


Diese Karteikarte steht bei Container, Organisationseinheiten und Domänen zur Verfügung. Sie zeigt 

die aktuell mit dem Objekt verbundenen Richtlinien an (siehe Abbildung 4.11). Auf der Karteikarte 

besteht die Möglichkeit, die Einstellungen aus einer Richtlinie zu bearbeiten und als neue Richtlinie 

mit dem Objekt zu verbinden. Außerdem können verbundene Richtlinien von dem Objekt getrennt 

werden. 

In der ersten Spalte werden alle verfügbaren Richtlinientypen aufgeführt. In der zweiten Spalte wird 

angegeben, welche konkrete Richtlinie des jeweiligen Richtlinientyps für das aktuelle Objekt gültig 

ist. Dabei bedeutet ererbt, dass das Objekt die Richtlinie übergeordneter Objekte erbt, falls sie dort 

gesetzt sind. 

Die Vererbung funktioniert über beliebig viele Ebenen. Das übergeordnete Objekt kann die Richtlinie 

also ebenfalls vom nächsthöheren Objekt ererbt haben. ererbt ist die Standardeinstellung. ererbt 

wird auch dann angezeigt, wenn keinem übergeordneten Objekt bis hin zur Wurzel des LDAP-Ver- 

zeichnisses eine Richtlinie zugeordnet ist. Dieser Sachverhalt wird auch aus der Abbildung 4.11 

deutlich, die die Karteikarte Richtlinien für die Domäne, also die Wurzel des LDAP-Verzeichnisses, 

bei einer typischen UCS-Installation zeigt. 

Die Vererbung kann nicht direkt abgeschaltet werden. Das Objekt kann aber mit einer neuen Richtlinie 

verbunden werden, bei der die Felder beliebig eingestellt, also auch als leer definiert werden können. 

Um das Objekt mit einer anderen oder neuen Richtlinie zu verbinden, muss auf der Karteikarte Richt- 

linien auf den betreffenden Richtlinientyp geklickt werden. Es erscheint anschließend eine Karteikar- 

te, auf der die Einstellungen für die Richtlinie vorgenommen werden können. Alternativ kann auf der 

Karteikarte in der Auswahlliste Konfiguration auswählen eine bestehende Richtlinie ausgewählt 

werden (siehe auch Kapitel 4.5.11.4). 

Nach einem Klick auf [OK] werden die neuen Einstellungen übernommen, wenn danach nicht die 

Bearbeitung des Objekts insgesamt abgebrochen wird. Eine neue oder veränderte Richtlinie wird 

unter einem eindeutigen Namen gespeichert, der sich aus dem Namen des Containers ergibt (siehe 

Kapitel 4.5.11.4). Die ursprünglichen Einstellungen bleiben unverändert erhalten, wenn [Abbrechen] 

ausgewählt wird. 

Um eine Richtlinie vom aktuellen Objekt zu trennen, ist das Auswahlkästchen rechts neben der Richt- 

linie zu markieren. Nach einem anschließenden Klick auf [Trennen] erscheint auf der Karteikarte 

ererbt anstelle der bisheringen Richtlinie. Damit die Richtlinie tatsächlich vom Objekt getrennt wird, 

muss die Änderung mit [OK] bestätigt werden. 

121


4.5.11.4 Richtlinien mit anderen Objekten verbinden 

Eckige Klammern auf einem Karteikartenreiter zeigen an, dass auf dieser Karteikarte Einstellungen mit- 

hilfe von Richtlinie vorgenommen werden können. 

Über die Auswahlliste Konfiguration auswählen stehen existierende Richtlinien zur Verfügung, die an 

der aktuellen Position angewendet werden können. Voreingestellt ist die Konfiguration ererbt, bei der die 

Konfigurationsparameter des übergeordneten Containers für das aktuelle Objekt übernommen werden. 

Wenn eine Konfiguration ausgewählt wird, werden die Werte, die sich aus der Richtlinie ergeben, in den 

entsprechenden Feldern auf der Karteikarte angezeigt. Ausgegraute Werte können nicht verändert wer- 

den. Alle schwarz geschriebenen Werte und alle leeren Felder können beliebig angepasst werden. 

Aus den neuen Werten wird von Univention Directory Manager eine neue, eigene Richtlinie erzeugt. Im 

Container policies ist für jeden Richtlinientyp ein Container vorbereitet. In diesen Containern werden die 

von Univention Directory Manager erzeugten Richtlinien automatisch gespeichert. 

Eine von Univention Directory Manager erzeugte Richtlinie erhält den Namen des Objektes, für das sie 

erzeugt wurde. Existiert bereits eine Richtlinie mit diesem Namen, so wird zusätzlich _uv0 an den Namen 

angehängt. Weitere mit dem Namen im Konflikt stehende Richtlinien werden durchnummeriert und enden 

somit auf _uv1, _uv2 und so weiter. 

Unter diesem Namen kann die Richtlinie im Container für den entsprechenden Richtlinientyp gefunden 

werden. Wird eine der bereits existierenden Richtlinien verändert, wirkt sich dies auf alle Objekte aus, auf 

die diese Richtlinie angewandt wird. 

Wird dagegen über den Reiter Richtlinien ein Wert bei dem Objekt verändert, für das die Richtlinie erzeugt 

wurde, so wird automatisch eine neue Richtlinie mit den geänderten Werten angelegt und die ursprüng- 

liche Richtlinie bleibt unverändert erhalten. Die neuen Werte sind also nur für das aktuelle Objekt und 

gegebenenfalls für dem Objekt untergeordnete Objekte gültig. 

4.5.11.5 Richtlinien-basierte Karteikarten 

122 

Karteikarte ’[Autostart]’ 

Diese Karteikarte ist nur auf Thin Client-, Managed Client- sowie Mobile Client-Systemen ver- 

fügbar. 

Thin Clients können ohne Login-Maske betrieben werden, um beispielsweise nach jedem Einschalten 

des Gerätes automatisch und ausschließlich einen Citrix-Client zu starten. 

Autostart Sitzung 

Hier ist der Name des Autostart-Skriptes einzutragen, das beim nächsten Start des Cli- 

ents gestartet werden soll. Ein Autostart-Skript ist ein Shell-Skript, in dem Programme 

eingetragen sind, die nach dem automatischen Anmelden durch den Benutzer ’autostart’ 

gestartet werden. Dieses Skript muss auf dem Terminal-Server des Thin Clients unter


/var/lib/univention-client-root/etc/gdm/Autostart/ abgelegt werden. Auf einem 

Managed oder Mobile Client-System ist es unter /etc/gdm/Autostart/ abzulegen. 

Beispiele für die Einbindung des Citrix-Clients, nxclient oder rdesktop in Autostart-Skripte finden 

sich auf einem UCS-Server mit installierter Thin Client-Infrastruktur (Paket univention-thin-client) 

unter /var/lib/univention-client-root/etc/gdm/Autostart/. 

123


124 

Karteikarte ’[Benutzer-Quota-Richtlinie]’ 

Ausführliche Informationen über Quota finden sich in der UCS Quota Dokumentation unter [9]. 

Benutzer-Quota können anhand der Dateianzahl oder nach Dateiumfang festgelegt werden. Quota- 

Limits werden für Benutzer bei der Anmeldung gesetzt. 

Die folgenden Einstellungen gelten für alle Benutzer einer Verzeichnis-Freigabe; es ist nicht möglich 

an einer Freigabe für verschiedene Benutzer unterschiedliche Quota-Limitierungen festzulegen. 

Abbildung 4.12: 10 MB Soft-Limit und 20 MB Hard-Limit für alle Verzeichnisfreigaben 

im Container shares 

Änderungen der Quota-Limits wirken sich nur auf Benutzer aus, die sich nach der Änderung erstmals 

anmelden. Benutzer, für die bereits Quotas gesetzt sind, werden von den Änderungen nicht betroffen. 

Quotas für diese Benutzer können mit den Linux-Befehlen setquota und repquota bearbeitet und 

aufgelistet werden, weitere Informationen sind in der UCS Quota Dokumentation unter [9] zu finden. 

Eine Alternative ist die gruppenbasierte Zuweisung mittels univention-quota-group. Die Ver- 

wendung ist ebenfalls in der oben erwähnten Dokumentation beschrieben.

Soft-Limit (Anzahl Byte) 


Der Speicherplatz in Byte, bei dessen Überschreitung der Benutzer aufgefordert wird, Speicherplatz 

freizugeben (standardmäßig innerhalb von sieben Tagen). 

Hard-Limit (Anzahl Byte) 

Der Speicherplatz in Byte, den jeder Benutzer in dieser Freigabe maximal belegen darf. 

Soft-Limit (Anzahl Dateien) 

Die Anzahl an Dateien, bei dessen Überschreitung der Benutzer aufgefordert wird, Speicherplatz 

freizugeben (standardmäßig innerhalb von sieben Tagen). 

Hard-Limit (Anzahl Dateien) 

Die Anzahl an Dateien, die jeder Benutzer in dieser Freigabe maximal speichern darf. 

Karteikarte ’[Boot-Parameter]’ 

Mit einer DHCP-Boot-Richtlinie werden Rechnern Konfigurationsparameter für das Booten von ei- 

nem Server zugewiesen. Geänderte Werte werden ab dem nächsten Start des jeweiligen Rechners 

angewendet. 

Hinweis: 

Da Thin Clients ohne diese Parameter nicht booten können, ist in Univention Corporate Server be- 

reits eine DHCP-Boot-Richtlinie vorangelegt. Da ein Boot-Server in dieser Richtlinie nicht gesetzt ist, 

verwendet der Client den DHCP-Server, von dem er seine IP-Adresse bezieht, als Boot-Server. Als 

Boot-Datei ist standardmäßig die Datei pxelinux.0 eingetragen. Die Richtlinie ist mit der Wurzel 

der Domäne verbunden, so dass sie automatisch für alle Thin Clients der Domäne gilt, solange nichts 

anderes näher am Client-Objekt definiert wird. 

Rechner, die nicht vom Server booten, sondern ein lokal installiertes Betriebssystem starten, benöti- 

gen diese Angaben nicht. Die Angaben werden von einem solchen Rechner ignoriert. 

Boot-Server 

In diesem Eingabefeld ist die IP-Adresse oder der FQDN des Boot-Servers einzutragen, von dem der 

Client die Boot-Datei laden soll. Wird in diesem Eingabefeld kein Wert eingetragen, bootet der Client 

von dem DHCP-Server, von dem er seine IP-Adresse bezieht. 

Boot-Dateiname 

Hier ist der Pfad zur Boot-Datei einzutragen. Der Pfad muss relativ zum Basisverzeichnis des TFTP- 

Dienstes angegeben werden. 

Ein Beispiel: 

Beim Start des tftp-Dienstes wird das freizugebende Verzeichnis als Parameter übergeben. In diesem 

125


126 

Fall ist der Pfad zur Boot-Datei relativ zum Verzeichnis /var/lib/univention-client-boot 

anzugeben. 

Heißt die gewünschte Datei linux.0 und liegt im Verzeichnis 

/var/lib/univention-client-boot/kernel/, so ist im Eingabefeld Boot-Dateiname 

der Pfad kernel/linux.0 anzugeben. 

Karteikarte ’[Client-Peripherie]’ 

Diese Karteikarte findet sich nur bei Rechnern vom Typ Thin Client. 

Zugriff auf Peripheriegeräte 

Mit dem Markieren dieses Auswahlkästchens wird der Zugriff auf Peripheriegeräte wie CD-ROM- 

und Disketten-Laufwerke, die an diesem Thin Client angeschlossen sind, von diesem Thin Client aus 

erlaubt. 

Karteikarte ’[Univention Configuration Registry]’ 

Ausführliche Informationen zur richtlinienbasierten Vererbung von Univention Configuration Registry- 

Variablen finden sich in Kapitel 14.9. 

Karteikarte ’[DHCP Verschiedenes]’ 

Autoritativ 

Diese Auswahl steuert das Versenden von DHCPNAK -Botschaften an falsch konfigurierte Clients. 

Achtung: 

Ein Einstellung Yes ist nur dann zu wählen, wenn die Konsequenzen dieser Einstellung eingeschätzt 

werden können und der DHCP-Service korrekt konfiguriert wurde! 

Ein Einstellung Yes veranlasst den DHCP-Service dazu, jedem falsch konfigurierten Client eine DH- 

CPNAK -Nachricht zu senden. Wird dies nicht gemacht, sind Clients nach einem Subnetz-Wechsel 

(z.B. Notebooks) nicht in der Lage, eine korrekte IP-Adresse zu erhalten, bis ihr altes Lease abgelau- 

fen ist. Dies kann einige Zeit in Anspruch nehmen. 

Wird nichts oder no ausgewählt, versendet der DHCP-Service keine DHCPNAK -Botschaften. Dies 

ist das Standard-Verhalten des DHCP-Service und soll Problemen bei einem unzureichend bzw. 

falsch konfigurierten DHCP-Service vorbeugen. 

Das Setzen dieser Einstellung ist nur für physikalische Netzsegmente sinnvoll. Die Einstellung sollte 

für ein DHCP-Shared Network oder ein DHCP-Subnetz vorgenommen werden. Für ein DHCP-


Shared Subnet sowie DHCP:Pool- und DHCP:Rechner-Objekte sollte diese Einstellung vermieden 

werden! 

Booten unbekannter Clients 

Wenn in dieser Auswahlliste True gewählt wird, vergibt der DHCP-Service IP-Adressen auch an 

Clients, die keinen DHCP-Rechner-Eintrag besitzen. Voraussetzung ist, dass ein entsprechender 

Pool an IP-Adressen eingerichtet ist. Einschränkungen zur IP-Adress-Vergabe, die beim DHCP:Pool- 

Objekt gemacht werden, werden dabei berücksichtigt. Wird der Eintrag False gewählt, vergibt der 

DHCP-Service keine IP-Adressen an Clients, die keinen DHCP-Rechner-Eintrag besitzen. 

Diese Einstellung wird auf Pool-Ebene von den Einstellungen auf der Karteikarte Fortgeschritten 

überschrieben. 

Ping-Check 

Wenn in dieser Auswahlliste nichts oder True gewählt wird, prüft der DHCP-Server mit einem Ping, 

ob die IP-Adresse noch frei ist, bevor er sie dynamisch vergibt. Dadurch verzögert sich die Antwort 

an den Client um eine Sekunde. Wenn dies ein Problem für die anfragenden Clients darstellen kann, 

sollte hier die Einstellung No gewählt werden. Die Verfügbarkeitsüberprüfung mittels Ping wird dann 

nicht durchgeführt und der DHCP-Server antwortet sofort. 

Holen von Lease-Rechnernamen 

Wenn in dieser Auswahlliste True gewählt wird, löst der DHCP-Server alle IP-Adressen, für die diese 

Angabe gilt, in den zugehörigen Rechnernamen in der DNS-Domäne auf und verwendet ihn für die 

DHCP-hostname-Option. Wird nichts oder False gewählt, verwendet der DHCP-Server nicht die 

DNS-Domänennamen. 

Serverkennung 

Die IP-Adresse des Servers, über die Clients mit dem DHCP-Server kommunizieren sollen. Dieses 

Feld sollte nur in begründeten Ausnahmefällen ausgefüllt werden. Dabei muss darauf geachtet wer- 

den, dass der richtige DHCP-Server verwendet wird, wenn in einem DHCP-Service mehrere Server 

eingesetzt werden. 

Servername 

Dieser Name wird einem Client als Name des Servers, von dem er bootet, übergeben. 

Karteikarte ’[DNS]’ 

Domänenname 

Name der Domäne, den der Client automatisch an Rechnernamen anhängt, die er zur Auflösung an 

den DNS-Server schickt und die keine FQDNs sind. Üblicherweise wird hier der Name der Domäne 

verwendet, der der Client angehört. 

127


128 

DNS-Server 

Hier können IP-Adressen oder FQDNs für DNS-Server hinzugefügt werden. Bei der Verwendung von 

FQDNs ist darauf zu achten, dass der DHCP-Server die FQDNs in IP-Adressen auflösen kann. Die 

DNS-Server werden von den Clients entsprechend der hier angegebenen Reihenfolge kontaktiert. 

Die Umsortierung der angegebenen DNS-Server kann deshalb sinnvoll sein. 

Karteikarte ’[DNS Aktualisierung]’ 

Auf dieser Karteikarte können Einstellungen zur dynamischen DNS-Aktualisierung vorgenommen 

werden. Diese können aus technischen Gründen bislang noch nicht gegen einen UCS-basierten 

DNS-Dienst durchgeführt werden, sondern nur gegen externe Server. 

DDNS Rechnername 

Standardmäßig verwendet der DHCP-Service den Rechnernamen, der vom Client geliefert wird, für 

DDNS-Aktualisierungen. Wird in dieses Eingabefeld eine Zeichenkette eingetragen, wird diese an- 

stelle des gelieferten Rechnernamens verwendet. 

DDNS Domänenname 

Der hier eingetragene Domänenname wird verwendet, um zusammen mit dem Rechnernamen des 

Clients einen FQDN zu bilden. 

DDNS Reverse Domänenname 

Der hier eingetragene Domänenname wird an die umdrehte IP-Adresse angehängt, um einen Namen 

für einen Pointer Record (PTR Record) zu bilden. Wird kein Domänenname eingetragen, wird der 

Standardwert in-addr.arpa. verwendet. 

DDNS Aktualisierungen 

Wird diese Einstellung auf on gesetzt, versucht der DHCP-Service eine DNS-Aktualisierung, wenn 

ein Lease bestätigt wurde. Wurde off ausgewählt, wird die Aktualisierung nicht durchgeführt. Die 

Standardeinstellung lautet on. 

DDNS Update Stil 

Es stehen derzeit zwei DNS-Update-Schemata zur Verfügung: der ad-hoc DNS update mode (ad- 

hoc) sowie der interim DHCP-DNS interaction draft update mode (interim). Der Modus ad-hoc ist 

mittlerweile veraltet und sollte nicht mehr genutzt werden. 

Hinweis: 

Diese Einstellung wird einmalig beim Einlesen der Konfiguration durch den DHCP-Service ausgewer- 

tet. Es kann somit nicht für jeden Client individuell der Update-Stil vorgegegeben werden. 

DDNS Forward Update durchführen 

Wird der Wert True ausgewählt, aktualisiert der DHCP-Service den DNS-Rechnereintrag (A Record),


wenn ein DHCP-Client ein Lease anfordert oder erneuert. Bei der Einstellung false findet keine Ak- 

tualisierung statt. Diese Angabe findet nur Anwendung, wenn DNS-Updates aktiviert und der DDNS 

Update Stil auf interim gesetzt wurde. In der Standardeinstellung werden DDNS Forward Updates 

durchgeführt. 

Aktualisierung statischer Leases 

Wird der Wert True ausgewählt, führt der DHCP-Service DNS-Updates für DHCP-Clients durch, 

auch wenn diese eine statische IP-Adresse zugeordnet bekommen. Bei der Einstellung false findet 

keine Aktualisierung statt. Diese Angabe findet nur Anwendung, wenn DNS-Updates aktiviert und der 

DDNS Update Stil auf interim gesetzt wurde. 

Client Aktualisierungen 

Wird der Wert Allow ausgewählt, beachtet der DHCP-Service die Absicht des DHCP-Clients, seinen 

eigenen DNS-Rechnereintrag (A Record) selbst zu aktualisieren. Diese Angabe findet nur Anwen- 

dung, wenn DNS-Updates aktiviert und der DDNS Update Stil auf interim gesetzt wurde. 

Karteikarte ’[Desktop-Einstellungen]’ 

Auf dieser Karteikarte kann das Erscheinungsbild der Linux-Oberfläche KDE für den Benutzer konfi- 

guriert werden. 

Desktop-Sprache 

Die KDE-Spracheinstellung des Benutzers. 

Hinweis: 

Damit die Auswahl wirksam wird, muss das entsprechende KDE-Sprachpaket auf dem Rechner - bei 

Thin Clients auf dem Terminal-Server - installiert sein. 

Desktop-Profil 

Ein Profil, das das Erscheinungsbild der Linux-Oberfläche KDE für den Benutzer bestimmt. Zur Wahl 

stehen die Profile, die im Container univention im Objekt default eingetragen sind (siehe Kapi- 

tel 4.5.12.6 und [10]). 

Login-Skripte 

Das hier eingetragene Skript wird beim KDE-Login des Benutzers ausgeführt. 

Hinweis: 

Damit die Auswahl wirksam wird, muss die entsprechende Datei auf dem Rechner - bei Thin Clients 

auf dem Terminal-Server - ausführbar installiert sein. 

Logout-Skripte 

129


Das hier eingetragene Skript wird beim Abmelden des Benutzers von der KDE Sitzung ausgeführt. 

Hinweis: 

Damit die Auswahl wirksam wird, muss die entsprechende Datei auf dem Rechner - bei Thin Clients 

auf dem Terminal-Server - ausführbar installiert sein. 

Karteikarte ’[Display-Einstellungen]’ 

Diese Karteikarte findet sich nur bei Rechnern vom Typ Managed Client, Mobile Client oder Thin 

Client. Auf dieser Karteikarte werden Grafikkarte, Bildschirm, Tastatur und Maus für den Rechner 

eingerichtet. Änderungen werden beim nächsten Rechnerstart, bei dem eine Verbindung zum LDAP- 

Verzeichnis besteht, wirksam. 

Automatische Erkennung 

Ist die Option aktiviert, wird der für die Grafikkarte benötigte Treiber automatisch erkannt. Sollte für 

die Karte kein passender Treiber verfügbar sein, wird der VESA-Treiber verwendet. Auch die für den 

angeschlossenen Monitor geeignete Bildschirmauflösung wird erkannt und aktiviert. 

Grafikkarten-Treiber 

Aus dieser Auswahlliste kann ein passender Grafikkarten-Treiber ausgewählt werden. 

Auflösung des primären Monitors 

In diesem Eingabefeld ist die Bildschirmauflösung des Hauptmonitors einzutragen. Die Angabe von 

Breite und Höhe ist durch ein “x” zu trennen. 

Beispiel: 

1024x768 

Auflösung des sekundären Monitors 

Die Bildschirmauflösung eines eventuellen zweiten Monitors. Dieser bildet zusammen mit dem pri- 

mären Monitor eine gemeinsame Bildschirmfläche. 

Position des sekundären Monitors 

Diese Auswahl gibt die relative Position des sekundären Monitors gegenüber dem primären Monitor 

an. 

130 

Farbtiefe 

Die Farbtiefe ist in Bit pro Pixel anzugeben. Zulässige Werte sind 1, 2, 4, 8, 16 und 24. 

Maus-Protokoll 

Für die Verwendung einer Maus stehen eine Reihe unterschiedlicher Maus-Protokolle zur Verfügung: 

• Auto wählt in der Regel automatisch das passende Protokoll für die verwendete Maus aus.

• IMPS/2 wird für Mäuse mit Mausrad am PS/2-Anschluss verwendet. 

• PS/2 wird für einfache Mäuse am PS/2-Anschluss verwendet. 


• Serial wird für Mäuse an der seriellen Schnittstelle (ttyS0 oder ttyS1 bzw. unter Windows/DOS 

COM1 oder COM2) genutzt. 

• USB wird für USB-Mäuse benötigt. 

Darüber hinaus stehen noch weitere spezielle Maus-Protokolle bereit: 

ExplorerPS/2, ThinkingMouse, ThinkingMousePS/2, NetScrollPS/2, Intellimouse, NetMousePS/2, 

GlidePoint, GlidePointPS/2 und MouseManPlusPS/2. 

Maus-Anschluss 

Es ist hier der Anschluss, über den die Maus mit dem Rechner verbunden ist, auszuwählen. Es 

stehen die Anschlüsse PS/2, Serial und USB zur Wahl. 

Tastaturbelegung 

Mit der Auswahl eines Landes wird die landesübliche Tastaturbelegung für diesen Rechner aktiviert. 

Darunter sind auch Germany für eine deutsche und United States für eine englische Tastaturbele- 

gung. Daneben besteht die Möglichkeit, keine Einstellung zur Tastaturbelegung vorzunehmen. 

Variante der Tastaturbelegung 

An dieser Stelle kann über die Angabe eines Schlüsselwortes die Variante der Tastaturbelegung 

ausgewählt werden. Bei deutscher Tastaturbelegung wird meist die Variante nodeadkeys (englisch 

für “keine toten Tasten”) verwendet. Sie bewirkt, dass bestimmte Sonderzeichen wie die Tilde “~” 

durch einfaches Betätigen der Taste eingegeben werden. Allerdings kann das Sonderzeichen dann 

nicht mehr über ein anderes Zeichen geschrieben werden. Bei der Variante basic muss zunächst 

die Taste für das Sonderzeichen und danach die Taste des Zeichens betätigt werden, über dem das 

Sonderzeichen erscheinen soll. Für das Schreiben des Wortes “Senor” mit dem Buchstaben “ñ” muss 

in diesem Fall zunächst die Tilde und anschließend das “n” gedrückt werden. Um eine Tilde allein zu 

erhalten, wird zuerst die Tilde-Taste gedrückt und dann die Leertaste. 

Erlaube VNC-Display-Freigabe 

Diese Option ermöglicht Administratoren, auf die grafische Oberfläche des Rechners zuzugreifen und 

die Kontrolle über Maus und Tastatur zu übernehmen, wenn der Benutzer dies nach einer Sicherheits- 

abfrage erlaubt. Diese Option dient z.B. der Fehlerbehebung, falls ein Anwender sich in einer für ihn 

unlösbaren oder unverständlichen Situation befindet. Diese Option ist standardmäßig deaktiviert. 

Diese Richtlinie wird nur bei Thin Clients ausgewertet. 

VNC-Display-Freigabe, nur Anzeigen 

Diese Option erlaubt Administratoren, sich den Desktop eines Anwenders anzuschauen, ohne dass 

131


132 

der Administrator durch Tastatureingaben oder Mausbewegungen etwas verändern kann. Es wird 

eine Sicherheitsabfrage angezeigt, die der Anwender bestätigen muss, damit die Administratoren 

Zugang erhalten. Diese Option ist standardmäßig aktiviert. 

Diese Richtlinie wird nur bei Thin Clients ausgewertet. 

RAM auf der Grafikkarte in kB 

Sollte der Grafikkarten-Treiber den verfügbaren Grafikspeicher nicht vollständig erkennen, kann in 

diesem Eingabefeld die korrekte Größe des RAMs auf der Grafikkarte eingetragen werden. Die An- 

gabe erfolgt in Kilobytes. 

Größe des virtuellen Desktops im Zwei-Monitor-Betrieb 

Die grafische Oberfläche kann auch durch zwei Monitore dargestellt werden. Die dabei erzielte Dar- 

stellungsgröße des virtuellen Desktops muss vorgegeben werden. Die Bildschirmdimensionen wer- 

den dazu addiert; wenn beispielsweise zwei Monitore mit einer Auflösung von je 1024x768 Pixeln 

nebeneinander betrieben werden, beträgt die Größe des virtuellen Desktops 2048x768. Die Einstel- 

lung muss im Format x y, d.h. mit einem Leerzeichen als Trenner angegeben werden, z.B. 2048 768. 

Diese Einstellung braucht in der Regel nicht angegeben werden, sondern wird aus den Einstellungen 

für Auflösung des primären Monitors und Auflösung des sekundären Monitors errechnet. 

Name des primären Monitors 

Der X11-interne Bezeichner für den primären Monitor, z.B. LVDS oder VGA. Der Gerätename 

schwankt je nach Modell der Grafikkarte und kann ermittelt werden, in dem der xrandr-Befehl auf- 

gerufen wird. Wird hier kein Bezeichner angegeben, wird der Bezeicher im GDM-Init-Skript ermittelt. 

Display-Grösse (mm) des primären Monitors 

Wird die gemessene Länge der Displaydiagonale eingetragen, kann die Displayauflösung (dpi) auto- 

matisch bestimmt werden. Die Angabe erfolgt im Format XxY in Millimetern. 

Diese Einstellung greift nur, wenn der Name des primären Monitors gesetzt wurde. 

Horizontale Synchronisation des primären Monitors 

Die horizontale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit 

kHz anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt. 

Beispiel: 

30-70 


Vertikale Wiederholfrequenz des sekundären Monitors 

Die vertikale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit Hz


anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt. 

Beispiel: 

50-90 


Name des sekundären Monitors 

Der X11-interne Bezeichner für den sekundären Monitor, z.B. LVDS oder VGA. Der Gerätename 

schwankt je nach Modell der Grafikkarte und kann ermittelt werden, in dem der xrandr-Befehl auf- 

gerufen wird. Wird hier kein Bezeichner angegeben, wird der Bezeicher im GDM-Init-Skript ermittelt. 

Display-Grösse (mm) des sekundären Monitors 

Wird die gemessene Länge der Displaydiagonale eingetragen, kann die Displayauflösung (dpi) auto- 

matisch bestimmt werden. Die Angabe erfolgt im Format XxY in Millimetern. 

Diese Einstellung greift nur, wenn der Name des sekundären Monitors gesetzt wurde. 

Horizontale Synchronisation des sekundären Monitors 

Die horizontale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit 

kHz anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt. 

Beispiel: 

30-70 


Vertikale Wiederholfrequenz des sekundären Monitors 

Die vertikale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit Hz 

anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt. 

Beispiel: 

50-90 


Karteikarte ’[Druck-Quota]’ 

Hinweis: 

Für die Berechnung von Druck-Quota und -Kosten muss die Komponente ’Dienste/Druck-Quota’ bei 

der Installation ausgewählt worden sein oder durch Aufruf von univention-system-setup-software 


Druck-Quota für Benutzer 

Für die hier ausgewählten Benutzer wird eine Druck-Quota erstellt. 

133


134 

Soft Limit 

Erreicht ein Benutzer die hier eingetragene Anzahl an Seiten, die er drucken darf, erhält er eine 

Warnmeldung per Mail, dass sein Druck-Kontingent annähernd erschöpft ist. Durch Angabe von 0 

wird die Limitierung aufgehoben. Weiterführende Hinweise finden sich in Kapitel 13.5.2. 

Hard Limit 

Erreicht ein Benutzer die hier eingetragene Anzahl an Seiten, werden weitere Druckaufträge von die- 

sem Benutzer abgelehnt. Nur ein Administrator kann das Kontingent des Benutzers erneut aktivieren. 

Durch Angabe von 0 wird die Limitierung aufgehoben. Weiterführende Hinweise finden sich in Kapitel 

13.5.2. 

Druck-Quota für Gruppen pro Benutzer 

Für jeden Benutzer der hier angegebenen Gruppe werden Soft Limit und Hard Limit gesetzt. Die 

Quotas werden für jeden Benutzer einzeln ausgewertet. 

Druck-Quota für Gruppen 

Die hier angegebene Gruppe erhält ein gemeinsames Kontingent zugewiesen. Alle Benutzer, die zu 

der Gruppe gehören, können dieses Kontingent nutzen. 

Wenn mehr als 200 Benutzer oder Gruppen gefunden werden oder die Suche im LDAP-Verzeichnis 

länger als zehn Sekunden dauert, wird anstelle der Auswahlliste ein Eingabefeld angezeigt, in das 

der Benutzer-/Gruppenname einzutragen sind. 

Karteikarte ’[Druckerserver]’ 

Drucker-Server 

An dieser Stelle kann der Name des Druckerservers ausgewählt werden, dessen Drucker der Rech- 

ner verwenden soll. 

Karteikarte ’[Erlauben/Verbieten]’ 

Hinweis: 

Das in dieser Karteikarte verwendete Schlüsselwort ignore unterscheidet sich von deny nur dadurch, 

dass es das Protokollieren abgelehnter Anfragen in einer Log-Datei verhindert. 

Unbekannte Clients 

Wenn in dieser Auswahlliste allow gewählt wird, vergibt der DHCP-Service IP-Adressen auch an 

Clients, die keinen DHCP-Rechner-Eintrag besitzen. Wird dagegen nichts, deny oder ignore ausge- 

wählt, vergibt der DHCP-Service keine IP-Adressen an unbekannte Clients. 

Es wird empfohlen, diese Einstellung nicht global oder auf der Subnetz-Ebene sondern auf der Pool- 

Ebene vorzunehmen (siehe Karteikarte Fortgeschritten bei DHCP:Pool-Objekten auf Seite 115).

BOOTP 


Wenn in dieser Auswahlliste nichts oder allow gewählt wird, antwortet der DHCP-Service auf 

BOOTP-Anfragen, anderenfalls reagiert er auf diese Anfragen nicht. 

Booten 

Diese Angabe legt fest, ob der DHCP-Service auf Anfragen (eines bestimmten Clients) antwortet 

(keine Auswahl oder allow) oder nicht (Auswahl deny oder ignore). Antwortet der DHCP-Service 

nicht, erhält der Client keine IP-Adresse zugeteilt. Die Einstellung wird in der Regel nur direkt für ein 

DHCP:Rechner-Objekt vorgenommen. 

Duplikate 

Wenn in dieser Auswahlliste nichts oder allow gewählt wird, lässt der DHCP-Service es zu, dass 

ein Client einen neuen Lease erhält und bereits bestehende Leases, die zu derselben MAC-Adresse 

gehören, erhalten bleiben. 

Wird der Eintrag deny verwendet und die MAC-Adresse des anfragenden Clients passt zu einem 

DHCP-Rechner-Eintrag, verwirft der DHCP-Service alle Leases, die zu derselben MAC-Adresse pas- 

sen. Dieses Verhalten ist eine Verletzung des DHCP-Protokolls, kann aber verhindern, dass Clients 

mit häufig wechselndem Client Identifier viele Leases gleichzeitig halten. 

Ablehnungen 

Wenn in dieser Auswahlliste nichts oder allow gewählt wird, akzeptiert der DHCP-Service DHCP- 

DECLINE-Botschaften vom Client. Der Client sendet eine solche Botschaft, wenn er die angebotene 

IP-Adresse für ungültig hält. Der DHCP-Service gibt dieser IP-Adresse dann den Status abandoned 

und verwendet sie eine Zeit lang nicht mehr. Ein defekter oder bösartiger Client kann durch übermä- 

ßiges Versenden von DHCPDECLINE-Botschaften den Pool freier Adressen erschöpfen. 

Wird deny oder ignore gewählt, ignoriert der DHCP-Service diese Botschaften. 

Karteikarte ’[LDAP-Server]’ 

LDAP-Server 

Der Rechner verwendet die hier angegebenen LDAP-Server für Anfragen an das LDAP-Verzeichnis. 

Die Reihenfolge der Server bestimmt die Reihenfolge der Anfragen des Rechners an die Server, falls 

ein LDAP-Server nicht erreichbar sein sollte. 

Karteikarte ’[Lease-Zeit]’ 

Standard Lease-Zeit 

Wenn der Client nicht um eine bestimmte Lease-Zeit bittet, so wird ihm die Standard-Lease-Zeit 

zugewiesen. Bleibt das Eingabefeld leer, wird der Vorgabewert des DHCP-Servers verwendet. Er 

beträgt 43200 Sekunden, was zwölf Stunden entspricht. 

135


136 

Maximale Lease-Zeit 

Die Maximale Lease-Zeit gibt die längste Zeitspanne an, die für einen Lease vergeben werden 

kann. Bleibt das Eingabefeld leer, wird der Vorgabewert des DHCP-Servers verwendet. Er beträgt 

86400 Sekunden, was 24 Stunden entspricht. 

Minimale Lease-Zeit 

Die Minimale Lease-Zeit gibt die kürzeste Zeitspanne an, die ein Lease gültig sein soll. Bleibt das 

Eingabefeld leer, wird der Vorgabewert des DHCP-Servers verwendet. Er beträgt eine Sekunde. 

Karteikarte ’[Mail-Quota]’ 

Quota-Limit (MB) 

Die maximale Größe des Postfachs eines Nutzers in Megabyte. Wird die Grenze erreicht, werden 

keine weiteren Mails zugestellt, bis der Benutzer alte Mails aus seinem Konto entfernt hat. 

Karteikarte ’[NetBIOS]’ 

NetBIOS-Nameserver 

Auch NBNS- oder WINS-Server genannt. Hier sind die Namen oder IP-Adressen der NetBIOS-Name- 

server einzutragen. Dabei ist darauf zu achten, dass der DHCP-Server diese Namen in IP-Adressen 

auflösen kann. Die angegebenen Server werden vom Client in der Reihenfolge angesprochen, in der 

sie in der Auswahlliste erscheinen. 

NetBIOS Scope 

Der NetBIOS over TCP/IP-Scope für den Client nach der Spezifikation in RFC1001 und RFC1002. 

Achtung: 

Bei der Angabe des NetBIOS Scopes ist die Groß- und Kleinschreibung zu beachten. Weitere Hin- 

weise zum einsetzbaren Zeichensatz finden sich in RFC1035. 

NetBIOS Node Type 

Dieses Auswahlfeld legt den Node Type eines Clients fest. Mögliche Werte sind: 

• 1 B-node (Broadcast: kein WINS) 

• 2 P-node (Peer: ausschließlich WINS) 

• 4 M-node (Mixed: erst Broadcast, dann WINS) 

• 8 H-node (Hybrid: erst WINS, dann Broadcast)

Karteikarte ’[NFS-Richtlinien]’ 


Mit dieser Richtlinie können NFS-Freigaben konfiguriert werden, die auf dem Server oder Client ge- 

mountet werden. Zur Auswahl steht eine NFS-Freigabe, die unter dem in Mount point angegebenen 

Dateipfad eingehängt wird. 

Karteikarte ’[Pakete . . . ]’ 

Diese Karteikarte ist für jeden UCS-Systemtyp bis auf den Thin Client verfügbar. 

Zur einfachen Pflege von installierten Software-Paketen kann mit dieser Option eine Liste für zu in- 

stallierende bzw. deinstallierende Pakete erstellt werden. Diese Listen werden beim nächsten De- 

/Installationszeitpunkt vom betreffenden System (Managed Client, Mobile Client, Member-Server 

oder Domaincontroller) abgearbeitet. 

Diese Karteikarte steht in direkter Verbindung mit der Karteikarte Paketpflege, auf der der De- 

/Installationszeitpunkt festgelegt werden kann. 

Paket-Liste 

An dieser Stelle ist die Paketliste auszuwählen, in der das gewünschte Paket enthalten ist. Paket- 

listen können können über ein Einstellungen: Paketlisten-Objekt verwaltet werden (siehe Kapi- 

tel 4.5.12.9). 

[. . . ] Pakete Installationsliste 

Nach der Auswahl des gewünschten Paketes kann es der Installationsliste hinzugefügt werden. Auf 

diese Weise können beliebig viele Pakete nachinstalliert werden. 

[. . . ] Pakete Deinstallationsliste 

Hier sind die zu deinstallierenden Pakete auszuwählen. 

Karteikarte ’[Paketpflege]’ 

Mit dieser Option kann der Zeitpunkt der De-/Installation von Paketen bzw. System-Updates gesteuert 

werden. 

Systemstart 

Falls diese Option aktiviert ist, werden die auf der Karteikarte Pakete [. . . ] ausgewählten Pakete 

während des Startvorgangs des Rechners de-/installiert. 

System herunterfahren 

Falls diese Option aktiviert ist, werden die auf der Karteikarte Pakete [. . . ] ausgewählten Pakete 

während des Herunterfahrens des Rechners de-/installiert. 

137


138 

Nach Paketpflege neu starten 

Diese Option ermöglicht es, nach einem UCS-Update einen automatischen Neustart des Systems 

durchzuführen. Zur Auswahl stehen folgende Werte: 

• Nicht neu starten: nach dem Update wird der Bootvorgang wie gewohnt fortgeführt. Der Neu- 

start muss ggf. manuell durchgeführt werden. 

• sofort: der Neustart des Systems wird direkt nach dem Update durchgeführt 

• die Zeitangabe zwischen 15 Minuten (00:15) und 23 Stunden und 45 Minuten (23:45) gibt die 

Achtung: 

Verzögerung zwischen Update und automatischem Neustart des Systems an. 

Sofern ein Neustart des Systems aktiviert wurde, erfolgt der Neustart ausschließlich nach einem 

UCS-Update auf eine höhere Versionsnummer. Nach der De-/Installation einzelner Pakete wird kein 

Neustart ausgelöst! 

Cron Einstellung benutzen 

Wird dieses Feld aktiviert, kann über die Felder Monat, Wochentag, Tag, Stunde und Minute ein 

genauer Zeitpunkt angegeben werden, an dem neue Paket de-/installiert werden sollen. 

Karteikarte ’[Passwort-Richtlinie]’ 

Auf dieser Karteikarte können Passwortwechsel und -ablauf-Intervalle festgelegt werden. 

History-Länge 

Die Anzahl der für den Benutzer gespeicherten Passwörter. Diese darf der Benutzer nicht als neues 

Passwort wählen. Wird beispielsweise die Zahl 3 eingetragen, werden bei einer Passwort-Änderung 

die letzten drei Passwörter nicht als neues Passwort akzeptiert. 

Achtung: 

Die Passwörter werden nicht rückwirkend gespeichert. Wenn beispielsweise ursprünglich zehn Pass- 

wörter gespeichert wurden und der Wert auf drei herabgesetzt wird, werden die älteren sieben Pass- 

wörter bei der nächsten Passwort-Änderung aus der Historie entfernt. Wird danach die History-Länge 

wieder erhöht, müssen erst wieder Passwörter ’angesammelt’ werden. 

Passwort-Ablaufintervall 

Das Intervall in Tagen, nach dem der Benutzer sein Passwort ändern muss. 

Passwort-Qualitätsprüfung 

Ist diese Option aktiviert, werden für Passwortänderungen in Samba, Univention Directory Manager 

und Kerberos zusätzliche Prüfungen vorgenommen, die auch eine Wörterbuchprüfung beinhalten.


Die Konfiguration erfolgt über Univention Configuration Registry und sollte auf allen Anmeldeservern 

erfolgen. Folgende Prüfungen können erzwungen werden: 

• Die Mindestanzahl von Zahlen in dem neuen Passwort (password/quality/credit/digits). 

• Die Mindestanzahl von Grossbuchstaben in dem neuen Passwort 

(password/quality/credit/upper). 

• Die Mindestanzahl von Kleinbuchstaben in dem neuen Passwort 

(password/quality/credit/lower). 

• Die Mindestanzahl von Zeichen in dem neuen Passwort, die keine Buchstaben oder Ziffern sind 

(password/quality/credit/other). 

• Einzelne Zeichen/Ziffern können ausgeschlossen werden (password/quality/forbidden/chars). 

• Einzelne Zeichen/Ziffern können erzwungen werden (password/quality/required/chars). 

Passwort-Länge 

Die Mindestlänge an Zeichen, die ein Nutzer-Passwort mindestens enthalten muss. Wird nichts ein- 

tragen, beträgt die Mindestlänge acht Zeichen. 

Hinweis: 

Der Vorgabewert von acht Zeichen für die Passwort-Länge ist in Univention Directory Manager fest 

vorgegeben. Er gilt deswegen immer, wenn keine Richtlinie gesetzt ist und das Auswahlkästchen 

Passwort-Länge ignorieren nicht markiert ist, also auch, wenn die Passwort-Richtlinie default- 

settings gelöscht wurde. 

Karteikarte ’[Release]’ 

Aktiviere die Richtlinie 

Ist das Auswahlfeld aktiviert, führt der Rechner ein automatisches Update des Systems durch. Bis 

zu welcher Versionsnummer aktualisiert wird, kann über Release-Version bestimmt werden. Wurde 

das Auswahlfeld nicht aktiviert, findet keine automatische Aktualisierung des Systems statt. 

Release-Version 

Dieses Eingabefeld enthält die Versionsnummer, auf dessen Stand das System bleiben soll. Das 

System bleibt auf der dort angegebenen Versionsnummer und spielt Updates mit höherer Versions- 

nummer nicht automatisch ein. Wird keine Angabe gemacht, aktualisiert sich das System bis zur 

höchsten verfügbaren Versionsnummer. 

139


140 

Karteikarte ’[Repository-Server]’ 

Repository-Server 

Der Rechner bezieht seine Installationspakete von dem in diesem Eingabe- 

feld eingetragenen Repository-Server. Hier werden alle UCS-Server-Systeme an- 

gezeigt, die im UCS-Verzeichnisdienst einen DNS-Eintrag haben. Zusätzlich wer- 

den die angegebenen Server aus der Univention Configuration Registry-Variable 

directory/manager/web/modules/policies/repositoryserver/additional zur 

Auswahl angeboten. 

Karteikarte ’[Repository-Synchronisation]’ 

Diese Karteikarte ist nur bei UCS-Server-Systemen verfügbar. 

Repository-Synchronisationseinstellungen 

Über die Felder Monat, Wochentag, Tag, Stunde und Minute kann ein genauer Zeitpunkt angege- 

ben werden, an dem eine Repository-Synchronisation vorgenommen werden soll. 

Karteikarte ’[Routing]’ 

Router 

Hier sind die Namen oder IP-Adressen der Router einzutragen. Dabei ist darauf zu achten, dass 

der DHCP-Server diese Namen in IP-Adressen auflösen kann. Die Router werden vom Client in der 

Reihenfolge angesprochen, in der sie in der Auswahlliste erscheinen. 

Hinweis: 

Router haben in der Regel mehrere Netzwerk-Schnittstellen mit jeweils einer eigenen IP-Adresse. 

Wenn nicht die IP-Adresse, sondern ein Name eines Routers eingetragen wird, muss sichergestellt 

sein, dass der Name tatsächlich auf die gewünschte Netzwerk-Schnittstelle/IP-Adresse des Routers 

verweist! 

Karteikarte ’[Sound-Einstellungen]’ 

Auf dieser Karteikarte kann die Sound-Wiedergabe eingerichtet werden. Sie wird nur bei Rechnern 

vom Typ Thin Client angezeigt. 

Sound aktivieren 

Mit dem Markieren dieses Auswahlkästchens wird die Sound-Unterstützung aktiviert. In der Vorein- 

stellung ist die Sound-Unterstützung nicht aktiviert. 

Soundkarten-Treiber 

Normalerweise stellt die Einstellung auto detect automatisch ein passendes Treibermodul für die


Sound-Unterstützung zur Verfügung. Alternativ kann manuell in der Auswahlliste ein Treibermodul für 

die Soundkarte bestimmt werden. 

Karteikarte ’[Thin-Client-Konfiguration]’ 

Diese Karteikarte findet sich nur bei Rechnern vom Typ Thin Client. Geänderte Werte werden ab 

dem nächsten Booten vom Thin Client angewendet. Einige Eingabefelder erfordern die Angabe ei- 

nes Servers. Um Probleme bei der Namensauflösung zu vermeiden, sollte grundsätzlich der FQDN 

eingetragen werden. Weiterhin muss sichergestellt sein, dass sich der FQDN in eine IP-Adresse 

auflösen lässt. 

Authentifizierungs-Server 

Die Benutzer, die sich an diesem Thin Client anmelden, authentifizieren sich gegenüber den hier 

angegebenen Servern. 

Wird an dieser Stelle nichts eingetragen und ein Benutzer versucht, sich anzumelden, ermittelt das 

System über Service-Records im DNS alle Kerberos-Server. Anschließend versucht das System, den 

Benutzer über einen dieser Kerberos-Server zu authentifizieren. 

File-Server 

Hier kann der File-Server für den Thin Client eingetragen oder geändert werden. Von diesem Server 

wird das Verzeichnis /home auf dem Thin Client gemountet, wenn sich ein Benutzer anmeldet, für den 

keine einzubindende Freigabe (siehe auch Karteikarte POSIX (Linux/UNIX) in Kapitel 4.5.1 auf Seite 

63) definiert ist. Ist für den Benutzer eine einzubindende Freigabe eingetragen, wird diese Freigabe 

gemountet. Die Angabe des File-Servers ist überflüssig, wenn für alle Benutzer eine einzubindende 

Freigabe eingetragen wurde. Ohne ein gemountetes Heimatverzeichnis können Benutzer sich nicht 

anmelden. 

Achtung: 

Wenn die Daten des Benutzers vom Linux-Terminal-Server auf diesen File-Server gespeichert wer- 

den sollen, muss der File-Server von Hand auf dem Terminal-Server gemountet werden! Dies ist 

natürlich nicht notwendig, wenn es sich bei Terminal-Server und File-Server um den selben Rech- 

ner handelt. Windows-Terminal-Server erfahren vom Anmeldeserver, wo sich das Heimatverzeichnis 

eines Benutzers befindet. 

Wenn mehrere File-Server eingetragen werden, versucht der Thin Client zuerst, sich mit dem zu- 

oberst im Listenfeld Einträge stehenden File-Server zu verbinden. Schlägt dies fehl, probiert er den 

nächsten, usw. 

Linux-Terminal-Server 

Hier können für den Thin Client ein oder mehrere Linux-Terminal-Server eingetragen bzw. geändert 

werden. 

141


142 

Ein Linux-Terminal-Server ist ein Server, der die Programme für den Linux-Arbeitsplatz zur Verfügung 

stellt, auf dem also die Komponente Terminal Services installiert ist. 

Die Entscheidung, welcher Server bei mehreren Einträgen verwendet wird, trifft UCS automatisch 

über einen Load-Balancing-Mechanismus. 

Windows-Terminal-Server 

Wenn den Benutzern an diesem Thin Client ein Windows-Arbeitsplatz zur Verfügung stehen soll, 

muss in diesem Eingabefeld der Server eingetragen werden, der die Windows-Oberfläche zur Verfü- 

gung stellt. 

Wenn mehrere Windows-Terminal-Server eingetragen sind, wird der zuoberst stehende verwendet. 

Windows-Domäne 

Wenn den Benutzern an diesem Thin Client ein Windows-Arbeitsplatz zur Verfügung stehen soll, 

ist der Name der Windows-Domäne, an der die Benutzer angemeldet werden, in diese Eingabefeld 

einzutragen. 

Hinweis: 

In der Standardeinstellung ist eine Richtlinie default-settings eingerichetet, die für die gesamte Do- 

mäne gültig ist. Rechner, auf denen die Komponente Terminal Services installiert ist, tragen sich 

beim Domänenbeitritt automatisch als Linux-Terminal-Server in die Richtlinie ein; Rechner, auf denen 

das Paket univention-nfs installiert ist, tragen sich als File-Server ein. Das Paket wird standardmäßig 

auf allen UCS-Servern, also DC Master/Backup/Slave und Member-Servern, installiert. 

Karteikarte ’[Univention Directory Manager Ansicht]’ 

Diese Karteikarte wird in Kapitel 4.6 erläutert. 

Karteikarte ’[Windows Installation]’ 

Diese Karteikarte findet sich nur bei Rechnern vom Typ Windows. 

Name der unattend-Datei 

Der in diesem Eingabefeld eingetragene Name der unattend.txt-Datei wird für die automatische 

Installation von Windows auf dem Rechner verwendet. Der Dateiname ist relativ zum Verzeichnis 

/var/lib/univention-windows-installer/install/policy anzugeben.

4.5.12 Univention Directory Manager Einstellungen 


Im Univention-Einstellungen-Container univention werden Konfigurations-Optionen definiert, die das Ver- 

halten von Univention Directory Manager festlegen. 

4.5.12.1 Lizenz 

Im Container univention ➞license werden Informationen über den Umfang der aktuell installierten Li- 

zenz gespeichert. Diese Informationen sind rein informativer Natur und lassen sich nicht über Univention 

Directory Manager verändern. Hinweise zur Installation und Aktualisierung einer Lizenz finden sich in 

Kapitel 3.4. 

Karteikarte ’Lizenz’ 

Name (*) 

Der Name des Lizenz-Objektes. 

Modul (*) 

Dieses Feld gibt das Modul an, für das die Lizenz ausgestellt wurde. 

Ablaufdatum (*) 

Der Zeitpunkt, an dem die Lizenz abläuft und ungültig wird. 

Basis-DN (*) 

Der Basis-DN, für den die Lizenz ausgestellt wurde. Basis-DN der Lizenz und des LDAP-Verzeich- 

nisses müssen übereinstimmen, damit die Lizenz verwendet wird. 

Max. Benutzerkonten 

Die maximale Anzahl an Benutzer-Konten, die von dieser Lizenz abgedeckt wird. 

Max. Groupware-Konten 

Die maximale Anzahl an Groupware-Konten, die von dieser Lizenz abgedeckt wird. 

Max. Clients 

Die maximale Anzahl an Clients, die von dieser Lizenz abgedeckt wird. 

Max. Desktops 

Die maximale Anzahl an Desktops, die von dieser Lizenz abgedeckt wird. 

Gültige Produkttypen 

Die Lizenz gilt für die hier eingetragenen Produkttypen. Nicht aufgelistete Produkttypen werden von 

dieser Lizenz nicht abgedeckt und werden z.B. von Univention Directory Manager nicht freigeschaltet. 

143


Signatur (*) 

Die digitale Signatur der Lizenz. 

4.5.12.2 Druckertreiberlisten 

Druckertreiberlisten für die Druckerverwaltung werden standardmäßig im Container univention ➞cups 

gespeichert. Dort können neue Listen hingefügt und bestehende bearbeitet werden. 


Name (*) 

Der Name der Druckertreiberliste. Unter diesem Namen erscheint die Liste in der Auswahlliste 

Drucker-Hersteller auf der Karteikarte Allgemein der Druckerfreigaben. 

Treiber 

Der Pfad zur ppd-Datei, relativ zu dem Verzeichnis /usr/share/cups/model/. Soll beispielweise 

die Datei /usr/share/cups/model/laserjet.ppd verwendet werden, so ist hier laserjet.ppd 

einzutragen. Es können auch gzip-komprimierte Dateien angegeben werden. 

Achtung: 

Es muss sichergestellt werden, dass eingetragene Druckertreiber auf den jeweiligen Druck-Servern 

unterhalb des Verzeichnisses /usr/share/cups/model/ gespeichert sind. 

Beschreibung 

Eine Beschreibung des Druckertreibers, unter der er in der Auswahlliste Drucker-Modell auf der 

Karteikarte Allgemein der Druckerfreigaben erscheint. 

4.5.12.3 Drucker-URI-Listen 

Bei der Einrichtung eines Druckers über Univention Directory Manager (siehe Kapitel 4.5.7) müssen die 

Felder Protokoll und Ziel ausgefüllt werden. Sollte das benötigte Protokoll in der angezeigten Auswahlliste 

Protokoll nicht vorhanden sein, kann es über ein Drucker-URI-Liste-Objekt nachgepflegt werden. 

Drucker-URI-Listen werden standardmäßig im Container univention ➞cups gespeichert. 

144 


Name (*) 

Der frei wählbare Name der Drucker-URI-Liste. 

Drucker-URI 

In diesem Feld können ein oder mehrere Protokolle eingetragen werden, die beim Einrichten eines

Druckers im Auswahlfeld Protokoll angezeigt werden. 

Beispiel: 

ftp:// 

4.5.12.4 Benutzervorlagen 


Mit einer Benutzervorlage kann durch ein Vorausfüllen von Werten das Anlegen eines Benutzers beschleu- 

nigt werden. Eingerichtete Benutzervorlagen stehen in der Benutzerverwaltung unter Hinzufügen in der 

Auswahlliste Vorlage zur Verfügung. 

Benutzervorlagen können ausschließlich unterhalb von cn=univention, angelegt werden 

und werden standardmäßig in cn=templates,cn=univention, gespeichert. Bei einer UGS- 

Installation stehen automatisch Benutzervorlagen für jeden Kolab Homeserver, benannt nach dem Muster 

. Groupware Account, zur Verfügung. Nähere Informationen dazu finden sich 

im Handbuch zu Kolab für UCS. 

In der Vorlage können Attribute in spitzen Klammern als Variablen eingesetzt werden. Eine Liste möglicher 

Attribute kann mit dem Befehl: 

univention-directory-manager users/user 

im Abschnitt users/user variables der Ausgabe ermittelt werden. 

So kann beispielsweise das UNIX-Heimatverzeichnis benutzerdefiniert als /home/ 

- dies entspricht dem Standard, wenn keine Benutzervorlage verwendet wird - oder 

/home/. angelegt werden. Die E-Mail-Adresse könnte z.B. mit .@firma.com vordefiniert werden. 

Solche Ersetzungen sind grundsätzlich für beliebige Werte möglich, eine syntaktische oder semantische 

Überprüfung erfolgt jedoch nicht. Wird beispielsweise beim Anlegen des Benutzers kein Vorname ange- 

geben, würde die obige E-Mail-Adresse mit einem Punkt beginnen und wäre somit nach dem E-Mail- 

Standard ungültig. Ähnliche Fehlerquellen können auch im Umgang mit Dateipfaden etc. auftreten. 

Nicht auflösbare Attribute werden gelöscht. Befindet sich beispielsweise durch einen Tippfehler in 

der Benutzervorlage .@firma.com, so entspricht dies im Ergebnis .@firma.com. 

Wird nicht der komplette Attributwert, sondern nur ein einzelnes Zeichen des Attributs benötigt, kann in der 

Benutzervorlage nach dem Attributnamen der Index des benötigten Zeichens in eckigen Klammern ange- 

geben werden. Die Zählung der Zeichen des Attributs beginnt bei 0, so dass z.B. der Index 1 dem zweiten 

Zeichen des Attributwertes entspricht. Mit [0].@firma.com wird beispielsweise 

eine E-Mail-Adresse aus dem ersten Buchstaben des Vornamens sowie dem Nachnamen gebildet. 

Eine Teilzeichenkette des Attributwerts kann über die Angabe eine Bereiches in eckigen Klammern er- 

reicht werden. Dabei ist der Index des ersten benötigten Zeichens sowie der Index des letzten benötigten 

Zeichnis plus 1 anzugeben. Die Angabe [2:5] gibt z.B. das dritte bis fünfte Zeichen des Vor- 

namens zurück. 

145


Das Anhängen von :lower oder :upper an den Attributnamen führt dazu, dass der Attributwert in Klein- 

oder Großbuchschreibung umgewandelt wird, z.B. . 

Achtung: 

Wird beim Hinzufügen eines Benutzers eine Benutzervorlage verwendet, überschreibt diese alle in der 

Vorlage vorkommenden Felder mit dem in der Vorlage gesetzten Wert. Dabei gilt ein leeres Feld ebenfalls 

als auf ”” gesetzt. Enthält die Vorlage z.B. als UNIX-Heimatverzeichnis ””, so ist dieses Feld beim Hinzu- 

fügen eines Benutzers mit dieser Vorlage zunächst leer und ein Wert kann manuell eingetragen werden. 

Wird das UCS-Standardverhalten gewünscht, so sind die in diesem Kapitel dokumentierten Standardwerte 

in die Vorlage einzutragen. 

Ausführliche Dokumentation zu den in einer Benutzervorlage definierbaren Attributen findet sich in Kapi- 

tel 4.5.1. 

4.5.12.5 Gesperrte Werte 

Die Daten im Container temporary werden ausschließlich programmintern erzeugt und eingesetzt. 

Die Werte einiger Attribute müssen eindeutig sein. Soll der Wert eines solchen Attributes gesetzt werden, 

so wird durch eine Suche im LDAP-Verzeichnis geprüft, ob der Wert bereits vergeben wurde. 

Um zu verhindern, dass gerade bearbeitete - und deshalb der Suche nicht zugängliche - Werte ein zwei- 

tes Mal verwendet werden, werden diese Werte während ihrer Bearbeitung gesperrt. Sie sind dann für 

den Bearbeitungsprozess reserviert und können von keinem anderen Prozess verwendet werden. Nach 

Abschluß wird die Sperre wieder aufgehoben. 

Im Fehlerfall kann es vorkommen, dass Sperren bestehen bleiben. Um einen fehlerfreien Betrieb zu ge- 

währleisten, gibt Univention Directory Manager gesperrte Werte nach der maximalen Sperrzeit (fünf Mi- 

nuten) automatisch wieder frei. 

Gesperrte Werte werden in den entsprechenden Containern unterhalb des Containers temporary gespei- 

chert und dort wie andere Objekte in Univention Directory Manager geprüft und gelöscht. Eine manuelle 

Löschung ist nur in folgenden Ausnahmefällen sinnvoll: 

146 

• Wenn die Sperre durch einen Fehler nicht aufgehoben wurde und der Wert erneut verwendet werden 

soll, bevor die Sperre nach Ablauf der maximalen Sperrzeit automatisch gelöscht wird. In diesem 

Fall muss sichergestellt werden, dass die Sperre tatsächlich durch einen Fehler besteht und nicht 

dadurch, dass inzwischen ein anderer Prozess auf den Wert zugreift. 

• Die Sperre wurde zwar aufgehoben, aber das Sperrobjekt nicht automatisch aus 

cn=,cn=temporary,cn=univention, entfernt. Solche Objekte 

stören den Programmablauf nicht und werden bei Bedarf von Univention Directory Manager 

überschrieben. 


Name (*) 

Der Name des Sperrobjekts. Der Name entspricht dem Wert, der dem Attribut gegeben werden soll.

Gesperrt bis 


Der Zeitpunkt in Sekunden seit dem 1. Januar 1970, an dem das Objekt nach Ablauf der maximalen 

Sperrzeit automatisch wieder freigegeben wird. 

4.5.12.6 Vorgabewerte 

Im Objekt default können einige Vorgabewerte gespeichert werden. 


Name (*) 

Der Name des Objekts. Er ist vom Programm vorgegeben, kann nicht geändert werden und deswe- 

gen ausgegraut. 

Karteikarte ’Primäre Gruppen’ 

Auf dieser Karteikarte können Vorgabewerte für die primäre Gruppe verschiedener Objekttypen ein- 

gestellt werden. 

Standard Primärgruppe 

Ein Vorgabewert für die primäre Gruppe von Benutzern, die beim Hinzufügen eines Benutzer-Objekts 

als primäre Gruppe des Benutzers voreingetragen werden soll. Standardmäßig ist die Gruppe Do- 

main Users voreingestellt. 

Standard Rechnergruppe 

Der Vorgabewert für die primäre Gruppe für Windows-Rechner, die beim Hinzufügen eines Windows- 

Rechners auf der Karteikarte Rechner-Konto in der Auswahlliste Primäre Gruppe vorausgewählt 

werden soll. Standardmäßig ist die Gruppe Windows Hosts voreingestellt. 

Primäre Gruppe für DC Master- und DC Backup-Rechner 

Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Domänencontroller Master und Domä- 

nencontroller Backup. Standardmäßig ist die Gruppe DC Backup Hosts voreingestellt. 

Primäre Gruppe für DC Slave-Rechner 

Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Domänencontroller Slave. Standard- 

mäßig ist die Gruppe DC Slave Hosts voreingestellt. 

Primäre Gruppe für Member-Server 

Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Member-Server. Standardmäßig ist 

die Gruppe Computers voreingestellt. 

147


Primäre Gruppe für Clients 

Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Client. Standardmäßig ist die Gruppe 

Computers voreingestellt. 

Karteikarte ’KDE-Profile’ 

KDE-Profil 

Absolute Pfade zu Einstellungsprofilen für die grafische Oberfläche KDE. Die Profile stehen dann 

beim Hinzufügen oder Bearbeiten eines Benutzers auf der Karteikarte [Desktop-Einstellungen] zur 

Verfügung. 

Standardmäßig werden KDE-Profile im Verzeichnis /usr/share/univention-kde-profiles/ 

gespeichert. Mit dem Programm univention-kde-profile-builder können Pakete mit Profi- 

len erzeugt werden. Bei Installation dieser Pakete werden die enthaltenen Profile automatisch im 

Standardverzeichnis gespeichert. Weitere Informationen hierzu sind in Kapitel 9 bzw. [10] zu finden. 

4.5.12.7 Standard-Container 

Im Objekt default containers werden Distinguished Names (DN) gespeichert, die im System bekannt 

sein müssen. Das sind z.B. die DNs der Container, die die Suchfunktion zur Auswahl anbieten soll, um 

den Suchbereich einzuschränken. Ebenso zählen von Univention Directory Manager oder anderen Pro- 

grammen benötigte DNs dazu, beispielsweise der Speicherort von Lizenzen. 

Die DNs der standardmäßig vorangelegten Container sind hier bereits eingetragen. 

Um einen Container als Standard-Container einzutragen, muss über die Navigation im Container uni- 

vention das Objekt default containers geöffnet werden. Für jeden Standard-Container-Typ existiert an 

diesem Objekt eine Karteikarte, auf der die Liste der Standard-Container bearbeitet werden kann. Soll z.B. 

der DN von einem Standard-Container für Rechner hinzugefügt werden, so ist die Karteikarte Rechner 

auszuwählen und dort in das Eingabefeld Standard-Rechner-Container der DN des Containers, der zu 

einem Standard-Container für Rechner gemacht werden soll, einzutragen. Alternativ kann beim Hinzufü- 

gen oder Bearbeiten eines Containers oder einer Organisationseinheit der DN automatisch eingetragen 

werden (siehe Kapitel 4.5.8.1). 

148 


Name (*) 

Dieses Feld gibt den Namen des Objektes an. Am Standard-Container-Objekt lautet dieser default 

containers und kann nicht verändert werden.

Karteikarte ’Benutzer’ 

Benutzerverweis 


In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Benutzer- 

Objekte verwendet werden sollen. 

Karteikarte ’Gruppen’ 

Gruppenverweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Gruppen- 


Karteikarte ’Rechner’ 

Rechnererweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Rechner- 


Karteikarte ’Richtlinie’ 

Richtlinienverweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Richtlinien- 



DNS-Verweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für DNS-Objekte 

verwendet werden sollen. 


DHCP-Verweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für DHCP-Objekte 


149


Karteikarte ’Netz’ 

Netzverweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Netzwerk- 


Karteikarte ’Freigaben’ 

Freigabenverweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Freigabe- 


Karteikarte ’Drucker’ 

Druckerverweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Drucker-Ob- 

jekte verwendet werden sollen. 


Mailverweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Mail-Objekte 


Karteikarte ’Lizenz’ 

Lizenzverweis 

In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Lizenz-Objekte 


4.5.12.8 Verbotene Benutzernamen 

Durch Hinzufügen eines Einstellungen: Verbotene Benutzernamen-Objekts kann eine Liste von Be- 

nutzernamen definiert werden, die mit Univention Directory Manager nicht hinzugefügt werden dürfen. 

Dadurch kann z.B. verhindert werden, dass bereits in einer lokalen passwd-Datei vorkommende Benut- 

zernamen verwendet werden. Bei der Migration einer Windows-Domäne werden Benutzerkonten mit ver- 

botenen Benutzernamen nicht übernommen. 

150


Name (*) 

Der Name des Objekts, das Benutzernamen verbietet. 

Verbotener Benutzername 


Eine Liste von Benutzernamen, deren Verwendung in Univention Directory Manager ausgeschlossen 

werden soll. 

4.5.12.9 Paketlisten 

In Einstellungen: Paketliste-Objekten können Softwarepakete für die Softwareverteilung zusammenge- 

fasst werden. Paketlisten werden im Container packages abgelegt. Nähere Informationen dazu finden 

sich in Kapitel 11.3.4. 


Name (*) 

Der Name der Paketliste. 

Paketliste 

In diesem Feld sind die Namen der Softwarepakete anzugeben, die über die Softwareverteilung in- 

stalliert bzw. deinstalliert werden sollen. 

4.5.12.10 Dienste 

Mit Einstellungen: Dienst-Objekten können Vorgabewerte definiert werden, ob ein UCS-System einen 

bestimmen System-Dienst anbietet. 

Die hier definierten Vorgabewerte können in der Rechnerverwaltung einzelnen Rechnern zugeordnet wer- 

den (siehe Karteikarte ’Dienste’ in Kapitel 4.5.4). Aktuell wird dies auf Univention Groupware Server- 

Systemen für den Kolab-Dienst sowie für den Scalix-Dienst unterstützt. 


Dienstname (*) 

Name des Dienstes, der von einem UCS-System angeboten wird. 

4.5.13 Benutzerdefinierte Attribute 

Eine Zielsetzung bei der Entwicklung von UCS ist die Erweiterbarkeit des Systems durch den Betreiber. 

Daher verwendet UCS einerseits offene Standards wie z.B. LDAP, andererseits sind selbst entwickel- 

151


te Schnittstellen dokumentiert und auf Erweiterungen ausgelegt. In Univention Directory Manager steht 

durch benutzerdefinierte Attribute ein Mechanismus zur Verfügung, der eine Zuordnung von unbenutz- 

ten oder neu angelegten LDAP-Attributen zu frei konfigurierbaren Dialogmasken der in UCS verwalteten 

Objekte erlaubt. Weiterhin bieten benutzerdefinierte Attribute die Möglichkeit, bestehende Einstellungs- 

möglichkeiten anzupassen. 

Erstellen von benutzerdefinierten Attributen im Web-Frontend 

Benutzerdefinierte Attribute sind LDAP-Objekte vom Typ Einstellungen:Attribut und werden im LDAP- 

Verzeichnis unter univention ➞custom attributes abgelegt. Alle Einstellungen werden in Attributen des 

Objekts gespeichert. 

152 


Name (*) 

Der Name des LDAP-Objektes, als welches das benutzerdefinierte Attribut gespeichert wird. Inner- 

halb eines Containers muss der Name eindeutig sein. In Univention Directory Manager wird dieser 

Name ausschließlich für die Ausgabe über die Komandozeilen-Schnittstelle verwendet. 

Benötigtes Modul (*) 

Das Univention Directory Manager-Modul, welches durch das benutzerdefinierte Attribut erweitert 

werden soll. Über den Befehl univention-directory-manager modules kann auf der Kom- 

mandozeile die Liste aller Module angezeigt werden. Es können über die Schaltfläche Hinzufügen 

mehrere Module in die Liste aufgenommen werden. Um eine Gruppen-Eigenschaft zu erweitern, 

müsste hier beispielweise groups/group, für eine Benutzereigenschaft hingegen users/user einge- 

tragen werden. 

Die wichtigsten Univention Directory Manager-Module: 

Eigenschaft von Univention Directory Manager-Modul 

Benutzer users/user 

Gruppen groups/group 

Rechner computers/computer 

computers/domaincontroller_backup 

computers/domaincontroller_master 

computers/domaincontroller_slave 

computers/ipmanagedclient 

computers/macos 

computers/managedclient 

computers/memberserver 

computers/mobileclient 

computers/thinclient 

computers/windows

Name der Karteikarte 


Der Name der Karteikarte im Univention Directory Manager Web-Frontend. Es können auch Namen 

von Karteikarten angegeben werden, die zum Standardumfang von UCS gehören. Dabei ist zu be- 

achten, dass ausschließlich die benutzerdefinierten Attribute auf den Karteikarten angezeigt werden. 

So können die Einstellungsmöglichkeiten in Univention Directory Manager eingeschränkt oder erwei- 

tert werden. Einige Attribute wie Passwortablaufdatum oder Gruppenzugehörigkeit können nicht über 

benutzerdefinierte Attribute abgebildet werden. 

Nummer auf der Karteikarte 

Sollen mehrere benutzerdefinierte Attribute auf einer Karteikarte verwaltet werden, kann anhand die- 

ser Nummerierung die Positionierung der einzelnen Attribute beeinflusst werden. Es können beliebig 

viele Attribute auf einer Karteikarte dargestellt werden. 

Beschreibung 

Kurzbeschreibung (*) 

Wird als Überschrift des Eingabefelds im Univention Directory Manager Web-Frontend und beim Än- 

dern des Wertes über die Univention Directory Manager-Kommandozeilen-Schnittstelle verwendet. 

Für die Kurzbeschreibung dürfen keine Umlaute verwendet werden. 

Ausführliche Beschreibung 

Diese erweiterte Beschreibung wird in Eingabefeldern im Univention Directory Manager-Web- 

Frontend als Tooltip angezeigt. 

Objektklassen 

Objektklasse (*) 

Objektklasse, zu welcher das auf dem Reiter LDAP-Attribut eingetragene Attribut gehört. In Schema- 

Definitionen ist festgelegt, welche Attribute eine Objektklasse zur Verfügung stellt. Jedes LDAP- 

Objekt, das um ein Attribut erweitert werden soll, muss die Objektklasse umfassen, zu der das ge- 

wünschte Attribut gehört. 

Objektklasse löschen: 

Wird für ein benutzerdefiniertes Attribut in Univention Directory Manager der Wert gelöscht, wird das 

Attribut vom LDAP-Objekt entfernt. Werden an diesem LDAP-Objekt keine weiteren Attribute der als 

Objektklasse angegebenen Objektklasse verwendet, wird auch die Objektklasse vom LDAP-Objekt 

entfernt, wenn diese Option aktiviert ist. 

153


Karteikarte ’LDAP-Abbildung’ 

Syntax 

Der LDAP-Syntax-Datentyp in der Schema-Definition des für dieses Attribut zu verwaltenden Wertes. 

Neben Standard-Datentypen für Zeichenketten (string), Zahlen (integer) gibt es zwei Möglichkei- 

ten, um einen binären Zustand auszudrücken: TrueFalse wird intern durch die Zeichenketten true 

und false abgebildet, während TrueFalseUpper die OpenLDAP-Bool-Werte TRUE und FALSE re- 

ferenziert. Zusätzlich ist es möglich, hier den Namen einer Univention Directory Manager-Syntax- 

Definition anzugeben. Diese werden im anschließenden Abschnitt erläutert. 

LDAP-Abbildung (*) 

Der Name des Attributs, in dem die Werte am LDAP-Objekt gespeichert werden sollen. Das Attribut 

muss in der Schema-Definition der angegebenen Objektklasse enthalten sein. 

Mehrfachwert 

Legt fest, ob ein einzelner Wert oder mehrere Werte im Attribut gespeichert werden können. Zulässi- 

ge Werte für die Eingabe sind 1 für aktiviert und 0 (Vorgabe) für deaktiviert. In der Schema-Definition 

des LDAP-Attributes ist festgelegt, ob nur eine oder mehrere Instanzen des Attributs an einem LDAP- 

Objekt verwendet werden dürfen. 

Vorgabewert 

Ist hier ein Vorgabewert definiert, werden neu angelegte Objekte mit diesem Wert initialisiert. Bereits 

bestehende LDAP-Objekte werden nicht verändert. 

Univention Directory Manager Syntax-Definitionen 

Mit den erweiterten Univention Directory Manager Syntax-Definitionen ist es möglich, gültige Werte für 

ein Attribut über eine LDAP-Suche zu ermitteln. Außerdem können damit benutzerdefinierte Attribute an- 

gelegt werden, deren Werte zur Information als Liste an einem fremden Objekt angezeigt, jedoch nicht 

gespeichert werden. (Siehe z.B. die Karteikarte Referenzierende Objekte in Kapitel 4.5.11.2). 

Erstellt werden können die Syntax-Definitionen über das Navigations-Menü des Univention Directory Ma- 

nagers. Dabei ist zu beachten, dass das Erstellen lediglich unterhalb des Containers cn=univention mög- 

lich ist. 

Um eine neue Syntax-Definition zu erstellen, ist im gewünschen Container ein neues Objekt vom Typ 

Einstellungen: Syntax-Definition anzulegen. Im daraus resultierenden Dialog sind die folgenden Werte 

anzugeben: 

154 


Syntax-Name (*) 

Der eindeutige Name der Syntax-Definition.

Kurzbeschreibung 

Eine optionale Beschreibung der Syntax-Definition. 

LDAP Suchfilter (*) 


Mittels dieses Suchfilters werden die Objekte selektiert, die die Menge der gültigen Werte bestimmen. 

Beispiel: 

(&(objectClass=univentionHost)(cn=a*)) 

sucht alle Rechner-Objekte, deren Name mit ’a’ beginnt. 

Anzuzeigende Attribute 

Hier werden in zwei Auswahlfeldern das Objekt sowie das davon anzuzeigende Attribut ausgewählt. 

Bei der Verwendung der Syntax-Definition in einem benutzerdefinierten Attribut in Univention Direc- 

tory Manager wird nur das hier ausgewählte Attribut angezeigt. Es kann DN ausgewählt werden, um 

den LDAP-DN des Objekts anzuzeigen. 

Anzuzeigende LDAP-Attribute 

Anstatt in Anzuzeigende Attribut die Auswahl des zu anzuzeigenden Attributs über die Univention 

Directory Manager-Module vorzunehmen, kann auch eine Liste von LDAP-Attributsnamen definiert 

werden. 

Zu speicherndes Attribut 

Mittels der zwei Auswahlfelder wird das Attribut ausgewählt, das bei Auswahl eines LDAP-Objekts 

gespeichert wird. Das zu speichernde Attribut kann von dem anzuzeigenden Attribut abweichen. So 

kann in Univention Directory Manager z.B. die Mitarbeiternummer der über den Suchfilter bestimmten 

Benutzer angezeigt werden, im LDAP-Verzeichnis wird jedoch die Pager-Rufnummer abgespeichert. 

Auch hier kann DN angegeben werden, um den LDAP-DN des Objektes zu speichern. 

Zu speicherndes LDAP-Attribut 

Anstatt in Zu speicherndes Attribut die Auswahl des zu speichernden Attributs über die Univention 

Directory Manager-Module vorzunehmen, kann auch direkt der Name eines LDAP-Attributs definiert 

werden. 

LDAP Basis 

Der Basis-Eintrag im LDAP-Verzeichnisdienst, ab dem gesucht werden soll. 

Beispiel: 

cn=standort2,cn=users,dc=ucs,dc=local 

Nur Anzeigen 

Wird diese Option aktiviert, wird das Attribut lediglich als Liste am zugehörigen Objekt angezeigt. Die 

155


Listenelemente sind dabei Verweise, die zur Ansicht dieser Objekte führen. 

Soll eine so angelegte Syntax-Definition in einem benutzerdefinierten Attribut verwendet werden, reicht es 

aus, in diesem den Syntax-Namen der Syntax-Definition im Feld Syntax des benutzerdefinierten Attributs 

anzugeben. 

4.5.14 Erweiterte Attribute 

Um die Zielsetzung der Erweiterbarkeit des UCS-Systems durch den Betreiber noch weiter auszubauen, 

wurde der Mechanismus der benutzerdefinierten Attribute weiterentwickelt und das Ergebnis als erweiter- 

te Attribute dem Benutzer bereitgestellt. 

Erweiterte Attribute umfassen den vollständigen Funktionsumfang der benutzerdefinierten Attribute und 

bieten zusätzliche, tiefergehende Möglichkeiten, den Univention Directory Manager um eigene Einstel- 

lungsmasken zu erweitern. 

Erstellen von erweiterten Attributen im Web-Frontend 

Erweiterte Attribute sind Objekte vom Typ Einstellungen: Erweitertes Attribut und werden in der Na- 

vigation (LDAP-Browser) unter univention ➞custom attributes abgelegt. Alle benötigten Einstellungen 

werden in Attributen des Objekts gespeichert. 

156 

Allgemein 

Name (*) 

Der Name des LDAP-Objektes, als welches das erweiterte Attribut gespeichert wird. Innerhalb eines 

Containers muss der Name eindeutig sein. 

Standard-Kurzbeschreibung (*) 

Wird als Überschrift des Eingabefelds im Univention Directory Manager-Web-Frontend bzw. als Attri- 

but-Beschreibung in der Univention Directory Manager-Kommandozeilenschnittstelle verwendet. Die 

Standard-Kurzbeschreibung sollte in Englisch verfasst werden, da dies der Standardsprache des 

Univention Directory Manager entspricht. 

Ausführliche Standardbeschreibung 

Diese erweiterte Beschreibung wird in Eingabefeldern im Univention Directory Manager-Web-Fron- 

tend als Tooltip angezeigt. Die ausführliche Standardbeschreibung sollte in Englisch verfasst werden, 

da dies der Standardsprache des Univention Directory Manager entspricht. 

Übersetzte Kurzbeschreibung 

Damit der Titel von erweiterten Attributen auch mit anderen Spracheinstellungen in der jeweiligen 

Landessprache ausgegeben wird, können übersetzte Kurzbeschreibungen für mehrere Sprachen


hinterlegt werden. Dazu kann in diesem Eingabefeld einem Sprachcode (z.B. de_DE oder fr_FR) 

die entsprechend übersetzte Kurzbeschreibung zugeordnet werden. 

Übersetzte Langbeschreibung 

Zusätzliche Hinweise, die im Tooltip für ein erweitertes Attribut angezeigt werden, können ebenfalls 

für mehrere Sprachen hinterlegt werden. Dazu kann in diesem Eingabefeld einem Sprachcode (z.B. 

de_DE oder fr_FR) die entsprechend übersetzte Langbeschreibung zugeordnet werden. 

UDM Web 

Name der Karteikarte 

Der Name der Karteikarte im Univention Directory Manager-Web-Frontend auf der das erweiterte 

Attribut angezeigt werden soll. Existiert die Karteikarte noch nicht, wird sie automatisch angelegt. 

Es können auch Namen von Karteikarten angegeben werden, die zum Standardumfang von UCS 

gehören. Der Name der Karteikarte sollte in Englisch verfasst werden, da dies der Standard-Sprache 

des Univention Directory Manager entspricht. Wird kein Karteikartenname angegeben, wird “Benut- 

zerdefiniert” verwendet. 

Übersetzter Karteikartenname 

Meldet sich ein Benutzer mit veränderten Spracheinstellungen am Univention Directory Manager an, 

werden auch die Namen der Karteikarten entsprechend übersetzt. Damit erweiterte Attribute auch 

bei der Verwendung einer anderen Sprache auf der richtige Karteikarte angezeigt werden, können 

in diesem Eingabefeld übersetzte Karteikartennamen zum entsprechenden Sprachcode (z.B. de_DE 

oder fr_FR) hinterlegt werden. 

Beide Spalten umfassen 

Alle Eingabefelder werden standardmäßig in zwei Spalten gruppiert. Diese Option kann für überlange 

Eingabefelder verwendet werden, die sich über die komplette Breite des Reiters erstrecken sollen. 

Positionsnummer auf der Karteikarte 

Sollen mehrere erweiterte Attribute auf einer Karteikarte verwaltet werden, kann anhand dieser Posi- 

tionsnummer die Reihenfolge der einzelnen Attribute beeinflusst werden. Sie werden in aufsteigender 

Reihenfolge ihrer Positionsnummern an das Ende der betreffenden Karteikarte angehängt. 

Weisen erweiterte Attribute die gleiche Positionsnummer auf, werden diese in zufälliger Reihenfolge 

einsortiert. Ist die Differenz zweier aufeinanderfolgender Positionsnummern größer als 1 und das 

erste Attribut wird in der linken Spalte dargestellt, so wird das zweite Attribut in der nächsten Zeile 

dargestellt. 

Ist die Option Existierendes Eingabefeld überschreiben aktiviert, wird die Positionsnummern ver- 

wendet, um ein bestehendes Eingabefeld zu überschreiben. Die Zählung der Eingabefelder beginnt 

auf der Karteikarte oben links mit “1”. 

157


158 

Existierendes Eingabefeld überschreiben 

In einigen Fällen ist es sinnvoll, vorgegebene Eingabefelder mit erweiterten Attributen zu überschrei- 

ben. Wird diese Option aktiviert, wird das an der angegebenen Positionsnummer befindliche Ein- 

gabefeld mit diesem erweiterten Attribut überschrieben. Es ist zu beachten, daß diese Option bei 

Pflichtfeldern zu Problemen führen kann. 

Existierende Karteikarte überschreiben 

Ist diese Option aktiviert, wird die betreffende Karteikarte überschrieben, bevor die erweiterten Attri- 

bute darauf platziert werden. Mit Hilfe dieser Option können die vorhandenen Eingabefelder auf einer 

vorgegebenen Karteikarte ausgeblendet werden. Es ist zu beachten, daß diese Option bei Pflichtfel- 

dern zu Problemen führen kann. 

Karteikarte mit erweiterten Einstellungen 

Einstellungsmöglichkeiten, die nicht häufig verwendet werden, können auf Karteikarten mit erweiter- 

ten Einstellungen platziert werden. Diese Karteikarten werden erst mit dem Aktivieren der Option 

Zeige die erweiterten Einstellungen eingeblendet. Befindet sich auf der angegebenen Karteikarte 

ein erweitertes Attribut für das die Option Karteikarte mit erweiterten Einstellungen nicht aktiviert 

ist, findet diese Option keine Anwendung. 

Einen leeren Wert zur Auswahlliste hinzufügen 

Wenn die Syntax des Attributs eine Auswahlliste bereitstellt - z.B. eine Liste aller Rechner - kann mit 

dieser Option als zusätzliche Auswahl ein leerer Wert hinzugefügt werden. 

UDM Allgemein 

UDM-CLI Attributname (*) 

Der angegebene Attributname ist bei der Verwendung der Univention Directory Manager-Komman- 

dozeilenschnittstelle zu verwenden. Beim Anlegen des erweiterten Attributs wird hier automatisch 

Name von der Karteikarte Allgemein übernommen und kann nachträglich modifziert werden. 

Optionen 

Einige erweiterte Attribute können nur sinnvoll verwendet werden, wenn auf der Karteikarte (Optio- 

nen) bestimmte Optionen aktiviert sind. In diesem Eingabefeld können optional eine oder mehrere 

Optionen hinterlegt werden, die am betreffenden Objekt aktiviert sein müssen, damit dieses erwei- 

terte Attribut angezeigt bzw. editierbar ist. Es kann hier nur auf vorhandene Optionen zurückgegriffen 

werden — neue Optionen können nicht definiert werden. 

Hook 

Die Funktionen der hier angegebenen Hook-Klasse werden während des Anlegens, Modifizierens 

und Löschens von Objekten mit erweitertem Attribut aufgerufen. 

Benötigtes Modul (*)


Das Univention Directory Manager-Modul, welches durch das erweiterte Attribut ergänzt werden soll. 

Über den Befehl univention-directory-manager modules kann auf der Kommandozeile die 

Liste aller Module abgefragt werden. Es können über die Schaltfläche Hinzufügen mehrere Module 

in die Liste aufgenommen werden. Um eine Benutzereigenschaft zu hinzuzufügen, muss hier bei- 

spielsweise das Modul users/user eingetragen werden. 

Die wichtigsten Univention Directory Manager-Module: 

Datentyp 

Syntax 

Eigenschaften von Univention Directory Manager-Modul 

Benutzern users/user 

Gruppen groups/group 

Rechnern computers/computer 

computers/domaincontroller_backup 

computers/domaincontroller_master 

computers/domaincontroller_slave 

computers/ipmanagedclient 

computers/macos 

computers/managedclient 

computers/memberserver 

computers/mobileclient 

computers/thinclient 

computers/windows 

Bei der Eingabe von Werten nimmt der Univention Directory Manager eine Syntaxprüfung vor, damit 

es beim anschließenden Speichern des Wertes nicht zu LDAP-Fehlermeldungen kommt. Die zu ver- 

wendende Syntax ist abhängig vom verwendeten LDAP-Schema und dem beabsichtigten Verwen- 

dungszweck. Neben Standard-Syntaxdefinitionen für Zeichenketten (string), Zahlen (integer) gibt 

es drei Möglichkeiten einen binären Zustand auszudrücken: die Syntax TrueFalse wird auf LDAP- 

Ebene durch die Zeichenketten true und false abgebildet, die Syntax TrueFalseUpper referenziert 

die OpenLDAP-Bool-Werte TRUE und FALSE und die Syntax boolean speichert keinen Wert oder 

die Zeichenkette 1. 

Wird keine Syntax angegeben, wird automatisch die Syntax string verwendet. Erweiterte Syntaxde- 

finitionen, die an dieser Stelle auch verwendet werden können, werden bei den benutzerdefinierten 

Attributen in Abschnitt 4.5.13 beschrieben. 

Vorgabewert 

Ist hier ein Vorgabewert definiert, werden anzulegende Objekte mit diesem Wert initialisiert. Der Wert 

159


160 

kann während des Anlegens noch manuell bearbeitet werden. Bereits bestehende Objekte werden 

nicht verändert. 

Mehrfachwert 

Diese Option legt fest, ob ein einzelner Wert oder mehrere Werte in der Eingabemaske eingetra- 

gen werden können. In der Schema-Definition des LDAP-Attributes ist festgelegt, ob nur eine oder 

mehrere Instanzen des Attributs an einem LDAP-Objekt verwendet werden dürfen. 

Nachträglich modifizierbar 

Diese Option legt fest, ob der im erweiterten Attribut gespeicherte Wert nur während des Anlegens 

eines Objektes oder auch nachträglich modifiziert werden kann. 

Wert wird benötigt 

Ist diese Option aktiv, muss ein gültiger Wert für das erweiterte Attribut eingetragen sein, um das 

betreffende Objekt anzulegen oder zu speichern. 

Nicht durchsuchbar 

Soll im Suchdialog eines Assistenten nicht nach einem erweiterten Attribut gesucht werden kön- 

nen, kann diese Option aktiviert werden, um das erweiterte Attribut aus der Liste der möglichen 

Sucheigenschaften zu entfernen. Dies kann z.B. bei der Verwendung von eigenen, sehr speziellen 

Syntaxdefinitionen der Fall sein. 

Wert ist nicht änderbar 

Ist diese Option aktiviert, kann das Attribut nicht durch den Administrator gesetzt werden, weder beim 

Anlegen des Objekts, noch nachträglich. Dies ist sinnvoll für automatisch generierte interne Zustände, 

die über Hook-Funktionen oder intern in einem Univention Directory Manager-Modul gepflegt werden. 

LDAP 

Objektklasse (*) 

Objektklasse, zu welcher das unter LDAP-Attribut eingetragene Attribut gehört. In LDAP-Schema- 

Definitionen ist festgelegt, welche LDAP-Attribute eine LDAP-Objektklasse zur Verfügung stellt. Jedes 

LDAP-Objekt, das um ein Attribut erweitert werden soll, wird automatisch um die hier angegebene 

LDAP-Objektklasse erweitert, wenn vom Benutzer ein Wert für das erweiterte Attribut angegeben 

wurde. 

LDAP-Abbildung (*) 

Der Name des LDAP-Attributs, in dem die Werte am LDAP-Objekt gespeichert werden sollen. Das 

LDAP-Attribut muss in der angegebenen Objektklasse enthalten sein. 

Objektklasse löschen 

Wird für ein erweitertes Attribut im Univention Directory Manager der Wert gelöscht, wird das Attribut

4.6 Richtlinien gesteuerte Ansichten des Univention Directory Manager Web-Frontends 

vom LDAP-Objekt entfernt. Werden an diesem LDAP-Objekt keine weiteren Attribute der angegebe- 

nen Objektklasse verwendet, wird auch die Objektklasse vom LDAP-Objekt entfernt, sofern diese 

Option aktiviert ist. 

UCS-LDAP-Schema für Kunden-Erweiterungen 

Um den Aufwand für kleine Erweiterungen im LDAP möglichst gering zu halten, bringt Univenti- 

on Corporate Server ein eigenes LDAP-Schema für Kundenerweiterungen mit. Die LDAP-Objektklas- 

se univentionFreeAttributes kann ohne Einschränkungen für benutzerdefinierte Attribute bzw. er- 

weiterte Attribute verwendet werden. Die LDAP-Objektklasse bringt 20 frei zu verwendende Attribute 

(univentionFreeAttribute1 bis univentionFreeAttribute20) mit und kann in Verbindung mit jedem be- 

liebigen LDAP-Objekt (z.B. einem Benutzerobjekt) verwendet werden. 

4.6 Richtlinien gesteuerte Ansichten des Univention Directory Manager 

Web-Frontends 

Um Benutzern differenzierten Zugriff auf die Funktionen des Univention Directory Manager zu gewähren, 

kann die Ansicht von Univention Directory Manager über Richtlinien modifiziert werden. Der Richtlinien- 

Typ ’Univention Directory Manager Ansicht’ bietet die Möglichkeit, Benutzern die verfügbaren Univention 

Directory Manager-Module vorzugeben. Verfügbare Univention Directory Manager-Module sind: 

• Über 

Zeigt Informationen über die installierte UCS-Version, den Gültigkeitszeitraum des UCS Root-Zerti- 

fikats der Domäne sowie eingespielte Lizenzen an. 

• Navigation 

Mit der Aktivierung von ’Navigation’ wird dem Benutzer der Direktzugriff auf das LDAP ermöglicht 

(siehe auch unten unter ’LDAP Basis DN’). 

• Persönliche Einstellungen 

Ermöglicht dem Benutzer, selbständig Einstellungen an seinem Benutzer-Objekt vorzunehmen (sie- 

he auch unten unter ’Sichtbare Karteikarten’). 

• Assistenten 

Neben den Menüeinträgen ’Über’, ’Navigation’ und den persönlichen Einstellungen können die ver- 

fügbaren Assistenten zur einfachen Modifikation des LDAP-Verzeichnisses vorgegeben werden (sie- 

he auch unten unter ’Web-Directory Manager Assistenten’). 

Neben der Konfiguration der Menüeinträge von Univention Directory Manager können auch Vorgaben 

für die LDAP-Navigation festgelegt werden. Die in dem Feld Zeige diese Attribute in der Navigation 

festgelegten Attribute werden als zusätzliche Spalten in der Ansicht angezeigt (siehe ➊ in Abbildung 4.13). 

Sind die Attributwerte der betreffende Objekte nicht gesetzt, bleibt das entsprechende Feld der Spalte leer. 

Bei der Verwendung der Suchfunktion eines Assistenten ist es oft hilfreich, zusätzlich Attributwerte der 

gefundenen Objekte auszugeben. Ähnlich wie in der LDAP-Navigation werden die Attributwerte in zusätz- 

161


lichen Spalten ➋ angezeigt (siehe Abbildung 4.14). Die angezeigten Attribut-Spalten richten sich jeweils 

nach dem gesuchten Objekt-Typ ➌. 

In der Standardeinstellung werden die Ansichten von den zwei Richtlinien default-admins und default- 

users festgelegt, die die Ansicht von Administratoren und die Ansicht der übrigen Benutzer festlegen. Die 

beiden Richtlinien befinden sich in dem Container Navigation ➞ policies ➞ users ➞ admin-settings. 

Nachfolgend werden die Einstellungen des Richtlinien-Typs ’Univention Directory Manager Ansicht’ erläu- 

tert. 

162 

Allgemein 

Name 

Name der Richtlinie 

LDAP Basis DN 

Wurde in Sichtbare Univention Directory Manager Module das Modul Navigation ausgewählt, 

kann hier ein LDAP Basis DN angegeben werden, um den Zugriff auf die LDAP-Navigation einzu- 

schränken. Der Benutzer kann nach dem Setzen nur noch auf den angegebenen Basis-DN sowie 

Kind-Objekte zugreifen. 

Sichtbare Admin Module 

Die in diesem Feld ausgewählten Univention Directory Manager-Module werden dem Benutzer im 

Hauptmenü von Univention Directory Manager zur Verfügung gestellt. Wurde das Modul Assisten- 

ten ausgewählt, besteht die Möglichkeit über Sichtbare Web-Directory Manager Assistenten zu 

definieren, welche Assistenten angezeigt werden. 

Sichtbare Web-Directory Manager Assistenten 

Im Menü von Univention Directory Manager werden die ausgewählten Assistenten angezeigt. 

Hinweis: 

Werden hier keine Einträge vorgenommen, werden alle Assistenten angezeigt. Erst die Auswahl Kei- 

ne unterbindet die Anzeige aller Assistenten. 

Sichtbare Karteikarten 

Wurde das Modul Persönliche Einstellungen aktiviert, können in Sichtbare Karteikarten Elemente 

des Benutzer-Objektes selektiert werden, die dem Benutzer angezeigt werden und von ihm editierbar 

sind. Beispielsweise kann ein Benutzer auf diese Weise selbständig Email-Weiterleitungen für sein 

Konto konfigurieren. 

Zeige diese Attribute in den Suchergebnissen 

Wird in einem Assistenten eine Suche durchgeführt, können in der Ergebnistabelle neben Objekt- 

Name und Ort des Objektes noch zusätzliche Attribute angezeigt werden. Die in Zeige diese Attri- 

bute in den Suchergebnissen angegebenen Attribute werden in der Ergebnistabelle als zusätzliche 

Spalte angezeigt. Ist ein Attributwert eines Objektes nicht gesetzt, bleibt das entsprechende Feld der

Ergebnistabelle leer. 


Zeige diese Attribute in der Navigation 

Die Ausgabe der LDAP-Navigation kann um zusätzliche Spalten erweitert werden, die Attributwerte 

der betreffende Objekte anzeigen. Die in Zeige diese Attribute in der Navigation aufgeführten 

Attribute werden als zusätzliche Spalten in der LDAP-Navigation angezeigt. Weist ein Objekt das 

angegebene Attribut nicht auf, bleibt das entsprechende Feld in der Anzeige leer. 

Erlaube persönliche Univention Directory Manager Einstellungen 

Mit der Aktivierung dieser Einstellung kann ein Benutzer selbständig für sein Konto die Einstellungen 

der Admin-Ansicht modifizieren. Vom Benutzer vorgenommene Einstellungen der Univention Direc- 

tory Manager-Ansicht haben Vorrang vor den Vorgaben einer entsprechenden Richtlinie. 

Achtung: 

Wird die Option Erlaube persönliche Univention Directory Manager Einstellungen aktiviert, kann 

ein Benutzer für sein Konto alle verfügbaren Assistenten aktivieren und erhält dadurch lesenden 

Zugriff auf die im LDAP-Verzeichnis enthaltenen Daten, sofern LDAP-ACL’s dies nicht einschränken. 

163


164 

Abbildung 4.11: Karteikarte ’Richtlinien’


Abbildung 4.13: Angepasste Ansicht der LDAP-Navigation 

Abbildung 4.14: Angepasste Suche nach Objekten 

165


166

5 Univention Management Console 


5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

5.2 Aufbau der Web-Oberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

5.2.1 Anmeldemaske . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

5.2.2 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 

5.3 Standard-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 

5.3.1 System Statistiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 

5.3.2 Kernel Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

5.3.3 VNC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 

5.3.4 Systeminformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 

5.3.5 Univention Configuration Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 

5.3.6 Drucker Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 

5.3.7 Prozessübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 

5.3.8 Dateisystem-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 

5.3.9 System-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 

5.3.10 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 

5.3.11 Software Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 

5.3.12 Neustarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 

5.3.13 Online-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 

5.4 Wizards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 


5.4.1 Basis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

5.4.2 Nagios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 

5.4.3 Mail-Server Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 

Univention Management Console ist eine modular aufgebaute, webbasierte Applikation zur Systemadmi- 

nistration einzelner Univention Corporate Server-Systeme. Mit Hilfe von Univention Management Console 

können bspw. Dienste kontrolliert, Systemauslastungen geprüft oder und Konfigurationsparameter geprüft 

und geändert werden. 

Die Web-Oberfläche von Univention Management Console kann von jedem beliebigen Rechner genutzt 

werden. Mit einem richtlinienbasierten Berechtigungskonzept bietet Univention Management Console die 

Möglichkeit für jeden Benutzer, aber auch für Gruppen, genau zu definieren, welche Dienste auf welchen 

Servern und in welchem Umfang beeinflusst werden dürfen. So kann beispielsweise an einige Personen 

die Berechtigung vergeben werden den Druckdienst eines oder mehrerer Server zu administrieren, wäh- 

rend eine andere Gruppe nur die Kontingentverwaltung nutzen kann. Einer anderen Gruppe wiederum 

167


könnte nur die Berechtigung eingeräumt werden Druckaufträge zu löschen, nicht aber angehaltene Dru- 

cker neu zu starten. So kann gezielt die benötigte Funktionalität freigeschaltet werden, ohne den Benutzer 

durch überflüssige Optionen zu verwirren. 

In der Standardeinstellung haben die Mitglieder der Gruppe Domain Admins die Berechtigung alle Mo- 

dule und Funktionen von Univention Management Console zu nutzen. 

In den folgenden Kapiteln wird die Verwendung von Univention Management Console im Detail beschrie- 

ben. Beginnend mit einer Anleitung zur Handhabung von Univention Management Console, in der die ver- 

schiedenen Steuerelemente und Strukturen erklärt werden, werden anschließend einzelne Module und 

ihre Funktionen näher erläutert. 

5.2 Aufbau der Web-Oberfläche 

Univention Management Console bietet über eine Web-Oberfläche eine einfach zu bedienende Möglich- 

keit, von einem beliebigen Rechner administrative Aufgaben durchzuführen. Die Möglichkeiten, die sich 

dem jeweiligen Benutzer bieten, hängen dabei von seinen zentral definierten Berechtigungen ab. 

Im Folgenden soll der allgemeine Aufbau der Oberfläche und die Bedienung anhand von Abbildungen 

beschrieben werden. Auf die Details zu den Funktionalitäten der einzelnen Module wird in den darauf 

folgenden Kapiteln näher eingegangen. 

5.2.1 Anmeldemaske 

Um auf Univention Management Console zuzugreifen kann in einem beliebigen Web- 

Browser folgende URL angegeben werden: https:///umc/. Anstelle von 

ist der Rechnername oder die IP-Adresse des UCS-Systems einzutragen, z.B. 

https://ucs-master.univention.local/umc/. 

Unter besonderen Umständen kann es nötig sein, auf Univention Management Console über eine un- 

gesicherte Verbindung zuzugreifen. Dies ist zum Beispiel dann der Fall, wenn für das System noch 

keine SSL-Zertifikate erstellt worden sind. Der ungesicherte Zugriff erfolgt über die http-Adresse, bspw. 

http://ucs-master.univention.local/umc/. 

Achtung: 

Passwörter werden in diesem Fall im Klartext über das Netzwerk gesendet. 

Als Startseite wird dem Benutzer eine Anmeldemaske angezeigt (siehe Abbildung 5.1). Hier kann er sich 

mit seinem Benutzernamen aus der UCS-Domäne und dem zugehörigen Passwort anmelden. Je nach 

vergebenen Berechtigungen können sich die folgenden Screenshots von der im Web-Browser angezeig- 

ten Seite etwas unterscheiden. Für administrative Zugriffe wird in der Regel das Administrator-Konto 

verwendet. 

In der Anmeldemaske kann außerdem die Sprache für die Benutzeroberfläche ausgewählt werden. 

168

5.2.2 Überblick 

Abbildung 5.1: Anmeldemaske von Univention Management Console 

5.2 Aufbau der Web-Oberfläche 

Ist die Anmeldung erfolgreich durchgeführt worden und wurden für den Benutzer ausreichend Rechte 

definiert, wird eine Übersicht der verfügbaren Module wie in Abbildung 5.2 angezeigt. Hier werden aus- 

schließlich die Module angezeigt auf die der momentan angemeldete Benutzer zugriffsberechtigt ist. Hat 

ein Benutzer beispielsweise keine Berechtigungen für die Drucker-Administration, so wird das zugehörige 

Modul unter Überblick nicht angezeigt. 

Der Startpunkt ist immer der Reiter Überblick. Die Unterteilung in Reiter wurde in Anlehnung an den 

Univention Directory Manager übernommen. Zusätzlich gibt es in Univention Management Console so 

genannte Kategorien, die im oberen Bereich auf einem Reiter angezeigt werden. Im Beispiel des Reiter 

Überblick aus der Abbildung 5.2 sind die Kategorien Alle Module, System und Wizards zu sehen. In 

den Voreinstellungen wird hier zu Beginn immer die Kategorie Alle Module angezeigt. 

Von dem Reiter Überblick kann über die angezeigten Icons zu den einzelnen Modulen gewechselt wer- 

den. Wurde das ausgewählte Modul während der aktuellen Sitzung noch nicht aktiviert, dann wird auto- 

matisch ein neuer Reiter für das Modul geöffnet und angezeigt. Wurde das Modul bereits zuvor genutzt, 

wird der vorhandene Reiter in den Vordergrund geholt. So können mehrere Module aktiv sein und über 

den Überblick zu einem anderen Modul zurückgekehrt werden. Wird beispielsweise in einem Modul eine 

langwierige Aufgabe ausgeführt, muss der Benutzer nicht auf die Beendigung warten, sondern kann in an- 

deren Modulen weitere Aufgaben durchführen. Er kann später zu dem vorherigen Modul zurückkehren und 

sich den Ergebnis bzw. Status der Bearbeitung anschauen oder die Aufgabe abbrechen. Ein Reiter kann 

über den Schließen Button geschlossen werden. Allerdings wird damit nur die Darstellung unterbrochen, 

das Modul läuft bis zu seiner Fertigstellung im Hintergrund weiter. 

Zusätzlich zu dem Reiter Überblick gibt es noch den Reiter Über. Dort sind Informationen zur installierten 

Programmversion zu finden. 

169


5.3 Standard-Module 

Abbildung 5.2: Übersichtsseite von Univention Management Console 

Nachdem im vorangegangenen Kapitel der Aufbau und die Navigation innerhalb von Univention Mana- 

gement Console beschrieben wurde, wird in diesem Kapitel auf die einzelnen Funktionen der Standard- 

Module näher eingegangen. Einige Softwarepakete bringen weitere UMC-Module mit, die Dokumentation 

zu den Modulen ist in den jeweiligen Kapiteln bzw. Dokumentationen zu finden. 

5.3.1 System Statistiken 

Die Auslastungsstatistik zeigt die Auslastung des Systems an. Dabei wird jeweils eine Grafik für die unter- 

schiedlichen Zeiträume angezeigt: 

• Die letzten 24 Stunden 

• Die vergangene Woche 

• Der vergangene Monat 

• Das vergangene Jahr 

Folgende Systeminformationen werden protokolliert: 

170 

• Die Auslastung des Hauptspeichers in Prozent 

• Die Prozessor-Auslastung des Systems 

• Die Anzahl der jeweils aktiven Terminalserver-Sitzungen 

• Die Auslastung der Auslagerungsdatei (Swap)


Das Modul setzt voraus, dass das Paket univention-maintenance installiert ist. Falls das Paket nicht 

installiert ist, wird eine entsprechende Meldung angezeigt. 

5.3.2 Kernel Module 

Das Modul Kernel Module bietet die Möglichkeit vorhandene Kernel Module zu laden bzw. zu entladen. 

Auf der Startseite befindet sich eine Suchmaske, mit der Kernel Module gesucht werden können. Neben 

der Modul-Kategorie, bspw. drivers/video oder drivers/usb und dem Namen kann ausgewählt werden, 

ob nur geladene Module angezeigt werden soll. 

In der Suchliste wird jedes gefundene Modul angezeigt und kann nach Bestätigung einer Abfrage geladen 

bzw. entladen werden. 

5.3.3 VNC 

Durch das VNC-Protokoll (Virtual Network Computing) können grafische Bildschirmausgaben von einem 

entfernten Rechner auf einem lokalen Rechner dargestellt werden. Dieses Modul ermöglicht die Anzeige 

der grafischen Oberfläche im Webbrowser, siehe Abbildung 5.3. 

Abbildung 5.3: Desktop im Webbrowser 

Nachdem das Modul geladen wurde, muss ein Passwort gesetzt werden, mit dem später die VNC Sitzung 

gestartet werden kann. Das Passwort wird verschlüsselt in der Datei .vnc/passwd im Heimatverzeichnis 

des Benutzer gespeichert. Wenn die Datei gelöscht wurde, wird diese Abfrage erneut angezeigt. 

Anschließend wird geprüft, ob bereits ein VNC-Server läuft. Wenn noch kein VNC-Server läuft, so kann 

durch den Link Starten ein VNC-Server gestartet werden. Sobald ein VNC-Server läuft, kann dieser durch 

den Link Stoppen des VNC-Server wieder beendet werden oder es kann eine Verbindung zum VNC- 

171


Server hergestellt werden. Dazu wird ein Java Applet im Webbrowser geladen und das UCS System kann 

grafisch im Webbrowser bedient werden. 

5.3.4 Systeminformation 

Das Systeminformations-Modul erfasst Informationen zu der Hardware des aktuellen Systems. Diese kön- 

nen beispielsweise in einem Supportfall angefragt werden. Durch die Übersendung dieser Informationen 

wird auch eine breitere Datenbasis über die von UCS unterstützte Hardware erstellt. 

Alle Daten werden anonymisiert an Univention weitergeleitet und erst nach Benutzereinwilligung übermit- 

telt. 

Im Start-Dialog finden sich die Eingabefelder Hersteller und Modell, die mit aus den DMI-Informationen 

der Hardware ermittelten Werten vorausgefüllt sind. Die Felder können auch angepasst und ein zusätzli- 

cher Kommentar angegeben werden. 

Wenn die Übermittlung der Systeminformationen im Rahmen einer Support-Anfrage erfolgt, sollte die Op- 

tion Dies bezieht sich auf einen Supportfall aktiviert werden. Im folgenden Feld kann dann eine Ticket- 

nummer angegeben werden, die die Zuordnung vereinfacht und eine schnellere Bearbeitung ermöglicht. 

Nach einem Klick auf Weiter wird eine Übersicht der ermittelten Systeminformationen ausgegeben. 

Ausserdem wird ein komprimiertes Tar-Archiv erstellt, das eine Liste mit den im System verwendeten 

Hardware-Komponenten enthält und über Archiv mit den Systeminformationen heruntergeladen wer- 

den kann. 

Nach einem erneuten Klick auf Weiter kann der Übermittlungsweg der Daten an Univention ausgewählt 

werden. Hochladen überträgt die Daten per HTTPS, Mail senden (optional) führt zu einem Dialog, über 

den ein Email-Versand initiiert werden kann. 

5.3.5 Univention Configuration Registry 

Mit dem Univention Configuration Registry-Modul können Univention Configuration Registry-Variablen an- 

gezeigt und verändert werden. Es besteht auch die Möglichkeit neue Univention Configuration Registry- 

Variablen zu registrieren. Weitere Hinweise zu Univention Configuration Registry sind im Kapitel 14 zu 

finden. 

Auf der Startseite wird eine Suchmaske angezeigt. Neben der Kategorie können auch Suchfilter für den 

Variablennamen, für den Wert oder für die Beschreibung ausgewählt werden. Nach erfolgreicher Suche 

werden die gefundenen Variablen in einer Tabelle angezeigt, dabei wird der Variablenname, der Wert, die 

Beschreibung und die Kategorie angezeigt, siehe Abbildung 5.4. 

Mit einem Klick auf den Variablennamen wird die Bearbeitungsmaske für eine Variable angezeigt. Dort 

können die folgenden Einstellungen vorgenommen werden: 

172 

• der Wert 

• die Kategorie (bspw. Desktop oder Mail) 

• der Typ (bspw. Zeichenkette) 

• die Beschreibung in unterschiedlichen Sprachen

Abbildung 5.4: Univention Configuration Registry-Suchmaske 


Nachdem Änderungen durchgeführt wurden, kann die Aktion mit dem Button Setzen abgeschlossen oder 

mit dem Button Abbrechen abgebrochen werden. Danach wird die letzte Suche wieder angezeigt. 

In der Unterkategorie Hinzufügen können neue Univention Configuration Registry-Variablen hinzugefügt 

werden. Im Gegensatz zu der Bearbeitungsmaske kann hier auch der Name der Variable angegeben 

werden, ansonsten ist die Seite identisch strukturiert. 

5.3.6 Drucker Administration 

Dieses Modul bietet die Möglichkeit den Status einzelner Drucker zu prüfen, angehaltene Drucker neu zu 

starten oder Druckaufträge aus den Warteschlagen zu entfernen. 

Auf der Startseite des Moduls befindet sich eine Suchmaske, mit der die vorhandenen Drucker ausgewählt 

werden können. In der Ergebnisliste wird zu dem jeweiligen Drucker der Server, der Name, der Status, die 

Druck-Quota-Eigenschaften, der Standort und die Beschreibung angezeigt. Durch Markieren der Drucker 

und Ausführen einer der beiden Aktionen deaktivieren bzw. aktivieren, kann der Status mehrerer Drucker 

gleichzeitig geändert werden. 

Durch den Klick auf einen Druckernamen können Details zu dem ausgewählten Drucker angezeigt werden. 

Zu den angezeigten Informationen gehört auch eine Liste der aktuell existierenden Druckaufträge, die 

noch in der Warteschlange des Druckers sind. Durch Markieren der Druckaufträge und Auswahl der Aktion 

[Löschen] können Druckaufträge aus der Warteschlange entfernt werden. 

173


5.3.7 Prozessübersicht 

Abbildung 5.5: Liste verfügbarer Drucker 

Das Modul Prozessübersicht zeigt eine Tabelle der aktuellen Prozesse an. Standardmäßig werden ma- 

ximal 50 Prozesse angezeigt, unter dem Menüpunkt Anzahl der Prozesse können aber auch 10, 20 

oder alle Prozesse zur Anzeige ausgewählt werden. Zusätzlich besteht die Möglichkeit die Sortierung der 

Prozesse nach den folgenden Eigenschaften durchzuführen: 

• CPU-Nutzung 

• Benutzername 

• Residente Größe des Arbeitsspeichers 

• Virtuelle Größe des Arbeitsspeichers 

• Prozess ID 

Nachdem die Auswahl geändert wurde, kann die Anzeige durch Aktualisieren übernommen werden. 

5.3.8 Dateisystem-Quota 

Das Modul zur Dateisystem-Quota-Verwaltung bietet die Möglichkeit den Festplattenplatz, den Benutzer 

für ihre Daten auf den Servern nutzen dürfen, einzuschränken oder zu erweitern. Hierbei kann der Platz 

für jede einzelne Partition auf einem Server individuell eingeschränkt werden. 

Wird in dem Reiter Übersicht das Modul Dateisystem Quota ausgewählt, wird zu Beginn eine Seite 

angezeigt, die der Abbildung 5.6 ähnelt. Hier wird eine Liste aller verfügbaren Partitionen eines Rechners 

angezeigt. Dabei werden zu den Partitionsnamen und dem Mount-Point noch Informationen wie die Größe 

und der freie Platz angezeigt. Eine weitere Information, die für die Quota-Verwaltung wichtig ist, befindet 

174

Abbildung 5.6: Liste der Partitionen 


sich in der Spalte Quota: Der Status deaktiviert bedeutet, dass auf der Partition momentan keine Quota- 

Einstellungen vorgenommen werden können. Dafür muss die Unterstützung erst aktiviert werden. Steht in 

der Spalte bei Partition hingegen der Status aktiviert, so wurde Quota bereits aktiviert. 

Um diese Unterstützung für eine oder mehrere Partitionen nachträglich zu aktivieren, müssen diese in der 

Tabelle ausgewählt und aktiviert werden. 

Ist die Quota-Verwaltung auf einer Partition aktiviert kann über den Partitionsnamen in der Tabelle auf 

die Kategorie Partitionsansicht gewechselt werden. In dieser Ansicht werden die Details zu den bereits 

existierenden Einstellungen für Quota auf der ausgewählten Partition dargestellt. In Abbildung 5.7 ist ein 

Beispiel dafür zu sehen. 

Von hier aus können die Quota-Einstellungen für einzelne Benutzer hinzugefügt, gelöscht oder verändert 

werden. Für alle diese Aufgaben gibt eine Eingabemaske, die dort einzugebenden Werte beschränken die 

Datenmenge für einen Benutzer auf der ausgewählten Partition. Generell werden solche Einschränkung 

durch zwei Werte definiert: 

Soft Limit Wird diese Grenze erreicht, so wird der Benutzer gewarnt, dass er seine Quota-Grenze erreicht 

hat. Dieser Wert sollte kleiner sein als das Hard Limit, so dass der Benutzer noch die Möglichkeit 

hat Daten zu löschen. 

Hard Limit Wird diese Grenze erreicht, kann der Benutzer nicht mehr auf die Festplatten-Partition schrei- 

ben. Handelt es sich beispielsweise um das Heimatverzeichnis des Benutzers, kann es dadurch zu 

Problemen bei der Anmeldung kommen. 

Diese beiden Grenzwerte können in zwei verschiedenen Einheiten angegeben werden: 

Dateien Das Soft- und Hard-Limit für Dateien schränkt die Menge der Daten eines Benutzers durch die 

Begrenzung der Anzahl der erstellten Dateien ein. 

Blöcke Die Begrenzung der Blöcke wirkt sich auf die Datenmenge in Hinsicht auf die Gesamtgröße aller 

Dateien des Benutzers in einer Partition aus. 

175


Abbildung 5.7: Details zu einer Partition 

Die Differenz zwischen Soft- und Hard-Limit sollte groß genug gewählt werden, damit Benutzer noch aus- 

reichend Zeit haben die Daten aufzuräumen und zu sichern. 

Eine Alternative ist die gruppenbasierte Zuweisung mittels univention-quota-group. Die Verwendung 

ist unter [9] dokumentiert. 

5.3.9 System-Dienste 

Auf der System-Dienste Startseite werden in einer Tabelle die aktuellen Dienste angezeigt, wie in Ab- 

bildung 5.8 dargestellt. Dabei wird neben dem Namen des Dienstes der Status, in Form eines Icons, die 

Startart und die Beschreibung angezeigt. 

Am unteren Ende der Tabelle können in der Auswahlliste Ausgewählte Objekte ... Aktionen ausgeführt 

werden. Die Aktionen im Einzelnen: 

• Auswahl umkehren 

• Alle auswählen 

• Dienste starten 

• Dienste stoppen 

• Dienste automatisch starten 

• Dienste manuell starten 

• Dienste nie starten 

Die beiden Punkte Dienste automatisch und Dienste manuell starten beziehen sich auf den Startvor- 

gang des Systems. 

Die Einstellung Dienste nie starten verhindert auch den manuellen Start durch den Administrator. 

176

Abbildung 5.8: Übersicht der Systemdienste 


177


5.3.10 Domänenbeitritt 

Das Univention Management Console-Modul für den Domänenbeitritt ist im Kapitel 2.4.1.2 beschrieben. 

5.3.11 Software Management 

Mit dem Software Management-Modul können Softwarepakete installiert und deinstalliert werden. 

Abbildung 5.9: Software Management Suchmaske 

Auf der Startseite wird eine Suchmaske angezeigt in der die Paketkategorie, ein Suchfilter (Name oder 

Beschreibung) und die Eigenschaft ob nur installierte Softwarepakete angezeigt werden sollen zur Aus- 

wahl stehen. Ein Beispieldialog findet sich in Abbildung 5.9. Die Ergebnisliste besteht aus einer Tabelle 

mit den folgenden Spalten: 

• Paketname 

• Bereich bzw. Kategorie 

• Installationsstatus 

• Beschreibung des Paketes 

Durch einen Klick auf den Softwarepaketnamen wird eine detailierte Informationsseite zu dem Softwarepa- 

ket angezeigt, u.a. eine ausführliche Beschreibung und die Priorität. Zusätzlich werden ein oder mehrere 

Buttons angezeigt: Installieren wird angezeigt, falls das Softwarepaket noch nicht installiert ist, Deinstal- 

lieren, falls das Paket installiert ist und Aktualisieren falls das Softwarepaket bereits installiert, aber nicht 

aktuell ist. Durch Abbrechen kann zu der vorherigen Suchabfrage zurückgekehrt werden. 

178

5.3.12 Neustarten 

Mit dem Neustarten-Modul kann der Computer neugestartet oder heruntergefahren werden. 

Abbildung 5.10: Neustarten Eingabemaske 


Auf der Neustarten-Modul Seite kann zwischen Herunterfahren und Neustarten gewählt werden, sowie 

eine Systemnachricht angegeben werden, welche in /var/log/syslog protokolliert wird. 

Nach der Bestätigung über den Ausführen-Button wird die Systemmeldung auf dem Bildschirm ausgege- 

ben und die Aktion direkt ausgeführt. 

5.3.13 Online-Updates 

Mit dem Online-Update-Modul können Versions- und Sicherheits-Updates installiert werden. 

In Abbildung 5.11 ist die Übersichtsseite des Moduls dargestellt. Im oberen Teil des Dialogs wird unter 

Releaseupdates der aktuelle Installationsstand angezeigt. 

Sollte eine neuere UCS-Version vorhanden sein, wird eine Auswahlliste präsentiert. Durch einen Klick 

auf Releaseupdates installieren wird ein Link auf die Release Notes angezeigt nach Bestätigung alle 

Updates bis zur jeweiligen Version eingespielt. Zuvor wird ein Hinweis auf mögliche Einschränkungen 

der Serverdienste während des Updates angezeigt. Eventuelle Zwischenversionen werden automatisch 

mitinstalliert. 

Durch einen Klick auf Securityupdates installieren werden alle für das aktuelle Release verfügbaren 

Security-Updates eingerichtet. 

Mit Paketupdates wird eine Aktualisierung der momentan eingetragenen Paketquellen aktiviert. Dies kann 

etwa verwendet werden, wenn für eine Komponente eine aktualisierte Version bereitgestellt wurde. 

Im Reiter Einstellungen können die folgenden Konfigurationsänderungen vorgenommen werden: 

Unter Release-Einstellungen kann der Repository Server und ggf. ein Repository Prefix angegeben 

werden, was in Abbildung 5.12 dargestellt ist. Ausserdem kann konfiguriert werden, welche Repository- 

Optionen verwendet werden sollen: 

179


Abbildung 5.11: Online-Update 

Verwende Maintained Repositories Diese ist in der Voreinstellung aktiviert und bindet die Maintained 

Repositories auf dem System mit ein. 

Verwende Unmaintained Repositories Weitere Software zu den UCS-Versionen ist in den Unmaintai- 

ned Repositories zu finden, die mit dieser Option eingebunden werden können. In der Voreinstellung 

ist dies nicht aktiviert. 

Verwende Hotfix Repositories Um die Univention Hotfixes zu verwenden kann diese Option aktiviert 

werden. Weitere Details dazu sind im Abschnitt 11.2.1 zu finden. 

Unter Komponenten Einstellungen findet sich eine Übersicht von Software-Komponenten, die den Funk- 

tionsumfang von Univention Corporate Server erweitern. 

Über die Schaltfläche Eine neuen Komponente hinzufügen kann eine weitere Software-Komponente 

eingerichtet werden, ersichtlich in Abbildung 5.13. Name identifiziert die Komponente auf dem Download- 

Server. Unter Beschreibung kann ein frei wählbarer Text angegeben werden, der z.B. detaillierter auf die 

Funktion der Komponente eingeht. Der Rechnername des Download-Servers ist im Eingabefeld Serverna- 

me anzugeben und, sofern notwendig, unter Prefix ein eventueller zusätzlicher Dateipfad. Für Download- 

Server, die eine Authentifizierung benötigen, können Benutzername und Passwort konfiguriert werden. 

Eine Software-Komponente ist im Univention Management Console-Modul Software Management erst 

verfügbar, wenn sie Aktiviert wurde. Alle diese Einstellungen können durch einen Klick auf den Bearbei- 

ten-Button auch für bereits konfigurierten Komponenten nachträglich vorgenommen werden. 

Die Version legt fest, für welche UCS-Versionen eine Komponente installiert werden soll. Wird das Feld 

freigelassen, wird die Komponente für alle aktuell installierten Minor-Releases eingebunden, also z.B. bei 

einer Installation mit UCS 2.3 für UCS 2.0 bis 2.3. Wird in diesem Feld current eingetragen, werden 

ebenfalls alle Minor-Releases für diese Komponenten eingebunden, zusätzlich wird aber sichergestellt, 

180

Abbildung 5.12: Online-Update: Repository-Einstellungen 


dass ein Update auf ein neues Minor-Release nur stattfinden kann, wenn auch die Komponente für dieses 

Minor-Release verfügbar ist. 

Auch für Komponenten wird zwischen maintained und unmaintained-Komponenten unterschieden. 

181


5.4 Wizards 

Abbildung 5.13: Online-Update: Component-Einstellungen 

Univention Management Console bietet mehrere Wizards an, welche Standard-Vorgänge beim Einrichten 

von Diensten vornehmen. Sie fassen die Grundeinstellungen zu einzelnen UCS-Komponenten zusammen 

und unterstützen besonders bei der Ersteinrichtung. 

5.4.1 Basis 

In dem Basis-Wizard können Grundeinstellungen des UCS-System durchgeführt werden, dazu gehören 

die folgenden Werte: 

• Rechnername 

• DNS-Domänenname 

• LDAP-Basis 

• Windows-Domänenname 

Betroffene Systemdienste werden während der Änderung neu gestartet. Da es hierbei um grundlegende 

Einstellung geht, sollte dennoch das System nach den Änderungen neu gestartet und ggf. auch neu gejoint 

werden. 

Weitere Hinweise dazu sind im Kapitel Domänenbeitritt 2.4 zu finden. 

5.4.2 Nagios 

Für Nagios kann hier eine Telefonnummer angegeben werden. Damit schickt Nagios die Events nicht nur 

an eine E-Mail Adresse, sondern ebenfalls als SMS an ein Mobiltelefon. Weitere Hinweise dazu sind in 

182

der Nagios Dokumentation [11] zu finden. 

5.4.3 Mail-Server Konfiguration 

5.4 Wizards 

Im Mail-Server Wizard können grundlegende Einstellungen für den Mailserver vorgenommen werden. 

• SPAM-Filterung 

Über diese Checkbox kann die SPAM Filterung aktiviert bzw. deaktiviert werden. Weitere Hinweise 

und Beschreibungen dazu sind im Kapitel 12.4 zu finden. 

• Viren-Erkennung 

Über diese Checkbox kann die Viren Filterung aktiviert bzw. deaktiviert werden. Weitere Hinweise 

und Beschreibungen dazu sind im Kapitel 12.5 zu finden. 

• IMAP-Zugriff 

Hier kann der IMAP-Zugriff auf Postfächer an- bzw. abgeschaltet werden. 

• IMAP Quota Unterstützung 

Durch diese Option kann eine Überprüfung der Größe der Postfächer beim Zugriff auf IMAP- 

Postfächer eingestellt werden. 

• POP3-Zugriff 

Hier kann der POP3-Zugriff auf Postfächer an- bzw. abgeschaltet werden. 

• Maximale Nachrichtengröße 

Die maximale Größe in Bytes der angenommenen E-Mails kann hier konfiguriert werden. 

• Alternative E-Mail Adresse für root 

Viele Systemdienste schicken Status-E-Mails an den Benutzer root. Hier kann ein alternativer Emp- 

fänger für den Benutzer root angegeben werden. 

183


184

6 Univention Virtual Machine Manager (UVMM) 


6.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

6.1.1 Paravirtualisierung / virtIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

6.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 

6.3 Verwaltung virtueller Maschinen mit UVMM . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 


6.3.1 Erstellen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 

6.3.2 Bearbeiten der Einstellungen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . 188 

Univention Virtual Machine Manager (UVMM) ist ein Managementsystem für Virtualisierungsserver und 

virtuelle Maschinen. Es bietet die Möglichkeit alle in der UCS-Domäne registrierten Virtualisierungsserver 

(auf Basis von Xen oder KVM) und die darauf betriebenen virtuellen Instanzen zentral zu überwachen und 

zu administrieren. 

Die Managementoberfläche wird durch ein Univention Management Console-Modul bereitgestellt; es kann 

auf jedem System der UCS-Domäne installiert werden (die Installation auf einem Domänencontroller wird 

empfohlen). Dort können alle Virtualisierungsserver zentral administriert werden. 

Abschnitt 6.2 beschreibt die Installation des Managementsystems und der Virtualisierungsserver und die 

Funktionen des Univention Management Console-Moduls. 

Im Univention Wiki (http://wiki.univention.de) findet sich eine Schritt-für-Schritt-Kurzanleitung 

[12] und weiterführende technische Dokumentation und HOWTOs [13]. 

6.1.1 Paravirtualisierung / virtIO 

Die virtualisierten Systeme können im Prinzip jedes beliebige Betriebssystem verwenden. Dabei werden 

die Systeme als so genannte vollvirtualisierte Systeme betrieben. 

KVM und Xen stellen jeweils Schnittstellen bereit, mit denen die virtualisierten Systeme einen direkten 

Zugriff auf die Ressourcen des Virtualisierungsservers erhalten können. Dies verbessert die Performance 

erheblich. 

Bei Xen wird diese Technik als Paravirtualisierung bezeichnet. Aktuelle Linux-Systeme unterstüt- 

zen standardmässig Paravirtualisierung, bei Microsoft Windows-Systemen müssen Unterstützungstreiber 

nachinstalliert werden, siehe [13]. 

185


KVM stellt die virtIO-Schnittstelle bereit. Sie ermöglicht für Netzwerk- und Storagegeräte eine direkte An- 

bindung an die KVM-Ressourcenverwaltung. Diese Technik ist mit Paravirtualisierung vergleichbar. Wenn 

Menüpunkte in UVMM sich auf Paravirtualisierung beziehen, schliesst dies virtIO mit ein. 

UVMM unterstützt für virtualisierte Systeme Vollvirtualisierung und Paravirtualisierung. Die Verwendung 

von Paravirtualisierung/virtIO wird empfohlen. 

6.2 Installation 

Univention Virtual Machine Manager besteht aus drei Komponenten. Alle können direkt bei der Installation 

des UCS-Systems ausgewählt oder alternativ über die Univention Management Console nachinstalliert 

werden. 

Virtual Machine Manager (UVMM) (Paket: univention-virtual-machine-manager-daemon) Dieses 

Paket muss auf dem Managementsystem installiert werden. Dabei wird ein zusätzlicher Dienst sowie 

das Univention Management Console-Modul eingerichtet. Dieses Paket sollte auf einem Domänen- 

controller installiert werden. Die Installation auf Memberservern erfordert weitere Anpassungen und 

ist unter [13] dokumentiert. Wird UVMM auf einem Domänencontroller Slave oder Domänencontrol- 

ler Backup installiert, muss vorher das Paket univention-virtual-machine-manager-schema auf 

dem Domänencontroller Master installiert werden. 

Xen-Virtualisierungsserver (Paket: univention-virtual-machine-manager-node-xen) Auf jedem Sys- 

tem, das als Virtualisierungsserver auf Basis von Xen verwendet werden soll, muss dieses Paket 


KVM-Virtualisierungsserver (Paket: univention-virtual-machine-manager-node-kvm) Soll KVM für 

die Virtualisierung genutzt werden, ist dieses Paket auf den Virtualisierungsservern zu installieren. 

Die beiden Pakete für die Virtualisierungsserver registrieren den Dienst im LDAP-Verzeichnis. Auf Xen- 

Systemen wird zusätzlich ein besonderer Kernel installiert, der notwendig ist, damit Xen eingesetzt werden 

kann. 

Bei der Installation der Virtualisierungsserver sollte pro Server ausschließlich eine Virtualisierungstech- 

nik eingesetzt werden. Xen und KVM werden von Univention Virtual Machine Manager gleichermaßen 

unterstützt. Allerdings gibt es bei den Techniken in Abhängigkeit von den Gastsystemen und der ein- 

gesetzten Hardware unterschiedliche Vor- und Nachteile. KVM beispielsweise benötigt zwingend CPU- 

Virtualisierungunterstützung während Xen auch (eingeschränkt) Systeme ohne Unterstützung durch die 

Hardware virtualisieren kann. Zu Details können die Webseiten der beiden Projekte konsultiert werden: 

http://www.linux-kvm.org/ und http://www.xen.org/. 

Zusätzlich sollte bei der Installation der Virtualisierungsserver die Architektur beachtet werden. Nur auf 

UCS-Systemen, die mit der amd64-Architektur installiert sind, können auch 64 Bit-Systeme virtualisiert 

werden. 

Für den Einsatz als Virtualisierungsserver wird die Verwendung eines 64 Bit-Systems (amd64) empfohlen. 

186

6.3 Verwaltung virtueller Maschinen mit UVMM 


Die Verwaltung virtueller Maschinen im Univention Virtual Machine Manager erfolgt über die Univention 

Management Console. 

Das Univention Management Console-Modul Virtuelle Maschinen (UVMM) bietet die Möglichkeit virtuelle 

Instanzen anzulegen, zu bearbeiten, zu löschen und den Status zu ändern. Diese Funktionen sind prinzi- 

piell unabhängig von der eingesetzten Virtualisierungstechnik (Xen oder KVM), können sich aber im Detail 

unterscheiden. Was dabei zu beachten ist, wird in den folgenden Abschnitten zu den Beschreibungen der 

Funktionen erläutert. 

Nach dem Öffnen des Moduls wird auf der linken Seite eine Baumstruktur angezeigt, die einen Überblick 

über die vorhandenen Virtualisierungsserver und der dort definierten virtuellen Instanzen anzeigt. 

Auch alle anderen Einträge in der Baumstruktur können ausgewählt werden. Ist ein Virtualisierungsserver 

ausgewählt, wird eine Übersicht zum Status des Servers selbst und der vorhandenen virtuellen Instanzen 

mit CPU-Auslastung und Speicherbedarf aufgelistet. Eine solche Übersicht ist in Abbildung 6.1 zu se- 

hen. Über die Schaltfläche Aktualisieren, die oben rechts zu sehen ist, können die Informationen erneut 

abgefragt werden. 

Abbildung 6.1: Übersicht eines Virtualisierungsservers 

Bei der Auswahl einer virtuellen Instanz kann anhand des Symbols in der Baumstruktur erkannt werden in 

welchem Status sich diese befindet, d.h. ob sie läuft, pausiert oder angehalten ist. Wie in Abbildung 6.2 zu 

sehen, wird bei der Auswahl einer virtuellen Instanz zu den Statistiken auch die Konfiguration angezeigt. 

Hier können alle Einstellungen der Instanz verändert und gespeichert werden. 

6.3.1 Erstellen einer virtuellen Instanz 

Virtuelle Maschinen können in UVMM mit einem Assistenten in wenigen Schritten erstellt werden. Im 

ersten Schritt wird ein Profil ausgewählt (siehe Abbildung 6.3) über das einige grundlegende Einstellungen 

für die virtuelle Instanz vorgegeben werden (z.B. einen Namenspräfix, Anzahl der CPUs, Arbeitspeicher 

und ob ein Direktzugriff per VNC aktiviert werden soll). 

187


Abbildung 6.2: Übersicht einer virtuellen Instanz 

Die UVMM-Profile werden aus dem LDAP-Verzeichnis gelesen und können dort auch angepasst wer- 

den. Zu finden sind die Profile in der Navigation des Univention Directory Manager im Container 

cn=Profiles,cn=Virtual Machine Manager. Dort können auch weitere Profile hinzugefügt werden. 

Die virtuelle Maschine wird nun mit einem Namen (maximal 25 Zeichen) und einer Beschreibung ver- 

sehen und Arbeitsspeicher und CPUs zugewiesen. Die Option Direktzugriff aktivieren legt fest, ob auf 

die Maschine über das VNC-Protokoll zugegriffen werden kann. Dies ist im Regelfall erforderlich für die 

initiale Betriebssysteminstallation. 

Nun werden die Laufwerke der virtuellen Maschine konfiguriert. Das Anlegen der Laufwerke ist in Kapitel 

6.3.2.3 dokumentiert. 

Ein Klick auf Fertigstellen schließt das Anlegen der virtuellen Maschine ab. 

6.3.2 Bearbeiten der Einstellungen einer virtuellen Instanz 

Die Übersichtsseite einer virtuellen Instanz ist in mehrere Bereiche aufgeteilt: (Abbildung 6.4): 

188

6.3.2.1 Sicherungspunkte 

Abbildung 6.3: Anlegen einer virtuellen Instanz 


UVMM bietet die Möglichkeit, den Inhalt von Arbeits- und Festplattenspeicher einer virtuellen Maschine in 

Sicherungspunkten zu speichern. Zu diesen kann später wieder zurückgewechselt werden, was gerade 

bei Software-Updates ein nützliches “Sicherungsnetz” darstellt. 

Sicherungspunkte können nur auf KVM-Instanzen verwendet werden, deren Festplatten-Images aus- 

schließlich das Qcow2-Format verwenden. Alle Sicherungspunkte werden dabei im Copy-on-write- 

Verfahren (siehe 6.3.1) direkt in den Festplatten-Image-Dateien gespeichert. 

Mit Neuen Sicherungspunkt erstellen kann ein Sicherungspunkt unter einem frei wählbaren Namen er- 

stellt werden, z.B. DC Master vor Update auf UCS 2.4-2. Zusätzlich wird der Zeitpunkt abgespeichert, zu 

dem der Sicherungspunkt erstellt wird. In der nachfolgenden Liste werden alle vorhandenen Sicherungs- 

punkte in chronologisch-umgekehrter Reihenfolge aufgeführt. Mit Wiederherstellen kann die Maschine 

auf einen früheren Sicherungspunkt zurückgesetzt werden und mit Löschen kann ein Sicherungspunkt 

entfernt werden. 

6.3.2.2 Operationen (Starten/Stoppen/Pausieren/Löschen/Migrieren von virtuellen Instanzen) 

Über UVMM angelegte Instanzen sind im initialen Zustand ausgeschaltet. Dieser Status kann in der Über- 

sicht des jeweiligen Virtualisierungsservers in dem jeweiligen Listeneintrag oder in der Übersicht der virtu- 

ellen Instanz selbst verändert werden. In letzterem Fall gibt es einen Abschnitt Operationen, in dem der 

Status gesetzt werden kann. Dabei bestehen folgende Möglichkeiten: 

Starten fährt die virtuelle Instanz hoch. 

189


Abbildung 6.4: Einstellungen einer virtuelle Instanz 

Beenden schaltet die Instanz aus. Dabei ist zu beachten, dass dabei das Betriebssystem vorher nicht 

runtergefahren wird, d.h. es mit dem Ausschalten eines Rechners zu vergleichen. 

Pausieren weist der Instanz keine weitere CPU-Zeit zu. Dadurch wird weiterhin der Arbeitsspeicher auf 

dem physikalischen Rechner belegt, die Instanz an sich aber angehalten. 

Speichern und beenden sichert den Inhalt des Arbeitsspeichers der Maschine auf Festplattenspeicher 

und weist der Maschine keine weitere CPU-Zeit zu, d.h. gegenüber Pausieren wird außerdem noch 

der Arbeitsspeicher freigegeben. Gespeicherte Maschinen können mit Starten wieder in Betrieb 

genommen werden. Diese Funktion ist nur bei Virtualisierungsservern auf Basis von KVM verfügbar. 

Fortfahren teilt der Instanz wieder CPU-Zeit zu, so dass sie in dem Zustand vor dem Pausieren wieder 

weiterläuft. 

Löschen Nicht mehr benötigte virtuelle Instanzen können mitsamt ihrer Festplatten und ISO-Images ge- 

190 

löscht werden. Die zu löschenden Images können dabei in einer Liste ausgewählt werden. Es ist zu 

beachten, dass ISO-Images und möglicherweise auch Festplatten-Images ggf. noch von anderen 

Instanzen verwendet werden.


Eine weitere Funktion, die in dem Bereich Operationen in der Übersicht einer virtuellen Instanz zu finden 

ist, ist die Möglichkeit eine virtuelle Instanz auf einen anderen physikalischen Server zu migrieren. Dies 

funktioniert sowohl mit angehaltenen wie mit laufenden Instanzen (Live-Migration). Die Option wird nur 

angezeigt, wenn sich min. zwei kompatible Virtualisierungsserver in der Domäne befinden. 

Bei der Migration ist zu beachten, dass die Images der eingebundenen Festplatten und CDROM-Laufwerk 

von beiden Virtualisierungsservern zugreifbar sein müssen. Dies kann beispielsweise dadurch realisiert 

werden, dass die Images auf einem zentralen Storage abgelegt werden. Hinweise zur Einrichtung einer 

solchen Umgebung finden sich unter [13]. 

6.3.2.3 Laufwerke (Festplatten/CD-ROM/DVD-ROM/Diskette) 

Im Laufwerke-Menü ist eine Liste der definierten Laufwerke mit Typ, Image-Datei und Größe sowie dem 

zugewiesenen Speicherbereich zu sehen. Am Ende jeder Zeile befindet sich eine Schaltfläche Löschen 

über die das Laufwerk ausgehängt werden kann (Die Image-Datei kann optional mitgelöscht werden). 

Hinzufügen eines Laufwerks Werden virtuelle Festplatten hinzugefügt, werden im Regelfall für die Da- 

tenhaltung Image-Dateien verwendet. Eine Image-Datei kann entweder neu erzeugt werden oder einer 

virtuellen Maschine eine bereits vorhandene Image-Datei zugewiesen werden. Alternativ kann einer vir- 

tuellen Maschine über die Option Auswahl eines vorhandenen Gerätes auch eine Festplattenpartition 

zugewiesen werden. 

Image-Dateien können auf KVM-Systemen in zwei Formaten verwaltet werden: Standardmässig werden 

sie im Erweiterten Format (qcow2) angelegt. Dieses unterstützt Copy-on-write, was bedeutet, dass eine 

Änderung nicht das Original überschreibt, sondern die neue Version stattdessen an einer anderen Position 

abgelegt wird. Die interne Referenzierung wird dann so aktualisiert, daß wahlweise sowohl die Original- 

version als auch die neue Version zugreifbar sind. Diese Technik ist Voraussetzung für das Erstellen von 

Sicherungspunkten/Snapshots von virtuellen Maschinen. Nur bei Verwendung von Festplatten-Images im 

Erweiterten Format können Sicherungspunkte erstellt werden. Alternativ kann auch im Einfachen For- 

mat (raw) auf ein Festplatten-Image zugegriffen werden. 

Auf Xen-Systemen steht nur das Einfache Format zur Verfügung. 

Image-Dateien werden in sogenannten Speicherbereichen abgelegt. Jeder Virtualisierungsserver stellt in 

der Voreinstellung einen Speicherbereich mit dem Namen Lokales Verzeichnis zur Verfügung. Dieser 

liegt auf den Virtualisierungsservern unterhalb des Verzeichnisses /var/lib/libvirt/images/. 

Wenn eine Live-Migration virtueller Maschinen zwischen verschiedenen Virtualisierungsservern erfolgen 

soll, muss der Speicherbereich auf einem System abgelegt werden, auf das alle Virtualisierungsserver 

zugreifen können (z.B. eine NFS-Freigabe oder ein iSCSI-Target). Dies wird in [13] beschrieben. 

Festplatten-Images werden mit der angegebenen Größe als Sparse-Datei angelegt, d.h. diese Dateien 

wachsen erst bei der Verwendung bis zur maximal angegebenen Größe und benötigen initial nur geringen 

Speicherplatz. 

CD-ROM/DVD-ROM-Laufwerke können auf zwei Arten eingebunden werden: Über die Option Auswahl 

einer bestehenden Image-Datei kann ein ISO-Image aus dem verwendeten Speicherbereich zugewie- 

191


sen werden. Alternativ kann über Verwenden eines lokalen Geräts auch ein physisches Laufwerk des 

Virtualisierungsservers mit der virtuellen Maschine verbunden werden. 

Ein Diskettenlaufwerk kann einer virtuellen Maschine ebenfalls über ein Image (im VFD-Format) oder die 

Durchreichung eines physischen Laufwerks bereitgestellt werden. 

Werden Laufwerke für eine neu zu installierende Instanz definiert, muss sichergestellt werden, dass von 

dem CDROM-Laufwerk gebootet wird. Das UVMM-Profil gibt die Bootreihenfolge für vollvirtualisierte In- 

stanzen bereits vor. Bei paravirtualisierten Instanzen wird es durch die Reihenfolge bei der Definition der 

Laufwerke festgelegt und kann auch nachträglich in den Einstellungen angepasst werden. 

Festplatten-Images sollten nach Möglichkeit paravirtualisiert angesprochen werden: 

• Bei UCS-Systemen, die unter Xen oder KVM installiert werden, wird über das Profil automatisch ein 

paravirtualisierter Zugriff aktiviert. 

• Bei Windows-Systemen, die unter Xen installiert werden sind keine Anpassungen der UVMM- 

Konfiguration nötig, hier müssen lediglich Windows-Treiber in der Maschine nachinstalliert werden 

(siehe [13]) 

• Bei Windows-Systemen, die unter KVM installiert werden muss vor Beginn der Windows-Installation 

Paravirtualisierung aktiviert werden, siehe [13] und Kapitel 6.3.2.3. 

Bearbeiten eines Laufwerks In den Einstellungen eines Laufwerks lässt sich über Paravirtualisiertes 

Laufwerk festlegen, ob der Zugriff auf das Laufwerk paravirtualisiert erfolgen soll. Diese Einstellung sollte 

für eine virtuelle Maschine mit bereits installiertem Betriebssystem nach Möglichkeit nicht mehr verändert 

werden, da dann ggf. Partitionen nicht mehr angesprochen werden können. 

Werden zu einer existierenden Instanz weitere Laufwerke oder Netzwerkkarten hinzugefügt, wird die Ver- 

wendung von Paravirtualisierung anhand der Eigenschaften der virtuellen Maschine über Heuristiken er- 

mittelt. 

Soll ein Windows-System auf Basis von KVM mit den virtIO-Treiber installiert werden, muss die Einstellung 

vor Beginn der Windows-Installation aktiviert werden. Weitere Hinweise finden sich unter [13]. 

6.3.2.4 Netzwerkschnittstellen 

Beim Anlegen einer virtuellen Instanz wird dieser automatisch eine Netzwerkkarte mit zufällig erstellter 

MAC-Adresse zugewiesen. 

In diesem Menü findet sich eine Liste aller Netzwerkkarten; außerdem können neue hinzugefügt oder 

existierende bearbeitet werden. 

Der Typ legt die Netzwerkverbindung fest. In der Grundeinstellung wird mit einer Bridge auf dem Vir- 

tualisierungsserver direkt auf das Netz zugegriffen. Die virtuelle Instanz verwendet dabei ihre eigene IP- 

Adresse. Netzwerkkarten vom Typ NAT werden in einem privaten Netz auf dem Virtualisierungsserver 

definiert. Dabei muss der virtuellen Maschine eine IP-Adresse aus dem Netz 192.168.122.0/24 gegeben 

werden. Über NAT wird dieser virtuellen Instanz der Zugang zum externen Netz erteilt, so dass der Zugriff 

über die IP-Adresse des Virtualisierungsservers erfolgt. 

192


Für Netzwerkkarten von beiden Typen sind die UVMM-Server bereits vorkonfiguriert. Allerdings gibt es 

Einschränkungen für Netzwerkkarten vom Typ Bridge. Auf den UVMM-Servern wird in der Vorgabe die 

physikalische Netzwerkkarte, auf die Standardroute gesetzt ist, zu einer Bridge umfunktioniert. Sind in 

dem Server weitere Netzwerkkarten eingebaut, so werden diese nicht automatisch angepasst. Werden 

in einer virtuellen Instanz mehrere Netzwerkkarten vom Typ Bridge benötigt, so muss zuvor eine weitere 

Netzwerkkarte auf dem Server als Bridge konfiguriert werden. Wenn eine Bridge verwendet wird, kann 

über Quelle das verwendete Netzwerkinterface ausgewählt werden. 

Netzwerkkarten vom Typ NAT sind nur durch die im Netz 192.168.122.0/24 verfügbaren IP-Adressen be- 

grenzt. 

Über den Treiber kann ausgewählt werden, welche Art von Karte bereitgestellt wird. Die Realteak RTL- 

8139 wird von nahezu jedem Betriebssystem unterstützt, die Intel Pro-1000 bietet erweiterte Fähigkeiten 

und ein Paravirtualisiertes Gerät die beste Performance. 

Die MAC-Adresse wird automatisch generiert, kann aber ggf. auch nachträglich verändert werden. 

6.3.2.5 Einstellungen 

Die Grundeinstellungen einer virtuellen Maschine können nur verändert werden, wenn sie ausgeschaltet 

ist. 

Name definiert den Namen der virtuellen Instanz. Dieser muss nicht mit dem Namen des Rechners im 

LDAP-Verzeichnis übereinstimmen. 

Betriebssystem kann für eine Beschreibung der Instanz bzw. des installierten Betriebssystems genutzt 

werden. 

Kontakt definiert den Ansprechpartner für die virtuelle Maschine, z.B. in Form einer E-Mail-Adresse. 

Beschreibung kann z.B. die Funktion weitergehend beschreiben, z.B. Mailserver. 

Architektur legt die Architektur der emulierten Hardware fest. Dabei ist zu beachten, dass nur auf Vir- 

tualisierungsservern der Architektur amd64 virtuelle 64 Bit-Instanzen angelegt werden können. Dies 

wird vom UMC-Modul auf i386-Systemen auch unterbunden. 

Anzahl der CPUs definiert wieviele virtuelle CPUs der virtuellen Instanz zugeteilt werden. 

Speicher legt die Größe des Arbeitsspeichers fest. 

6.3.2.6 Erweiterte Einstellungen 

Die erweiterten Einstellungen einer virtuellen Maschine können nur verändert werden, wenn sie ausge- 

schaltet ist. 

Virtualisierungstechnik zeigt die eingesetzte Technik zur Virtualisierung an. Diese Einstellung kann nur 

bei der Erzeugung einer virtuellen Instanz festgelegt werden. 

Bootreihenfolge legt die Reihenfolge fest, in der das emulierte BIOS der virtuellen Instanz die Lauf- 

werke nach bootbaren Medien durchsucht. Diese Einstellung ist nur bei vollvirtualisierten Instanzen 

vorhanden. Bei paravirtualisierten Instanzen kann in den Laufwerkseinstellungen die Option Als 

Boot-Medium setzen verwendet werden. 

193


Direktzugriff definiert, ob der Zugang per VNC zur virtuellen Instanz aktiviert werden soll. Ist die Option 

aktiv, kann über das UMC-Modul direkt ein VNC-Programm gestartet werden. Die VNC-URL wird in 

einem Tooltip angezeigt. In der Voreinstellung wird hierfür ein Java-VNC-Programm verwendet. Über 

die Univention Configuration Registry-Variable uvmm/umc/vnc kann mit dem Wert external festge- 

legt werden, das ein externes Programm verwendet werden soll. Dies muss auf dem Arbeitsplatz- 

Rechner installiert und mit dem URI-Schema vnc:// verknüpft sein. 

Global verfügbar definiert, ob der VNC-Direktzugriff auch von anderen Systemen möglich ist. Ist die 

Option nicht aktiviert, kann nur von dem Virtualisierungsserver auf die VNC-Sitzung zugegriffen 

werden. 

Passwort setzt ein Passwort für die VNC-Verbindung. 

Tastaturlayout legt das Layout für die Tastatur in der VNC-Sitzung fest. 

194

7 UCS Verzeichnisdienst 


7.1 Übersicht 

7.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

7.2 Protokollierung von LDAP-Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

7.2.1 Installation und Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195 

7.2.2 Format der Log-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 

7.3 Timeout für inaktive LDAP-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

7.4 Konfiguration von LDAP-ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

7.4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197 

7.4.2 Definition der Objekte, auf die eine Regel gilt (access to) . . . . . . . . . . . . . . . 198 

7.4.3 Definition der Zugriffsberechtigten auf die Objekte . . . . . . . . . . . . . . . . . . . 198 

7.4.4 Definition der Berechtigung auf die Objekte . . . . . . . . . . . . . . . . . . . . . . . 199 

7.4.5 Definition der Verarbeitung weiterer Regeln bei angewendeten Regeln . . . . . . . . 200 

7.4.6 Delegation des Zurücksetzens von Benutzerpasswörtern . . . . . . . . . . . . . . . 200 

Univention Corporate Server speichert domänenweit vorgehaltene Daten in einem LDAP- 

Verzeichnisdienst auf Basis von OpenLDAP. Dieses Kapitel beschreibt die weitergehende Konfiguration 

und Anpassung von OpenLDAP. Neben der Protokollierung von Schreibvorgängen besteht auch die 

Möglichkeit, die Zugriffsberechtigungen auf den Verzeichnisdienst anzupassen. 

7.2 Protokollierung von LDAP-Änderungen 

Das Paket univention-directory-logger ermöglicht die Protokollierung von Änderungen im LDAP- 

Verzeichnisdienst. Eine integrierte Hash-Summe stellt zusätzlich sicher, dass keine Änderungen aus der 

Logdatei entfernt werden. 

7.2.1 Installation und Einrichtung 

Die Protokollierung ist nach Installation des Pakets standardmässig aktiviert und kann durch die Univention 

Configuration Registry-Variable ldap/logging (yes/no) deaktiviert werden. 

Einzelne Teilbereiche des Verzeichnisdienstes können von der Protokollierung ausgenommen werden. 

Diese Zweige können durch die Univention Configuration Registry-Variablen ldap/logging/exclude1, 

ldap/logging/exclude2 etc. konfiguriert werden. Standardmässig ist der Container exkludiert, in dem 

die temporären Objekte gespeichert werden (cn=temporary,cn=univention,Basis-DN). 

195


Die Protokollierung der LDAP-Änderungen erfolgt durch ein Univention Directory Listener-Modul, nach Än- 

derungen in Univention Configuration Registry sollte der univention-directory-listener-Dienst neu gest- 

artet werden. 

7.2.2 Format der Log-Datei 

Änderungen am Verzeichnisdienst werden in der Datei /var/log/univention/directory-logger.log 

als eine Serie von Datensätzen folgenden Formats protokolliert: 

START 

Old Hash: 

DN: 

ID: 

Modifier: 

Timestamp: 

Action: 

Old Values: 

 

New Values: 

 

END 

Drei Änderungsarten sind zu unterscheiden: 

• Bei hinzufügten Einträgen (add) erscheint nur der New Values Abschnitt. 

• Bei veränderten Einträgen (modify) erscheint sowohl der New Values Abschnitt, als auch der Old 

Values Abschnitt. 

• Bei entfernten Einträgen (delete) erscheint nur der Old Values Abschnitt. 

Für jeden protokollierten Datensatz wird eine Hashsumme berechnet und als eine Zeile in folgendem 

Format in die Sektion daemon.info des Syslog-Dienstes protokolliert: 

directory_logger: 

DN= 

ID= 

Modifier= 

Timestamp= 

New Hash= 

Die neue Hashsumme wird zusätzlich in der Datei /var/lib/univention-directory-logger/cache 

gespeichert, um weiterhin eine Rotation der directory-logger.log durch Logrotate zu erlauben. Bei- 

de Dateien werden so angelegt, daß der Lesezugriff auf den Posix-Benutzer root und die Posix-Gruppe 

adm beschränkt ist. 

Da jeder Datensatz den Hash-Wert des alten Datensatzes enthält, können Manipulationen an der Logdatei 

- etwa entfernte Einträge - aufgedeckt werden. 

196

7.3 Timeout für inaktive LDAP-Verbindungen 

7.3 Timeout für inaktive LDAP-Verbindungen 

Der LDAP-Server nimmt standardmäßig nur 1024 Verbindungen entgegen. Wenn viele Clients eine Ver- 

bindung aufbauen, diese aber nur sporadisch nutzen, kann es vorkommen, dass der LDAP-Server keine 

weiteren Verbindungen mehr annehmen kann. 

Mit der Univention Configuration Registry-Variable ldap/idletimeout kann ein Zeitraum in Sekunden 

konfiguriert werden, nach dessen Ablauf eine Verbindung serverseitig geschlossen wird. Wenn der Wert 

auf 0 gesetzt wird, wird kein Ablaufzeitraum angewendet. 

Mit der Univention Configuration Registry-Variable libnss/idle/timelimit kann der Timeout der 

NSS-LDAP-Schnittstelle gesetzt werden, nach dessen Ablauf libnss-ldap die Verbindung zum LDAP- 

Server selbsttätig schließt und bei der nächsten Anfrage wieder neu aufbaut. 

Wenn ein Wert für ldap/idletimeout gesetzt wird, so sollte ein kleinerer Wert für 

libnss/idle/timelimit gewählt werden. 

7.4 Konfiguration von LDAP-ACLs 

7.4.1 Einführung 

Der Zugriff auf die Informationen im LDAP-Verzeichnis wird serverseitig durch durch Ac- 

cess Control Lists (ACLs) geregelt. Die ACLs werden in der zentralen Konfigurations-Datei 

/etc/ldap/slapd.conf definiert und über Univention Configuration Registry verwaltet. Die 

slapd.conf wird dabei durch ein Multifile-Template verwaltet; weitere ACL-Elemente kön- 

nen unterhalb von /etc/univention/templates/files/etc/ldap/slapd.conf.d/ 

zwischen den Dateien 60univention-ldap-server_acl-master und 

70univention-ldap-server_acl-master-end eingefügt werden oder die bestehenden Tem- 

plates erweitert werden. 

Die Standardberechtigung des LDAP-Servers erlaubt das Auslesen aller Attribute durch jeden Benutzer 

und Änderungen nur durch einen gesonderten Account, den Root-DN. 

Unter UCS gibt es darüberhinaus einige standardmässig installierte ACLs, die den Zugriff auf sensitive 

Daten unterbinden (z.B. auf das Benutzerpasswort) und für den Betrieb notwendige Regeln setzen (etwa 

nötige Zugriffe auf Rechnerkonten für Anmeldungen). Der lesende und schreibende Zugriff auf diese sensi- 

tiven Daten ist nur für die Mitglieder der Gruppe Domain Admins vorgesehen. Dabei werden auch enthal- 

tene Gruppen unterstützt. Mit der Univention Configuration Registry-Variable ldap/acl/nestedgroups 

kann diese Gruppen-in-Gruppen-Funktionalität für die LDAP-ACLs deaktiviert werden, wodurch eine Ge- 

schwindigkeitssteigerung bei den Verzeichnisdienst-Anfragen zu erwarten ist. 

Jede Regel besteht aus bis zu vier Elementen: 

• Auf welche Objekte im LDAP wird die Regel angewendet? 

• Für welche Benutzer wird eine Berechtigung zugewiesen? 

• Welche Berechtigung wird zugewiesen? 

• Wie sollen weitere Regeln verarbeitet werden? 

197


Wenn Fehler bei der ACL-Verarbeitung untersucht werden sollen, empfieht es sich den Loglevel des LDAP- 

Servers durch die Univention Configuration Registry-Variable ldap/debug/level auf 129 zu setzen und 

den LDAP-Server neu zu starten. In /var/log/syslog finden sich dann die Debug-Ausgaben. 

ACL-Erweiterungen sollten nach Möglichkeit im Debian-Paketformat paketiert werden, damit die ange- 

passten ACLs einfach auf Domänencontroller Backup-Systemen bereitgestellt werden können. 

Werden ACL-Einstellungen nachträglich gelockert, kann es zu Replikationsproblemen kommen, wenn Än- 

derungstransaktionen für ein Objekt eintreffen, das vorher durch die strikteren ACLs unterbunden wurden. 

Es wird empfohlen in diesem Fall auf Domänencontroller Slave und Backup-Systemen mit dem Befehl 

univention-directory-listener-ctrl resync replication eine Neureplikation zu starten. 

7.4.2 Definition der Objekte, auf die eine Regel gilt (access to) 

Zugriffsregeln werden durch access to-Zugriffs-Direktiven eingeleitet. Regeln können auf drei verschie- 

dene Klassen von Objekten definiert werden. Diese lassen sich beliebig kombinieren: 

• Die Direktive kann auf eine DN, also eine eindeutige Position im LDAP zugewiesen werden. Bei- 

spielsweise würde der identifizierende Teil der Direktive, der den Zugriff auf einen Datenbank- 

Administrations-Account ermöglicht, folgendermassen aussehen: 

access to dn="uid=databaseadmin,cn=users,dc=firma,dc=de" 

Die DNs können auch durch einen regulären Ausdruck definiert werden. Die regulären Ausdrücke 

werden hier im POSIX-Standard angegeben: 

access to dn.regex="cn=.*,cn=dc,cn=computers,dc=firma,dc=de" 

• Die Direktive kann anhand eines LDAP-Filters spezifiziert werden. So kann beispielsweise der Zugriff 

anhand einer Objektklasse auf MAC-Adressen eingeschränkt werden: 

access to filter="(objectClass=macAddress)" 

• Die von der Direktive betroffenen Attribute können durch attrs definiert werden, hier beispielsweise 

auf die Benutzer- und Gruppen-IDs: 

access to attrs=uidNumber,gidNumber 

7.4.3 Definition der Zugriffsberechtigten auf die Objekte 

Jede Berechtigungsdirektive wird mit dem by-Statement eingeleitet. Sie legt fest, welche Benutzer auf 

das in der access-Direktive festgelegte Objekt zugreifen dürfen: Hierbei stehen verschiedene Syntax- 

Möglichkeiten zur Verfügung: 

Auf jede Definition von Zugriffsberechtigten folgt die vergebene Berechtigung und optional ein Option, die 

die weitere Regelabarbeitung kontrolliert, siehe dazu die folgenden Abschnitte. 

198 

• Durch * gilt die Regel für alle Benutzer.


• Nicht authentifizierte Endpunkte werden durch anonymous abgedeckt. Dies ermöglicht z.B. den 

Zugriff auf ein für eine Authentifizierung notwendiges Attribut nur für die Authenfizierungsphase zu 

erlauben, diese aber für angemeldete Benutzer zu verweigern. 

• Das Gegenstück zum oben erläuterten anonymous ist users. 

• Die Regel self definiert den Zugriff auf eigene Attribute des zugreifenden Objekts. So kann etwa ein 

Benutzer- oder Rechner-Objekt seine eigenen Attribute verändern. 

• Durch dn kann der Zugriff anhand der DN des zugreifenden Objektes festgelegt werden. Dies kann 

durch verschiedene Formen angegeben werden: 

– Anhand einer konkreten DN durch dn.base, z.B. durch 

by dn.base="uid=database-admin,cn=users,dc=firma,dc=de" 

– Anhand eines regelären Ausdrucks, z.B. durch 

by dn.regex="cn=.*,cn=dc,cn=computers,dc=firma,dc=de" 

• Durch group kann die Berechtigung auf die Mitglieder eine Gruppe festgelegt werden. Dabei muss 

zusätzlich die Objektklasse des Gruppenobjekts und das Attribut angegeben werden, dass ein Mit- 

glied identifiziert. Unter UCS sieht eine Gruppenberechtigung folgermassen aus: 

by group/univentionGroup/uniqueMember="cn=Domain Admins,cn=groups,dc=firma,dc=de" 

• Durch peername, sockname und domain lässt sich der Socketdateiname oder die Netzherkunft 

des zugreifenden Benutzers definieren. Einige Beispiele: 

by sockname="PATH=/var/run/slapd/ldapi" 

by peername.ip=127.0.0.1 

by domain.subtree=example.com 

7.4.4 Definition der Berechtigung auf die Objekte 

Jede by-Direktive wird durch die vergebene Berechtigung abgeschlossen. Die Regeln sind hierarchisch 

gegliedert, jede folgende Regel erhält dabei alle Privilegien der Vorangehenden. 

• none verweigert jeglichen Zugriff. 

• disclose verweigert den Zugriff, gibt dabei aber eine Fehlermeldung aus. 

• auth beschränkt den Zugriff auf Authentifizierungs- und Autorisierungsanfragen. 

• compare beschränkt den Zugriff auf Vergleichsoperationen. 

• search beschränkt den Zugriff auf Suchanfragen. 

• read erlaubt lesenden Zugriff. 

• write erlaubt schreibenden Zugriff. 

199


7.4.5 Definition der Verarbeitung weiterer Regeln bei angewendeten Regeln 

Es gibt zu jeder by-Direktive drei Möglichkeiten die Abarbeitung weiterer Regeln zu steuern: 

• Standardmässig wird die Verarbeitung weiterer access-Regeln gestoppt, wenn eine Regel zutrifft. 

Dies kann auch noch einmal explizit durch eine stop-Direktive festgelegt werden. 

• Durch continue werden weitere Berechtigten-Regeln innerhalb der Zugriffsregel abgearbeitet. 

• Durch break werden weitere Zugriffsregeln geprüft, ob sie zutreffen. 

7.4.6 Delegation des Zurücksetzens von Benutzerpasswörtern 

Um einer Teilgruppe von Administratoren mit eingeschränkten Rechten, einem Helpdesk, das Zu- 

rücksetzen von Benutzerpasswörtern zu ermöglichen, kann das Paket univention-admingrp-user- 

passwordreset installiert werden. Es legt über ein Joinskript die Benutzergruppe User Password Ad- 

mins an, sofern diese noch nicht existiert. 

Mitglieder dieser Gruppe erhalten über zusätzliche LDAP-ACLs die Berechtigung, Passwörter von an- 

deren Benutzern zurückzusetzen. Diese LDAP-ACLs werden bei der Paketinstallation automatisch ak- 

tiviert. Um eine andere ggf. schon existierende Gruppe statt der Gruppe User Password Admins zu 

verwenden, kann der DN der zu verwendenden Gruppe in die Univention Configuration Registry-Variable 

ldap/acl/user/passwordreset/accesslist/groups/dn eingetragen werden. 

Das Zurücksetzen der Passwörter kann über den Univention Directory Manager erfolgen. In der Standar- 

deinstellung bietet Univention Directory Manager nur dem Benutzer Administrator den Benutzer-Assis- 

tenten an, über den neue Passwörter gesetzt werden können. Während der Installation wird automatisch 

eine neue Richtlinie default-user-password-admins erstellt, die mit den Mitgliedern der Gruppe User 

Password Admins bzw. mit einem entsprechenden Container im LDAP-Verzeichnis verknüpft werden 

kann. 

Die Richtlinie ermöglicht dabei die Suche nach Benutzern sowie die Ansicht aller Attribute eines Benutze- 

robjektes. Wird versucht, neben dem Passwort weitere Attribute zu modifizieren, für die keine ausreichen- 

den Zugriffsrechte auf das LDAP-Verzeichnis existieren, wird der Schreibzugriff vom Univention Directory 

Manager mit der Meldung Zugriff verweigert abgelehnt. 

Achtung: 

Das Paket ist auf dem Domaincontroller Master- sowie den Domaincontroller Backup-Systemen zu instal- 

lieren. Während der Installation wird der LDAP-Server neugestartet und ist kurzzeitig nicht erreichbar. 

Um das Zurücksetzen von Passwörtern für bestimmte Benutzer (z.B. Domänen-Administratoren) zu 

verhindern, können die UIDs der zu schützenden Benutzer in der Univention Configuration Registry- 

Variable ldap/acl/user/passwordreset/protected/uid kommasepariert angegeben werden. 

Nach einer Änderung der Variable ist es erforderlich, den LDAP-Verzeichnisdienst über den Befehl 

/etc/init.d/slapd restart neu zu starten, damit die geänderten LDAP-ACLs wirksam werden. 

In der Standardeinstellung wird der Benutzer Administrator vor Passwortänderungen durch die Gruppe 

User Password Admins geschützt. 

Sollte für die Änderung des Passworts der Zugriff auf zusätzliche LDAP-Attribute not- 

wendig sein, können die Attributnamen in der Univention Configuration Registry-Variable 

200


ldap/acl/user/passwordreset/attributes ergänzt werden. Nach der Änderung ist zur Übernah- 

me ein Neustart des LDAP-Verzeichnisdiensts notwendig. Für eine UCS-Standard-Installation ist diese 

Variable bereits passend gesetzt. 

201


202

8 Services für Windows 


8.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

8.2 Univention Corporate Server und Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

8.2.1 Authentifizierungsdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

8.2.2 Dateidienst (File-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 

8.2.3 Druckdienst (Print-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

8.2.4 NetBIOS-Netzwerkdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

8.3 Aufbau von Samba-Domänen mit UCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 

8.4 Erweiterte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 


8.4.1 Vertrauensstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

8.4.2 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211 

8.4.3 NETLOGON-Freigabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 

8.4.4 Anlegen von Objekten im LDAP-Verzeichnis über Samba . . . . . . . . . . . . . . . 214 

8.4.5 Konfiguration von Windows-Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . 214 

8.4.6 Konfiguration von Samba-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 

Univention Corporate Server kann aus Sicht von Windows-Systemen die Aufgaben von Windows- 

Serversystemen übernehmen. Diese Aufgaben umfassen unter anderem die Domänencontrollerfunktio- 

nalität, sowie Datei- und Authentifizierungsdienste in Samba-Domänen. 

Auch Druckdienste können durch Samba bereitgestellt werden. Zwischen Samba- und Windows-Domänen 

sind Vertrauensstellungen möglich. 

Neben den hier aufgeführten Kapiteln existiert weiterführende Dokumentation zu den Themen Windows- 

Domänenmigration mit UCS [14] und der automatischen Installation von Windows Clients mit UCS [4]. 

8.2 Univention Corporate Server und Samba 

Als Samba-Domäne wird im Folgenden eine Domäne mit Domänencontrollern auf Basis von UCS mit 

der Komponente Samba bezeichnet, in der die Mitglieder unter anderem über das SMB/CIFS-Protokoll 

kommunizieren. 

Als Windows NT-Domäne wird im Folgenden eine Domäne mit Domänencontrollern auf Basis von Micro- 

soft Windows NT bezeichnet, in der die Mitglieder ebenfalls über das SMB/CIFS-Protokoll kommunizieren. 

Analog wird von Windows-2000-Domänen usw. gesprochen. 

203


Als Vermittlungsstelle zwischen den Windows-Clients und dem UCS-Server dient das Programm Samba. 

Mit diesem Programm kann ein UCS-Server sowohl die Rolle eines Mitgliedsservers als auch die Rolle 

eines primären Domänencontrollers (PDC) oder eines Backup-Domänencontrollers (BDC) in der Domäne 

übernehmen (Auf die Serverrollen wird in Kapitel 2.1 näher eingegangen). 

Insofern stellt die Kombination Samba/OpenLDAP eine Art Mischform zwischen Windows NT-Domänen 

und Active Directory dar. Aus Sicht von Windows-Clients handelt es sich um eine Windows NT-Domäne. 

Für die Anbindung eines Active Directory-Verzeichnisdienstes steht die Komponente Univention AD 

Connector zur Verfügung. 

Hinsichtlich der Administration von Benutzer-, Gruppen- und Rechner-Informationen handelt es sich je- 

doch um eine vollständig verzeichnisdienstbasierte Lösung mit allen daraus resultierenden Vorteilen. 

Ein Hinweis: Die Replikation zwischen Windows-basierten und Linux-basierten Domänencontrollern ist 

nicht standardisiert in Samba implementiert. Univention kann jedoch bei Bedarf für diesen Fall entwickelte 

Samba-BDC-Pakete für UCS zur Verfügung stellen, mit denen ein UCS-System als BDC (Backup Domain 

Controller) in einer Windows NT-Domäne unter einem Windows NT PDC (Primary Domain Controller) 

betrieben werden kann. 

Innerhalb einer Domäne können sonst nur Domänencontroller eingesetzt werden, die denselben Ver- 

zeichnisdienst verwenden, damit Änderungen vom veränderbaren Master-Verzeichnis auf die anderen 

Verzeichnisse repliziert werden können. Das bedeutet, dass ohne die oben genannte Erweiterung in einer 

Domäne, in der Samba-basierte Domänencontroller mit OpenLDAP eingesetzt werden, nicht gleichzeitig 

Windows-basierte Domänencontroller verwendet werden können. 

Hinweise zur Synchronisation von Verzeichnisdienstobjekten mit Windows 2000/2003/2008 mit Active Di- 

rectory finden sich in der Dokumentation des Univention Active Directory Connectors [15]. 

Weiterführende Literatur zu Samba bietet die Website http://www.samba.org/. 

8.2.1 Authentifizierungsdienst 

Die Passwörter werden im LDAP-Verzeichnis gespeichert. Benutzer werden bei der Anmeldung an der 

Domäne mit Benutzernamen und Passwort gegen das LDAP-Verzeichnis authentifiziert und können dann 

auf alle freigegebenen Ressourcen der Domäne zugreifen ohne Benutzernamen und Passwort erneut 

eingeben zu müssen. Rechner mit jeglicher Art von Windows-Betriebssystem werden wie in Windows 

NT-Domänen über das NTLMv2-Protokoll authentifiziert. 

8.2.2 Dateidienst (File-Server) 

Benutzer können ihre Dateien auch von einem Windows-Client aus auf einem UCS-Server ablegen. Dies 

geschieht für die Benutzer transparent, denn sie speichern die Datei wie unter Windows gewohnt auf 

einem Laufwerk. Standardmäßig wird das Heimatverzeichnis jedes Benutzers durch Samba freigegeben 

und nach der Anmeldung unter Windows mit dem Laufwerk I: verbunden. Der Laufwerksbuchstabe kann 

mit Univention Directory Manager bequem für jeden Benutzer angepasst werden (siehe Kapitel 4.5.1, 

Karteikarte Windows). 

204

8.2 Univention Corporate Server und Samba 

Mit der Freigabenverwaltung des Univention Directory Manager lassen sich weitere Verzeichnisse des 

Linux-Dateisystems als Windows-Shares in der Domäne freigeben (siehe Kapitel 4.5.5). 

Als Dateisystem auf der Linux-Seite wird ext3 oder XFS empfohlen. Diese Dateisysteme erlauben die 

Verwendung von Access Control Lists (ACLs) und benutzer- bzw. gruppenspezifischen Speicherplatzbe- 

schränkungen (Quotas). Beides kann unter Windows konfiguriert werden. 

8.2.3 Druckdienst (Print-Server) 

Samba bietet die Möglichkeit, unter Linux eingerichtete Drucker als Netzwerkdrucker für Windows-Clients 

freizugeben. Unter UCS können Drucker in der Druckerverwaltung des Univention Directory Manager an- 

gelegt werden (siehe Kapitel 4.5.7). Dabei kann entweder ein für den betreffenden Drucker angepasster 

Druckertreiber auf dem Client verwendet werden oder für alle Drucker ein PostScript-Druckertreiber ein- 

gesetzt werden, wobei dann das Linux-Drucksystem die Übersetzung von PostScript in die geeignete 

Druckersprache übernimmt. 

Die zweite Lösung (PostScript) bietet den Vorteil, dass auf der Windows-Seite keine Administration von 

Druckertreibern mehr erforderlich ist. Auf der anderen Seite lassen sich über den PostScript-Druckertreiber 

nicht alle Eigenschaften bestimmter Druckermodelle ansprechen, so dass gelegentlich doch der Einsatz 

von Windows-Druckertreibern notwendig ist. Diese Treiber können zentral auf dem Samba-Server bereit- 

gestellt werden und stehen dann allen Windows-Clients zur Verfügung. 

Als Spoolsystem unter Linux setzt UCS standardmäßig das Common UNIX Printing System (CUPS) 

ein. CUPS zeichnet sich durch die Unterstützung sehr vieler Drucker und Druckprotokolle aus. Außer- 

dem wird CUPS mit einem Web-Interface geliefert, welches lokale Änderungen wie beispielsweise einen 

Druckerneustart erlaubt. 

8.2.4 NetBIOS-Netzwerkdienst 

NetBIOS ist ein auf Windows-Systemen verwendetes Netzwerkprotokoll zur Namensauflösung und Netz- 

werkkommunikation, welches in der Regel auf TCP/IP aufsetzt. 

Rechnernamen können in Windows-Netzwerken maximal 15 Zeichen lang, die Bekanntgabe an andere 

Systeme erfolgt über Broadcasts. 

Samba bildet NetBIOS-Funktionalität durch den Systemdienst nmbd ab und erlaubt so eine nahtlose 

Integration in Univention Corporate Server. 

Der NetBIOS-Name eines UCS-Systems entspricht standardmäßig dem Rechnernamen. In Univention 

Management Console kann über die Univention Configuration Registry-Variable samba/netbios/name 

ein anderer NetBIOS-Name zugewiesen werden. Über die Variable samba/netbios/aliases können 

zusätzliche NetBIOS-Aliase für den Rechner eingerichtet werden. So können z.B. vor der Migration in 

einer Windows-Domäne verwendete Rechnernamen als NetBIOS-Namen oder NetBIOS-Aliase gesetzt 

werden. Nach Änderungen am NetBIOS-Dienst muss Samba neu gestartet werden. 

205


8.3 Aufbau von Samba-Domänen mit UCS 

Zur Veranschaulichung wird in diesem Kapitel als Beispiel der Aufbau einer neuen Samba-Domäne mit 

UCS in einer Organisation mit einer Zentrale und zwei Filialen beschrieben. 

In der Zentrale wird ein PDC eingerichtet sowie ein BDC, der den PDC entlastet und bei Ausfall schnell 

ersetzen kann. Damit die Filialen auch dann arbeitsfähig sind, wenn es Netzwerkprobleme geben sollte, 

erhält jede Filiale ebenfalls einen BDC. Diese BDCs dienen lediglich als Authentifizierungsserver und sind 

nicht dafür vorgesehen, den PDC bei einem Ausfall zu ersetzen. 

Windows-basierte Clients können in die Samba-Domäne wie in eine Windows NT-Domäne integriert wer- 

den. Die Samba-Domäne erhält den ersten Teil der DNS-Domäne als Namen (siehe auch Kapitel 8.4.6.1). 

Ein DC Master mit Samba bietet automatisch PDC-Funktionalität. DC Backup und DC Slave-Server mit 

Samba können als BDCs eingesetzt werden, Memberserver mit Samba als sogenannte Mitgliedsserver. 

Mit dem Paket univention-samba-slave-pdc können auch nicht DC Master-Systeme (d.h. Domaincon- 

troller Backup, Domaincontroller Slave und Memberserver) als PDC eingesetzt werden. Generell ist zu 

beachten, daß nur ein PDC pro Netzwerk per Broadcast und WINS sichtbar installiert sein darf (siehe 

auch Kapitel 8.4.2). 

Der Aufbau der Samba-Domäne umfasst folgende Schritte: 

1. Standardmäßig befindet sich der PDC einer Samba-Domäne auf dem DC Master. Der DC Master 

muss also mit dem Paket Samba der Komponente Services for Windows installiert werden. Ein 

PDC muss eingerichtet sein, bevor Join-Skripte weiterer Samba-Systeme ausgeführt werden kön- 

nen. 

2. Durchführung des Domänenbeitritts der Windows-Clients. 

3. Installation des BDC in der Zentrale als DC Backup mit Samba. Domänenbeitritt und Replikation des 

LDAP-Verzeichnisses vom DC Master erfolgen automatisch. 

4. Installation der BDCs in den Filialen als DC Slave mit Samba. Domänenbeitritt und Replikation des 

LDAP-Verzeichnisses vom DC Master erfolgen wieder automatisch. 

5. Hinzufügen weiterer Objekte in das LDAP-Verzeichnis über Univention Directory Manager. 

Der Domänenbeitritt der Windows-Clients kann auch zum Schluss durchgeführt werden. Wichtig ist nur, 

dass der DC Master zuerst installiert wird. Änderungen im LDAP-Verzeichnis können ausschließlich auf 

dem DC Master vorgenommen werden und werden automatisch auf die Samba-Domänencontroller repli- 

ziert. 

Zur Erhöhung der Sicherheit kann der Replikationsbereich der Samba-Domänencontroller in den Filialen 

eingeschränkt werden. Dafür werden die LDAP-ACLs so angepasst, dass nur die Zweige des LDAP- 

Verzeichnisses, die in der Filiale tatsächlich benötigt werden, in die Filiale repliziert werden und auf andere 

Bereiche kein Zugriff besteht. 

Hinweise zum Domänenbeitrit von Windows-Systemen finden sich in Kapitel 2.4.2 

206

8.4 Erweiterte Konfiguration 

8.4.1 Vertrauensstellungen 


Vertrauensstellungen zwischen Domänen ermöglichen es den Benutzern einer Domäne, sich an Rechnern 

einer anderen Domäne anzumelden. Wenn eine Windows-Domäne einer Samba-Domäne vertraut, steht 

bei der Anmeldung an Rechnern der Windows-Domäne neben der Windows-Domäne auch die Samba- 

Domäne zur Auswahl. Benutzer aus der Samba-Domäne markieren diese bei der Anmeldung und werden 

gegen einen Domänencontroller der Samba-Domäne authentifiziert. 

Wenn eine Samba-Domäne einer Windows-Domäne vertraut, geben Benutzer aus der Windows-Domäne 

bei der Anmeldung an einen Linux-Rechner aus der Samba-Domäne als Benutzernamen + ein. Auf dieselbe Weise können sich die Benutzer auch an den 

Linux-Arbeitsplätzen der UCS-Domäne anmelden. 

Das Heimatverzeichnis des Benutzers wird auf dem PDC oder BDC, an dem der Benutzer authentifiziert 

wurde, unter /home/- erzeugt. 

Ein Benutzer schulze aus der Domäne WIN würde z.B. WIN+schulze zur Anmeldung eingeben. Sein 

Heimatverzeichnis hätte unter Linux den Pfad /home/WIN-schulze. 

Während der Einrichtung und Nutzung von Vertrauensstellungen müssen sich die Domänencontroller der 

beiden Domänen über das Netzwerk erreichen und per Broadcast oder WINS gegenseitig identifizieren 

können. 

8.4.1.1 Windows-Domäne vertraut Samba-Domäne 

1. In Univention Directory Manager ➞ Rechnerverwaltung muss ein Domain Trust Account an- 

gelegt werden - dessen Name dem NetBIOS-Namen der Windows-Domäne entspricht - und ein 

Passwort für das Konto vergeben werden. Die möglicherweise in der Windows-Domäne geltende 

Anforderungen an sichere Passwörter sind dabei zu beachten. 

2. Auf dem Windows-PDC muss eine Vertrauensstellung angelegt werden (siehe unten). Dazu wird der 

NetBIOS-Name der Samba-Domäne benötigt. 

3. Die Vertrauensstellung der Windows-Domäne zur Samba-Domäne kann durch Löschung der Ver- 

trauensstellung auf dem Windows-PDC und des Domain Trust Accounts in Univention Directory 

Manager wieder aufgehoben werden. 

Windows NT 

1. Auf dem Windows-PDC muss der Benutzer-Manager usrmgr.exe gestartet werden und im Menü 

Richtlinien ➞ Vertrauensstellungen... ➞ Vertraute Domänen ➞ [Hinzufügen...] ausgewählt wer- 

den. 

2. In das Eingabefeld Domäne ist der NetBIOS-Name der Samba-Domäne und in das Eingabefeld 

Kennwort das Passwort des Domain Trust Accounts einzutragen. Nach einem Klick auf [OK] er- 

scheint die Meldung “Die Vertrauensstellung mit wurde erfolg- 

reich eingerichtet”. 

207


Windows 2000 

1. Über Start ➞ Programme ➞ Verwaltung ➞ Active Directory-Domänen und - 

Vertrauensstellungen kann auf dem Windows-PDC das Menü für Vertrauensstellungen erreicht 

werden. Durch einen Klick mit der rechten Maustaste auf die eigene Domäne kann der Dialog 

Eigenschaften erreicht werden. 

2. Nach Auswahl von Vertrauensstellungen ➞ Domänen, denen diese Domäne vertraut ➞ [Hin- 

zufügen...] kann im Eingabefeld Vertraute Domäne der NetBIOS-Name der Samba-Domäne und 

in das Eingabefeld Kennwort das Passwort des Domain Trust Accounts eingegeben werden. Das 

Passwort muss im Eingabefeld Kennwortbestätigung wiederholt werden. Nach einem Klick auf 

[OK] wird die Vertrauensstellung eingerichtet. Wenn der Vorgang erfolgreich war, erscheint die Mel- 

dung “Die vertraute Domäne wurde hinzugefügt und die Vertrauensstellung bestätigt”. Sie 

kann mit [OK] bestätigt werden. 

Windows 2003 

Hinweis: 

Für die Dokumentation wurde die Version Windows Server 2003 Standard Edition zu Grunde gelegt. 

208 

1. Über Start ➞ Verwaltung ➞ Active Directory-Domänen und -Vertrauensstellungen kann auf 

dem Windows-PDC das Menü für Vertrauensstellungen erreicht werden. Durch einen Klick mit der 

rechten Maustaste auf die eigene Domäne kann der Dialog Eigenschaften erreicht werden. 

2. Nach Auswahl von Vertrauensstellungen ➞ [Neue Vertrauensstellung...] öffnet sich der Assis- 

tent für neue Vertrauensstellungen und muss mit [Weiter>] bestätigt werden. 

3. Nach Eintrag des NetBIOS-Namens der Samba-Domäne in das Eingabefeld Name muss ebenfalls 

mit [Weiter>] bestätigt werden. 

4. Als Richtung der Vertrauensstellung muss Unidirektional ausgehend ausgewählt werden und mit 

[Weiter>] bestätigt werden. 

Es stehen drei Funktionen zur Auswahl: 

Eine unidirektionale Vertrauensstellung ist eine zwischen zwei Domänen erstellte Verbindung zur 

Authentifizierung in eine Richtung. Dies bedeutet, dass bei einer unidirektionalen Vertrauensstellung 

zwischen Domäne A und Domäne B die Benutzer in Domäne A Zugriff auf Ressourcen in Domäne 

B haben. Die Benutzer in Domäne B können jedoch nicht auf Ressourcen in Domäne A zugreifen. 

Wenn Domäne A eine solche Vertrauensstellung eingerichtet werden soll, sollte die Funktion Unidi- 

rektional ausgehend ausgewählt werden. Soll Domäne B diese Rechte erhalten, muss auf Domä- 

ne A Unidirektional eingehend ausgewählt werden. Es gilt bei Unidirektionalen Verbindungen 

zu beachten, ob die Verbindung transitiv oder nicht transitiv sein soll. 

Die Transitivität bestimmt, ob eine Vertrauensstellung auf Domänen außerhalb der beiden Domänen, 

in denen diese erstellt wurde, erweitert werden kann. Mithilfe einer transitiven Vertrauensstellung 

können Vertrauensstellungen auf andere Domänen erweitert werden, während nicht transitive diese 

Erweiterung nicht ermöglichen. 

In einer bidirektionalen Vertrauensstellung vertraut Domäne A Domäne B, und Domäne B vertraut 

Domäne A. Dies bedeutet, dass Authentifizierungsanforderungen in beiden Richtungen zwischen 

den zwei Domänen ausgetauscht werden können.


5. Wenn Benutzer aus der Samba-Domäne Benutzern aus der Windows-Domäne in der Windows- 

Domäne gleichgestellt sein sollen, muss Domänenweite Authentifizierung aktiviert werden. Wenn 

Benutzern aus der Samba-Domäne in der Windows-Domäne nur ausgewählte Rechte gewährt wer- 

den sollen, reicht Ausgewählte Authentifizierung. Die Rechte können nach Fertigstellung der 

Vertrauensstellung unter Windows konfiguriert werden. Anschließend muss mit [Weiter>] auf den 

nächsten Dialog gewechselt werden. 

6. Nach Eingabe des Passworts des Domain Trust Account in die Eingabefelder Vertrauensstellungs- 

kennwort und Vertrauensstellungskennwort bestätigen muss mit [Weiter>] zur nächsten Einstel- 

lung gewechselt werden. 

7. Nach Prüfung der Einstellungen für die Vertrauensstellung können ggf. nötige Änderungen vorge- 

nommen werden. Nach einem Klick auf [Weiter>] wird die Vertrauensstellung erstellt. 

8. In diesem Schritt werden lediglich die vorgenommenen Änderungen angezeigt. Mit [Weiter>] kann 

zum nächsten Schritt gewechselt werden. 

9. Wenn sichergestellt wurde, dass ein Domain Trust Account angelegt wurde und eine Verbindung 

zum Samba-PDC aufgebaut werden kann, muss Ja, ausgehende Vertrauensstellung bestätigen 

aktiviert werden und [Weiter>] ausgewählt werden. 

10. Nun sollte der Änderungsstatus “Die Vertrauensstellung wurde erfolgreich hergestellt und be- 

stätigt” angezeigt werden und dieser Schritt mit [Fertig stellen] bestätigt werden. 

11. Die Vertrauensstellung wird unter Domänen, denen diese Domäne vertraut (ausgehende Ver- 

trauensstellung) angezeigt. 

8.4.1.2 Samba-Domäne vertraut Windows-Domäne 

1. Das Paket winbind muss auf dem Samba-PDC installiert sein und der Winbind-Dienst winbindd 

laufen. Winbind ordnet Windows-Benutzer- und Gruppennamen UNIX-IDs zu. 

Über Univention Management Console kann geprüft werden, ob das Paket winbind auf dem Server 

installiert ist. Ist das nicht der Fall, muss es nachinstalliert werden (siehe Kapitel 5.3.11). 

Nach der Installation startet der winbind-Dienst standardmäßig automatisch. Abhängig davon, wel- 

che Dienste winbind verwenden sollen, müssen die Univention Configuration Registry-Variablen 

auth/admin/methods und/oder auth/user/methods mit Univention Management Console um 

winbind ergänzt werden (siehe Kapitel 5.3.5), z.B. auf krb5 ldap unix winbind. 

Wenn der Prozess winbindd nicht in der Prozessliste in Univention Management Console zu finden 

ist, muss dieser dort gestartet werden (siehe Kapitel 5.3.9). 

2. Auf dem Windows-PDC muss eine Vertrauensstellung angelegt werden (siehe Kapitel 8.4.1.2). Bei 

der Wahl des Passworts für die Vertrauensstellung sind möglicherweise in der Windows-Domäne 

geltende Anforderungen an Passwörter zu beachten. Dazu wird der NetBIOS-Name der Samba- 

Domäne benötigt. 

Anschließend muss der winbind-Dienst über die Univention Management Console neugestartet 

werden. 

muss durch den NetBIOS-Namen der Windows-Domäne ersetzt werden. Der 

Befehl erfordert zur Eingabe eines Passworts auf, wobei das auf dem Windows-PDC verwendete 

209


210 

Passwort angegeben werden muss. Anschließend sollte die Meldung Trust to domain established erscheinen. 

Hinweis: 

Dieser Befehl muss auf allen Samba-Anmeldeservern ausgeführt werden (Domänencontroller Mas- 

ter, Backup und Slave). 

Es ist bekannt, dass der Befehl manchmal unbegründete Fehlermeldungen wie Could not connect 

to server ausgibt. Mit folgendem Befehl kann geprüft werden, ob die 

Vertrauensstellung korrekt hinzugefügt wurde: 

net rpc trustdom list 

Dazu sollte das Passwort von root auf dem Samba-PDC bzw. -BDC verwendet werden. Die Ausgabe 

des Befehls sollte der folgenden ähneln: 

Trusted domains list: 

S-1-5-21-1275210071-1060284298-839522115 

Trusting domains list: 

none 

Zur Fehlersuche kann unter Windows die Ereignisanzeige Hinweise zur Problemeingrenzung lie- 

fern. 

3. Mit dem Befehl 

net rpc trustdom revoke 

kann die Vertrauensstellung zur der Windows-Domäne wieder aufgehoben werden. Die Vertrauens- 

stellung muss außerdem auf dem Windows-PDC entfernt werden. 

4. Hinweis: 

Nach jeder der folgenden Einstellungen muss ein Neustart des nscd-Dienstes bspw. über Univention 

Management Console erfolgen. 

Windows NT 

a) Auf dem Windows-PDC muss der Benutzer-Manager usrmgr.exe gestartet werden und im 

Menü Richtlinien ➞ Vertrauensstellungen... ➞ Berechtigt, dieser Domäne zu vertrauen 

➞ [Hinzufügen...]. ausgewählt werden. 

b) Der NetBIOS-Name der Samba-Domäne muss in das Eingabefeld Berechtigung für Domäne 

und ein beliebiges Passwort in das Eingabefeld Kennwort eingetragen werden. Nach Wieder- 

holung des Passworts im Eingabefeld Kennwortbestätigung kann die Einrichtung durch Klick 

auf [OK] abgeschlossen werden. 

Windows 2000 

a) Nach Auswahl von Start ➞ Programme ➞ Verwaltung ➞ Active Directory-Domänen und - 

Vertrauensstellungen auf dem Windows-PDC kann durch Klick mit der rechten Maustaste auf 

die eigene Domäne und Auswahl von Eigenschaften ➞ Vertrauensstellungen ➞ Domänen, 

die dieser Domäne vertrauen ➞ [Hinzufügen..] der Einrichtungs-Dialog erreicht werden. In


das Eingabefeld Vertrauende Domäne muss der NetBIOS-Namen der Samba-Domäne und 

in das Eingabefeld Kennwort ein beliebiges Passwort eingegeben werden. Nach Wiederho- 

lung des Passworts im Eingabefeld Kennwortbestätigung kann durch Klick auf [OK] bestätigt 

werden. 

b) Wenn die Meldung “Sie müssen über die Berechtigung verfügen, Vertrauensstellung für 

die Domäne ’’ verwalten zu können, um diese neue Vertrau- 

ensstellung zu bestätigen. Soll die neue Vertrauensstellung bestätigt werden?” erscheint, 

muss auf [Nein] geklickt werden. 

Windows 2003 Hinweis: 

Für die Dokumentation wurde die Version Windows Server 2003 Standard Edition verwendet. 

8.4.2 WINS 

a) Nach Auswahl von Start ➞ Verwaltung ➞ Active Directory-Domänen und - 

Vertrauensstellungen auf dem Windows-PDC kann durch Klick mit der rechten Maustaste 

auf die eigene Domäne der Dialog Eigenschaften erreicht werden. 

b) Die Windows-Domäne muss im gemischten Modus betrieben werden. Dies wird auf der Kar- 

teikarte Allgemein durch die Angabe Domänenfunktionsebene: Windows 2000 gemischt 

angezeigt. 

c) Nach Auswahl von Vertrauensstellungen ➞ [Neue Vertrauensstellung...] öffnet sich der As- 

sistent für neue Vertrauensstellungen, welcher mit [Weiter>] fortgesetzt werden kann. 

d) Der NetBIOS-Namen der Samba-Domäne muss in das Eingabefeld Name eingetragen und auf 

[Weiter>] geklickt werden. 

e) Als Art der Verbindung sollte Nicht Transitiv konfiguriert werden, um den Zugriff auf Res- 

sourcen von Domänen, mit denen die Windows-Domäne bereits eine Vertrauensbeziehung 

eingegangen ist, zu unterbinden. 

f) Als Richtung der Vertrauensstellung muss Unidirektional eingehend ausgewählt und mit 

[Weiter>] bestätigt werden.. 

g) Nach Eingabe eines beliebigen Passworts in die Eingabefelder Vertrauensstellungskennwort 

und Vertrauensstellungskennwort bestätigen muss auf [Weiter>] geklickt werden. 

h) Nach Prüfung der Einstellungen für die Vertrauensstellung und Anwendung ggf. nötiger Ände- 

rungen wird die Vertrauensstellung durch Klick auf [Weiter>] erstellt. 

i) Die daraufhin angezeigten Änderungen müssen mit [Weiter>] bestätigt werden. 

j) “Nein, eingehende Vertrauensstellung nicht bestätigen” sollte ausgewählt und mit 

[Weiter>] bestätigt werden. 

k) Die Anzeige des Änderungsstatus “Die Vertrauensstellung wurde erfolgreich erstellt” muss 

durch Klick auf [Fertig stellen] bestätigt werden. 

l) Die Vertrauensstellung wird unter Domänen, die dieser Domäne vertrauen (eingehende Ver- 

trauensstellung) angezeigt. 

Windows-Betriebssysteme verwenden im Netzwerk so genannte NetBIOS-Namen. Der Windows Internet 

Name Service (WINS) ist ein Dienst zur Auflösung solcher NetBIOS-Namen in IP-Adressen ähnlich DNS 

211


in TCP/IP-Netzwerken. Außerdem stellt WINS Informationen über die Aufgaben der Rechner bereit. 

Der WINS-Dienst kann auch von Samba übernommen werden. Der Einsatz von WINS-Replikation ist mög- 

lich. Informationen zur Einrichtung von WINS-Replikation finden sich in der Univention Support Datenbank 

unter http://sdb.univention.de/1107 

Wird nur ein WINS-Server eingesetzt und sollte dieser WINS-Server ausfallen, kann durch Eingabe weni- 

ger Befehle der WINS-Server auf einem anderen Samba-Server aktiviert werden (siehe Kapitel 8.4.2.1). 

WINS wird aktiviert, indem die Univention Configuration Registry-Variable windows/wins-support auf 

dem gewünschten Samba-Server auf yes gesetzt wird. (Dementsprechend kann WINS deaktiviert werden, 

indem die Variable auf no oder leer geändert wird.) 

Standardmäßig ist der WINS-Support auf dem PDC aktiviert. Werden mehrere Samba-Server eingesetzt, 

kann anderen Servern der FQDN oder die IP-Adresse des WINS-Servers über die Univention Configura- 

tion Registry-Variable windows/wins-server zugewiesen werden. 

Die Univention Configuration Registry-Variablen setzen die Samba-Parameter wins support und 

wins server. Auf einem Samba-Server, auf dem WINS angeschaltet ist, darf kein WINS-Server 

in der Samba-Konfiguration eingetragen sein. Deshalb wird der Wert der Univention Configuration 

Registry-Variable windows/wins-server nur dann in die Samba-Konfiguration geschrieben, wenn 

windows/wins-support ungleich yes ist. 

Wird der Wert von windows/wins-support oder windows/wins-server geändert, muss Samba 

über Univention Management Console neu gestartet werden, um die Änderung wirksam werden zu lassen. 

Der WINS-Server kann den Windows-Clients über DHCP bekannt gemacht werden. Dazu ist der WINS- 

Server in Univention Directory Manager bei dem entsprechenden DHCP-Objekt auf der Karteikarte 

[NetBIOS] einzutragen oder an einen Container oberhalb des Objekts mit einer DHCP-NetBIOS-Richtlinie 

zu verbinden. 

Bei der Migration einer Windows-Domäne muss auf Windows-Clients ohne DHCP kein neuer WINS-Server 

eingetragen werden, wenn der Samba-WINS-Server dieselbe IP-Adresse verwendet wie der Windows- 

WINS-Server. Dafür eignet sich auch eine virtuelle Netzwerkschnittstelle auf dem Samba-WINS-Server, 

der die IP-Adresse des Windows-WINS-Servers zugewiesen wird. 

8.4.2.1 Ersetzen eines ausgefallenen WINS-Servers 

Um einen ausgefallenen WINS-Server zu ersetzen, muss folgendermaßen vorgegangen werden: 

212 

1. Auf dem Samba-Server, der WINS in Zukunft anbieten soll, muss die Univention Configuration 

Registry-Variable windows/wins-support über Univention Management Console auf yes gesetzt 

werden: 

2. Der Samba-Dienst muss über Univention Management Console neu gestartet werden. 

3. Bestehende Systeme müssen auf die Adresse des neuen WINS-Servers konfiguriert werden, bei- 

spielsweise über einen DNS-Alias-Record (siehe Kapitel 4.5.9.2), eine DHCP-NetBIOS-Richtlinie 

(siehe Kapitel 4.5.11.5) oder bei Samba-Servern durch Konfiguration der Univention Configuration 

Registry-Variable windows/wins-server.

8.4.3 NETLOGON-Freigabe 


Die NETLOGON-Freigabe dient der Bereitstellung von Systemrichtlinien und Anmeldeskripten in 

Windows-Domänen. Unter UCS ist standardmäßig das Verzeichnis /var/lib/samba/netlogon als 

Samba-Freigabe NETLOGON eingerichtet. 

Die NETLOGON-Freigabe muss auf allen Samba-Domänencontrollern zur Verfügung stehen und sollte 

denselben Inhalt haben. Um das sicherzustellen, werden Änderungen ausschließlich auf dem DC Master 

vorgenommen (selbst wenn auf dem DC Master Samba nicht installiert ist) und standardmäßig stündlich 

mithilfe der Programme rsync und ssh verschlüsselt auf alle DC Backup- und DC Slave-Systeme, auf 

denen Samba installiert ist, synchronisiert. Das Synchronisationsintervall kann auf den einzelnen Servern 

in der Datei /etc/cron.d/univention-samba geändert werden. 

Mit Hilfe der Univention Configuration Registry-Variable samba/netlogon/sync kann die Synchronisa- 

tion der NETLOGON-Freigabe gesteuert werden. Die Variable kann auf dem jeweiligen DC Backup- oder 

DC Slave-System gesetzt werden und kann drei unterschiedliche Zustände annehmen: 

• sync 

Die Netlogon-Skripte werden vom DC Master auf das lokale System repliziert, dadurch werden auf 

dem DC Master nicht mehr vorhandene Dateien lokal gelöscht. Das ist die Standardeinstellung. 

• download 

Die Netlogon-Skripte werden vom DC Master heruntergeladen und ggf. überschrieben. Es werden 

jedoch lokal keine Dateien gelöscht. 

• none 

Die Synchronisation ist deaktiviert. 

8.4.3.1 Anmeldeskripte 

Anmeldeskripte sind Skripte, die auf Windows-Rechnern nach der erfolgreichen Anmeldung eines Be- 

nutzers ausgeführt werden. Damit lassen sich beliebige Änderungen an der Umgebung des Benutzers 

ausführen, bevor dieser mit dem System arbeiten kann. Das Standard-Anmeldeskript liegt im Verzeichnis 

scripts in der Samba-Freigabe NETLOGON. Im Kapitel 8.4.5 wird erläutert, wie andere Anmeldeskripte 

auf Samba- und Benutzerebene festgelegt werden können. Skripte müssen in einem für Windows auffind- 

baren Format gespeichert werden, wie bat und cmd. 

Mit dem Befehl 

net user /domain 

kann unter Windows geprüft werden, ob und welches Anmeldeskript dem in benutzername angegebenen 

Benutzer zugeordnet ist. 

Um ein globales Anmeldeskript zu definieren, steht die Univention Configuration Registry-Variable 

samba/logonscript zur Verfügung. Ist diese Variable auf einem Samba-Server gesetzt, wird allen Be- 

nutzern, die sich an diesem Samba-Server anmelden, standardmäßig das dort angegebene Anmeldeskript 

zugeordnet. 

213


8.4.3.2 Systemrichtlinien 

Samba unterstützt die Verwendung von so genannten Systemrichtlinien, die unter Windows mit dem Werk- 

zeug poledit.exe erzeugt und bearbeitet werden können. Mit Systemrichtlinien lassen sich eine große Zahl 

von Benutzer- und Client-bezogenen Voreinstellungen festlegen. So können Benutzer damit beispielswei- 

se auf die Möglichkeit zum Ausführen nur weniger, vordefinierter Programme beschränkt werden. Sys- 

temrichtlinien müssen in einer Windows- bzw. Samba-Domäne in der NETLOGON-Freigabe unter dem 

Dateinamen ntconfig.pol abgelegt werden. 

8.4.4 Anlegen von Objekten im LDAP-Verzeichnis über Samba 

Wenn in einer Samba-Domäne Benutzer- oder Gruppenkonten angelegt werden oder ein Windows- 

Rechner der Domäne beitritt, werden diese Daten über Samba in das LDAP-Verzeichnis eingetragen. 

Dabei wird zunächst geprüft, ob ein Objekt mit diesem Namen bereits im LDAP-Verzeichnis existiert. 

Existierende Objekte werden an die neuen Angaben angepasst. 

Wenn die Objekte noch nicht im LDAP-Verzeichnis existieren, werden die Konten in Standard- 

Containern angelegt. Diese Standard-Container können mit den Univention Configuration 

Registry-Variablen samba/defaultcontainer/user, samba/defaultcontainer/group und 

samba/defaultcontainer/computer festgelegt werden. Dabei muss immer der vollständige DN 

des gewünschten Containers verwendet werden. Wird die Univention Configuration Registry-Variable 

samba/defaultcontainer/group beispielsweise über Univention Management Console auf den 

Container cn=windows-groups,cn=groups,dc=firma,dc=com konfiguriert, wird dieser zum Standard- 

container für Gruppenkonten. Auf verschiedenen Samba-Servern können die Variablen unterschiedliche 

Werte enthalten. So können z.B. Rechner von Standort 1 in einem anderen Container angelegt werden 

als Rechner von Standort 2. Sind die Variablen nicht gesetzt, so werden die Container cn=users,, cn=groups, und cn=computers, verwendet. 

Bei einer Übernahme von NT-Benutzerkonten werden die Standard-Container des Servers, auf dem das 

Migrationsskript ausführt wird, verwendet. Existierende Objekte werden genauer in der Migrationsdoku- 

mentation [14] beschrieben. 

8.4.5 Konfiguration von Windows-Benutzerkonten 

Einstellungen, die für alle Windows-Benutzerkonten gelten sollen, werden in der Samba-Konfiguration vor- 

genommen. Sie besteht aus der Datei /etc/samba/smb.conf und den darin eingebundenen Dateien. 

Zahlreiche Parameter der Samba-Konfiguration können mit Univention Configuration Registry-Variablen 

gesetzt werden. Werden mehrere Server genutzt, ist zu beachten, dass für die Benutzer jeweils die 

Samba-Konfiguration desjenigen Servers gilt, gegen den sie sich authentifiziert haben. Benutzerspezi- 

fische Einstellungen können über Univention Directory Manager ➞ Benutzer hinzufügen/bearbeiten 

➞ Karteikarte Windows vorgenommen werden. 

UNIX-Verzeichnisse, die unter Windows verwendet werden sollen, müssen als Samba-Freigabe eingerich- 

tet werden (siehe Kapitel 4.5.5). In den folgenden Beispielen muss durch den NetBIOS- 

Namen des Servers, auf dem das Verzeichnis liegt, ersetzt werden (siehe Kapitel 8.4.6). 

214

8.4.5.1 Windows-Heimatverzeichnis 


Samba stellt das Linux-Heimatverzeichnis eines Benutzers automatisch auf einem Laufwerksbuchsta- 

ben unter Windows zur Verfügung. In der Samba-Konfiguration gibt es den Parameter logon home, 

der sich standardmäßig auflöst zu \\\, beispielsweise 

\\ucs-samba-server\meier. Folglich erscheint das Verzeichnis unter Windows auf dem Heimatlauf- 

werk (siehe Kapitel 8.4.5.2) als Verzeichnis mit dem Verzeichnisnamen, der dem Benutzernamen ent- 

spricht. 

Mit der Univention Configuration Registry-Variable samba/homedirserver kann ein anderer Server und 

mit samba/homedirpath ein anderes Verzeichnis für logon home in die Samba-Konfiguration eingetra- 

gen werden. Diese Werte gelten dann für alle Benutzer. 

Werden diese Variablen sowie samba/homedirletter auf local gesetzt, so wird kein Verzeichnis au- 

tomatisch unter Windows zur Verfügung gestellt bzw. werden - soweit vorhanden - die Einstellungen aus 

Univention Directory Manager verwendet. 

In Univention Directory Manager können Server und Verzeichnis im Eingabefeld Windows- 

Heimatverzeichnis benutzerspezifisch festgelegt werden. Wenn für den Benutzer ein anderer Server als 

in der Samba-Konfiguration vorgegeben gelten soll, so ist der Server und der Benutzername für das Hei- 

matverzeichnis in das Eingabefeld einzutragen. Bsp. \\ucs-file-server\meier 

Wenn anstelle des UNIX-Heimatverzeichnisses des Benutzers ein anderes UNIX-Verzeichnis auf dem 

Windows-Laufwerk für das Heimatverzeichnis angezeigt werden soll, muss dieser Server und das Ver- 

zeichnis in das Eingabefeld Windows-Heimatverzeichnis eingetragen werden. 

8.4.5.2 Laufwerk für Heimatverzeichnis 

In der Samba-Konfiguration ist im Parameter logon drive definiert, auf welchem Windows-Laufwerk die 

UNIX-Heimatverzeichnisse der Benutzer standardmäßig erscheinen sollen. Unter UCS ist dies standard- 

mäßig Laufwerk I:. 

Wenn dieses Laufwerk bereits anderweitig belegt ist oder aus anderen Gründen standardmäßig ein an- 

deres Laufwerk verwendet werden soll, kann der Wert mit der Univention Configuration Registry-Variable 

samba/homedirletter in der Samba-Konfiguration verändert werden. 

Durch Setzen dieser Variable sowie samba/homedirserver und samba/homedirpath auf local wird 

kein Laufwerk verbunden bzw. werden - soweit vorhanden - die Einstellungen aus Univention Directory 

Manager verwendet. 

Wenn das Heimatverzeichnis nur bei bestimmten Benutzern auf einem anderen Windows-Laufwerk er- 

scheinen soll, muss in Univention Directory Manager jeweils der Laufwerksbuchstaben mit anschließen- 

dem Doppelpunkt in das Eingabefeld Laufwerk für Heimatverzeichnis eingetragen werden. 

8.4.5.3 Anmeldeskript 

Wenn ein Benutzer sich an Windows anmeldet, kann automatisch ein so genanntes Anmeldeskript aus- 

geführt werden. Das Standard-Anmeldeskript liegt im Verzeichnis scripts in der Samba-Freigabe NET- 

215


LOGON, die bei UCS das Verzeichnis /var/lib/samba/netlogon freigibt (siehe Kapitel 8.4.3 und 

8.4.3.1). 

In Univention Directory Manager kann im Eingabefeld Anmeldeskript ein anderes An- 

meldeskript spezifisch für den Benutzer relativ zur NETLOGON-Freigabe, also relativ zu 

/var/lib/samba/netlogon, definiert werden. Soll z.B. für die Benutzerin meier das Skript 

/var/lib/samba/netlogon/scripts/meier.bat gelten, so ist scripts\meier.bat einzu- 

geben. Dies entspricht dem Samba-Konfigurations-Parameter login script. 

8.4.5.4 Profilverzeichnis 

Im Profilverzeichnis wird das Benutzerprofil für die Windows-Oberfläche gespeichert. In der Samba- 

Konfiguration gibt es den Parameter logon path, der sich unter UCS standardmäßig auflöst zu 

\\\\windows-profiles\. 

In diesem Verzeichnis werden auch die Dateien gespeichert, die der Benutzer unter Windows im Ordner 

Eigene Dateien speichert. Sie werden zwischenzeitlich lokal auf dem Windows-Rechner gespeichert und 

erst auf die Festplatte des Samba-Servers geschrieben, wenn der Benutzer sich von Windows abmeldet. 

Mit der Univention Configuration Registry-Variable samba/profileserver kann ein anderer Server, mit 

samba/profilepath ein anderes Verzeichnis für logon path festgelegt werden. 

In Univention Directory Manager kann in dem Eingabefeld Profilverzeichnis ein abweichender 

Pfad oder ein anderer Server für das Profilverzeichnis für den Benutzer konfiguriert werden. Bsp. 

\\ucs-file-server\meier\profiles\winXP. 

Wird der Pfad später geändert, wird ein neues Profilverzeichnis angelegt. Die Daten aus dem alten Profil- 

verzeichnis bleiben dabei erhalten und können manuell in das neue Profilverzeichnis kopiert beziehungs- 

weise verschoben werden. Abschließend kann das alte Profilverzeichnis gelöscht werden. 

Durch Konfiguration der Univention Configuration Registry-Variablen samba/profilepath und 

samba/profileserver auf local können servergespeicherten Profile deaktiviert werden. Hierzu ist au- 

ßerdem ein Neustart des Samba-Dienstes notwendig. 

Sollen neben dem PDC weitere BDCs verwendet werden, muss diese Einstellung auf anderen Systemen 

analog erfolgen. 

8.4.5.5 Relative ID 

Alle Benutzer, Gruppen und Rechner in einer Windows-Domäne haben eine Security ID (SID), die sich aus 

zwei Teilen zusammensetzt. Der vordere Teil ist allen Mitgliedern und Gruppen der Domäne gemeinsam 

und unterscheidet sich von anderen Domänen. Durch den hinteren Teil unterscheiden sich die Mitglieder 

und Gruppen innerhalb der Domäne eindeutig voneinander. Dieser Teil wird relative ID (RID) genannt. Die 

komplette SID ist also für jedes Objekt eindeutig. Die RIDs 0 bis 999 sind für die Vergabe an Standard- 

Gruppen und andere spezielle Objekte vorgesehen. 

216

8.4.5.6 Passwort-Eigenschaften für Windows-Clients 


Für Benutzer-Passworte können in Univention Directory Manager über die Richtlinie Passwort Vorgaben 

hinsichtlich Mindestlänge, Passwort-Qualität und Passwort-Historie vorgenommen werden. Diese Einstel- 

lungen wirken sich nur indirekt auf in Windows geänderte Passworte aus. 

Der Hintergrund: Samba nimmt die Passwort-Änderungen von Windows-Clients entgegen und gibt sie 

an Univention Directory Manager weiter. In Univention Directory Manager wird die Richtlinie Passwort 

ausgewertet; falls diese verletzt wird - etwa bei zu kurzem Passwort - wird die Passwort-Änderung zu- 

rückgewiesen. Samba gibt an den Windows-Client die Meldung Sie haben keine Berechtigung, das 

Passwort zu ändern zurück. 

Damit von Samba aussagekräftige Fehlermeldungen an den Client zurückgegeben werden, können in der 

Samba-Konfiguration einige Einstellungen hinsichtlich Passwort-Eigenschaften vorgenommen werden. 

Dazu muss im Univention Directory Manager das Samba-Domänenobjekt bearbeitet werden. 

In Univention Directory Manager kann über Navigation der Container samba geöffnet werden. In diesem 

findet sich ein Eintrag Einstellungen: Samba-Domäne, der bearbeitet werden kann. 

Als Passwort Länge sollte derselbe Wert verwendet werden, der auch in der Richtlinie Passwort zum 

Tragen kommt (die Voreinstellung der Richtlinie ist 8). Für die Passwort-History sollte analog der Wert 

der Richtlinie Passwort verwendet wird (die Voreinstellung ist 3). Durch einen Klick auf [Ok] werden die 

Einstellungen gespeichert. Um eventuelle spätere Fehlersuchen zu vereinfachen, sollten die Einstellungen 

in der Richtlinie Passwort und im Objekt Samba-Konfiguration identisch sein. 

Bei den nächsten Passwort-Änderungen an Windows-Rechnern wird bei Verletzung der Einstellung eine 

entsprechende Fehlermeldung ausgegeben. 

Hinweis: 

Die Einstellungen des Samba-Domänen-Objekts wirken sich nur auf Windows-Clients aus. Einstellun- 

gen, die analog auch im Univention Directory Manager konfiguriert werden können, sollten nach Möglich- 

keit synchron gehalten werden. 

Über das Samba-Domänen-Objekt lassen sich noch weitere Passwort-Eigenschaften einer Samba- 

Domäne für Windows-Clients konfigurieren: 

Parameter Erklärung 

Minimales Passwortalter Dies ist der minimale Zeitraum, der vergehen muss, bevor ein 

Passwort erneut geändert werden kann. Wird kein Wert konfi- 

guriert wird, ist eine umgehende Passwortänderung möglich. 

Maximales Passwortalter Das maximale Alter eines Passworts, bevor es geändert werden 

Fehlgeschlagene Anmeldever- 

suche vor Aussperrung 

muss. Wird kein Wert konfiguriert, ist ein Passwort unbegrenzt 

gültig. Es wird empfohlen, die Passwort-Ablaufintervalle für die 

UCS- und Samba-Domäne gleich zu halten. 

Die Anzahl an zugelassenen fehlerhaften Anmeldevorgängen, 

bevor ein Account gesperrt wird. 

Dauer der Aussperrung Dauer der Sperrung, wenn zu viele fehlgeschlagene Anmeldun- 

gen erfolgten. 

217


Fehlgeschlagene Anmeldever- 

suche zurücksetzen nach 

Änderung des Passwortes er- 

fordert Anmeldung 

Anzahl an erfolgreichen Anmeldungen, die nötig sind, um die 

gespeicherten fehlgeschlagenen Versuche zurückzusetzen. 

Wird diese Option gesetzt, ist eine Änderung des Passworts nur 

nach erfolgreicher Anmeldung möglich. 

Verbindung trennen nach Konfiguriert die maximale Länge einer angemeldeten Sitzung. 

Änderung des Rechnerpass- 

wortes ablehnen 

8.4.6 Konfiguration von Samba-Servern 

8.4.6.1 Samba-Domänenname 

Diese Option bewirkt, dass Anfragen zur Änderung des Rech- 

nerpasswortes verworfen werden. 

Standardmäßig erhält eine Samba-Domäne unter UCS den ersten Teil des DNS-Domänennamens als 

Namen. Lautet der DNS-Domänenname z.B. firma.com, so heißt die Samba-Domäne firma. 

Dieser Name wird bereits bei der Installation des DC Master im LDAP-Verzeichnis angelegt, unabhängig 

davon, ob auf dem DC Master die Komponente Services für Windows installiert wird oder nicht. 

Mit der Installation des Pakets univention-samba wird die Univention Configuration Registry-Variable 

windows/domain ebenfalls auf diesen Namen gesetzt, sofern sie noch nicht existiert. 

In Umgebungen, in denen die Samba-Domäne z.B. an verschiedenen Standorten unterschiedliche Na- 

men haben soll, kann die Univention Configuration Registry-Variable windows/domain auf den örtlichen 

Samba-Servern jeweils auf den gewünschten Namen gesetzt werden. Diese Namen müssen in Univenti- 

on Directory Manager unter Navigation ➞ samba als Einstellungen: Samba-Domäne-LDAP-Objekte 

eingetragen werden. Dabei muss beachtet werden, dass die Objekte trotz unterschiedlicher Samba- 

Domänennamen mit derselben Samba-SID verbunden werden, um trotz der unterschiedlichen Namen 

eine einzige Samba-Domäne abzubilden. 

8.4.6.2 LDAP Replication Sleep 

Über die Univention Configuration Registry-Variable samba/ldap/replication/sleep kann der Pa- 

rameter ldap replication sleep in der Samba-Konfiguration anpasst werden. Mit diesem Parameter wird 

die Zeitspanne gesetzt, die Samba für die Replikation von Änderungen im LDAP-Verzeichnis vorsieht (in 

Millisekunden). Der Vorgabewert beträgt 1000 Millisekunden (also eine Sekunde). In Umgebungen, in de- 

nen bei der Replikation z.B. durch eine langsame Netzwerkverbindung Verzögerungen auftreten, ist es 

sinnvoll, einen höheren Wert zu verwenden. Der Maximalwert beträgt 5000 Millisekunden. 

8.4.6.3 Windows-Berechtigungen 

Samba gibt Administratoren die Möglichkeit, Rechte an andere Benutzer zu übertragen, um somit gerade 

bei großen Umgebungen die administrative Arbeitslast zu verteilen. 

218


In die Univention Configuration Registry-Variable samba/adminusers können Benutzer eingetragen wer- 

den, die Administratoren-Rechte erhalten sollen. Diese Benutzer werden der Samba-Gruppe Adminusers 

zugeordnet, in der standardmäßig nur der Administrator-Benutzer eingetragen ist. 

Um die Anzahl der Adminusers gering zu halten, ist es empfehlenswert, Benutzern einzelne Privilegien 

zu geben und nicht alle Administrator-Rechte. 

Das bedeutet, dass der Administrator einem Benutzer ein bestimmtes Privileg gibt, das sonst nur der 

Administrator verwalten kann. 

Mit folgendem Befehl können die verfügbaren Privilegien aufgelistet werden: 

net rpc rights list -U Administrator 

Hier die Ausgabe mit Erläuterungen: 

Privileg Erklärung 

SeMachineAccountPrivilege Erlaubt das Einbinden von Rechnern in die Domäne 

SePrintOperatorPrivilege Erlaubt die Verwaltung von Druckern 

SeAddUsersPrivilege Erlaubt das Hinzufügen von Domänen-Benutzern und 

Domänen-Gruppen 

SeRemoteShutdownPrivilege Erlaubt den Neustart eines anderen Rechners 

SeDiskOperatorPrivilege Erlaubt die Verwaltung von Verzeichnis-Freigaben 

SeBackupPrivilege Erlaubt die Datensicherung von Dateien und Verzeichnissen 

SeRestorePrivilege Erlaubt die Wiederherstellung von Dateien und Verzeichnisse 

SeTakeOwnershipPrivilege Erlaubt die Inbesitznahme von Dateien und Verzeichnissen und 

somit die Änderung von Rechten 

Folgender Befehl weist bestimmten Benutzern ein Privileg zu: 

net rpc rights grant -U Administrator 

Als Beispiel: 

net rpc rights grant -U Administrator BENUTZER1 SeMachineAccountPrivilege 

Nach Eingabe des root-Passworts erscheint folgende Ausgabe: 

Successfully granted rights. 

Der BENUTZER1 verfügt nun über das Privileg, neue Rechner zur Domäne hinzuzufügen. 

Mit folgendem Befehl kann dieses Privileg wieder entfernt werden: 

net rpc rights revoke -U Administrator 

Nach erneuter Eingabe des Administrator-Passworts sollte folgende Ausgabe erscheinen: 

Successfully revoked rights. 

Mit folgendem Befehl kann aufgelistet werden, welche Privilegien einem Benutzer zugeordnet sind: 

net rpc rights list -U Administrator 

219


8.4.6.4 Samba-Zeichensätze 

Damit unterschiedliche Systeme miteinander kommunizieren können, benötigen sie denselben Zei- 

chensatz (z.B. sind die deutschen Umlaute und das ß nicht in jedem Zeichensatz enthalten). Über 

die Univention Configuration Registry-Variablen samba/charset/unix, samba/charset/dos und 

samba/charset/display können Zeichensätze konfiguriert werden, 

Standardmäßig sind die genannten Univention Configuration Registry-Variablen leer, Samba verwendet 

dann die Betriebssystem-Vorgabe, z.B. UTF-8, als Unix-Zeichensatz. 

8.4.6.5 Abbildung von Rechten aus erweiterten Attributen 

Die Samba-Konfiguration in Univention Corporate Server erlaubt die Speicherung von DOS-Datei- 

Attributen (ARCHIVE, HIDDEN, SYSTEM, READ-ONLY) in erweiterten Attributen des Unix-Dateisystems. 

Die DOS-Attribute werden dabei im Attribut user.DOSATTRIB gespeichert. 

Um erweiterte Attribute zu nutzen, muss die Partition mit der Mount-Option user_xattr eingebunden wer- 

den. 

Unterstützung für erweiterte Attribute ist in den UCS-Kerneln für ext2, ext3 und XFS standardmäßig 

aktiviert. 

220

9 Desktop-Systeme 


9.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221 

9.2 Desktop-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 

9.2.1 Thin Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 

9.2.2 Managed Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222 

9.2.3 Mobile Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 

9.3 Einstellungen im Univention Directory Manager für Desktop-Systeme . . . . . . . . . . . . 223 

9.3.1 Grafische Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223 

9.3.2 Anbindung an Serversysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 

9.3.3 Autostart-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224 

9.3.4 NX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225 

9.4 VNC-Desktopfreigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226 

9.4.1 Konfiguration des VNC-Zugangs auf Thin Clients . . . . . . . . . . . . . . . . . . . . 226 

9.4.2 Konfiguration des VNC-Zugangs auf Managed/Mobile Clients . . . . . . . . . . . . . 226 

9.5 Thin Client-Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227 

9.5.1 Unterstützung des Starts von Compact Flash-Karten oder USB-Sticks . . . . . . . . 229 

9.5.2 Thin Client Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 

9.6 Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 

9.6.1 Erzeugen von neuen Heimatverzeichnissen . . . . . . . . . . . . . . . . . . . . . . . 234 

9.6.2 Ändern des Standardinhalts von Heimatverzeichnissen . . . . . . . . . . . . . . . . 234 

9.6.3 Setzen von Umgebungsvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 

9.7 Globale Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236 

9.1 Einleitung 

9.7.1 Erstellen und Verwalten globaler Heimatverzeichnisse . . . . . . . . . . . . . . . . . 236 

Univention Corporate Desktop (UCD) ermöglicht den flexiblen Einsatz von zentral gepflegten Linux-Clients 

für Desktop-Arbeitsplätze und ist speziell auf die Zusammenarbeit mit Univention Server-Systemen abge- 

stimmt. 

Univention Corporate Server bietet drei verschiedene Formen von Desktop-Systemen an, den Managed 

Client für stationäre Desktop-Systeme, den Mobile Client für mobile Clients wie Notebooks und den Thin 

Client für einen festplattenlosen Rechnerbetrieb. 

Eine auf KDE basierende Benutzeroberfläche und auf den Einsatz im Geschäftsumfeld abgestimmte Ap- 

plikationen (z.B. OpenOffice.org) erlauben effizientes Arbeiten in einer modernen Umgebung. 

Ab UCS 2.3 ist auch die GNOME-Desktop-Umgebung zusätzlich verfügbar. Die Einrichtung von GNOME 

ist in der Univention Support Datenbank beschrieben: http://sdb.univention.de/1094 

221


Dieses Kapitel beschreibt die Einrichtung und die Administration von Desktop-Systemen, Anpassungen 

am Desktop und die Verwendung von Richtlinien zur effizienten Konfiguration grösserer Umgebungen. 

9.2 Desktop-Systemrollen 

UCS beinhaltet drei verschiedene Desktop-Systemrollen, die in Univention Directory Manager verwaltet 

werden können und jeweils auf ein bestimmtes Einsatzgebiet optimiert wurden. 

Die Desktop-Umgebung kann optional aber auch auf beliebigen Server-Systemrollen installiert werden. 

9.2.1 Thin Clients 

Thin Clients sind Systeme, die über keine Festplatte verfügen. Diese Systeme booten über das Netzwerk 

von einem DC Master-, DC Backup- oder DC Slave-Server, die als Boot-Server agieren und ermöglichen 

die Anmeldung an einem UCS- oder Windows-Terminalserver. 

Bei der Anmeldung eines Benutzers am Thin Client wird die Anfrage des Benutzers an den Authenti- 

fizierungsserver geleitet. Ist die Authentifizierung auf diesem Server erfolgreich, wird überprüft, ob das 

Heimatverzeichnis lokal vorhanden ist oder es von einem anderen Server abgerufen und eingebunden 

werden muss. Benutzer können an mehreren Clients gleichzeitig angemeldet sein, jedoch unterstützen 

bestimmte Applikationen wie z.B. Kontact nur den Betrieb in einer Sitzung des Benutzers. Mehrere gleich- 

zeitige Sitzungen können dann zu instabilen Prozessen führen. Das Arbeiten an zwei Arbeitsplätzen ist 

somit möglich, wird jedoch nicht empfohlen. 

Thin Clients verfügen über keine lokal installierten Daten, da die gesamte Software auf den Serversyste- 

men installiert ist (das sogenannte Client-Basissystem). Durch diese zentrale Verwaltung wird der Pflege- 

aufwand für die installierte Software stark verringert. Thin Clients sind ohne Anbindung an Serversysteme 

nicht zu betreiben. Der Benutzer hat am Thin Client Zugriff auf alle Ressourcen der Domäne, sofern 

entsprechende Berechtigungen erteilt wurden. Des weiteren können Thin Clients über lokale Drucker ver- 

fügen, die per USB oder Parallel Port verwendet werden können. 

9.2.2 Managed Clients 

Als Managed Clients werden UCS-Systeme bezeichnet, die über ein lokale UCS-Installation verfügen 

und auf Dienste der Server-Systeme zugreifen. Managed Clients sind in Univention Directory Manager 

administrierbar und nutzen in der Regel zentrale Repository-Server zur Paketpflege. Die Authentifizierung 

erfolgt über einen LDAP-Server oder anhand von lokal zwischengespeicherten Anmeldeinformationen. 

Da Managed Clients über ein lokal installiertes Betriebssystem verfügen, können sie auch ohne Netzwerk- 

Anbindung booten. Die Heimatverzeichnisse der Benutzer werden lokal gespeichert, sind dann jedoch nur 

einem Client verfügbar. Es ist ebenfalls möglich, die Heimatverzeichnisse auf einem zentralen Server 

abzulegen, dies ist in Abschnitt 9.7 beschrieben. In diesem Fall ist für die Anmeldung eine Netzwerkver- 

bindung zu diesem Server nötig. 

Die Anmelde- und Benutzerdaten sowie die Gruppenzugehörigkeiten der letzten drei angemeldeten Be- 

nutzer werden auf dem Managed Client zwischengespeichert, - die Anzahl der zwischengespeicherten 

222

9.3 Einstellungen im Univention Directory Manager für Desktop-Systeme 

Anmeldungen ist über die Univention Configuration Registry-Variable auth/passwdcache/max_user 

konfigurierbar - sodass eine Authentifizierung ohne Netzwerkanbindung für diese Benutzer möglich ist. 

Wird das Passwort für diese Benutzer im Univention Directory Manager geändert und ist der Client nicht 

mit dem Domänencontroller über das Netz verbunden, muss sich der Benutzer noch mit seinem alten 

Passwort anmelden. Die Passwort-Änderung wird bei der nächsten Anbindung am Netzwerk übernom- 

men. 

9.2.3 Mobile Clients 

Mobile Clients beinhalten dieselben zentralen Eigenschaften wie Managed Clients, z.B. lokales Betriebs- 

system und Zugriff auf Dienste auf den Server-Systemen. Die Systemrolle Mobile Client dient zur besseren 

Abgrenzung von mobilen Rechnern wie z.B. Laptops, die nicht ständig mit der Domäne verbunden sind 

und auf denen gegebenenfalls andere Software installiert wird. 


Zur Verwaltung von UCS Desktop-Systemen bietet Univention Directory Manager verschiedene Möglich- 

keiten, die die Administration von Rechnerumgebungen vereinfachen. 

9.3.1 Grafische Benutzeroberfläche 

UCS-Desktop-Systeme besitzen eine grafische Benutzeroberfläche. Für die Darstellung dieser Oberfläche 

ist der sogenannte X-Server zuständig. Dabei handelt es sich um ein Programm, das Ausgabeanweisun- 

gen von Programmen (z.B. ”Zeichne die Programmoberfläche und gib den Buchstaben A aus”) entgegen 

nimmt und die Rechnerhardware entsprechend ansteuert, um die Grafiken auf dem Bildschirm darzustel- 

len. Außerdem nimmt der X-Server Benutzereingaben über Tastatur und Maus entgegen und leitet sich an 

die verschiedenen Benutzerprogramme weiter. 

Damit der X-Server alle Daten optimal verarbeiten kann, muss die X-Server-Konfiguration auf die in dem 

jeweiligen Rechnersystem vorhandene Hardware (Grafikkarte, Tastatur, Maus, Monitor) angepasst wer- 

den. Beim Start von UCS Desktop-Systemen wird die vorhandene Hardware automatisch überprüft und 

die Konfiguration dementsprechend angepasst. 

Oftmals ist es jedoch wünschenswert, die automatisch bestimmte X-Server-Konfiguration an eigene Anfor- 

derungen anzupassen, um z.B. eine bestimmte Bildschirmauflösung oder ein bestimmtes Tastaturlayout 

zu erhalten. Auch kann es unter Umständen, z.B. bei sehr neuer Hardware, vorkommen, das die automa- 

tische Hardwareerkennung nicht wie gewünscht funktioniert. 

Die X-Server-Konfiguration kann in Univention Directory Manager unter Rechnerverwaltung ➞ [Display- 

Einstellungen] angepasst werden. Es ist ebenfalls möglich, über Richtlinien die selben Einstellungen 

für komplette Teilbäume im LDAP-Verzeichnis zu konfigurieren. Weitere Informationen zu den möglichen 

Einstellungen der Karteikarte [Display-Einstellungen] finden sich in Kapitel 4.5.11.5. 

223


Hier vorgenommene Einstellungen werden von UCS Desktop-Systemen beim Systemstart ausgelesen 

und in die X-Server-Konfiguration übernommen. Voraussetzung ist, dass zu diesem Zeitpunkt auf den 

Verzeichnisdienst zugegriffen werden kann. 

9.3.2 Anbindung an Serversysteme 

Client-Systeme sind oftmals in Umgebungen mit mehreren Server-Systemen eingebunden, die für ver- 

schiedene Aufgaben genutzt werden. Dienste werden auf verschiedene Server verteilt, um die Beein- 

trächtigung des Betriebs bei einem Hardwareausfall gering zu halten. Es ist daher erforderlich, dass dem 

Client bekannt gemacht wird, auf welchem Server welche Dienste angeboten werden. 

Der wichtigste Dienst, der von allen UCS-Desktop-Systemen genutzt wird, ist der LDAP-Server-Dienst, der 

auf Domaincontroller Master, -Backup und -Slave-Systemen ausgeführt wird. Beim Start von Managed- 

und Mobile-Clients wird standardmäßig der LDAP-Server-Dienst auf dem DC Master verwendet. Auf Thin 

Clients wird beim Start nach DNS-Service-Records für _ldap._tcp. gesucht und - sofern 

vorhanden - versucht einen erreichbaren Server im lokalen Subnetz auszuwählen. 

Um weitere LDAP-Server fest vorzugeben, können diese am jeweiligen Rechnerobjekt auf der Register- 

karte [LDAP-Server] eingetragen werden. Dies kann auch richtlinienbasiert für mehrere Rechner erfol- 

gen. So wird garantiert, dass, sollte ein LDAP-Server nicht erreichbar sein, u.a. für die Anmeldung des 

Benutzers auf weitere LDAP-Server zurückgegriffen wird. Desweiteren können durch den Eintrag mehre- 

rer LDAP-Server längere Wartezeiten bei der gleichzeitigen Anmeldung von vielen Benutzern verhindert 

werden. 

Bei Thin Clients können zusätzlich die zu verwendenden Authentifizierungs-, File-, Linux-Terminal- und 

Windows-Terminal-Server konfiguriert werden. Diese sind in Univention Directory Manager unter Rechner 

➞ ➞ [Thin-Client-Konfiguration] einzutragen. Der Authentifizierungsserver ist dabei 

für die Kerberos-basierte Benutzerauthentifizierung zuständig, über den Fileserver wird bestimmt, von 

welchem Server das Heimatverzeichnis des Benutzers eingebunden wird. 

Achtung: 

Das hier angegebene Heimatverzeichnis wird während der Benutzeranmeldung am Anmeldemanager 

gdm verwendet, um u.a. die Einstellungen zur zuletzt genutzten Sitzungsart zu speichern. Für den Be- 

nutzer kann die Verwendung eines anderen Servers für die Bereitstellung des Heimatverzeichnisses kon- 

figuriert sein, dass nach erfolgter Anmeldung eingebunden wird. Weitere Hinweise dazu finden sich im 

Abschnitt 9.7. 

Neben UCS-Terminalservern kann von Thin Clients auch auf Windows-Terminalserver zugegriffen werden. 

Welche Terminalserver dabei verwendet werden, kann auf der Registerkarte [Thin-Client-Konfiguration] 

eingetragen werden. Bei allen Einträgen ist zu beachten, dass Rechnernamen als vollqualifizierter Domä- 

nenname (FQDN) angegeben werden. 

9.3.3 Autostart-Skripte 

Bei bestimmten Anwendungsfällen kann es gewünscht sein, dass auf UCS-Desktopsystemen keine An- 

meldung erforderlich ist. Dies kann z.B. bei öffentlich aufgestellten ”Surf-Terminals” der Fall sein oder 

224


an Arbeitsplätzen, an dem ein oder mehrere Benutzer nur sehr wenige Anwendungen benötigen, ohne, 

dass benutzerspezifische Daten gespeichert werden müssen. Um dies umzusetzen, können Autostart- 

Skripte verwendet werden. Hierbei wird ein vorkonfigurierter Benutzer (im Standardfall autostart, der nur 

mit geringen Rechten ausgestattet ist) automatisch angemeldet und eine oder mehrere vorkonfigurierte 

Anwendungen gestartet. 

Ein weiterer Anwendungsfall sind Remote-Desktop-Anwendungen wie NX, Citrix oder rdesktop. Diese 

bauen automatisch eine Verbindung zu einem entsprechenden Serversystem auf, an denen dann die 

eigentliche Benutzeranmeldung erfolgt. 

Ist für einen Rechner ein Autostartskript konfiguriert, entfällt die Möglichkeit zur Anmeldung am Anmelde- 

manager gdm und zur Sitzungsauswahl. Bei dem automatisch angemeldeten Benutzer autostart handelt 

es sich nicht um einen Domänenbenutzer. 

Das gewünschte Autostart-Skript ist auf der Karteikarte [Autostart] in Univention Directory Manager am 

Rechnerobjekt einzutragen. Die Skripte müssen auf dem UCS-Terminal-Server unter 

/var/lib/univention-client-root/etc/gdm/Autostart 

gespeichert sein. Beim Einsatz auf UCS Managed- oder Mobile-Clients müssen sie in 

/etc/gdm/Autostart 

abgelegt sein. Dort befinden sich bereits Beispielskripte. 

9.3.4 NX 

NX bietet ähnlich wie VNC, die Windows Remote Desktop-Unterstützung oder Citrix die Möglichkeit, auf 

grafische Benutzeroberflächen eines entfernten Systems zuzugreifen. NX bietet dabei die Möglichkeit, 

laufende Sitzungen temporär zu trennen und später wieder aufzunehmen, wodurch Benutzer nach einer 

erneuten Anmeldung an einer bestehenden Sitzung ihre Arbeitsumgebung mit allen vorher gestarteten 

Programm wiederfinden. 

Die Serverkomponente von NX kann auf allen UCS-Server-Systemen installiert werden, auf denen auch 

die benötigten Bibliotheken für grafische Benutzeroberflächen installiert sind. Der NX-Client kann auf allen 

UCS-Desktop-Systemen ausgeführt werden, entweder über ein Autostart-Skript, oder manuell nach der 

Benutzeranmeldung. 

Die aktuellen NX-Pakete für einen NX-Server befinden sich im Online-Repository. Das als Einwahlsystem 

agierende System muss über die Installation des NX-Server-Pakets verfügen. Die Clients müssen mit dem 

NX-Client ausgestattet werden, der von der Webseite des Herstellers NoMachine heruntergeladen werden 

kann. 

Damit der NX-Client genutzt werden kann, müssen folgende Pakete auf den Clients installiert werden: 

libxcomp1, libxcompext1, nxlibs, libstdc++2.10-glibc2.2, nxclient 

Bis auf das separat herunterzuladende Paket nxclient sind alle Pakete im Online Repository enthalten. 

Die Pakete sollten im verwendeten Repository Server hinterlegt sein. 

Soll der NX-Client auf einem Managed oder Mobile Client genutzt werden, können diese Pakete entweder 

manuell oder über die Softwareverteilung installiert werden. Falls der NX-Client per Autostart-Skript auf 

225


einem Thin Client gestartet wird, so müssen die erforderlichen Pakete im Client-Basissystem auf dem 

Terminalserver installiert werden. 

Hierzu ist auf dem Terminalserver mit chroot in das Client-Basissystem zu wechseln. Danach können 

die benötigten Pakete mit univention-thin-client-apt installiert werden. 

Nach der Installation kann der NX-Client für die Autostart-Skripte verwendet werden. Ein Beispiel-Skript 

für NX befindet sich unter /var/lib/univention-client-root/etc/gdm/Autostart/nx. Wird in 

Univention Directory Manager der Dateiname des Skripts in [Autostart] ➞ Autostart Sitzung eingege- 

ben, so wird beim Start des Thin Clients NX-Client gestartet und der Benutzer mit der im Skript angege- 

benen Sitzung verbunden. 

9.4 VNC-Desktopfreigaben 

Mit VNC kann sich ein Benutzer die Bildschirmausgabe eines weiteren Benutzers auf seinem Bildschirm 

anzeigen lassen. So haben beispielsweise Administratoren die Möglichkeit, bei aufgetretenen Problemen 

von Benutzern diese Probleme direkt in Augenschein nehmen und so effektiver unterstützen zu können. 

Darüber hinaus besteht die Möglichkeit, dass über die VNC-Verbindung für einen begrenzten Zeitraum 

die Kontrolle über Maus und Tastatur übernommen wird und Probleme selbst nachvollzogen und behoben 

werden können. Vor einer Freigabe über VNC muss der Benutzer, dessen Oberfläche über VNC freige- 

geben werden soll, dieser Freigabe zustimmen. Diese Abfrage ist unumgänglich. Nach der Zustimmung 

durch den Benutzer überträgt VNC die Daten des lokalen X-Servers auf das Display des entfernten Be- 

trachters und leitet jede Maus- und Tastatureingabe weiter. 

Der Zugriff auf den Client erfolgt mit einem VNC-Betrachtungsprogramm. Hierfür kann z.B. krdc unter 

Linux oder Ultra VNC unter Microsoft Windows verwendet werden. 

9.4.1 Konfiguration des VNC-Zugangs auf Thin Clients 

Für den VNC-Zugriff auf Thin Clients muss auf dem Terminalserver das Paket univention-thin-client-vnc 


Die Freigabe erfolgt Thin Client-bezogen durch eine Richtlinie im Univention Directory Manager. Hierzu 

muss in der Display-Einstellungen-Richtlinie die Option Erlaube VNC Display-Freigabe aktiviert wer- 

den. Wird der Haken bei VNC Display-Freigabe nur anzeigen gesetzt, so kann der Remote-Benutzer 

keine Benutzeingaben vornehmen. 

Beim Verbindungsaufbau wird ein Einmal-Passwort generiert, dass der Benutzer bekanntgeben muss, der 

seine Verbindung freigibt. 

9.4.2 Konfiguration des VNC-Zugangs auf Managed/Mobile Clients 

Um auf einem Managed oder Mobile Client den KDE-Desktop über VNC freizugeben, muss im KDE- 

Kontrollzentrum unter Internet & Netzwerk ➞ Arbeitsfläche freigeben ➞ Verbindungen ohne Einla- 

dung die Option Verbindungen ohne Einladung erlauben aktiviert werden. 

226

9.5 Thin Client-Umgebung 

Die standardmäßig aktivierte Option Für eine uneingeladene Verbindung um Bestätigung bitten sorgt 

dafür, daß der Benutzer bei einer eingehenden Verbindungsanfrage benachrichtigt und um Freigabe ge- 

beten wird. 

Optional kann auch ein Passwort festgelegt werden. 

Die in Kapitel 9.4.1 erwähnte Univention Directory Manager-Richtlinie wird für den VNC-Zugang auf Ma- 

naged/Mobile Clients nicht ausgewertet. 


Die Thin Client-Umgebung ist eine eigenständige Software-Installation in einem Unterverzeichnis auf je- 

dem Terminal-Server. Ein bootender Thin Client bindet dieses Unterverzeichnis via NFS als sein Root- 

Verzeichnis ein und startet so in die konfigurierte Arbeitsumgebung. 

Abhängig von der Umgebung und den Anwendungsszenarien unterscheiden sich die Bedürfnisse hinsicht- 

lich der verfügbaren Programme und Dienste. Um die Möglichkeit zu haben, die Thin Client-Umgebung 

flexibel anpassen zu können ist das System modular aufgebaut. 

Im Folgenden werden die Hauptbestandteile des modularen Basissystem beschrieben und wie neue Kom- 

ponenten installiert werden können. Des weiteren wird ein Überblick über die generellen Mechanismen zur 

Konfiguration der Thin Client-Umgebung gegeben. 

Aufbau 

Das Basispaket univention-thin-client-basesystem der Thin Client-Umgebung bringt ein grundlegendes 

System mit. Damit ist es möglich Thin Clients zu booten und sich an der Console anzumelden. 

Um eine graphische Oberfläche zur Verfügung zustellen, muss das Paket univention-thin-client-x-base 

installiert sein. Damit wird am Thin Client eine graphische Anmeldemaske angezeigt von der aus ver- 

schiedene X-Sitzungen gestartet werden können. Dabei werden die Schriften nicht mitinstalliert. Diese 

sind in einem zusätzlichen Paket univention-thin-client-x-fonts enthalten. Wird dieses Paket nicht instal- 

liert kann stattdessen auf einen Font-Server zugegriffen werden. Details dazu sind in Abschnitt 9.5.2.7 zu 

finden. 

Die Unterstützung für Drucker am Thin Client wird durch ein separates Paket (univention-thin- 

client-cups) bereitgestellt. Gleiches gilt für die Verwendung von lokalen USB-Geräten am Thin Client 

(univention-thin-client-ltsp) sowie die Audio-Ausgabe (univention-thin-client-sound). 

Diese Pakete ersetzen das monolithische Thin Client-Basissystem aus vorherigen UCS-Versionen im vol- 

len Funktionsumfang. Bei Updates von UCS Installationen werden alle diese Pakete als Ersatz installiert. 

Installation 

Alle Komponenten des Thin Client-Basissystems werden über die Standard-Paketmanagement-Tools in- 

stalliert (siehe Kapitel 11). Dabei werden von den Komponenten Meta-Pakete mitgebracht, die die not- 

wendigen Erweiterungen für die jeweilige Komponente in das Unterverzeichnis der Thin Client-Umgebung 

installieren. 

Für diesen Mechanismus bringt das Thin Client-Basispaket das Tool univention-thin-client-apt mit, das 

es ermöglicht Pakete (inklusive Abhängigkeiten) in das Unterverzeichnis der Thin Client-Umgebung zu 

227


installieren. Das Tool unterstützt alle Parameter von apt-get und noch einige optionale eigene Parameter. 

Diese müssen wenn sie angegeben werden vor den apt-get-Optionen aufgelistet werden. Als Trennzei- 

chen zu den apt-get-Optionen muss ein ’--’ eingefügt werden. Folgende Parameter stehen zur Verfügung: 

--help, -h: Zeigt eine kurze Hilfe zur Verwendung des Kommandos an. 

--prefix, -p: Definiert das Verzeichnis, in das die Pakete installiert werden sollen. Der Vorgabewert ist das 

Verzeichnis für die Thin Client-Umgebung. 

--arch, -a: Gibt die zu verwendende Architektur für die Pakete an. Der Vorgabewert hierfür ist i386, d.h. 

auch auf amd64-Systemen ist die Thin Client-Umgebung für i386-Systeme ausgelegt. 

--debug, -d: Setzt den Log Level. Mögliche Werte liegen im Bereich von 0 (keine Ausgabe) bis 4 (detail- 

lierte Informationen) 

Mit univenton-thin-client-apt können auch weitere Pakete, die nicht durch eine existierende Komponente 

mitgebracht werden, in die Thin Client Umgebung installiert werden. Um beispielsweise den Editor Emacs 

in die Thin Client-Umgebung zu installieren kann folgendes Kommando aufgerufen werden: 

univention-thin-client-apt install emacs21 

Um beispielsweise die Installation des Paketes emacs in eine Thin Client-Umgebung unterhalb von 

/var/lib/thin-client2 zu simulieren kann das folgende Kommando verwendet werden: 

univention-thin-client-apt -s -- -p /var/lib/thin-client2 -d 4 install emacs 

Dabei wird die APT-Konfiguration der Quellen und das Cache-Verzeichnis des Terminal-Servers verwen- 

det. Auch notwendige Abhängigkeiten werden direkt aufgelöst und in die Thin Client-Umgebung installiert. 

Auf amd64-Systemen ist dafür ein i386-Repository notwendig. 

Konfiguration 

Die Konfiguration von Diensten auf UCS-Systemen wird normalerweise mittels Univention Configuration 

Registry durchgeführt. Auf Thin Client-Systemen ist dies über die Univention Configuration Registry-Richt- 

linien möglich (siehe Abschnitt 14). Diese können im Univention Directory Manager erstellt und mit den 

Thin Client-Objekten verknüpft werden. 

Zusätzlich zu den Univention Configuration Registry-Variablen, die sich direkt auf die Funktionsweise ein- 

zelner Komponenten beziehen, gibt es noch einige Variablen die das generelle Verhalten des Thin Client 

beeinflussen: 

thinclient/mount/homedir: In der Voreinstellung wird auf dem Thin Client das Heimatverzeichnis des 

angemeldeten Benutzers per NFS eingebunden. Dies kann mit dieser Variable unterbunden werden, 

indem der Wert auf no gesetzt wird. 

gdm/sessions/disabled: Mit dieser Variable können einzelne Sitzungen aus der Auswahl von GDM ent- 

fernt werden. Dafür ist der Name des Sitzungsskriptes unterhalb von /etc/gdm/Sessions/ anzuge- 

ben. Mehrere Sitzungsskripte müssen durch einen Doppelpunkt getrennt werden. 

kernel/modules: Wenn Hardware-Komponenten nicht durch die automatische Erkennung identifiziert 

228 

werden, kann über diese Variable eine Liste von Kernel-Modulen definiert werden, die explizit nach- 

geladen werden. Als Trennzeichen wird das Semikolon verwendet, um mehrere Module zu spezifi- 

zieren.


Des weiteren gibt es die Möglichkeit einige Dienste, die durch Komponenten mitgebracht werden, zu deak- 

tivieren, falls sie nicht genutzt werden sollen. Dafür muss eine Univention Configuration Registry-Variable 

auf den Wert no gesetzt werden: 

sshd/autostart: Deaktiviert den SSH-Dienst auf dem Thin Client. 

portmap/autostart: Sollte der Thin Client über eine Flash-Karte booten, ist der Portmapper-Dienst nicht 

notwendig. Mit dieser Variable kann dieser Dienst deaktiviert werden. 

cups/autostart: Um die Verwendung von Druckern an Thin Clients zu unterbinden, kann mit dieser Va- 

riable der CUPS-Dienst deaktiviert werden selbst wenn die entsprechende Komponente installiert 

ist. 

9.5.1 Unterstützung des Starts von Compact Flash-Karten oder USB-Sticks 

In der Standardkonfiguration bootet ein Thin Client über das Netz und bindet das Root-Verzeichnis über 

NFS von einem Terminal-Server ein. Als Alternative bieten viele Thin Client-Modelle mittlerweile eine in- 

terne Flash-Karte an, von der ein minimales System gebootet werden kann. Diese Technik wird durch die 

Thin Client Komponente univention-thin-client-flash unterstützt. 

Als Alternative zu einem lokalen Systemstart von Compact Flash bieten viele Thin Clients auch die Mög- 

lichkeit eines Starts von USB-Massenspeicher, also in der Regel von einem USB-Stick. Das Updateverfah- 

ren erfolgt analog zur Aktualisierung von Compact Flash-Speicher, allerdings muss das zu beschreiben- 

de USB-Gerät durch die Univention Configuration Registry-Variable thinclient/flash/update/disk 

konfiguriert werden. Die Angabe erfolgt dabei in der internen Notation des Linux-Kernels, also z.B. /dev/s- 

da1. 

Damit ein Thin Client von der internen Flash-Karte booten kann muss zuvor ein Image installiert werden, 

das das minimale Betriebssystem enthält. Dieses wird aus der Thin Client-Umgebung auf einem Terminal- 

Server erstellt. Damit verfügt ein Thin Client, der von einer Flash-Karte bootet, über dieselben Funktionen, 

wie die Thin Clients, die von dem Terminal-Server booten, auf dem das Image erstellt wurde. 

Zum Erstellen der Flash-Images steht das Tool univention-thin-client-flash zur Verfügung. In der Stan- 

dardkonfiguration wird ein Image aus der Thin Client-Umgebung, die auf dem Terminal-Server vorhanden 

ist, erzeugt. Alternativ kann über Parameter ein anderes Verzeichnis angegeben werden aus dem das 

Image erzeugt werden soll. 

Ein Thin Client prüft während des Bootvorgangs, ob ein Flash-Image zur Verfügung steht. Falls ein Image 

auf dem Server vorhanden ist wird geprüft, ob es aktueller ist als das lokale (wenn bereits eins vorhanden 

ist). Liegt auf dem Server ein aktuelleres vor, wird es heruntergeladen und installiert. Beim nächsten 

Bootvorgang kann der Thin Client das neue System von der Flash-Karte booten. 

Wenn Thin Clients mit unterschiedlichen Fähigkeiten bzw. Konfigurationen in einer Umgebung aufgesetzt 

werden sollen, gibt es die Möglichkeit mehrere Images zu erstellen. In den Voreinstellungen heißt das 

erzeugte Flash-Image root.img. Der Name kann bei der Erstellung des Images angegeben werden. Für 

jedes Image wird eine eigene Versionsnummer gepflegt, so dass Änderungen an einem Image Thin Clients 

mit anderen Images nicht beeinflussen. 

Der Update-Vorgang wird bei allen unterstützen Update-Verfahren (über PXE, von Compact Flash oder 

229


USB-Stick) unterstützt. Der genaue Ablauf kann über Univention Configuration Registry-Variablen beein- 

flusst werden: 

thinclient/flash/update: Ist diese Variable auf no gesetzt, führt der Thin Client kein Flash-Update durch, 

selbst wenn ein neueres Image auf dem Server vorliegt. 

thinclient/flash/update/url: Definiert die URL unter der die Flash-Images zu finden sind. Dabei ist nicht 

der Name des Image-Datei anzugeben. Ist diese Variable nicht gesetzt, wird das Image auf dem 

Terminal-Server unter folgende URL gesucht: 

http:///univention-thin-client-flash/ 

thinclient/flash/update/image: Definiert den Namen der Image-Datei, relativ zur konfigurierten URL. 

9.5.2 Thin Client Komponenten 

Außer den Basiskomponenten, die auch schon in vorherigen UCS Versionen für die Thin Client Umge- 

bung zur Verfügung standen, wurden einige weitere Fähigkeiten entwickelt, die optional in die Umgebung 

installiert werden können. In dem folgenden Abschnitt werden diese Komponenten beschrieben. 

9.5.2.1 Lokale Geräte 

Die Möglichkeit lokale Geräte am Thin Client einzubinden existierte bereits in vorherigen Versionen von 

UCS, wurde aber in der Version 2.1 von UCS grundlegend überarbeitet. 

Die Unterstützung für lokale Geräte wird durch das Paket univention-thin-client-ltsp mitgebracht. Nach 

der Installation wird auf dem Terminal-Server ein Dienst gestartet, der die USB-Geräte am Thin Client für 

den Terminal-Server bzw. für Anwendungen zur Verfügung stellt. 

Der Zugriff auf die lokalen Geräte am Thin Client erfolgt über ein Icon, das für jedes Gerät auf dem Desktop 

des Benutzers angelegt wird. Nach dem Entfernen des Gerätes wird das Icon automatisch wieder vom 

Desktop entfernt. 

9.5.2.2 Gesicherte Verbindungen mit IPSec 

Um Thin Clients beispielsweise als Heimarbeitsplatz einzusetzen, ist es wünschenswert die Kommu- 

nikation zu den Servern zu verschlüsseln. Diese Möglichkeit besteht mit der Komponente für IPSec- 

Unterstützung. Zusammen mit der Komponente für Flash-Karten kann ein Thin Client somit lokal booten 

und anschließend einen IPSec-Tunnel öffnen um die Verbindung mit dem Firmennetz zu verschlüsseln. 

Um IPSec-Unterstützung für Thin Clients bereitzustellen muss das Paket univention-thin-client-ipsec 

auf dem Terminal-Server installiert werden. Damit werden die notwendigen Pakete in der Thin Client- 

Umgebung installiert. Dabei wird ein Dienst installiert, der das automatische Update von IPSec- 

Konfigurationen erlaubt. Wird der Thin Client im lokalen Netz über die Flash-Karte gestartet, prüft dieser 

Dienst, ob unter einer angegebenen URL ein Update der IPSec-Konfiguration zu finden ist. Ist das der Fall 

wird die Konfiguration heruntergeladen und auf der Flash-Karte gespeichert. 

Mit folgenden Univention Configuration Registry-Variablen kann IPSec konfiguriert werden: 

230


thinclient/ipsec/update: Diese Variable muss auf yes gesetzt werden, damit der Thin Client beim Boot- 

vorgang ein Update der IPSec-Konfiguration durchführt. 

thinclient/ipsec/update/url: Hier kann eine URL angegeben werden unter der die IPSec-Konfigurationen 

zu finden sind. Ist diese Variable nicht gesetzt, wird die IPSec-Konfiguration unter der folgenden URL 

auf dem Terminal-Server gesucht: 

http:///univention-thin-client-ipsec/ 

Die IPSec-Konfiguration für einen Thin Client muss in ein tar-Archiv (komprimiert mit gzip) gepackt werden 

in dem die folgenden Verzeichnisse und Dateien enthalten sind: 

ipsec.d/cacerts/ 

ipsec.d/certs/ 

ipsec.d/private/ 

ipsec.conf 

ipsec.secrets 

ipsec-setup.sh 

Dieses Archiv wird direkt im Verzeichnis /config 1 auf dem Thin Client entpackt und es werden in /etc 

entsprechende symbolische Links erstellt. 

Optional kann in dem Archiv noch ein Skript mit dem Namen ipsec-setup.sh enthalten sein, das vor 

der Initiierung von IPSec ausgeführt wird. Dadurch gibt es die Möglichkeit, Anpassungen für die jeweilige 

Umgebung vorzunehmen, z.B. das Setzen von Nameservern oder speziellen Routen. 

Ein solches Archiv muss für jeden Thin Client erstellt werden, der IPSec verwenden soll und auf 

dem Web-Server hinterlegt werden. Dafür muss das Archiv folgendermaßen benannt werden: .tar.gz. Dabei wird die MAC-Adresse in der Bindestrich-Notation geschrieben (z.B. 00-01-02-03- 

04-05). 

Ist das Archiv auf dem Web-Server hinterlegt, wird der Thin Client, wenn die Univention Configuration 

Registry-Variable thinclient/ipsec/update auf yes gesetzt ist, versuchen eine neue Konfiguration 

wie zuvor beschrieben einzuspielen. Danach wird der Thin Client bei jedem Bootvorgang über die Flash- 

Karte einen IPSec-Tunnel aufbauen bevor eine Verbindung zum LDAP-Server aufgebaut wird. 

9.5.2.3 Audio 

ARTS (analog Real time synthesizer) in der Voreinstellung der verwendete Netzwerk-Sound-Server, kann 

aber alternativ durch den ESD (Enlightenment Sound Daemon) oder PulseAudio ersetzt werden. Dazu 

kann über eine Univention Configuration Registry-Richtlinie die entsprechende Variable gesetzt wird: 

thinclient/sound/daemon: Diese Variable kann optional auf esd gesetzt werden, um den ESD für die 

Audio-Ausgabe zu verwenden und auf pulseaudio gesetzt werden, um PulseAudio zu verwenden. 

thinclient/sound/volume: Definiert die beim Startvorgang zu setzende Lautstärke in Prozent. 

Der gewählte Audio-Dienst wird bei der Anmeldung des Benutzers gestartet, wenn die Unterstützung im 

Management-System ausgewählt ist (weitere Details dazu sind im Abschnitt 4.5.11 zu finden). Bei der 

Abmeldung des Benutzers wird der Dienst beendet. 

1 Dieses Verzeichnis bindet eine schreibbare Partition auf der Flash-Karte im Thin Client ein. 

231


Wenn der ESD für die Audio-Ausgabe verwendet werden soll, müssen die Einstellungen im KDE- 

Kontrollzentrum angepasst werden. Hierfür sind aus der Kategorie Sound & Multimedia im Bereich 

Sound-System folgende Optionen auf dem Reiter Allgemein zu setzen: 

• Soundsystem aktivieren 

• Netzwerktransparenten Sound aktivieren 

Zusätzlich muss auf dem Reiter Hardware für die Option Audio-Hardware auswählen der Wert Enligh- 

tenment Sound-Dienst ausgewählt werden. 

9.5.2.4 Scanner 

Mit dem Paket univention-thin-client-sane wird eine Komponente bereitgestellt, die es ermöglicht am 

Thin Client angeschlossene Scanner zu betreiben. 

Für die Unterstützung von Scannern wird das SANE-Protokoll eingesetzt, dass es erlaubt Scanner über 

das Netz zu verwenden. Sobald ein Scanner an einem Thin Client angeschlossen und von SANE erkannt 

wird, ist auf dem Desktop des angemeldeten Benutzers ein Icon zu finden über das auf den Scanner 

zugegriffen werden kann. Mit dem Entfernen des Scanners wird auch das Icon entfernt. 

Vor Inbetriebnahme eines Scanners sollte geprüft werden, inwieweit das Model von SANE unterstützt wird. 

Bei manchen Modellen ist es zusätzlich notwendig eine Firmware-Datei auf dem Thin Client zur Verfügung 

zu stellen. Diese Datei müsste auf dem Terminal-Server in das Unterverzeichnis der Thin Client Umgebung 

kopiert werden. 

Ist die Unterstützung von SANE sichergestellt, kann der Scanner an den Thin Client angeschlossen und 

über das Symbol auf dem Desktop des Benutzers direkt verwendet werden. In den Voreinstellungen ist 

der Scanner ausschließlich von einem Terminal-Server aus nutzbar. Sollten in der Umgebung mehrere 

Terminal-Server verwendet werden oder der Zugriff für andere Rechner freigeschaltet werden, so kann 

dafür die Univention Configuration Registry-Variable thinclient/saned/networks gesetzt werden. 

Diese Variable kann eine Komma-separierte Liste von Netzen enthalten: 

thinclient/saned/networks=192.168.0.0/24,192.168.1.0/24 

9.5.2.5 SSH-Zugriff 

Mit der Thin Client Komponente univention-thin-client-ssh kann der SSH-Dienst auf Thin Clients zur 

Verfügung gestellt werden. Dadurch bietet sich die Möglichkeit der Ferndiagnose auch für Thin Clients 

ohne auf die X-Sitzung des Benutzers zugreifen zu müssen. 

Bei der Installation der Komponente wird ein Host-Key erstellt, der in der Voreinstellung für alle Thin Cli- 

ents verwendet wird, die von dem Terminal-Server ihr Dateisystem beziehen, bzw. ein Flash-Image boo- 

ten, dass auf dem Terminal-Server erstellt wurde. Dadurch ist der Bootvorgang der Thin Clients deutlich 

schneller, bietet aber keine eindeutige Identifikation der Thin Clients. Über die Univention Configuration 

Registry-Variable thinclient/sshd/generate_key können die Thin Clients dazu veranlasst werden 

eigene Host-Keys während des Bootvorgangs zu erstellen. Dafür muss die Variable auf den Wert yes 

gesetzt werden. 

232

9.5.2.6 Nagios Überwachung 


Um Thin Clients über Nagios überwachen zu können, gibt es die Komponente univention-thin-client- 

nagios. Darüber kann die Erreichbarkeit sowie die Auslastung zu überwacht werden. 

Für die Überwachung der Erreichbarkeit des Thin Clients kann wie für andere UCS-Systemrollen im Uni- 

vention Directory Manager am Thin Client-Objekt der Nagios-Dienst UNIVENTION_PING aktiviert werden. 

Für die Überwachung der Auslastung muss zuvor im Univention Directory Manager ein neues Nagios- 

Dienst-Objekt mit dem Namen UNIVENTION_LOAD angelegt werden. Hierfür müssen ausschließlich die 

Pflichtfelder angegeben werden. 

Die Parametrisierung der Auslastungsüberwachung wird am Thin Client über zwei Univention Configurati- 

on Registry-Variablen durchgeführt: 

thinclient/nagios/load/warning: Definiert die Schwellwerte für eine Warnung des Nagios-Plugins. Dabei 

wird der Wert aus drei Zahlen zusammengesetzt, die jeweils die Grenzen für die Zeitintervalle 1, 5 

und 15 Minuten definieren. 

thinclient/nagios/load/critical: Definiert die Schwellwerte für einen kritischen Zustand. Der Aufbau des 

Beispiel: 

Wertes entspricht dem für den Warnungslevel. 

thinclient/nagios/load/warning=0.5,0.4,0.3 

thinclient/nagios/load/critical=0.8,0.7,0.6 

Werden diese Variablen nicht über eine Richtlinie gesetzt, die folgenden Vorgabewerte definiert: 

thinclient/nagios/load/warning=0.1,0.1,0.1 

thinclient/nagios/load/critical=0.5,0.5,0.5 

Anschließendlich kann wie für andere Nagios-Dienste am Thin Client-Objekt der Nagios-Dienst UNIVEN- 

TION_LOAD hinzugefügt werden. 

Für dieses Nagios-Plugin ist es notwendig, dass der Nagios-Server Zugriff auf den Thin Client erhält. Dafür 

muss der auf dem Thin Client laufende NRPE-Dienst den Zugriff erlauben. In den Voreinstellungen wird 

dem LDAP-Server der Zugriff gewährt. Um anderen Rechner den Zugriff zu erlauben kann die Univention 

Configuration Registry-Variable nagios/client/allowedhosts gesetzt werden. Die Variable muss 

eine komma-separierte Liste von IP-Adressen enthalten. 

9.5.2.7 Font-Server 

Um auf Thin Clients mit Flash-Karten Platz zu sparen oder um eine zentrale Sammlung von Schriften zu 

nutzen, gibt es die Möglichkeit einen Font-Server zu verwenden. Mit diesem Dienst nutzen die X-Server 

der Thin Clients keine lokalen Schriften, sondern fragen diese beim eingetragenen Font-Server an. Es 

besteht ebenso die Möglichkeit die beiden Varianten zu kombinieren. 

Um für Thin Clients zusätzlich zu den lokalen Schriften auch einen Font-Server zu nutzen, kann die Uni- 

vention Configuration Registry-Variable xorg/fonts/server über eine Univention Configuration Regis- 

try-Richtlinie gesetzt werden. Der Wert muss der Syntax entsprechen, die auch in der xorg.conf Datei 

verwendet werden muss: 

233


xorg/fonts/server=/: 

Dabei ist durch tcp oder unix zu ersetzen, abhängig davon über welches Transport-Protokoll der 

Font-Server zu erreichen ist. Bei Thin Clients ist hier tcp zu wählen. Für muss der FQDN 

des Rechners angegeben werden auf dem der Font-Server läuft. Bei der Angabe des Ports ist 

normalerweise 7100 zu wählen, was der Voreinstellung des Font-Servers entspricht. Läuft beispielsweise 

auf dem Rechner master.ucs.test auf Port 7100 ein Font-Server, kann die Variable auf folgenden Wert 

gesetzt werden: 

xorg/fonts/server=tcp/master.ucs.local:7100 

9.6 Heimatverzeichnisse 

Jedem Benutzer ist ein eigenes Heimatverzeichnis zugeordnet. Dieses Verzeichnis wird normalerweise 

unter /home/ angelegt und beinhaltet unter anderem sämtliche Programmeinstellungen, die von 

einem Benutzer vorgenommen werden. Da jeder Benutzer in seinem Heimatverzeichnis Schreibrechte 

hat, ist dies normalerweise der Ort, an dem eigene Dateien gespeichert werden können. 

Es gibt eine Vielzahl von verschiedenen Bezeichnungen für das Heimatverzeichnis eines Benutzers: 

• Heimatverzeichnis 

• /home/ 

• $HOME 

• ~ 

• Home, Homeverzeichnis 

Ist für das Heimatverzeichnis ein von /home/ abweichender Pfad gewünscht, kann dieser in 

Univention Directory Manager am Benutzerobjekt unter UNIX-Heimatverzeichnis eingetragen werden. 

Dies ist jedoch nur in Ausnahmefällen erforderlich und erwünscht. Hier kann auch die zu verwendende 

Login-Shell, die standardmäßig /bin/bash ist, geändert oder gelöscht werden. 

9.6.1 Erzeugen von neuen Heimatverzeichnissen 

Die Heimatverzeichnisse von neuen Benutzern müssen nicht manuell angelegt werden. Auf jedem UCS- 

System wird, sobald sich ein Benutzer anmeldet, geprüft, ob für diesen Benutzer schon ein Heimatver- 

zeichnis existiert. Ist dies nicht der Fall, wird ein neues Heimatverzeichnis angelegt. 

Beim Anlegen eines neuen Heimatverzeichnisses wird auf dem System, auf dem die Anmeldung er- 

folgt, das für den Benutzer konfigurierte Heimatverzeichnis erzeugt. Anschließend werden durch den 

univention-skel-Mechanismus in diesem Verzeichnis bestimmte, vorgegebene Dateien und Verzeichnis- 

se erzeugt. 

9.6.2 Ändern des Standardinhalts von Heimatverzeichnissen 

univention-skel kopiert beim Erstellen eines neuen Heimatverzeichnissen den Inhalt von 

234

9.6 Heimatverzeichnisse 

/etc/univention/skel/ in dieses Heimatverzeichnis und ändert den Eigentümer und die Grup- 

pe der Dateien auf den neu angelegten Benutzer. Unterverzeichnisse werden als relative Pfade in den 

Heimatverzeichnissen angelegt. 

Bei bereits bestehenden Benutzerverzeichnissen haben Änderungen am Inhalt von 

/etc/univention/skel/ folgende Auswirkungen: 

• Werden Dateien hinzugefügt, werden diese Dateien bei der nächsten Benutzeranmeldung in das 

Heimatverzeichnis des Benutzers kopiert. Existieren bereits Dateien mit dem gleichen Namen, wer- 

den diese überschrieben. 

• Wird eine Datei entfernt, und ein Benutzer hat an dieser Datei in seinem Heimatverzeichnis noch 

keine Änderung vorgenommen, wird diese Datei aus dem Heimatverzeichnis entfernt. 

• Wird eine Datei entfernt, und ein Benutzer hat an dieser Datei in seinem Heimatverzeichnis Ände- 

rungen vorgenommen, bleibt die Datei in dem Heimatverzeichnis erhalten. 

• Ändert ein Benutzer Dateien, die von univention-skel angelegt wurden, bleiben diese Änderungen 

bei späteren Anmeldungen erhalten. Löscht ein Benutzer Dateien, werden diese bei der nächsten 

Anmeldung wiederhergestellt. 

Dateien werden in der Vorgabe mit den Berechtigungen 0600 und Verzeichnisse mit den 

Berechtigungen 0700 erstellt. Diese Vorgabewerte können durch die Univention Configuration 

Registry-Variable skel/permissions/directory bzw. Univention Configuration Registry-Variable 

skel/permissions/file verändert werden. 

Um neu erstellte Verzeichnisse oder Dateien nachträglich anpassen zu können (beispielsweise Datei- 

Berechtigungen), gibt es die Möglichkeit unterhalb von /etc/univention/skel.meta/ ein Skript ab- 

zulegen. 

Um beispielsweise die Datei .bashrc nachträglich zu verändern, kann ein Skript 

/etc/univention/skel.meta/.bashrc erstellt werden. Soll das Verzeichnis .emacs nach- 

träglich modifiziert werden, kann ein Skript /etc/univention/skel.meta/.emacs/.directory 

erstellt werden. 

9.6.3 Setzen von Umgebungsvariablen 

Sollen für Benutzer Umgebungsvariablen gesetzt werden, die in der gesamten KDE-Sitzung gül- 

tig sind und unter anderem in KDE-Desktop-Profilen genutzt werden können (siehe folgenden Ab- 

schnitt), kann dies über Einträge in der Datei /home//.univention-environment vorge- 

nommen werden. Um beispielsweise für die gesamte KDE-Sitzung die Variable $KOLABSERVER auf 

ugs-server01.firma.de zu setzen, muss in dieser Datei folgender Eintrag vorgenommen werden: 

export KOLABSERVER=ugs-server01.firma.de 

Für Benutzer, die schon ein Heimatverzeichnis haben, muss dies in 

/home//.univention-environment eingetragen werden. Um dies für alle neu ange- 

legten Benutzer zu übernehmen, kann die Datei entsprechend unter /etc/univention/skel/ 

angelegt werden. 

235


9.7 Globale Heimatverzeichnisse 

Für Managed und Mobile Clients werden standardmäßig automatisch Heimatverzeichnisse auf der lokalen 

Festplatte angelegt und verwendet. Dies hat den Nachteil, dass Einstellungen und Daten des Benutzers 

nur auf dem aktuell verwendeten Client gespeichert werden und bei Anmeldungen an einem anderen 

Client dort nicht verfügbar sind. 

Für Thin Clients besteht ein mögliches Problem darin, dass standardmäßig das Heimatverzeichnis auf 

dem Terminalserver verwendet wird, auf dem die Terminal-Sitzung gestartet wurde. Sind jedoch mehrere 

Terminal-Server vorhanden, erfolgt die Anmeldung zufällig auf einem der Systeme und dabei jeweils das 

lokale Heimatverzeichnis verwendet. 

Um auf allen Clients einheitliche Heimatverzeichnisse zu verwenden, muss mit globalen Heimatverzeich- 

nissen gearbeitet werden. Diese Verzeichnisse werden auf einem Freigaben-Server gespeichert, auf den 

Clients eingebunden und sind somit an jedem Client verfügbar. Dabei ist jedoch zu beachten, dass die- 

se Heimatverzeichnisse auf Managed Clients und Mobile Clients nicht zur Verfügung stehen, wenn keine 

Netzwerkverbindung zum Freigaben-Server besteht. 

9.7.1 Erstellen und Verwalten globaler Heimatverzeichnisse 

Globale Heimatverzeichnisse können auf verschiedene Arten realisiert werden: 

• Über die Benutzerverwaltung des Univention Directory Manager (POSIX (Linux/UNIX)- 

Einstellungen und Windows-Einstellungen) 

• Über die Samba-Konfiguration 

• Über /etc/fstab 

Auf jeden Fall muss auf dem zu verwendenden Server eine entsprechende Freigabe /home vorhanden 

sein. Dies ist standardmäßig der Fall, wenn bei der Installation Create home share bzw. Heimatverzeich- 

nis Freigabe ausgewählt wurde. 

9.7.1.1 POSIX (Linux/UNIX)-Einstellungen 

Die Konfiguration der POSIX (Linux/UNIX)-Einstellungen erfolgt in Univention Directory Manager am Be- 

nutzerobjekt auf der Karteikarte POSIX (Linux/Unix). Diese Einstellung muss für jeden Benutzer separat 

vorgenommen werden. 

Unter Heimatverzeichnisfreigabe wird die Dateifreigabe auf dem Server angegeben, unterhalb der das 

Heimatverzeichnis vorhanden ist. Dies ist üblicherweise /home. Unter Pfad der Heimatverzeichnisfrei- 

gabe ist das Verzeichnis unterhalb der Freigabe anzugeben, das als Heimatverzeichnis verwendet werden 

soll. Dies ist üblicherweise der Benutzername. 

Auf den Clients wird über die Univention Configuration Registry-Variable homedir/mount gesteuert, ob 

die einzubindende Freigabe tatsächlich eingebunden (gemountet) wird. Auf Managed und Mobile Clients 

ist dieses Variable standardmäßig auf no gestellt. Ist diese Variable auf yes gesetzt oder nicht vorhanden, 

wird die angegebene Freigabe bei der Benutzeranmeldung auf dem Client automatisch eingebunden. 

236

9.7.1.2 Windows-Einstellungen 


Die Konfiguration der Windows-Einstellungen erfolgt in Univention Directory Manager am Benutzerobjekt 

auf der Karteikarte Windows. Hier kann im Feld Windows-Heimatverzeichnis den als Heimatverzeichnis 

zu verwendenden Netzwerkpfad angeben, z.B. \\fileserver\meier. Diese Einstellung muss für jeden 

Benutzer separat vorgenommen werden. 

Das Benutzerprofil wird weiterhin auf dem zur Anmeldung verwendeten Samba-Server gespeichert. Soll 

das Benutzerprofil ebenfalls in einer bestimmten Freigabe gespeichert werden, so ist diese im Feld Pro- 

filverzeichnis anzugeben, z.B. \\fileserver\meier\windows-profiles\WinXP 

9.7.1.3 Globale Konfiguration in Samba 

Sollen die Windows-Einstellungen für alle Benutzer gesetzt werden, empfiehlt es sich, dies direkt in der 

Samba-Konfiguration vorzunehmen. Dazu ist auf allen Samba-Anmeldeservern die Univention Configu- 

ration Registry-Variable samba/homedirserver auf den Fileserver zu setzen. Hierbei muss der Server 

angegeben werden, der die Heimatverzeichnisse zur Verfügung stellt. Sollen die Windows-Benutzerprofile 

ebenfalls zentral gespeichert werden, muss dies über die Univention Configuration Registry-Variable 

samba/profileserver konfiguriert werden. 

9.7.1.4 Einbinden von Freigaben in /etc/fstab 

Eine weitere Möglichkeit, um auf Managed/Mobile Clients und auf Terminal-Servern Heimatverzeichnis- 

se einzubinden ist, das vom Freigaben-Server freigegebene Verzeichnis mit allen Heimatverzeichnissen 

statisch einzubinden. Dies erfolgt über einen Eintrag in der Datei /etc/fstab: 

:/home /home nfs defaults,timeo=21,retrans=9 1 2 

Die Freigabe wird beim Booten oder durch Eingabe von mount -a oder mount /home automatisch ein- 

gebunden. 

237


238 

Abbildung 9.1: Univention Directory Manager Display-Einstellungen

Abbildung 9.2: Auswahl der Sitzung an der Anmeldemaske 


239


240

10 Basis-Systemdienste 


10.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

10.2 Server-Startseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 

10.3 Paketfilter mit Univention Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

10.3.1 Service-Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

10.3.2 Service-Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 

10.3.3 Lokale Filterregeln durch Univention Configuration Registry . . . . . . . . . . . . . . 244 

10.3.4 Lokale Filterregeln durch iptables-Kommandos . . . . . . . . . . . . . . . . . . . . . 245 

10.3.5 Testen von Univention Firewall-Einstellungen . . . . . . . . . . . . . . . . . . . . . . 245 

10.4 Authentifizierung / PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245 

10.4.1 Automatisches Sperren von Benutzer nach fehlgeschlagenen Anmeldungen . . . . 247 

10.5 Netz-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 

10.5.1 Netzwerk-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 

10.5.2 DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

10.5.3 Proxy-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

10.6 Protokollierung von Systemmeldungen und -zuständen . . . . . . . . . . . . . . . . . . . . 249 

10.6.1 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 

10.6.2 Protokollierung des Systemzustands . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 

10.7 Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 

10.7.1 Verfügbare Kernel-Varianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250 

10.7.2 Treiber-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 

10.8 GRUB Boot-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 

10.9 Ausführen von wiederkehrenden Aktionen mit Cron . . . . . . . . . . . . . . . . . . . . . . . 252 

10.9.1 Stündliches/tägliches/wöchentliches/monatliches Ausführen von Skripten . . . . . . 253 

10.9.2 Definition eigener Cron-Jobs in /etc/cron.d . . . . . . . . . . . . . . . . . . . . . . . 253 

10.9.3 Definition eigener Cron-Jobs in Univention Configuration Registry . . . . . . . . . . 253 

10.10Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 

10.11Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 

10.11.1Name Service Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 

10.11.2LDAP-NSS-Modul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 

10.11.3Name Server Cache Daemon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255 

10.11.4Konfiguration von /etc/hosts in Univention Configuration Registry . . . . . . . . . . . 256 

10.12SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256 

10.13Zeitsynchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 

241


10.1 Übersicht 

Dieses Kapitel beschreibt grundlegende System-Dienste einer UCS-Installation, wie etwa die Konfigurati- 

on des Kernels, des Boot-Managers, die Netz-Konfiguration, Kerberos, SSH, NSS und des NSCD. 

Außerdem werden die Einstellungsmöglichkeiten der Authentifizierungs-Schnittstelle PAM beschrieben. 

10.2 Server-Startseite 

Jedes UCS-Server-System bietet auf seiner Web-Startseite (erreichbar unter http(s)://RECHNERNAME 

oder http(s)://IPADRESSE) Hyperlinks zu auf dem System installierten Diensten an (wie etwa die 

Univention Management Console oder auf dem Domänencontroller Master der Univention Directory Ma- 

nager). Ein Beispiel findet sich in Abbildung 10.1. 

Diese Startseite wird über die Univention Configuration Registry-Variable apache2/startsite 

festgelegt, die standardmässig auf die Datei ucs-overview/de.html im Apache-Verzeichnis 

/var/www verweist. Diese Datei wird als Univention Configuration Registry-Multifile verwaltet und 

kann ergänzt werden, etwa indem Links zu hausinternen Fachanwendungen in das Verzeichnis 

/etc/univention/templates/files/var/www/ucs-overview/de.html.d/ integriert werden 

(analog in die englischsprachige Startseite). 

242 

Abbildung 10.1: Startseite eines DC Master

10.3 Paketfilter mit Univention Firewall 

10.3 Paketfilter mit Univention Firewall 

Univention Firewall bietet eine Integration des Paketfilters IPTables in Univention Corporate Server. Es 

ermöglicht die gezielte Filterung unerwünschter Dienste, die Absicherung von Rechnern während Installa- 

tionsarbeiten und stellt die Basis für komplexere Szenarien wie Firewalls oder Application Level Gateways 

bereit. Univention Firewall ist standardmässig auf allen Univention Corporate Server-Installationen enthal- 

ten. 

Die Konfiguration des Paketfilters befindet sich im Verzeichnis /etc/security/netfilter.d/. Die 

dort befindlichen Konfigurations-Elemente werden in alphabetischer Reihenfolge ausgeführt. Standard- 

mässig sind alle Script mit zwei führenden Ziffern benannt, so dass eine einfache Nummerierung möglich 

ist. 

Nach Änderungen der Paketfilter-Einstellungen muss der Dienst univention-iptables neu gestartet wer- 

den. 

Univention Firewall kann durch Setzen der Univention Configuration Registry-Variable 

security/packetfilter/disabled auf true deaktiviert werden. 

10.3.1 Service-Definitionen 

Univention Firewall erlaubt die selektive Filterung einzelner Dienste durch Univention Configuration Re- 

gistry, beispielsweise weil ein Dienst temporär nicht benötigt wird oder zu Testzwecken deaktiviert werden 

soll. Momentan werden in UCS folgende Dienste unterstützt: 

smtp pop3 imap kerberos 

krsh nfs umc nagios 

ipp notifier dhcp dns 

ftp http x11 https 

ldap postgres samba ssh 

telnet ftp 

Wird die Univention Configuration Registry-Variable security/services/DIENST auf disabled gesetzt, so 

wird ein Dienst gefiltert. 

Achtung: 

Diese Dienste werden anhand der standardmässig verwendeten Ports gefiltert. Wird ein Dienst auf ab- 

weichenden Ports betrieben, so muss das entsprechende Univention Configuration Registry-Template 

angepasst werden. 

10.3.2 Service-Profile 

Univention Firewall unterstützt vordefinierte Service-Profile für jede einzelne Rechner-Rolle. Für diese 

ist über die vorher erwähnten Univention Configuration Registry-Einstellungen definiert, welche Dienste 

gefiltert werden. 

243


Achtung: 

Es ist zu beachten, dass hier nur eine selektive Filterung verwendet wird. Werden Dienste zusätzlich lokal 

eingerichtet, so müssen diese ggf. nachgetragen werden. 

Die Service-Profile lassen sich während der Installation auswählen (etwa für eine abgesicherte Installa- 

tion) und auf einem installierten System nachträglich mit univention-system-setup-security ver- 

ändern. 

Es gibt drei Profile, die während der Installation oder zur Laufzeit über Univention System Setup ausge- 

wählt werden können: 

• Deaktiviert (keine Dienste werden geblockt) 

• Empfohlene Auswahl an Systemdiensten (siehe unten) 

• Abgesicherte Grundinstallation. Nur SSH, LDAP und HTTPS sind erlaubt. 

Bei der empfohlenen Auswahl werden einige typischerweise nicht benötigte Dienste gefiltert. 

• Auf Domänencontroller Master/Backup/Slave und Memberservern: Telnet und FTP 

• Auf Managed, Mobile Clients und Basis-Systemen: SMTP, Pop3, Notifier, KRSH, Kerberos, IMAP, 

Nagios, DHCP, DNS, FTP, LDAP, Postgres, Telnet und TFTP 

10.3.3 Lokale Filterregeln durch Univention Configuration Registry 

Neben vordefinierten Service-Defitionen erlaubt Univention Firewall auch die Einrichtung von Paketfilter- 

Regeln über Univention Configuration Registry. Diese werden über ein Univention Configuration Registry- 

Modul in /etc/security/netfilter.d/ eingebunden. 

Alle Univention Configuration Registry-Einstellungen für lokale Filterregeln werden in folgender Form ein- 

gegeben: 

security/packetfilter/[tcp|udp]/[accept|deny]=Ports 

tcp wird für Serverdienste über das Transmission Control Protocol und udp für verbindungslose 

Datagramm-Dienste verwendet. 

Wird eine Regel als deny registriert, so werden Pakete an diesen Port verworfen, durch accept kann 

eine Filterung überlagert werden. (IPTables-Regeln werden abgearbeitet, bis eine Regel zutrifft Wird ein 

Paket also durch eine Regel angenommen, die von einer später folgenden Regel verworfen wird, so tritt 

die Regel zum Verwerfen des Pakets nicht in Kraft). 

Die Ports können entweder als eine Zahl oder als Bereich mit einem Doppelpunkt definiert werden X:Y 

Einige Beispiele: 

244 

• security/packetfilter/tcp/deny=2000 

• security/packetfilter/udp/accept=500:600

10.3.4 Lokale Filterregeln durch iptables-Kommandos 

10.4 Authentifizierung / PAM 

Neben den vorhandenen Einstellungsmöglichkeiten über Univention Configuration Registry besteht auch 

die Möglichkeit beliebige weitergehende Konfigurationen in /etc/security/netfilter.d/ zu inte- 

grieren, etwa um eine Firewall oder Network Address Translation zu realisieren. Die Erweiterungen sollten 

als Shell-Scripte realisiert werden, die die entsprechenden iptables-Aufrufe durchführen. 

Ausführliche Dokumentation findet sich unter http://www.netfilter.org/. 

10.3.5 Testen von Univention Firewall-Einstellungen 

Paketfilter-Einstellungen sollten immer gründlich getestet werden. Mit dem standardmässig in Univention 

Corporate Server integrierten Netzwerk-Scanner nmap kann der Zustand einzelner Ports geprüft werden: 

Da Nmap weitgehende Priviligien im Netzwerk-Stack benötigt, sollte es als root-Nutzer gestartet werden. 

Ein TCP-Port kann mit folgendem Befehl getestet werden: 

nmap HOSTNAME -p PORT(s) 

Ein UDP-Port kann mit folgendem Befehl getestet werden: 

nmap HOSTNAME -sU -p PORT(s) 

Beispiele: 

• nmap 192.168.1.100 -p 400 

• nmap 192.168.1.110 -sU -p 400-500 


Authentifizierungs-Dienste werden in Univention Corporate Server durch Pluggable Authentication Mo- 

dules (PAM) realisiert. Dabei werden unterschiedliche Anmeldeverfahren auf eine gemeinsame Schnitt- 

stelle abgebildet, so dass eine neue Anmeldemethode keine Anpassungen an bestehenden Applikationen 

benötigt. 

In der PAM-Konfiguration von UCS können verschiedene Verfahren für die Authentifizierung von Benutzer- 

konten verwendet werden: unix überprüft das verschleierte Passwort anhand der Datei /etc/shadow, 

ldap führt einen BIND-Versuch beim LDAP-Server durch und krb5 überprüft das Passwort anhand eines 

Kerberos-Keys, der ebenfalls im LDAP gespeichert wird. Daneben gibt es noch weitere Verfahren, z.B. 

verwendet die Secure Shell (ssh) ein Schlüsselpaar zur Überprüfung, ob der Benutzer tatsächlich der 

Benutzer ist, den er vorgibt zu ein. 

In UCS reicht es normalerweise aus, wenn die Identität anhand eines dieser Verfahren überprüft wer- 

den kann. Welche Verfahren verwendet werden sollen, kann über die Univention Configuration Registry- 

Variable auth/admin/methods für den Administrator und über die Univention Configuration Registry- 

Variable auth/user/methods für alle anderen Benutzer konfiguriert werden. Die Standardeinstellung 

ist krb5 ldap unix, was alle drei Verfahren erlaubt. 

245


Neben dieser Überprüfung benötigen einige Dienste zusätzlich ein gültiges Benutzerkonto: Dieses ordnet 

einem Benutzersein Heimat-Verzeichnis, seine numerische Benutzerkennung (UID) sowie die Gruppen- 

mitgliedschaften zu. Diese Informationen werden unter anderem bei der Anmeldung am GDM, auf der 

Textkonsole oder per SSH benötigt. Auch Samba benötigt diese Informationen, um vom Benutzer ab- 

gelegte Informationen auf dem UNIX-Dateisystem speichern zu können oder um zu überprüfen, ob der 

Zugriff auf Dateien und Verzeichnisse erlaubt ist. Daneben enthalten die Kontodaten aber auch noch Zu- 

satzinformationen, z.B. zum Alter des Passworts, ob das Konto deaktiviert ist oder ob das Konto nur auf 

bestimmten Rechnern gültig sein soll. 

Auch hier werden über PAM verschiedene Verfahren genutzt, die sich teilweise ergänzen und ein- 

schränken: unix verwendet die Informationen aus /etc/passwd, /etc/group, /etc/shadow sowie 

/etc/nsswitch.conf, über die weitere Informationsquellen eingebunden werden können. Über letz- 

teres werden in UCS alle Benutzer aus dem LDAP eingebunden. Dies ist insbesondere notwendig um 

Programmen per per getent die Abfrage von Benutzern und Gruppen zu ermöglichen. 

Es ist zu beachten, daß die Datenstrukturen für das shadow-Verfahren sehr eingeschränkt und nicht er- 

weiterbar sind. Das verhindert u.a. die Nutzung von weiteren im LDAP hinterlegten Informationen. Deswe- 

gen wird ldap noch ein weiteres mal eingebunden, um anhand weiterer Kriterien entscheiden zu können, 

ob ein Benutzerkonto auf einem Rechner gültig ist oder nicht. Als drittes wird auch hier krb5 verwendet, 

was ähnlich zu ldap die Möglichkeit bietet, weitere Kriterien bei der Überprüfung zu berücksichtigen. Ein 

wichtiger Unterschied ist allerdings, daß der Kerberos-Dienst keine Zuordnung von Benutzername zu den 

benötigten POSIX-Informationen wie UID, GID, GECOS, HOME, Shell etc. durchführt. Dienste, die diese 

Informationen benötigen, müssen also zwingend zusätzlich ldap bzw. unix verwenden. 

Jedes dieser drei Verfahren zur Kontoverifizierung nutzt in UCS Informationen aus dem LDAP: unix wertet 

die shadow-Informationen aus, ldap verwendet ggf. zusätzlich das host-Attribut oder beliebige Filter, und 

krb5 werdet die Samba-Attribute (sambaAcctFlags) aus. Von daher sind die Verfahren nicht vollständig 

unabhängig voneinander und beeinflussen sich ggf. gegenseitig. 

Die konfigurierten PAM-Anmeldeverfahren können über Univention Configuration Registry Registry kon- 

figuriert werden. Dabei werden zwei Variablen unterschieden; in der Univention Configuration Registry- 

Variable auth/admin/services werden Dienste konfiguriert, die administrativen Benutzern vorbehalten 

sind und in auth/user/services Dienste für nicht-privilegierte Benutzer. 

Folgende Authentifizierungs-Verfahren stehen standardmässig zur Verfügung: 

246 

Name Beschreibung des authentifi- 

zierten Dienstes 

ftp FTP-Dienst 

gdm GDM für Anmeldungen an 

KDE/X11 

login Shadow-login 

other Fallback für nicht-konfigurierte 

Dienste 

ppp PPP-Prozesse mit Login- 

Option 

rlogin Remote Login (rlogin) (veraltet)

screen screen-Terminal-Tool 

chfn chfn-Tool aus Shadow zum Än- 

dern von Benutzerdaten 

chsh chsh-Tool aus Shadow zum Än- 

dern der Login-Shell 

kde KDE-Applikationen generell 

kscreensaver KDE-Bildschirmschoner 

kcheckpass KDE-Passwort-Prüfungen 

rsh Remote Shell (rsh) (veraltet) 

ssh Secure Shell 

su Tool zum Wechseln der 

Benutzer-Identität 

sudo Tool zum Ausführen von Benut- 

zern mit erhöhten Privilegien 

passwd passwd-Tool aus Shadow 

cron Cron-Daemon 


Für verschiedene Dienste können die berechtigten Benutzer ausserdem über ein PAM-Modul be- 

schränkt werden. Wenn die Univention Configuration Registry-Variablen auth/ftpd/accessfile, 

auth/gdm/accessfile, auth/sshd/accessfile oder auth/nagios/accessfile auf den Namen 

einer Datei gesetzt werden, so wird der Zugriff auf die entsprechenden Dienste auf die Benutzer be- 

schränkt, die komma-separiert in den Dateien aufgeführt sind. 

10.4.1 Automatisches Sperren von Benutzer nach fehlgeschlagenen Anmeldungen 

Standardmässig kann ein Benutzer sein Passwort beliebig oft falsch eingeben. Um Brute Force-Angriffe 

auf Passwörter zu erschweren, kann eine automatische Sperre von Benutzerkonten nach einer konfigu- 

rierbaren Anzahl von fehlerhaften Anmeldungen aktiviert werden. Die Sperre ist standardmässig lokal pro 

Rechnersystem aktiviert. Wenn ein Benutzer also auf einem System zu oft sein Passwort falsch eingege- 

ben hat, kann er sich auf einem anderen System weiterhin anmelden. Durch Setzen der Univention Con- 

figuration Registry-Variable auth/faillog/lock_global kann die Sperre auch global erfolgen und 

wird im LDAP registriert. Die globale Sperrung kann nur auf Domänencontroller Master/Backup-Systemen 

eingesetzt werden, da andere Systemrollen nicht über die nötigen Berechtigungen im LDAP-Verzeichnis 

verfügen. Auf diesen Systemrollen wird der Benutzer aber lokal gesperrt, bzw. über das Listener-Modul 

auch wieder entsperrt. 

Achtung: 

Diese Einstellung kann auch missbraucht werden, etwa wenn ein Benutzer seinen Bildschirm gesperrt 

hat und ein anderer Benutzer in Abwesenheit mehrfach das Passwort falsch eingibt. In diesem Fall müsste 

der Benutzer den Administrator aufsuchen und seinen Account entsperren lassen. 

Das automatische Sperren von Benutzern nach fehlgeschlagenen Anmeldungen kann durch Setzen der 

247


Univention Configuration Registry-Variable auth/faillog auf yes aktiviert werden. Die Obergrenze an 

fehlerhaften Passworteingaben, bei der eine Kontosperre aktiviert wird, wird in der Univention Configura- 

tion Registry-Variable auth/faillog/limit konfiguriert. Nach einer korrekten Passworteingabe wird 

der Zähler jedesmal wieder zurückgesetzt. 

Der Root-Benutzer ist standardmässig von der Passwort-Sperre ausgenommen, kann aber durch Setzen 

der Univention Configuration Registry-Variable auth/faillog/root auf yes ebenfalls aufgenommen 

werden. 

Standardmässig ist die Sperre unbegrenzt gültig und muss vom Administrator zurückgesetzt werden. Sie 

kann aber auch nach Ablauf eines Intervalls automatisch wieder aufgehoben werden. Hierzu ist in der Uni- 

vention Configuration Registry-Variable auth/faillog/unlock_time ein Zeitraum in Sekunden anzu- 

geben. Wird der Wert auf 0 gesetzt, wird die Sperre direkt wiederaufgehoben. 

Werden Konten nur lokal gesperrt, kann der Administrator ein Benutzerkonto durch Eingabe des Befehls 

faillog -r USERNAME entsperren. Erfolgt die Sperrung global im LDAP, kann der Benutzer im Univen- 

tion Directory Manager im Reiter Benutzerkonto in den Benutzer-Optionen zurückgesetzt werden. 

10.5 Netz-Konfiguration 

10.5.1 Netzwerk-Interfaces 

Netzwerk-Interfaces werden in Univention Configuration Registry gespeichert. Sie können über Univen- 

tion System Setup verändert werden (siehe Kapitel 15.2.4), aber auch direkt in Univention Configura- 

tion Registry gespeichert werden. Pro Interface müssen vier Eigenschaften in Univention Configuration 

Registry-Variablen abgespeichert werden: 

• interfaces/ethX/address für die IP-Adresse, die an ein Interface gebunden werden soll. 

• interfaces/ethX/broadcast für die Broadcast-Adresse des Interfaces 

• interfaces/ethX/netmask für die Netzmaske des Interfaces 

• interfaces/ethX/network für das Netzwerk des Interfaces 

Neben den physischen Interfaces können auch zusätzliche virtuelle Interfaces in der Form 

interfaces/ethX_Y/Eigenschaft definiert werden. 

Das Default-Gateway wird durch die Univention Configuration Registry-Variable gateway konfiguriert. 

Auf Mobile Clients, die mit UCS-Version ab 2.3 installiert wurden, wird für die IP-Konfiguration 

der Network Manager eingesetzt. Wird die Univention Configuration Registry-Variable 

networkmanager/dhcp/options/fallback auf yes gesetzt, werden Optionen, die nicht durch 

den DHCP-Server gesetzt werden aus den vorher genannten Univention Configuration Registry-Variablen 

gelesen. Die 

Wird ein Serversystem über DHCP konfiguriert, wird in Univention Configuration Registry eine Adresse 

konfiguriert, auf die zurückgegriffen wird, wenn die DHCP-Anfrage fehlschlägt. Diese Einstellung wird 

durch die Univention Configuration Registry-Variablen interfaces/ethX/fallback/address 

und interfaces/ethX/fallback/netmask festgelegt. Für besondere Anforderungen 

248

10.6 Protokollierung von Systemmeldungen und -zuständen 

an die Netzkonfiguration können über die Univention Configuration Registry-Variablen 

interfaces/ethX/fallback/network und interfaces/ethX/fallback/broadcast abwei- 

chende Netzwerk- und roadcast-Adressen festgelegt werden. Mit gateway/fallback kann außerdem 

ein Gateway angegeben werden. 

10.5.2 DNS-Server 

Pro System können ein oder mehrere DNS-Server in den Univention Configuration Registry-Variablen 

nameserver1, nameserver2 und nameserver3 konfiguriert werden. 

Pro konfiguriertem Netzwerk-Interface kann über interfaces/ethX_Y/hosts der Eintrag in der Datei 

/etc/hosts definiert werden. 

Hinweise zur Konfiguration der Namensauflösung über /etc/hosts finden sich in Kapitel 10.11.4. 

10.5.3 Proxy-Konfiguration 

Die meisten Kommandozeilen-Tools, die Zugriffe auf Webserver durchführen (z.B. wget, elinks oder 

curl), prüfen, ob die Umgebungsvariable http_proxy gesetzt ist. Ist dies der Fall, wird automatisch der 

in dieser Variable eingestellte Proxy-Server verwendet. 

Über die Univention Configuration Registry-Variable proxy/http kann das Setzen dieser Umgebungsva- 

riable http_proxy durch einen Eintrag in /etc/profile aktiviert werden. Dabei muss die Proxy-URL 

angegeben werden, also z.B. http://192.168.1.100. 

Der Proxy-URL kann optional auch die Angabe eines Ports folgen, welcher durch einen Dop- 

pelpunkt abzutrennen ist, z.B. http://192.168.1.100:3128. Erfordert der Proxy eine Au- 

thentifizierung des zugreifenden Benutzers, so können die Benutzerinformationen in der Form 

http://username:password@192.168.1.100 übergeben werden. 

Die Umgebungsvariable wird nicht für aktuell geöffnete Sitzungen übernommen. Damit die Änderung aktiv 

wird, muss eine Neuanmeldung erfolgen. 

Die UCS-Programme zur Paketverwaltung unterstützen ebenfalls den Betrieb über einen Proxy und lesen 

die Univention Configuration Registry-Variable direkt aus. 

Einzelne Domänen können von der Verwendung des Proxys ausgenommen werden, in dem sie kom- 

masepariert in die Univention Configuration Registry-Variable proxy/no_proxy aufgenommen werden. 

Unterdomänen werden dabei berücksichtigt; eine Ausnahme für univention.de wirkt sich also auch auf 

apt.univention.de aus. 

10.6 Protokollierung von Systemmeldungen und -zuständen 

10.6.1 Logdateien 

Alle UCS-spezifischen Logdateien (z.B. für die Listener/Notifier-Replikation) werden im Verzeichnis 

/var/log/univention abgelegt. Serverdienste protokollieren in ihre jeweilige Standard-Logdateien; 

249


Samba beispielsweise in /var/log/samba/log.smbd und /var/log/samba/log.nmbd. 

Die Logdateien werden durch Logrotate verwaltet. Es sorgt dafür, dass Logdateien in einem Intervall (konfi- 

gurierbar in Wochen über die Univention Configuration Registry-Variable log/rotate/weeks, standard- 

mässig 12) fortlaufend benannt werden und ältere Logdateien anschliessend gelöscht werden. Die aktuelle 

Logdatei für den Univention Directory Listener findet sich beispielsweise in der Datei listener.log, die 

der Vorwoche in listener.log.1 usw. 

Über die Univention Configuration Registry-Variable log/rotate/univention/compress kann konfi- 

guriert werden, ob die älteren Logdateien zusätzlich mit Gzip komprimiert werden sollen. 

10.6.2 Protokollierung des Systemzustands 

Mit univention-system-stats (verfügbar ab UCS 2.4-1) kann der aktuelle Systemzustand in die Datei 

/var/log/univention/system-stats.log protokolliert werden. Protokolliert werden dabei folgen- 

de Werte: 

• Der freie Speicherplatz auf den Systempartitionen (df -lhT) 

• Die aktuelle Prozeßliste (ps auxf) 

• Zwei top-Aufstellungen der aktuellen Prozesse und Auslastung (top -b -n2) 

• Den aktuell freien Arbeitsspeicher (free) 

• Die Zeit, die seit dem Start des Systems vergangen ist (uptime) 

• Temperatur-, Lüfter- und Spannungskennzahlen aus LM-Sensors (sensors) 

• Eine Aufstellung der aktuellen Samba-Verbindungen (smbstatus) 

Die Laufzeiten in denen der Systemzustand protokolliert werden soll, können durch die Univention Con- 

figuration Registry-Variable system/stats/cron in Cron-Syntax definiert werden, z.B. 0,30 * * * * für 

eine Protokollierung jeweils zu jeder vollen und halben Stunde. Die Protokollierung wird durch Setzen der 

Univention Configuration Registry-Variable system/stats auf yes aktiviert. 

10.7 Kernel 

10.7.1 Verfügbare Kernel-Varianten 

Um Systeme effizient an die Bedürfnisse verschiedener Umgebungen anpassen zu können, werden in 

UCS verschiedene Kernel-Varianten bereitgestellt. 

Der Standard-Kernel in UCS 2.4 basiert auf dem offiziellen Linux-Kernel 2.6.32. Prinzipiell sind drei ver- 

schiedene Arten von Kernel-Paketen zu unterscheiden: 

250 

• Ein Kernel-Image-Paket stellt einen lauffähigen Kernel bereit, der installiert und gestartet werden 

kann. 

• Ein Kernel-Source-Paket stellt den Quellcode für einen Kernel bereit. Aus diesem kann beispiels- 

weise ein angepasster Kernel erstellt werden, indem Funktionen aktiviert oder deaktiviert werden 

können.

10.7 Kernel 

• Ein Kernel-Header-Paket stellt Schnittstellen-Informationen bereit, die von externen Paketen benö- 

tigt werden, wenn diese auf Kernel-Funktionen zugreifen müssen. Sie werden typischerweise zum 

Übersetzen externer Kernel-Treiber benötigt. 

Im Regelfall ist für den Betrieb eines UCS-Systems nur die Installation eines Kernel-Image-Paketes not- 

wendig. 

Der Standard-Kernel in UCS für i386-basierte Systeme unterstützt bei Installationen ab Version 2.4 64 

GB RAM (der sogenannte bigmem-Kernel für Prozessoren mit PAE-Unterstützung). Der Standard-Kernel 

für amd64-Systeme unterstützt direkt mehr als 4 GB Arbeitsspeicher, wodurch eine 64 GB-Variante für 

amd64-Systeme nicht notwendig ist. 

Mehrere Kernel-Varianten können parallel installiert sein. Dies stellt sicher, dass im Fehlerfall immer auf 

eine ältere Variante zurückgegriffen werden kann. Um ein System trotzdem immer auf dem jeweils aktuel- 

len Stand halten zu können, werden sogenannte Meta-Pakete bereitgestellt, die immer auf die aktuell von 

UCS empfohlene Kernel-Version verweisen und diese im Update-Fall jeweils nachinstallieren. 

Eine vollständige Aufstellung aller Meta-Pakete findet sich im Univention Wiki unter 

http://wiki.univention.de/index.php?title=Unterstützte_Kernel-Varianten 

10.7.2 Treiber-Management 

Im Gegensatz zu anderen Betriebssystemen liefert der Linux-Kernel (von wenigen Ausnahmen abgese- 

hen) alle Treiber für Komponenten aus einer Hand. Im Regelfall ist es deshalb nicht notwendig Treiber aus 

externen Quellen nachzuinstallieren. 

Der Boot-Prozess erfolgt zweistufig unter Verwendung einer Initial RAM Disk (kurz initrd). Diese besteht 

aus einem Archiv mit weiteren Treibern und Programmen. Der Boot-Manager GRUB (siehe Kapitel 10.8) 

lädt den Kernel und die initrd in den Arbeitsspeicher, wo das initrd-Archiv entpackt und als temporäres 

Root-Dateisystem gemountet wird. Aus diesem kann dann das tatsächliche Root-Dateisystem eingebun- 

den werden, woraufhin abschliessend das temporäre Archiv wieder entfernt und der Systemstart eingelei- 

tet wird. 

Durch die Univention Configuration Registry-Variable initramfs/modules kann konfiguriert werden, 

welche Module in die initrd integriert werden. Wird sie auf most gesetzt, so werden alle Framebuffer- 

, ACPI, Dateisystem- und Festplatten-Module integriert, netboot fügt nur Basis- und Netzwerk-Treiber 

hinzu und dep führt eine automatische Erkennung der zu integrierenden Module durch. 

Wird die Univention Configuration Registry-Variable initramfs/busybox auf yes gesetzt, so wird Bu- 

sybox, eine kompakte Implementierung der Standard-Unix-Tools hinzugefügt, die u.a. zur Fehleranalyse 

nützlich ist. 

Die zu verwendenen Treiber werden beim Systemstart automatisch erkannt und durch den Device Mana- 

ger udev geladen. Dabei werden ausserdem die notwendigen System-Verknüpfungen unter /dev ange- 

legt. Wenn Treiber nicht erkannt werden (was vorkommen kann, wenn keine entsprechenden Hardware- 

IDs registriert sind oder Hardware verwendet wird, die nicht automatisch erkannt werden kann, etwa 

ISA-Steckkarten), so können automatisch zu ladende Kernel-Module durch die Univention Configurati- 

on Registry-Variable kernel/modules hinzugefügt werden. Soll mehr als ein Kernel-Modul hinzugefügt 

werden, so müssen diese durch ein Semikolon getrennt werden. 

251


10.8 GRUB Boot-Manager 

Als Boot-Manager wird in Univention Corporate Server GNU GRUB verwendet. GRUB stellt ein Auswahl- 

menü bereit, aus dem eine zu bootende Linux-Kernel-Variante oder weiteres Betriebssystem ausgewählt 

werden kann. Im Gegensatz zum in früheren UCS-Versionen verwendeten Bootloader LILO kann GRUB 

auch direkt auf Dateisysteme zugreifen, so dass im Fehlerfall etwa ein abweichender Kernel geladen wer- 

den kann. 

Die Auswahl der zu startenden Kernel im Boot-Menü wird in der Datei /boot/grub/menu.lst abge- 

legt. Standardmässig wird fünf Sekunden auf eine Eingabe gewartet. Durch die Univention Configuration 

Registry-Variable grub/timeout kann ein abweichender Wert in Sekunden konfiguriert werden. 

In der Grundeinstellung wird in einen 1024x768 Pixel grossen Bildschirm unter 16 Bit 

Farbtiefe gewechselt. Durch die Univention Configuration Registry-Variable grub/vga kann 

ein anderer Modus ausgewählt werden. Eine Liste der verfügbaren Modi findet sich unter 

http://en.wikipedia.org/wiki/VESA_BIOS_Extensions. 

Durch Setzen der Univention Configuration Registry-Variable grub/memtest86 auf true kann ein 

Speicher-Testprogramm in die Boot-Auswahl eingebunden werden. Dazu muss auf dem zu testenden 

System das Paket memtest86+ installiert sein. 

GRUB lädt das Betriebsystem in einem zweistufigen Verfahren; in den Master Boot Record der Festplatte 

wird der Stage 1-Loader geschrieben, der auf die Daten der Stage 2 verweist, welche den Grossteil des 

übrigen Boot-Vorgangs übernimmt. 

Durch Setzen der Univention Configuration Registry-Variable grub/append lassen sich Konfigurations- 

Optionen an den zu bootenden Kernel übergeben. 

GRUB verwendet zur Bennennung der Partitionen einer Festplatte eine eigene Notation, die von den 

Geräte-Namen unter Linux unabhängig ist. Diese wird für Festplatten-Partitionen in der Form (hdX,Y) 

dargestellt, wobei X für die Festplatte im System steht und Y für die Partition auf der Festplatte (die 

Zählung beginnt jeweils bei 0). (hd0,0) steht beispielsweise für die erste Partition auf der ersten Festplat- 

te. Die Grub-Root-Partition kann in dieser Notation durch die Univention Configuration Registry-Variable 

grub/groot angegeben werden. 

Davon unabhängig ist die Root-Partition, die an den zu bootenden Kernel übergeben wird. Diese kann 

durch die Univention Configuration Registry-Variable grub/root verändert werden und muss in normaler 

Linux-Partitions-Syntax angegeben werden. 

10.9 Ausführen von wiederkehrenden Aktionen mit Cron 

Regelmässig wiederkehrende Aktionen (wie z.B. das Verarbeiten von Logdateien) können mit dem Cron- 

Dienst zu einem definierten Zeitpunkt gestartet werden. Eine solche Aktion bezeichnet man auch als 

Cron-Job. 

252

10.9 Ausführen von wiederkehrenden Aktionen mit Cron 

10.9.1 Stündliches/tägliches/wöchentliches/monatliches Ausführen von Skripten 

Auf jedem UCS-System sind vier Verzeichnisse vordefiniert, /etc/cron.hourly/, 

/etc/cron.daily/, /etc/cron.weekly/ und /etc/cron.monthly/. Shell-Skripte, die in diesen 

Verzeichnissen abgelegt werden und als ausführbar markiert sind, werden automatisch stündlich, täglich, 

wöchentlich oder monatlich ausgeführt. 

10.9.2 Definition eigener Cron-Jobs in /etc/cron.d 

Ein Cron-Job wird in einer Zeile definiert, die aus insgesamt sieben Spalten aufgebaut ist: 

• Minute (0-59) 

• Stunde (0-23) 

• Tag (1-31) 

• Monat (1-12) 

• Wochentag (0-7) (0 und 7 stehen dabei für den Sonntag) 

• Name des ausführenden Benutzers (z.B. root) 

• Der auszuführende Befehl 

Die Zeitangaben können dabei in verschiedenen Formaten vorgenommen werden. Es kann entweder eine 

konkrete Minute/Stunde/etc. vorgegeben werden oder mit einem * eine Aktion zu jeder Minute/Stunde/etc. 

ausgeführt werden. Es können auch Intervalle definiert werden, */2 führt als Minutenangabe beispielswei- 

se dazu, dass eine Aktion jede zweite Minute ausgeführt wird. 

Einige Beispiele: 

30 * * * * root /usr/sbin/jitter 600 /usr/share/univention-samba/slave-sync 

*/5 * * * * www-data /usr/bin/php -q /usr/share/horde3/kronolith/scripts/reminders.php 

10.9.3 Definition eigener Cron-Jobs in Univention Configuration Registry 

Cron-Jobs können auch in Univention Configuration Registry definiert werden. Das ist besonders nützlich, 

wenn sie über eine Univention Directory Manager-Richtlinie gesetzt und somit auf mehr als einen Rechner 

angewendet werden. 

Jeder Cron-Job setzt sich dabei aus min. zwei Univention Configuration Registry-Variablen zusammen. 

JOBNAME ist dabei ein allgemeiner Bezeichner. 

• cron/JOBNAME/command legt den auszuführenden Befehl fest (Angabe erforderlich) 

• cron/JOBNAME/time setzt die Ausführungszeit fest (siehe 10.9.2) (Angabe erforderlich) 

• Standardmässig wird der Crob-Job als Benutzer root ausgeführt. Mit cron/JOBNAME/user kann 

ein abweichender Benutzer angegeben werden. 

• Wird unter cron/JOBNAME/mailto eine Email-Adresse hinterlegt, wird die Ausgabe des Cron- 

Jobs per Email dorthin gesendet. 

253


• Mit cron/JOBNAME/description kann eine Beschreibung hinterlegt werden. 

10.10 Kerberos 

Kerberos ist ein Authentikationsverfahren um in verteilten Netze über potentiell unsichere Verbindun- 

gen eine sichere Identifikation zu erlauben. Alle Clients verwenden dabei eine gemeinsame Vertrauens- 

basis, das Key Distribution Centre (KDC). Ein Client authentifiziert sich bei diesem KDC und erhält 

ein Authentizierungs-Token, das sogenannte Ticket, das zur Authentizierung innerhalb einer Kerberos- 

Umgebung (der sogenannten Kerberos Realm) verwendet werden kann. Der Name der Kerberos Realm 

kann über die Univention Configuration Registry-Variable kerberos/realm konfiguriert werden. 

Tickets sind standardmässig acht Stunden gültig; für eine Kerberos-Domäne ist deshalb eine synchrone 

Systemzeit zwischen den Systemen der Kerberos Realm essentiell. 

In Univention Corporate Server wird die Kerberos-Implementierung Heimdal verwendet. In einer Domä- 

ne können mehrere Domänencontroller als KDC operieren, per Default arbeitet jeder Domänencontroller 

Master, Domänencontrolle Backup und Domänencontroller Slave als KDC. Der von einem System ver- 

wendete KDC kann durch die Univention Configuration Registry-Variable kerberos/kdc umkonfiguriert 

werden. 

Auf dem Domänencontroller Master läuft der Kerberos Adminserver, auf dem administrative Einstellungen 

der Domäne vorgenommen werden können. Die meisten Einstellungen werden in Univention Corporate 

Server aus dem LDAP-Verzeichnis bezogen, so dass die wichtigste verbleibende Funktion das Ändern von 

Passwörtern darstellt. Diese können durch das Tool kpasswd geändert werden und werden dann auch im 

LDAP verändert. Der Kerberos Adminserver kann auf einem System durch die Univention Configuration 

Registry-Variable kerberos/adminserver konfiguriert werden. 

10.11 Namensauflösung 

10.11.1 Name Service Switch 

Die in Univention Corporate Server verwendete GNU C-Standardbibliothek (glibc) bietet eine modula- 

re Schnittstelle zur Auflösung von Namen von Benutzern, Gruppen und Rechnern, den Name Service 

Switch. 

Anstelle der traditionellen Konfigurationsdateien (wie /etc/passwd oder /etc/hosts) können die Da- 

ten, die bei Funktionsaufrufen zum Auflösen von Benutzer-, Gruppen- oder Rechnerdaten zurückgeliefert 

werden, auf diese Weise aus anderen Quellen wie LDAP oder einer SQL-Datenbank bezogen werden. 

Die Speicherarten werden in der Datei /etc/nsswitch.conf gespeichert, die über Univention Con- 

figuration Registry verwaltet werden kann. Standardmässig wird dabei auf den LDAP-Verzeichnisdienst 

zurückgegriffen; durch Setzen der Univention Configuration Registry-Variable nsswitch/ldap auf no 

kann die ausschliessliche Verwendung von /etc/passwd, /etc/group und /etc/hosts konfiguriert 

werden. 

254

10.11.2 LDAP-NSS-Modul 

10.11 Namensauflösung 

Das LDAP-NSS-Modul wird auf UCS-Systemen standardmässig für den Zugriff auf die Domänen- 

Daten (z.B. Benutzer) verwendet. Das Modul greift dabei auf den in der Univention Configurati- 

on Registry-Variable ldap/server/name (und ggf. zusätzlich der Univention Configuration Registry- 

Variable ldap/server/addition) festgelegten LDAP-Server zu. 

Der Verhalten bei nicht erreichbarem LDAP-Server kann durch die Univention Configuration Registry- 

Variable nssldap/bindpolicy festgelegt werden. Standardmässig wird bei nicht erreichbarem Server 

eine erneute Verbindung aufgebaut. Wird die Variable auf soft gesetzt, wird kein erneuter Verbindungs- 

aufbau durchgeführt. Dies kann den Boot eines Systems mit nicht erreichbarem LDAP-Server - z.B. in 

einer abgeschottenen Testumgebung - deutlich beschleunigen. 

10.11.3 Name Server Cache Daemon 

Um häufige Anfragen unveränderter Daten zu beschleunigen, können Daten des NSS-Dienstes durch den 

Name Server Cache Daemon (NSCD) zwischengespeichert werden. Werden diese erneut angefragt, 

muss so nicht eine vollständige neue LDAP-Anfrage durchgeführt werden, sondern die Daten können 

direkt aus dem Cache bezogen werden. 

Die zentrale Konfigurations-Datei des NSCD (/etc/nscd.conf) wird durch Univention Configuration 

Registryverwaltet. 

Der Zugriff auf den Cache erfolgt über eine Hash-Tabelle. Die Größe dieser Hash-Tabelle kann über Uni- 

vention Configuration Registry konfiguriert werden und sollte größer sein als die Anzahl der gleichzei- 

tig verwendeten Gruppen/Benutzer/Rechner. Aus technischen Gründen sollte als Größe der Tabelle eine 

Primzahl verwendet werden. Die folgende Tabelle führt die Standardwerte der Variablen auf: 

Variable Standardgröße der Hash- 

Tabelle 

nscd/group/size 3001 

nscd/hosts/size 3001 

nscd/passwd/size 3001 

Bei sehr großen Caches kann es nötig sein, die Größe der Cache-Datenbank im Arbeitsspeicher zu 

erhöhen. Dies kann mit den Univention Configuration Registry-Variablen nscd/hosts/maxdbsize, 

nscd/group/maxdbsize und nscd/passwd/maxdbsize konfiguriert werden. 

Standardmässig werden vom NSCD fünf Threads gestartet. Im Umgebungen, in denen viele Zugrif- 

fe erfolgen, kann es erforderlich sein, die Anzahl durch die Univention Configuration Registry-Variable 

nscd/threads zu erhöhen. 

In der Grundeinstellung wird ein aufgelöster Gruppen- oder Rechnername eine Stunde im Ca- 

che vorgehalten und ein Benutzername zehn Minuten. Durch die Univention Configuration Registry- 

Variablen nscd/group/positive_time_to_live, nscd/hosts/positive_time_to_live und 

nscd/passwd/positive_time_to_live können diese Zeiträume erweitert oder verringert werden 

(die Angabe erfolgt in Sekunden). 

255


Seit UCS 2.3 existiert ein Univention Directory Listener-Modul, welches den Gruppen-Cache leert, wenn 

eine Änderung an Gruppenmitgliedschaften vorgenommen wurde. Dieses Listener-Modul kann über die 

Univention Configuration Registry-Variable nscd/group/invalidate_cache_on_changes aktiviert/- 

deaktiviert werden (true/false). 

Gelegentlich kann es nötig sein, den Cache des NSCD manuell zu invalidieren. Die kann individuell pro 

Cache-Tabelle durch folgende Befehle geschehen: 

nscd -i passwd 

nscd -i group 

nscd -i hosts 

Der Detailgrad der Logmeldungen kann mit der Univention Configuration Registry-Variable 

nscd/debug/level konfiguriert werden. 

10.11.4 Konfiguration von /etc/hosts in Univention Configuration Registry 

Die Datei /etc/hosts wird als Univention Configuration Registry-Template verwaltet. Einzelne Einträge 

können über eine Univention Configuration Registry-Variable in der folgenden Form hinzugefügt werden: 

hosts/static/192.168.1.1="test.local test" 

10.12 SSH 

Bei der Installation eines UCS-Systems wird in der Vorauswahl ein SSH-Server mitinstalliert. Über SSH 

können verschlüsselte Verbindungen zu Rechnern durchgeführt werden, wobei auch die Identität eines 

Rechners über eine Prüfsumme sichergestellt werden kann. Wesentliche Aspekte der Konfiguration des 

SSH-Servers lassen sich über Univention Configuration Registry anpassen: 

Standardmässig ist der Login des privilegierten root-Benutzers per SSH erlaubt (etwa um ein neu in- 

stalliertes System an einem entfernten Standort zu konfigurieren, auf dem noch keine weiteren Benutzer 

angelegt wurden). Wird die Univention Configuration Registry-Variable sshd/permitroot auf without- 

password gesetzt, so wird für den root-Benutzer keine interaktive Passwort-Abfrage mehr durchgeführt, 

sondern beispielsweise nur eine Public-Key-basierte Anmeldung, was Brute-Force-Attacken auf Passwör- 

ter vermeidet. Wird die Variable auf no gesetzt, so kann sich der root-Benutzer überhaupt nicht mehr per 

SSH einloggen. 

Mit der Univention Configuration Registry-Variable sshd/xforwarding kann konfiguriert werden, ob eine 

X11-Ausgabe über SSH weitergeleitet werden soll. Dies ist u.a. nötig, um einem Benutzer die Möglichkeit 

zu geben durch einen Login mit ssh -X ZIELRECHNER ein Programm mit grafischer Ausgabe auf einem 

entfernten Rechner zu starten. Die möglichen Einstellungen sind yes und no. 

Der Standard-Port für SSH-Verbindungen ist Port 22 über TCP. Wenn ein abweichender Port verwendet 

werden soll, kann dies über die Univention Configuration Registry-Variable sshd/port konfiguriert wer- 

den. 

256

10.13 Zeitsynchronisation 

10.13 Zeitsynchronisation 

Asynchrone Systemzeiten zwischen den einzelnen Rechnern einer Domäne können die Quelle vielfältiger 

Fehler bedeuten: Sie verringern beispielweise die Verlässlichkeit von Log-Dateien, stören den Kerberos- 

Betrieb und können die korrekte Auswertung von Passwortablaufintervallen stören. 

In einer Domäne dient standardmässig der Domänencontroller Master als Zeitserver. Über die Univention 

Configuration Registry-Variablen timeserver, timeserver2 und timeserver3 können externe NTP- 

Server als Zeitquelle eingebunden werden. 

Eine manuelle Zeitsynchronisation kann durch den Befehl ntpdate gestartet werden. 

257


258

11 Softwarepflege 


11.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 

11.2 UCS Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 

11.2.1 UCS-Security-Updates und Hotfixes . . . . . . . . . . . . . . . . . . . . . . . . . . . 260 

11.2.2 UCS-Release-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 

11.3 Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 

11.3.1 Repository-Server zuweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 

11.3.2 Aktualisierung von Paketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 

11.3.3 Hinzufügen von Komponenten-Repositories . . . . . . . . . . . . . . . . . . . . . . . 265 

11.3.4 Verwalten von Paketlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266 

11.3.5 Release-Aktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 

11.3.6 Manuelle Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 

11.4 Software-Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 

11.5 Repository-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 


11.5.1 Anlegen eines Repository . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 

11.5.2 Pakete hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 

11.5.3 Pakete entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 

11.5.4 Zusammenführen von Repositorys . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 

11.5.5 Repository-Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 

Die in UCS integrierte Softwareverteilung und -pflege ist ein umfangreicher Mechanismus zum zentralen 

Verwalten von Release-Ständen und Paket-Versionen auf allen UCS-Systemen einer Domäne. Updates 

für UCS werden als Release- und Security-Updates sowie Hotfixes zur Verfügung gestellt. Diese können 

über DVDs oder so genannte Repository-Server bezogen werden. 

Diese Repository-Server stellen den Systemen einer UCS-Domäne die Software in Form von Paketen 

zur Verfügung, welche von den UCS-Systemen zur Installation heruntergeladen werden können. Seit der 

Version 2.2 von UCS besteht die Möglichkeit Release-Updates, Security-Updates, Hotfixes und zusätz- 

liche Komponten über das Online-Repository http://apt.univention.de einzuspielen. Damit ist in 

UCS-Domänen ein lokaler Repository-Server nicht mehr zwingend notwendig. Umgebungen, in denen 

beispielsweise der Zugriff auf externe Repository-Server nicht möglich ist, können weiterhin lokale Repo- 

sitory-Server verwenden. 

Mit diesen Mechanismen zur Softwarepflege werden nur die UCS-Systeme einer UCS-Domäne versorgt. 

Windows-Systeme sind derzeit nicht vorgesehen, es besteht aber die Möglichkeit über den Univention 

259


Windows Installer skriptbasiert eine Software-Auswahl im Rahmen einer Installation zu starten. Alternativ 

kann das Produkt opsi4ucs für eine automatische Windows-Installation und Softwareverteilung verwendet 

werden, dessen Verwaltung über das UCS-Managementsystem möglich ist. Weitere Informationen finden 

sich auf der Webseite des Herstellers unter http://www.uib.de. 

In diesem Kapitel werden diese Vorgänge und Funktionen genauer beschrieben, d.h. es werden die Vor- 

gänge zum Einspielen von Updates, die erweiterten Funktionalitäten des UCS-Managementsystems zur 

Softwarepflege sowie die Verwaltung von Repositories dokumentiert. 

11.2 UCS Updates 

Updates für UCS werden auf den UCS-Systemen immer über ein Repository eingespielt. Je nach Größe 

und Infrastruktur der Umgebung kann dies über eigene Repositories durchgeführt werden oder es kann 

das Online-Repository verwendet werden. Details zur Verwaltung von Repositories sind im Abschnitt 11.5 

zu finden. 

Von welchen Repository-Servern sich ein System für Updates bedient, wird über Univention Configu- 

ration Registry-Variablen definiert. Seit UCS 2.2 werden auf Basis dieser Variablen in dem Verzeich- 

nis /etc/apt/sources.list.d eine Liste von Dateien mit den Repositories für Release- und Se- 

curity-Updates sowie Hotfixes und Komponenten automatisch erzeugt. Welche Univention Configurati- 

on Registry-Variablen die Liste der Repositories beeinflussen, wird in den folgenden Abschnitten er- 

läutert. Sollten auf einem System weitere Repositories benötigt werden, können diese in der Datei 

/etc/apt/sources.list eingetragen werden. 

Wenn die automatischen Erstellung der Repository-Listen nicht gewünscht ist, kann dies durch Setzen der 

Univention Configuration Registry-Variable repository/online auf den Wert false deaktiviert werden. 

Im Folgenden wird das Einspielen von Release- und Security-Updates sowie das Einbinden von Hotfixes 

erläutert. 

11.2.1 UCS-Security-Updates und Hotfixes 

Wenn in Softwarepaketen Sicherheitslücken oder gravierende Fehler bekannt werden, stellt Univen- 

tion Security-Updates bereit. Die Verfügbarkeit neuer Security-Updates wird per E-Mail angekündigt. 

Zu jedem Security-Update wird ein Advisory-Dokument veröffentlicht, in dem die aktualisierten Pa- 

kete und der Grund für die Aktualisierung genannt werden. Sowohl in der Ankündigungen per E- 

Mail als auch in den Advisories wird darauf hingewiesen, ob nach dem Einspielen des Updates 

das System neu gestartet werden muss. Security-Updates für aktuelle UCS Versionen sind unter 

http://www.univention.de/updates/security abrufbar. 

Um den aktuellen Stand eines Systems bezüglich Security-Updates zu überprüfen, kann die Univention 

Configuration Registry-Variable version/security-patchlevel ausgelesen werden. Sollten neuere 

Security-Updates angekündigt sein, können diese entweder über die Univention Management Console 

(siehe Abschnitt 5.3.13) oder die im folgenden erläuterten Kommandozeilenprogramme installiert werden. 

Zum Einspielen von Security-Updates wird das Kommando univention-security-update 

verwendet. Als Aufrufparameter werden net oder local unterstützt. Bei beiden Variante 

260

11.2 UCS Updates 

kann zusätzlich die Option --silent angegeben werden, wodurch alle Ausgaben außer Feh- 

lermeldungen unterdrückt werden. Unabhängig davon werden alle Ausgaben in der Datei 

/var/log/univention/security-updates.log protokolliert. 

Bei der Verwendung von univention-security-update net werden die Security-Updates für das 

System aus dem Netz heruntergeladen und auf dem System eingespielt. Sollten mehrere Security-Upda- 

tes für die Version des Systems zur Verfügung stehen, die noch nicht auf dem System eingespielt worden 

sind, werden diese mit einem Aufruf eingespielt, so dass das System anschließend auf dem aktuellen 

Stand ist. Heruntergeladen werden die Security-Updates von dem eingestellten Repository-Server. Dieser 

ist in der Univention Configuration Registry-Variable repository/online/server eingetragen. Beim 

Zugriff auf den Server werden die Web-Proxy-Einstellungen des Systems berücksichtigt. 

Alternativ können Security-Updates auch als tar-Archiv heruntergeladen werden und dann mit dem Be- 

fehl univention-security-update local installiert werden. Diese Variante kann allerdings nur auf 

Repository-Servern genutzt werden. Ein Aufruf könnte beispielsweise wie folgt aussehen: 

univention-security-update local --file ucs-security-2.2sec1.tar.gz 

Zuvor sollte geprüft werden ob das Archiv vollständig und korrekt heruntergeladen wurde. Dies kann mit- 

tels des Kommandos md5sum durchgeführt werden, welches eine eindeutige Prüfsumme des Archivs 

erstellt. Zum Abgleich sind unter der angegebenen URL die Prüfsummen aller Archive zu finden. Ist die 

MD5-Summe korrekt kann das Security-Update mit dem genannten Befehl eingespielt werden. Dabei wird 

zuerst das lokale Repository aktualisiert und anschließend das Security-Update auf dem System einge- 

spielt. 

Security-Updates für UCS enthalten in der Regel mehrere Pakete, in denen Sicherheitslücken und gra- 

vierende Fehler korrigiert werden. Dadurch müssen nicht ständig wieder neue Pakete einzeln eingespielt 

werden. In manchen Umgebung kann es notwendig sein, Korrekturen für bestimmte Pakete schnellst- 

möglich zu bekommen. Dafür gibt es die Univention Hotfixes. Sobald ein Paket mit einer entsprechen- 

den Korrektur erstellt und dies getestet wurde, wird dieses über das Repository für Hotfixes zur Ver- 

fügung gestellt und per E-Mail die Verfügbarkeit angekündigt. Über dieses Repository können die Uni- 

vention Hotfixes auf den UCS-Systemen mit dem Befehl univention-actualise eingespielt wer- 

den. Für die Einbindung des Hotfixes-Repository muss die Univention Configuration Registry-Variable 

repository/online/hotfixes auf yes gesetzt werden. 

11.2.2 UCS-Release-Updates 

Ein wesentlicher Aspekt bei der Entwicklung von UCS ist die Update-Fähigkeit. Die Update-Fähigkeit 

besagt, dass eine UCS-Umgebung ohne größere Eingriffe auf die folgenden Version aktualisiert werden 

kann. Dabei ist es in der Regel nicht notwendig die für die vorherige Version zur Verfügung gestellten 

Security-Updates eingespielt zu haben. 

Für das Update werden von Univention parallel zu den Installations-DVDs für ein neues UCS-Release 

Update-DVDs in Form von ISO-Images veröffentlicht. Alternativ zum Update über eine Update-DVD kann 

dies auch über das Online-Repository durchgeführt werden. Zu jedem Release Update wird ein Change- 

log Dokument veröffentlicht, in dem die aktualisierten Pakete und der Grund für die Aktualisierung oder 

261


Funktionserweiterungen genannt werden. Des weiteren wird ein Dokument mit den Release Notes veröf- 

fentlicht in dem wichtige Hinweise enthalten sind, die beachtet werden sollten. 

Wie beim Security-Update können bei einem UCS-Release-Update zuerst die Pakete der neuen UCS- 

Version durch univention-repository-update in ein Repository eingespielt werden, um danach die 

übrigen UCS-Systeme zu aktualisieren. Sollte das Online-Repository verwendet werden, kann direkt mit 

der Aktualisierung der Systeme begonnen werden. Beim Einspielen eines Release-Updates in einer UCS- 

Umgebung sollte der Domaincontroller Master als erstes System aktualisiert werden. Nach dem Einspielen 

eines Release-Updates muss das entsprechende System neu gebootet werden. 

Empfohlen wird eine Aktualisierung eines UCS-Systems direkt an der Console oder über die Univention 

Management Console (Details zum Univention Management Console-Modul sind im Abschnitt 5.3.13 zu 

finden). Von einer Aktualisierung über eine Netzverbindung (beispielsweise eine SSH-Sitzung) wird ab- 

geraten, da dies zum Abbruch des Update-Vorgangs führen kann. Sollte eine Aktualisierung über eine 

Netzverbindung trotzdem durchgeführt werden, ist sicherzustellen, dass das Update durch Unterbrechen 

der Netzverbindung trotzdem weiterläuft. Hierfür können beispielsweise die Tools screen oder at einge- 

setzt werden. GNU Screen wird seit UCS 2.4 standardmässig mitinstalliert. 

Für die Aktualisierung können die Paketpflege-Richtlinien eingesetzt werden, über die ein automatisierte 

Release-Aktualisierung möglich ist. Diese werden in Abschnitt 11.3.5 beschrieben. 

Um UCS-Release-Updates direkt auf der Console zu installieren kann das Kommando 

univention-updater verwendet werden. Dies unterstützt die folgenden Varianten: 

• Über den Befehl univention-updater cdrom kann ein System von einer eingelegten Update- 

DVD oder einem ISO-Image aktualisiert werden. Dies kann nur auf Repository-Servern ausgeführt 

werden. Standardmäßig wird versucht, über das Kommando mount /cdrom die DVD einzuhängen. 

Mit dem Parameter --cdrom kann ein alternativer Pfad angegeben werden. Mit dem Parameter - 

-iso kann auch direkt auf ein vorhandenes ISO-Image zugegriffen werden. 

Ist auf dem System ein lokales Repository vorhanden, wird dieses zuerst aktualisiert. 

• Mit dem Kommando univention-updater net kann ein System über das Online-Repository 

oder ein lokales Repository in der Domäne aktualisiert werden. Der Update-Server wird durch die 

Univention Configuration Registry-Variable repository/online/server festgelegt. Auch in die- 

sem Fall wird ein vorhandenes lokales Repository auf dem System zuerst aktualisiert, die Aktuali- 

sierung verwendet dann das lokale Repository. 

• Sollte ein UCS-Release-Update bereits in das lokale Repository des Systems eingespielt worden 

sein, kann univention-updater local aufgerufen werden. Dann wird für die Aktualisierung 

das lokale Repository verwendet. 

Bei allen genannten Aufrufen kann über den Parameter --updateto angegeben werden, bis zu welcher 

Version ein System aktualisiert werden soll. Höhere Versionen werden nicht installiert, selbst wenn sie 

verfügbar sind. 

Vor der Installation eines Release-Updates wird ein Link auf die Release Notes angezeigt und ei- 

ne Minute gewartet, in der das Update noch abgebrochen werden kann. Dies kann mit der Op- 

tion --ignore-releasenotes oder dem Setzen der Univention Configuration Registry-Variable 

update/warning/releasenotes auf no übersprungen werden. 

262

11.3 Paketpflege 

Ist das Update erfolgreich durchgeführt worden, sollte anschließend geprüft werden, ob neue oder ak- 

tualisierte Join-Skripte ausgeführt werden müssen. Normalerweise sollte dies auf den Systemrollen DC 

Master und DC Backup nicht notwendig sein. Zur Überprüfung und zum Starten der Join-Skripte kann 

entweder das Univention Management Console-Modul Domänenbeitritt verwendet werden (siehe Ab- 

schnitt 5.3.10) oder das Kommandozeilenprogramm univention-run-join-scripts, welches im Ver- 

zeichnis /usr/share/univention-join zu finden ist. 

Achtung: 

Es ist zu beachten, daß durch als kritisch markierte Komponenten ggf. ein Upgrade auf das nächste Minor- 

oder Major-Release verhindert werden kann. Weiterführende Hinweise finden sich im Abschnitt 11.3.3. 


Auf allen UCS-Systemen außer Thin Clients können Pakete installiert, aktualisiert oder entfernt werden. 

Diese drei Vorgänge werden unter dem Begriff der Paketpflege zusammengefasst. 

Für die Paketpflege greifen die UCS-Systeme auf Repository-Server zu. Die Paketpflege kann manuell 

oder automatisiert erfolgen. Bei der automatisierten Paketpflege überprüfen UCS-Systeme selbständig, 

ob aktualisierte Pakete verfügbar sind, ob weitere Pakete installiert oder ob installierte Pakete wieder 

entfernt werden sollen. Die Paketpflege beinhaltet auch die Installation von Sicherheits-Updates. Über 

entsprechende Kommandos und Werkzeuge können diese Tätigkeiten auch manuell vorgenommen wer- 

den. 

11.3.1 Repository-Server zuweisen 

Für jedes UCS-System kann festgelegt werden, welchen Repository-Server es für die Paketpflege 

verwendet. Ist in der UCS-Domäne kein lokaler Repository-Server, so wird das Online-Repository 

http://apt.univention.de verwendet. Andernfalls wird der lokale Repository-Server gesetzt. Die- 

ser ist in der Regel unter dem DNS-Alias univention-repository erreichbar. 

Beim Betrieb von mehreren Repository-Servern können zur Lastverteilung die UCS-Systeme auf die Re- 

pository-Server verteilt werden. Im Univention Directory Manager kann an den Rechnerobjekten der UCS- 

Systeme über den Reiter [Repository-Server] der zu verwendende Repository-Server eingetragen wer- 

den. Da es sich bei dieser Einstellung um eine Richtlinie handelt, müssen die Einstellung nicht an jedem 

einzelnen Rechner vorgenommen werden. Richtlinien werden an untergeordnete Objekte im Verzeichnis- 

baum vererbt. 

11.3.2 Aktualisierung von Paketen 

Die manuelle Aktualisierung eines UCS-Systems wird als Benutzer root mit dem Kommando 

univention-actualise vorgenommen. Dabei werden keine Release-Updates durchgeführt, sondern 

nur Pakete aus den bereits bekannten Repositories aktualisiert. univention-actualise führt mehrere 

Aktionen durch. Zuerst wird eine Liste der verfügbaren Pakete und deren Versionen vom Repository-Ser- 

263


Abbildung 11.1: Richtlinie ’Repository Server’ 

ver abgefragt. Nach einem Vergleich der Liste mit den lokal installierten Paketen werden alle Pakete, die 

in neueren Versionen auf dem Repository-Server verfügbar sind, heruntergeladen und installiert. 

Updates können automatisiert eingespielt werden, wenn den gewünschten Systemen die Richtlinie Pa- 

ketpflege zugewiesen wird. In der Paketpflege-Richtlinie kann angegeben werden, ob die Aktualisierung 

beim Systemstart, beim Herunterfahren des Systems oder zu ganz bestimmten Zeiten erfolgen soll. Da 

Paketpflege-Richtlinien wie alle Richtlinien in UCS vererbt werden, können Einstellungen für die automati- 

sierte Aktualisierung an einem Rechner-Container vorgenommen werden. Die Einstellungen gelten dann 

für alle Rechner-Objekte, die unterhalb des Containers abgelegt sind. 

Zu beachten ist, dass bestimmte Pakete, wie z.B. der Kernel, standardmäßig nicht durch 

univention-actualise aktualisiert werden. Um diese Pakete ebenfalls auf den neuesten Stand zu 

bringen ist univention-actualise mit der Kommandozeilenoption --dist-upgrade auszuführen. 

Diese Pakete können deshalb nicht über eine Paketpflege-Richtlinie aktualisiert werden. Eine Aktualisie- 

rung ist möglich, indem das Paket in einer Paketliste zur Installation vorgemerkt wird (siehe folgenden 

Abschnitt). 

Hinweis: 

Bei der Aktualisierung von Paketen wird überprüft, ob Änderungen an Konfigurationsdateien vorgenom- 

men wurden. Wenn Konfigurationsdateien nicht mehr im Auslieferungszustand vorliegen, werden die- 

se nicht überschrieben. Stattdessen wird eine neue Version im selben Verzeichnis mit der Endung 

.dpkg-new oder .dpkg-dist abgelegt. Sollten Änderungen an Univention Configuration Registry-Tem- 

plates vorgenommen worden sein, werden diese Templates ebenfalls nicht überschrieben. Diesbezügliche 

Meldungen werden in die Log-Datei /var/log/univention/actualise.log geschrieben. 

Die von univention-actualise während der Aktualisierung erzeugten Meldungen 

werden auf dem aktualisierten System außer auf die Standard-Ausgabe auch nach 

/var/log/univention/actualise.log geschrieben. Sollen die Meldungen auf der Standard- 

264


Ausgabe unterdrückt werden, kann univention-actualise mit der Option --silent aufgerufen 

werden. 

Sollte ein Paket nicht gefunden werden, kann es sein, dass es in einem auf diesem System nicht einge- 

bundenen Repository verfügbar ist. Ein Bereich mit zahlreichen weiteren Paketen ist der Unmaintained- 

Bereich, der für jede UCS-Version zur Verfügung gestellt wird. Soll dieser Bereich auf einem Sys- 

tem eingebunden werden, kann dies durch Setzen der Univention Configuration Registry-Variable 

repository/online/unmaintained auf den Wert yes erfolgen. Wenn lokale Repository-Server ein- 

gesetzt werden, ist dabei zu beachten, dass der Unmaintained-Bereich in diesem Fall ebenfalls synchro- 

nisiert wird und somit das Repository mehr Speicherplatz auf der Festplatte benötigt. 

11.3.3 Hinzufügen von Komponenten-Repositories 

Zusätzlich zu den Standard-Repositories können weitere Software-Komponenten eingebunden werden. 

Um diese zu verwenden gibt es zwei mögliche Varianten. Einmal kann dafür das Univention Management 

Console-Modul Online-Updates verwendet werden (siehe Abschnitt 5.3.13). Alternativ kann dies auch 

über die folgenden Univention Configuration Registry-Variablen durchgeführt werden: 

repository/online/component//server Der Repository-Server auf dem die Komponente zur Ver- 

fügung gestellt wird. Wird diese Variable nicht gesetzt, dann wird der Server aus der Univention 

Configuration Registry-Variable repository/online/server verwendet 

repository/online/component/ Diese Variable muss auf enabled gesetzt werden, wenn die 

Komponente eingebunden werden soll. 

repository/online/component//localmirror Mit dieser Variable kann konfiguriert werden, ob 

die Komponente lokal gespiegelt wird. In Verbindung mit der Univention Configuration Registry- 

Variable repository/online/component//server kann so konfiguriert werden, dass 

eine Komponente zwar gespiegelt, aber nicht aktiviert wird oder dass sie zwar aktiviert, aber nicht 

gespiegelt wird. 

repository/online/component//description Ein beschreibender Name für das Repository. 

repository/online/component//prefix Definiert die URL-Präfix, die auf dem Repository-Server 

verwendet wird. In der Regel muss diese Variable nicht gesetzt werden. 

repository/online/component//username Wenn der Repository-Server eine Authentisierung 

erfordert kann in dieser Variable der Benutzername eingetragen werden. 

repository/online/component//password Wenn der Repository-Server eine Authentisierung 

erfordert kann in dieser Variable das der Passwort eingetragen werden. 

repository/online/component//version Über diese Variable kann die einzubindende Version 

angegeben werden. Dabei sind folgende Varianten möglich: 

leer bzw. nicht gesetzt Es werden automatisch alle Versionen der selben Major-Version eingebun- 

den. Ist z.B. aktuell UCS-2.3 installiert, so werden die Repositories für die Komponente in den 

Versionen 2.0, 2.1, 2.2 und 2.3 eingebunden, sofern diese existieren. 

current Durch das Schlüsselwort „current” werden ebenfalls alle Versionen der selben Major- 

Version eingebunden. Zusätzlich wird aber ein Minor- oder Major-Upgrade des installierten 

265


UCS-Systems solange verhindert, bis auch die so markierte Komponente für die neue Versi- 

on verfügbar ist; Patchlevel- oder Security-Updates sind davon nicht betroffen. Ist z.B. aktuell 

UCS-2.3 installiert, UCS-2.4 oder UCS-3.0 aber bereits verfügbar, so erfolgt dennoch solang 

kein Upgrade auf die neue Version, bis auch die Komponente für die Version 2.4 bzw. 3.0 ver- 

fügbar ist. 

major.minor Durch die Angabe einer expliziten Version wird die Komponente nur in dieser Versi- 

on eingebunden. UCS-Release-Updates werden dadurch nicht blockiert. Mehrere Versionen 

können durch Komma getrennt angegeben werden, z.B. 2.0,2.3. 

repository/online/component//defaultpackages Über diese Variable kann eine leerzeichense- 

parierte Liste an Paketnamen angegeben werden. Im UMC-Modul Online-Updates wird die Installa- 

tion der Komponente angeboten, wenn mindestens eines der Pakete nicht installiert ist. Die Angabe 

der Paketliste vereinfacht dadurch die Nachinstallation von Komponenten. 

Für muss der Name des Repository auf dem Server angegeben werden. Um beispielsweise die 

usc@School-Komponente einzubinden müssen folgende Variablen gesetzt werden: 

ucr set repository/online/component/ucsschool/description="UCS@School-Pakete" \ 

repository/online/component/ucsschool/server=apt.univention.de \ 

repository/online/component/ucsschool=yes 

Anschließend werden folgende zusätzliche Repositories auf dem System mit eingebunden: 

deb http://apt.univention.de/2.2/maintained/component ucsschool/all/ 

deb http://apt.univention.de/2.2/maintained/component ucsschool/extern/ 

deb http://apt.univention.de/2.2/maintained/component ucsschool/amd64/ 

Das letzte Repository in der Liste ist abhängig an den verfügbaren Architekturen. 

11.3.4 Verwalten von Paketlisten 

Die Paketpflege in UCS unterstützt neben der automatisierten Aktualisierung von Systemen auch die 

Installation und das Entfernen von Paketen. 

Jede Systemrolle in UCS wird mit einer Auswahl an Paketen installiert, ausgewählte Komponenten erwei- 

tern diesen Umfang. Beim Einsatz von Installationsprofilen können einzelne Pakete während der Instal- 

lation zusätzlich installiert werden. Für die nachträgliche Installation von Paketen auf einer Vielzahl von 

Systemen werden Paketlisten verwendet. 

Pakete, die über eine Paketliste auf einem System installiert wurden, werden ebenfalls im Rahmen der Ak- 

tualisierung erneuert, wenn eine neuere Version im Repository vorhanden ist. Pakete, die zum Entfernen 

vorgesehen sind, werden nicht nur einmalig entfernt. Diese Pakete werden darüber hinaus erneut entfernt, 

wenn sie im Rahmen der regelmäßigen Aktualisierung auf dem System gefunden werden. 

Die eigentlichen Paketlisten veranlassen nicht die Installation oder das Entfernen von Paketen. Paketlisten 

werden vielmehr in systemrollenspezifischen Paket-Richtlinien verwendet, welche die Installation oder das 

Entfernen der Pakete ermöglichen. 

Für die verschiedenen Systemrollen gibt es spezifische Paket-Richtlinien (siehe Tabelle). Dadurch ist es 

möglich, die Richtlinien mit der Basis der Domäne zu verbinden und alle Rechner mit derselben Systemrol- 

le domänenweit mit einer einzigen Richtlinie zu erfassen, während die Rechner mit anderen Systemrollen 

266


nicht beeinflusst werden. Eine Paketauswahl, die z.B. in der Paket-Richtlinie für Managed Clients getroffen 

wurde, gilt nur für Rechner mit der Systemrolle Managed Client. Die Richtlinien können auch direkt an den 

jeweiligen Rechner-Objekten über den entsprechenden Reiter bearbeitet werden. 

Paket-Richtlinie UCS Systemrollen 

Pakete Master DC Master und DC Backup 

Pakete Slave DC Slave 

Pakete Member Member-Server 

Pakete Client Managed Client 

Pakete Mobile Client Mobile Client 

Folgende Schritte sind bei der Verwendung von Paketlisten vorzunehmen. 

Neue Paketlisten werden im Univention Directory Manager unter Navigation ➞ univention ➞ packages 

angelegt. Hinweise zum Anlegen der Paketlisten-Objekte finden sich in den Kapiteln 4.4 und 4.5.11. 

Aus dem Menü Neues Objekt an aktueller Position hinzufügen wird hierzu der Eintrag Einstellungen 

Paketliste gewählt und ein Name für die Paketliste in das entsprechende Textfeld eingetragen. 

In das Eingabefeld Paketliste wird der Namen des gewünschten Pakets eingetragen. Beispielsweise soll 

der Editor Emacs auf allen Managed Clients installiert werden. Der Name des Pakets wird ohne Versi- 

onsnummer und die Endung .deb angegeben, also emacs. Über die Schaltfläche [Hinzufügen] wird das 

Paket eingetragen. Bei Bedarf können weitere Paketnamen eingetragen werden. 

Die Paketliste wird durch Klicken auf [Ok] gespeichert. Die erstellte Paketliste kann in einer systemrollen- 

spezifischen Pakete Richtlinie verwendet werden. Nachfolgend wird eine Richtlinie direkt am Rechnerob- 

jekt erstellt. 

Ein Rechnerobjekt wird geöffnet, auf welchem die Pakete der Paketliste installiert werden sollen, z.B. auf 

einem Managed Client. Der Reiter [Pakete Managed Client] wird geöffnet (siehe Abbildung 11.2). Es 

gibt zwei Bereiche, in denen Paketlisten ausgewählt werden können. Im oberen Bereich können Pakete 

angegeben werden, die installiert werden sollen, im unteren Bereich können Pakete angegeben werden, 

die entfernt werden sollen. Aus dem Menü Paketliste wird die zuvor erstellte Paketliste ausgewählt. Jetzt 

können unter Managed Client Pakete Installationsliste die in der Paketliste enthaltenen Paketnamen 

nacheinander ausgewählt und über die Schalftfläche Hinzufügen in die Liste der zu installierenden Pakete 

aufgenommen werden. 

Die Einstellungen werden durch Klicken auf [Ok] gespeichert. 

Eine derart erstellte systemrollenspezifische Pakete Richtlinie kann wiederverwendet werden. Den Pfad 

zur Richtlinie ist im Feld Konfiguration an der Richtlinie selbst angegeben. Es kann beispielsweise an ei- 

nem Rechner-Container über (aktuell) ➞ Richtlinien der Eintrag Pakete Managed Client ausgewählt und 

im Menü Konfiguration die vorher erstellte Richtlinie ausgewählt werden. Nach erneutem Seitenaufbau 

werden in den Textfeldern die Werte angezeigt, die ursprünglich eingeben wurden. Diese Einstellungen 

werden nach Aktivierung für alle Managed Clients unterhalb des Rechner-Containers wirksam. 

Wenn für dieses Rechnerobjekt eine Paketpflegerichtlinie erstellt wurde (siehe Abschnitt 11.3.2), werden 

beim nächsten Start der Paketaktualisierung von univention-actualise die aufgeführten Pakete in- 

stalliert. 

267


Hinweis: 

Abbildung 11.2: Paketliste Client 

Wenn lediglich auf einem einzigen Rechner Software de-/installiert bzw. aktualisiert werden soll, kann 

alternativ Univention Management Console verwendet werden. Nähere Informationen finden sich in Kapi- 

tel 5.1. 

11.3.5 Release-Aktualisierungen 

Wenn in einem Repository mehrere UCS-Releases enthalten sind (siehe Abschnitt 11.5), können UCS- 

Systeme manuell oder automatisiert auf den neusten Release-Stand gebracht werden. Die manuelle Ak- 

tualisierung über univention-updater ist in Abschnitt 11.2.2 beschrieben. 

Bei der automatisierten Release-Aktualisierung werden zwei Richtlinien verwendet. Über die Richtlinie Re- 

lease kann eine UCS-Versionsnummer vorgegeben werden, bis zu welcher ein UCS-System aktualisiert 

wird. Das Format der Version entspricht den ansonsten verwendeten UCS-Versionsbezeichnungen (2.0-0, 

2.0-1 usw.). Der Zeitpunkt der Release-Aktualisierung wird durch die Paketpflege-Richtlinie vorgegeben. 

Ist die automatisierte Paketpflege für einen Rechner aktiviert (siehe Abschnitt 11.3.2), wird zum festge- 

legten Zeitpunkt das Kommando univention-updater aufgerufen, wobei die in der Release-Richtlinie 

268


vorgegebene Version über den Parameter --updateto übergeben wird. Nach der Release-Aktualisie- 

rung wird die Paketaktualisierung ausgeführt. 

Die Ausgaben von univention-updater während der automatisierten Release-Aktualisierung werden 

auf den aktualisierten Systemen nach /var/log/univention/updater.log geschrieben. 

11.3.6 Manuelle Paketpflege 

Alle Paketpflegevorgänge können entweder mit der Paketverwaltung der Univention Management Console 

(siehe Kapitel 5.3.11) oder durch kommandozeilen-basierten Werkzeuge vorgenommen werden. Dabei 

werden die gängigen Debian-Werkzeuge verwendet. 

Weitere Informationen finden sich in [16]. 

11.3.6.1 Paketinstallationen 

Die Installation einzelner Pakete erfolgt mit dem Kommando 

univention-install PAKETNAME 

Als Installationsmedium wird dabei der Repository-Server verwendet. Bei der Installation eines Pakete 

werden unter Umständen Pakete mitinstalliert, die für die Funktion des angegebenen Pakets erforderlich 

sind, die sogenannten Paketabhängigkeiten. Um vorab zu prüfen, welche Abhängigkeiten nachgezogen 

würden, kann der Installationsvorgang durch Übergabe des Parameters -s simuliert werden. 

Jedes System enthält eine lokale Liste der verfügbaren Pakete. Vor der Installation eines Pakets sollte 

die Paketliste des Repository-Servers aktualisiert werden, um sicherzustellen, dass die aktuellste Version 

verwendet wird und alle Abhängigkeiten aufgelöst werden können: 

apt-get update 

11.3.6.2 Suche nach verfügbaren Paketen 

Wenn der Name eines Pakets nicht bekannt ist, kann mit dem Kommando apt-cache search nach 

Paketen gesucht werden. Als Aufrufparameter können Teile des Namens oder Wörter, die in der Beschrei- 

bung eines Paketes vorkommen angegeben werden. 

apt-cache search fax 

Um im aktuellsten Paketbestand suchen zu können, sollte auch hier vorher die Paketliste aktualisiert wer- 

den (siehe 11.3.6.1). 

11.3.6.3 Entfernen von Paketen 

Um einzelne Pakete zu entfernen, kann das Kommando 

apt-get remove PAKETNAME 

269


verwendet werden. Pakete, die von dem zu entfernenden Paket benötigt werden, werden ebenfalls ent- 

fernt. 

Auch hier kann durch Angabe des Parameters -s der Vorgang simuliert werden. 

11.3.6.4 Information über installierte Pakete 

Informationen zu installierten Paketen können mit dem Kommando dpkg angezeigt werden. Um die Ver- 

sionsnummer eines installierten Paketes anzuzeigen, kann der Aufrufparameter -l und der Paketname 

angegeben werden. Bei Verwendung des Aufrufparameters -l ohne Paketnamen wird die Liste aller be- 

kannten Pakete ausgegeben. Um die Suche auf bestimmte Pakete zu beschränken, können Platzhalter im 

Paketnamen verwendet werden. Als Platzhalter können der Stern (’*’ - für kein bis viele Zeichen) und das 

Fragezeichen (’?’ - für genau ein Zeichen) angegeben werden. Bei der Verwendung des Sterns kann es 

erforderlich sein, diesen Platzhalter zu schützen, da der Stern ansonsten von der Shell interpretiert wird. 

dpkg -l univention-config-registry 

dpkg -l 

dpkg -l univention-\* 

Um herauszufinden, welche Dateien in einem installierten Paket enthalten sind, kann dpkg mit dem Aufruf- 

parameter -L und einem Paketnamen verwendet werden. Beim Aufrufparameter -L können keine Platz- 

halter verwendet werden. 

dpkg -L univention-ldap-server 

Um herauszufinden, zu welchem Paket eine Datei gehört, kann dpkg mit dem Aufrufparameter -S und 

dem Dateinamen verwendet werden. Die Suche kann einige Zeit dauern, da die komplette Datenbank 

der installierten Pakete durchsucht wird. Dateien, die nach der Installation von Paketen erzeugt wurden, 

können von dpkg -S keinem Paket zugeordnet werden. 

dpkg -S /var/lib/univention-ldap/replog 

Weitere Details zum Kommando dpkg finden sich in der Man-Page (man dpkg). 

11.4 Software-Monitor 

Der Software-Monitor ist eine Datenbank, in der Informationen über die domänenweit installierten Soft- 

warepakete aufgezeichnet werden. Durch diese Datenbank kann sich ein Administrator einen Überblick 

verschaffen, welche Release- und Paketversionen auf den Systemen der Domäne installiert sind und diese 

Informationen bei der schrittweisen Aktualisierung einer UCS-Domäne nutzen und Installations-Probleme 

erkennen. 

UCS-Systeme aktualisieren ihre Einträge bei Softwareinstallationen, -deinstallationen und - 

aktualisierungen selbsttätig. 

Die Datenbank kann durch Auswahl der Komponente Softwaremonitor im Univention Installer eingerich- 

tet werden. Standardmäßig ist die Komponente nur auf dem Domaincontroller Master vorausgewählt. 

270

11.4 Software-Monitor 

Das System, auf dem die Datenbank betrieben wird, wird durch den DNS-Service-Record _pkgdb._tcp 

bei der Installation des Paketes univention-pkgdb eingerichtet. Wird das nachträglich auf anderen 

Systemrollen installiert, so muss der DNS-Service-Record 

pkgdb tcp 0 0 5432 

manuell angelegt werden. Weitere Informationen finden sich in Kapitel 4.5.9.4. 

Die webbasierte Abfrageschnittstelle des Software-Monitors integriert sich in die Univention Management 

Console. (Zu generellen Informationen über Univention Management Console siehe Kapitel 5.1) Folgende 

Funktionen des Software-Monitors können verwendet werden: 

• Rechner suchen gibt eine Auflistung aller Systeme mit den eingestellten Filtereigenschaften 

aus. Als Filter lassen sich Systemnamen, UCS-Versionen oder Systemrollen flexibel kombinieren. 

Suchanfragen können dauerhaft abgespeichert werden. 

• Paket suchen gibt eine Auflistung aller Systeme aus, die ein bestimmtes Paket installiert haben. 

Dabei kann neben dem Paketnamen auch nach dem Installationszustand einzelner Pakete gesucht 

werden. Suchanfragen können dauerhaft abgespeichert werden. 

Nachfolgend findet sich eine Übersicht der vorhandenen Suchmöglichkeiten zu den Installations- 

Zuständen von Paketen: 

– Der Paketauswahlstatus beeinflusst das Verhalten bei der Aktualisierung eines Pakets. Durch 

Install wird ein Paket zur Installation ausgewählt. Ist ein Paket auf Hold konfiguriert, so wird es 

von weiterer Aktualisierung ausgenommen. Es existieren zwei Möglichkeiten ein Paket zu dein- 

stallieren: Ein mit DeInstall entferntes Paket hält lokal erzeugte Konfigurations-Daten weiterhin 

vor, während ein mit Purge entferntes Paket komplett gelöscht wird. 

– Der Installationszustand beschreibt den Status eines installierten Pakets im Hinblick auf kom- 

mende Aktualisierungen. Der Normalfall ist Ok, was dazu führt, dass ein Paket bei Vorhanden- 

sein einer aktuelleren Version aktualisiert würde. Ist ein Paket auf Hold konfiguriert, so wird es 

von der Aktualisierung ausgenommen. 

– Der aktuelle Paketstatus beschreibt den Zustand eines eingerichteten Pakets. Der Normal- 

fall ist Installed für installierte und ConfigFiles für entfernte Pakete, alle übrigen Zustände 

entstehen, wenn die Installation des Pakets in verschiedenen Phasen abgebrochen wurde. 

• Probleme erkennen ermöglicht die automatisierte Erkennung von Installationsprobleme: 

– Die installierten Paketversionen können mit dem Soll-Paketzustand eines frei wählbaren Re- 

leases abgeglichen werden. Veraltete Software kann so auch in grossen Umgebungen effizient 

erkannt werden. 

– Unvollständig installierte Software-Pakete können erkannt werden. 

Wenn verhindert werden soll, dass UCS-Systeme Installations-Vorgänge im Software-Monitor aufzeichnen 

(etwa weil keine Netzwerkverbindung zur Datenbank besteht), kann dies durch Setzen der Univention Con- 

figuration Registry-Variable pkgdb/scan auf no abgeschaltet werden. Wenn die Aufzeichnungen danach 

wieder aktiviert werden, muss das Kommando univention-pkgdb-scan ausgeführt werden, damit die 

in der Zwischenzeit installierten Paketversionen in die Datenbank übernommen werden. 

271


In der Voreinstellung können nur Systeme aus dem Subnetz des Datenbank-Server ihre Konfigura- 

tion im Software-Monitor ablegen. Um auch Systemen aus anderen Subnetzen den Zugriff zu er- 

möglichen, muss in den Univention Configuration Registry-Variablen pgsql/pkgdb/network und 

pgsql/pkgdb/netmask ein angepasster Netzbereich bzw. eine angepasste Netzmaske eingetragen 

werden. Ein Beispiel: 

univention-config-registry set pgsql/pkgdb/network=10.200.0.0 

univention-config-registry set pgsql/pkgdb/netmask=255.255.0.0 

Nach diesen Änderungen muss der Postgresql-Dienst neu gestartet werden (z.B. über die Univention 

Management Console). 

11.5 Repository-Verwaltung 

Ein Repository nimmt die Softwarepakete und -aktualisierungen auf und stellt sie anderen UCS-Syste- 

men zur Verfügung. Repositories können auf UCS-Domänencontrollern und Member-Servern eingerichtet 

werden. Ein Server, der ein Repository anbietet, wird Repository-Server genannt. Auf Repository-Servern 

muss das Paket univention-debmirror installiert sein. 

Seit UCS 2.2 können UCS-Domänen auch ohne eigenen Repository-Server betrieben werden. In dem 

Fall greifen die Systeme auf das Online-Repository zu. Wenn lokale Repository-Server eingesetzt wer- 

den muss die Synchronisation zwischen den Servern konfiguriert werden. Dabei dient ein Repository 

als Master-Repository, alle anderen Repositories sind Slave-Repositories, die eine Kopie des Master- 

Repository oder eines anderen Slave-Repository umfassen. Hierarchien von Repositories werden im 

Abschnitt 11.5.5 behandelt. Das Repository liegt auf den UCS Servern unterhalb des Verzeichnisses 

/var/lib/univention-repository/mirror. 

Durch die Univention Configuration Registry-Variable local/repository kann das lokale Repository 

aktiviert (local/repository=true) oder deaktiviert (local/repository=false) werden. 

Die im Repository abgelegten Software-Pakete sind im Debian-Paketformat. 

Beim Einspielen von UCS-Security- oder Release-Updates sind die in Abschnitt 11.2.1 und 11.2.2 be- 

schriebenen Werkzeuge zu verwenden. 

In Abbildung 11.3 ist eine beispielhafte Architektur der Softwareverteilung in einer UCS-Domäne mit zwei 

Standorten dargestellt. Es werden drei Repository-Server betrieben. Der Domaincontroller Master ak- 

tualisiert sein Repository über das Online-Repository. Der Domaincontroller Backup bezieht aktualisierte 

Pakete ausschließlich über Repository-Synchronisation vom DC Master. Der Domaincontroller Slave als 

Standort-Server bezieht Pakete wiederum über Repository-Synchronisation vom DC Backup. 

Für jedes UCS-System der Domäne ist ein Repository-Server festgelegt, von dem Pakete bei der Nachin- 

stallation oder bei der Aktualisierung heruntergeladen werden. Zur Lastverteilung sind die UCS-Systeme 

des zentralen Standortes auf die Repository-Server verteilt. Die UCS-Systeme des externen Standortes 

verwenden den Repository-Server. Alle UCS-Systeme melden Änderungen von installierten Paketen an 

den Software-Monitor auf dem DC Master. Neue Updates kann das Repository des DC Master direkt vom 

Online-Repository beziehen. 

272

11.5.1 Anlegen eines Repository 

Abbildung 11.3: Beispielhafte Architektur der Softwareverteilung 


Repositories können während der Installation von UCS-Server-Systemen durch Univention Installer ange- 

legt werden. 

Mit dem Befehl univention-repository-create kann ein lokales Repository auch nachträglich an- 

gelegt werden. Der Befehl muss als Benutzer root aufgerufen werden. Um ein Repository einrichten zu 

können, muss das Paket univention-debmirror installiert sein. 

11.5.2 Pakete hinzufügen 

In der Regel werden Pakete nach der Initialisierung eines Repository über Security-Updates oder Release- 

Updates mit den entsprechenden Werkzeugen den Repositories hinzugefügt. Weitere Pakete können mit 

dem Programm univention-repository-addpackage zum Master-Repository hinzugefügt werden. 

Anschließend können die neu hinzugefügten Pakete in der UCS-Domäne automatisch verteilt oder instal- 

liert werden. Als Parameter werden dem Programm das Zielverzeichnis und die Pakete, die hinzugefügt 

werden, übergeben. Beispiel: 

univention-repository-addpackage \ 

--dest /var/lib/univention-repository/mirror/2.2/maintained/2.2-0/ \ 

--file kde-profiles-test1.deb kde-profiles-test2.deb 

273


11.5.3 Pakete entfernen 

Pakete werden mit dem Programm univention-repository-delpackage aus dem Master-Reposito- 

ry entfernt. Auf allen Slave-Repositories muss das Paket ebenfalls entfernt werden. Als Parameter werden 

dem Programm die zu löschenden Pakete übergeben. Beispiel: 

univention-repository-delpackage --file \ 

/var/lib/univention-repository/mirror/2.2/maintained/2.2-0/all/profile\_*.deb 

11.5.4 Zusammenführen von Repositorys 

Mit dem Programm univention-repository-merge können alle Pakete aus einem Verzeichnis in ein 

anderes Verzeichnis verschoben werden. Wenn dort weitere Versionen eines Paketes vorhanden sind, 

stellt das Programm sicher, dass automatisch die aktuellste Version gespeichert wird und alle älteren 

Versionen gelöscht werden. 

Im Prinzip kann univention-repository-merge mit beliebigen Verzeichnissen eingesetzt werden. 

Standardmäßig wird es verwendet, um die Pakete aus den Update-Verzeichnissen mit den Paketen aus 

dem Paket-Verzeichnis zusammenzuführen und jeweils nur die aktuellste Paket-Version zu bewahren. 

Hinweis: 

Bevor Update-Verzeichnisse zusammengeführt werden, sollten alle UCS-Systeme auf dem gleichen Re- 

lease-Stand sein. Die Update-Verzeichnisse werden für künftige Updates benötigt, auch wenn sie keine 

Pakete mehr enthalten. Sie dürfen also nicht gelöscht werden. 

Das Programm univention-repository-merge wird wie folgt aufgerufen: 

univention-repository-merge --dest \ 

--src 

Dabei bezeichnet der Parameter das Verzeichnis, in dem die Pakete zusammengeführt 

werden sollen, während der Parameter dem Verzeichnis entspricht, aus dem die 

Pakete verschoben werden. Beispiel: 

univention-repository-merge --dest /var/lib/univention-repository/new --src \ 

/var/lib/univention-repository/mirror/2.2/maintained/2.2-0/ --src \ 

/var/lib/univention-repository/mirror/2.1/maintained/2.1-0/ 

Sollen mehrere Update-Verzeichnisse bereinigt werden, sollte mit der höchsten Versionsnummer begon- 

nen werden. Dadurch wird die Zusammenführung beschleunigt, da nur neuere Versionen verschoben 

werden. Ältere Paketversionen werden entfernt, ohne dass die Index-Datei des Zielverzeichnisses zeitauf- 

wändig aktualisiert werden muss. 

Wenn die Repository-Synchronisation aktiv ist, muss die Zusammenführung der Update-Verzeichnisse auf 

dem Master-Repository durchgeführt werden. Anderenfalls wird beim nächsten Lauf der Synchronisation 

der ursprüngliche Zustand wiederhergestellt. Die Zusammenführung auf dem Master-Repository wird auf 

die nachgeordneten Repositorys übertragen. 

274

11.5.5 Repository-Synchronisation 


In verschiedenen Szenarien kann der Betrieb mehrerer lokaler Repository-Server sinnvoll sein. Beispiels- 

weise kann in UCS-Domänen, die sich über mehrere Standorte verteilen, ein Repository-Server pro Stand- 

ort betrieben werden. Ohne eine Repository-Synchronisation muss der Administrator selbst dafür sorgen, 

dass alle Repositories auf dem neusten Stand sind, d.h. es müssen alle Repositories manuell durch den 

Administrator aktualisiert werden. Dies gilt für Release-Updates, Security-Updates oder zusätzliche Pake- 

te. Mit Hilfe der Repository-Synchronisation kann die Pflege auf einen einzigen Repository-Server redu- 

ziert werden. 

Alternativ kann auch in Umgebungen auf lokale Repository-Server verzichtet werden und direkt der Zugriff 

auf das Online-Repository eingerichtet werden bzw. es kann eine Synchronisation der lokalen Repository- 

Server mit dem Online-Repository konfiguriert werden. 

Bei der Repository-Synchronisation wird ein Repository-Server zum Master-Repository-Server erklärt. In 

diesem Repository werden ausschließlich Änderungen wie Security- oder Release-Updates vorgenom- 

men, Pakete werden einzeln hinzugefügt oder entfernt. Andere Repository-Server, die so genannten Sla- 

ve-Repository-Server überprüfen regelmäßig, ob es Änderungen auf dem Master-Repository-Server gab 

und übernehmen diese. Bei der Synchronisation mit dem Online-Repository ist dieses als das Master- 

Repository zu sehen. Sollten zusätzliche Pakete benötigt werden, die über das Online-Repository nicht 

zur Verfügung gestellt werden, muss einer der lokalen Repositor-Server dafür verwendet werden. Alle 

weiteren lokalen Repository-Server sollten dann über diesen Repository-Server synchronisiert werden. 

Ein Slave-Repository-Server muss sich nicht direkt an den Master wenden. Slave-Repository-Server kön- 

nen zur Synchronisation einen anderen Slave-Repository-Server verwenden, der Änderungen von einem 

übergeordneten Repository-Server bezieht. 

Um die Pakete eines UCS-Release-Updates auf dem Master-Repository-Server einzuspielen, kann das 

Tool univention-repository-update verwendet werden. Dies unterstützt zwei Modi: 

univention-repository-update cdrom Dabei wird das Repository über eine Update-DVD aktuali- 

siert. 

univention-repository-update net Bei dieser Variante wird das Repository mit einem angebe- 

nen anderen Repository-Server synchronisiert. Dieser ist in der Univention Configuration Registry- 

Variable repository/mirror/server definiert. 

Es besteht auch die Möglichkeit mit dem Befehl univention-repository-update ein Release- 

Update in das Repository einzupflegen ohne direkt ein Update zu starten. Diese kann mit der Option 

net aus einem weiteren Repository (dies kann auch das Online-Repository sein) erfolgen, mit der Option 

cdrom von einer Update-DVD: 

univention-repository-update net 

univention-repository-update cdrom --cdrom --iso ucs_update.iso 

Bei der Einrichtung der Repository-Synchronisation wird die Zuordnung zu einem übergeordneten Server 

und der Zeitpunkt über Richtlinien vorgenommen. 

Wie in Abschnitt 11.3.1 beschrieben, kann für jedes UCS-System über die Richtlinie Repository-Server 

vorgegeben werden, welcher Repository-Server für Paket-Installationen verwendet werden soll. Auf UCS- 

275


Systemen, die selbst ein aktives lokales Repository besitzen, wird über diese Richtlinie gleichzeitig einge- 

stellt, welcher Repository-Server als übergeordnetes Repository für die Synchronisation verwendet wer- 

den soll. Für einen Master-Repository-Server wird daher kein Repository-Server eingetragen. 

In der Richtlinie Repository-Synchronisation kann der Zeitpunkt für die automatische Repository-Repli- 

kation auf die einzelnen Slave-Repository-Server definiert werden. Dabei kann der Monat, der Wochentag, 

der Tag, die Stunde und die Minute angegeben werden. Immer dann, wenn alle Einstellungen zutreffen, 

wird die Synchronisation mit dem übergeordneten Repository-Server gestartet. 

Die Repository-Synchronisation kann auch lokal auf den Systemen mittels Univention Configuration 

Registry-Variablen konfiguriert werden. Dabei definiert die Univention Configuration Registry-Variable 

repository/mirror/server den Repository-Server von dem synchronisiert werden soll. Um bei- 

spielsweise direkt mit dem Online-Repository zu synchronisieren muss die Univention Configuration Re- 

gistry-Variable auf den Wert apt.univention.de gesetzt werden. Um alternativ über einen weiteren 

lokalen Repository-Server zu synchronisieren muss der vollqualifizierte Rechnername des Systems an- 

gegeben werden. 

univention-config-registry set repository/mirror/server=apt.univention.de 

Standardmässig wird das Repository nur mit Paketen für die Architektur des Repository- 

Servers befüllt. Werden in einer UCS-Domäne Systeme mit verschiedenen Architekturen betrie- 

ben, können die zu verwaltenden Architekturen mit der Univention Configuration Registry-Variable 

repository/mirror/architectures angebeben werden. Die Angabe erfolgt dabei als mit Leerzei- 

chen getrennte Liste. 

Welche Standard-Repositories synchronisiert werden, wird durch die Univention Con- 

figuration Registry-Variablen repository/online/maintained für den Maintained- 

Bereich, repository/online/unmaintained für den Unmaintained-Bereich und 

repository/online/hotfixes für die Hotfixes definiert. In den Voreinstellunen ist nur die Va- 

riable repository/online/maintained auf yes gesetzt. 

Sind auf dem System Repositories für Komponenten definiert, so werden auch diese von den angegebe- 

nen Servern synchronisiert. 

Durch die Univention Configuration Registry-Variable repository/mirror/version/start wird fest- 

gelegt ab welcher Version von Univention Corporate Server die Repositories synchronisiert werden. Um 

beispielsweise die Synchronisation ab der UCS-Version 2.1-0 zu beginnen kann folgender Befehl verwen- 

det werden: 

univention-config-registry set repository/mirror/version/start=2.1-0 

Alle Änderungen, die während der Synchronisation auf einem Repository-Server vorgenommen wurden, 

werden lokal in der Datei /var/log/univention/repository.log protokolliert. 

276

12 Mail 


12.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 

12.2 Basis-Maildienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 

12.3 Einrichtung des Mail-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 

12.3.1 SMTP-Server (Postfix) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 

12.3.2 IMAP/POP3-Server (Cyrus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

12.3.3 Mail-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 

12.3.4 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 

12.4 Spamfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 

12.5 Virenfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284 

12.6 Konfiguration von Mail-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 


12.6.1 Kontact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285 

12.6.2 Outlook Express . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 

Das UCS-Mailsystem stellt Maildienste in zwei Abstufungen zur Verfügung. 

Auf allen UCS-Serversystemen sowie Managed und Mobile Clients werden immer Basis-Maildienste in- 

stalliert (Paket univention-mail-postfix-forward). Diese liefern lokale E-Mails UNIX-typisch in das Ver- 

zeichnis /var/spool/mail aus. E-Mails für andere Empfänger werden an einen im LDAP-Verzeichnis 

definierten Relay-Host weitergeleitet, der die Bereitstellung per POP/IMAP oder die Weiterleitung an an- 

dere Server vornimmt. 

Für DC Master-/Backup- und Slave-Server steht während der Installation die Komponente Mail zur Verfü- 

gung. Diese installiert erweiterte Maildienste, die allen in UCS registrierten Benutzern und den anderen 

UCS-Systemen als Relay-Host zur Verfügung gestellt werden. Dienste wie SMTP, POP und IMAP sind 

vorkonfiguriert. 

Auf UCS Memberservern ist die Installation der Komponente Mail ebenfalls möglich, jedoch nicht zu emp- 

fehlen. Diese Komponente ist stark mit dem LDAP-Verzeichnis verknüpft, es sollte deshalb auf Systemen 

mit einem lokalen LDAP-Server installiert werden. Andernfalls kann es bei hohem Mailaufkommen zu 

Engpässen kommen. 

In typischen Installationen wird nur ein Mail-Server verwendet, in kleinen Netzwerken kann diese Rolle 

vom DC Master übernommen werden. Wird für den Ausfallschutz auch auf dem DC Backup der Maildienst 

installiert, so wird er zunächst deaktiviert. Dabei erfolgt aufgrund der Datenmengen kein automatischer 

Abgleich der Postfächer. 

277

12 Mail 

Neben dem UCS-Mailsystem existieren weitere auf UCS basierende Groupwaresysteme, die ebenfalls 

eine Integration in das UCS Managementsystem liefern, bspw. Kolab2 für UCS [17], Scalix für UCS [18], 

Zarafa oder Open-Xchange. 

12.2 Basis-Maildienste 

Die Basiskonfiguration erlaubt das Versenden von E-Mails durch lokale Programme. Der für nicht lokale 

Adressen verwendete Relay-Host kann übergreifend für alle Clients im Univention Directory Manager Web- 

Frontend eingetragen werden. Das zugehörige Listener-Modul setzt dann die Univention Configuration 

Registry-Variable mail/relay und veranlasst den Mail-Server (Postfix), seine Konfigurationsdateien neu 

einzulesen. 

Ist diese Variable nicht gesetzt beziehungsweise kein Relay-Host im LDAP-Verzeichnis eingetragen, wird 

für nicht lokale E-Mails versucht, den zuständigen Mail-Server über DNS (MX-Record) aufzulösen. Schlägt 

die Zustellung fehl, geht die E-Mail an den Absender zurück. 

Zusätzlich werden über Univention Configuration Registry-Variablen der Form 

mail/alias/= Aliase gepflegt. Voreingestellt sind: 

mail/alias/root=systemmail@. 

mail/alias/postmaster=root 

Der Benutzer systemmail wird dazu im System angelegt, so dass E-Mails, die lokal an root oder post- 

master versendet werden, in der Mailbox /var/spool/mail/systemmail abgelegt werden. 

Die Variablen können gesetzt werden, um beispielsweise E-Mails aus den UCS-Systemen auf dem Relay- 

Host zu sammeln. Dazu ist an der Kommandozeile des UCS-Systems einzugeben: 

univention-config-registry set mail/alias/root=administrator@ 

newaliases 

Dabei muss durch die DNS-Domäne ersetzt werden. Die E-Mails an root werden so nicht 

mehr als lokale E-Mails behandelt, sondern dem Relay-Host übergeben. Da postmaster ein Alias von root 

ist, gilt das auch für an ihn adressierte E-Mails. Möglich ist auch das Setzen beliebiger neuer Aliase. Der 

Befehl newaliases ist nötig, um die veränderten Einstellungen Postfix bekannt zu machen. 

12.3 Einrichtung des Mail-Servers 

Mit der Auswahl der Komponente Mail während der Installation werden die nötigen Pakete installiert um 

einen vollständigen Mail-Server zu konfigurieren. 

Die erforderliche Funktionalität wird von den dabei installierten Paketen Postfix (Mailversand durch SMTP) 

und Cyrus (Mailbereitstellung durch POP und IMAP) bereitgestellt. 

Während der Installation wird der Server automatisch als Relay-Host am Domänenobjekt im LDAP- 

Verzeichnis eingetragen. 

278


Sofern die Maildienste nicht im Zuge der Erstinstallation eingerichtet wurden, kann eine nachträgliche Ein- 

richtung durch Installation der Pakete univention-mail-postfix und univention-mail-cyrus durchgeführt 

werden. 

12.3.1 SMTP-Server (Postfix) 

Die vom Paket univention-mail-postfix voreingestellte Konfiguration stellt mit Postfix einen SMTP-Dienst 

für alle registrierten Benutzer aus der Domäne zur Verfügung. 

Um einem Benutzer eine E-Mail-Adresse zuzuordnen, ist in der Benutzerverwaltung des Univention Direc- 

tory Manager im Feld Primäre Email-Adresse des Reiters Mail die primäre E-Mail-Adresse einzutragen. 

Diese wird zur Authentifizierung am Mail-Server verwendet. Zusätzlich können auch beliebig viele wei- 

tere Adressen, unter denen der Benutzer erreichbar sein soll, in das Feld Alternative E-Mail-Adressen 

eingetragen werden. Die E-Mails an alle eingetragenen Adressen des Benutzers werden in eine gemein- 

same Mailbox ausgeliefert. Besitzen zwei Benutzer die gleiche alternative E-Mail-Adresse, erhalten beide 

Benutzer alle E-Mails, die an diese Adresse gesandt werden. Primäre E-Mail-Adressen müssen dagegen 

immer eindeutig sein. 

Postfix unterscheidet bei der Zustellung der E-Mails zwischen lokalen und externen Domänen. Nur für 

E-Mail-Adressen lokaler Domänen wird die Zustellung an Postfächer, die im LDAP-Verzeichnis defi- 

niert wurden, vorgenommen. Voreingestellt ist dazu die DNS-Domäne des Mail-Servers. Wenn E-Mail- 

Adressen lokalen Postfächern zugeordnet werden sollen, die nicht der Domäne des Servers entspre- 

chen, kann eine Liste der zu verwendenden Domänen über die Univention Configuration Registry-Variable 

mail/hosteddomains definiert werden. Beispiel: 

univention-config-registry set mail/hosteddomains="mydomain.com \ 

myotherdomain.com subdomain.mydomain.com" 

Dabei ist zu beachten, dass die sonst voreingestellte Domäne des Servers Bestandteil dieser Liste sein 

muss, um E-Mails der lokalen Domäne zu verarbeiten. Anschließend muss der Befehl 

postmap /etc/postfix/transport 

ausgeführt werden, damit die Änderungen durch Postfix übernommen werden. 

Für Domänen aus dem so definierten Zuständigkeitsbereich führt Postfix bei eingehenden E-Mails eine 

Gültigkeitsüberprüfung in Form einer Suche im LDAP-Verzeichnis durch. Das bedeutet, dass E-Mails nur 

für im LDAP-Verzeichnis eingetragene oder über einen Alias definierte E-Mail-Adressen akzeptiert werden. 

Nach der optionalen Filterung bezüglich Spam und Viren werden empfangene E-Mails dem lokalen 

POP/IMAP-Server Cyrus übergeben. 

E-Mails an fremde Domänen werden in der Voreinstellung direkt an die zuständigen Server versendet, die 

per MX-Records aufgelöst werden. Soll diese Aufgabe von einem Relay-Host z.B. beim Internet-Provider 

übernommen werden, muss der vollqualifizierte Domänenname (FQDN) des Relay-Hosts in die Univention 

Configuration Registry-Variable mail/relayhost eingetragen werden. 

Ist für den Versand die Authentifizierung gegenüber dem Relay-Host notwendig, muss die 

Univention Configuration Registry-Variable mail/relayauth auf yes gesetzt und die Datei 

279

12 Mail 

/etc/postfix/smtp_auth bearbeitet werden. In dieser Datei muss Relay-Host, der Benutzername 

und das Passwort in einer Zeile hinterlegt werden: 

: 

Anschließend muss für diese Datei 

postmap /etc/postfix/smtp_auth 

aufgerufen werden, damit die Änderungen durch Postfix übernommen werden. 

Mit der Univention Configuration Registry-Variable mail/messagesizelimit kann die maximale Größe 

in Byte für ein- und ausgehende E-Mails festgelegt werden. Die voreingestellte Maximalgröße beträgt 

10240000 Byte. Wird 0 als Wert konfiguriert, so wird die Begrenzung aufgehoben. 

Nach der Eingabe sollte Postfix neu gestartet werden um die Funktionalität Ihrer Einstellungen zu gewähr- 

leisten. Dies geschieht mit: 

/etc/init.d/postfix restart 

Wird die Univention Configuration Registry-Variable mail/archivefolder auf eine E-Mail-Adresse ge- 

setzt, sendet Postfix eine Blindkopie aller ein- und ausgehenden E-Mails an diese Adresse. So kann eine 

Archivierung aller E-Mails erreicht werden. Standardmäßig ist die Variable nicht gesetzt. Falls noch kein 

Postfach für diese Adresse existiert, wird es automatisch angelegt. 

Mit der Univention Configuration Registry-Variable mail/postfix/dnslookups (yes/no) kann die 

DNS-Auflösung von Hostnamen für die Zustellung über SMTP und LMTP konfiguriert werden. Wird die 

Variable auf no gesetzt, erfolgt die Auflösung über die Standardsystemroutine, die typischerweise auch 

Einträge in der Datei /etc/hosts erfasst. 

Bei einer Reihe von Fehlersituationen (z.B. bei nicht vorhandenen Benutzern) kann es zu einem Bounce 

der betroffenen Mail kommen, d.h. die Mail wird an den Absender zurückgesendet. Mit dem Setzen der 

Univention Configuration Registry-Variable mail/postfix/softbounce auf yes werden Mails nie mit 

einem Bounce zurückgesendet, sondern immer weiterhin in der Queue vorgehalten. Diese Einstellung ist 

insbesondere für Konfigurationsarbeiten am Mailserver sehr nützlich. 

Im Regelfall erfolgt das Mailrouting über im DNS hinterlegte MX-Records. Für Sonderfälle - beispielsweise 

den Betrieb eines Tunnels zwischen zwei Servern, die nicht über DNS aufgelöst werden können - kann 

die Konfiguration einer manuellen Transportroute nötig sein. Diese können über die Univention Configuration 

Registry-Variable mail/maps/transport/IDENTIFIER der Datei /etc/postfix/transport 

hinzugefügt werden. Ein Beispiel: 

mail/maps/transport/1="somedomain.org smtp:[mail.somedomain.com]" 

Gelegentlich ist es notwendig, Mailadressen umzuschreiben, etwa wenn im Rahmen einer Umstellung 

neue Mailadressen eingeführt wurden. Dies kann über Canonical-Mappings realisiert werden. Durch 

die Univention Configuration Registry-Variable mail/maps/canonical/sender/enable können die 

Umschreibungen auf Sender-Seite entweder durch die Datei /etc/postfix/canonical_sender 

(file) oder durch Zugriff auf das LDAP (ldap) konfiguriert werden. Die Einstellungen für das Um- 

schreiben von Empfängeradressen erfolgen durch die Univention Configuration Registry-Variable 

mail/maps/canonical/recipient/enable. Wird sie auf file konfiguriert, so wird die Datei 

/etc/postfix/canonical_recipient ausgelesen, auch ein Zugriff auf das LDAP (ldap) ist hier 

280


möglich. Mit der Univention Configuration Registry-Variable mail/maps/canonical/sender/classes 

kann konfiguriert werden, auf welche Adressinformationen die Umwandlung angewendet werden soll. Zur 

Auswahl stehen envelope_sender und/oder header_sender. 

In Verbindung mit dem Paket univention-mail-cyrus ist SMTP-Authentifizierung standardmässig 

verfügbar. Soll univention-mail-postfix eigenständig betrieben werden, so muss die Konfigura- 

tion für den Authentifizierungs-Dienst saslauthd manuell angepasst werden und in die Datei 

/etc/default/saslauthd folgender Eintrag aufgenommen werden: 

START=yes 

Postfix verwendet dann den saslauthd für die Authentifizierung. 

12.3.2 IMAP/POP3-Server (Cyrus) 

Vorkonfiguriert durch das Paket univention-mail-cyrus bietet Cyrus IMAP- und POP-Dienste an. Die 

Authentifizierung wird dabei anhand der primären E-Mail-Adresse durchgeführt. Das bedeutet, dass in 

Mail-Clients für den POP- oder IMAP-Zugriff als Benutzernamen die E-Mail-Adresse einzutragen ist. Kon- 

figurationsbeispiele für Kontact und Outlook finden sich am Ende dieses Kapitels. 

Die Dienste können getrennt durch Univention Configuration Registry deaktiviert werden. Soll kein Zu- 

griff über POP möglich sein, muss die Univention Configuration Registry-Variable mail/cyrus/pop 

auf no gesetzt werden. Das gleiche gilt für IMAP und die Univention Configuration Registry-Variable 

mail/cyrus/imap. 

Sobald einem Benutzer im LDAP-Verzeichnis eine primäre E-Mail-Adresse 

zugeordnet wird, legt ein Listener-Modul auf dem Cyrus-Server unter 

/var/spool/cyrus/mail//user/ 

ein Postfach an. (Dabei werden Großbuchstaben durch Kleinbuchstaben und Punkte durch Zirkumflexe 

ersetzt.) Falls der Cyrus-Dienst zu diesem Zeitpunkt nicht läuft, wird die E-Mail-Adresse in einer Warteliste 

gespeichert. Wenn der Cyrus-Daemon wieder gestartet wird, werden die Postfächer aus der Warteliste 

automatisch angelegt. 

Da der Name des Postfachs mit der primären E-Mail-Adresse und nicht mit dem Benutzernamen verknüpft 

ist, sind nach dem Ändern der primären E-Mail-Adresse eines Benutzers seine bisherigen E-Mails nicht 

mehr erreichbar. Wird einem anderen Benutzer eine ehemals vergebene primäre E-Mail-Adresse zuge- 

wiesen, bekommt er Zugriff auf die alte IMAP-Struktur dieses Postfachs. Die primäre E-Mail-Adresse muss 

also eindeutig sein und kann nicht zur selben Zeit mehreren Benutzern zugeordnet sein. 

12.3.3 Mail-Quota 

Die Standardkonfiguration des Cyrus Mail-Systems sieht keine Beschränkung der Mail-Verzeichnisse von 

Benutzern vor. Eine Größenbeschränkung in einem Cyrus Mail System für Benutzer kann im Univention 

Directory Manager gesetzt werden (siehe Kapitel 4.5.11.5). 

Auf einem UCS Mail-Server kann die Größenbeschränkung von Mailverzeichnissen durch Setzen der 

Univention Configuration Registry-Variable mail/cyrus/imap/quota auf yes aktiviert werden. 

281

12 Mail 

Der Benutzer kann ab einer bestimmten Größe seines Mailverzeichnis benachrichtigt werden, dass seine 

Ressourcen bald erschöpft sein werden. Der Administrator kann diesen Grenzwert zur Warnmeldung in 

Prozent oder verbleibendem Speicherplatz in kB angeben. 

In der Univention Configuration Registry-Variable mail/cyrus/imap/quotawarnpercent kann der 

Schwellenwert konfiguriert werden, ab dem eine Warnmeldung ausgegeben werden soll. Der Wert muss 

als Zahl zwischen 0 und 100 ohne Prozentzeichen angegeben werden. 

Der Benutzer erhält, sobald der konfigurierte Anteil der Mailverzeichnisgröße belegt ist, bei jeder einge- 

henden Mail den Hinweis, dass seine Speicherressourcen nahezu ausgelastet sind. 

Mit der Univention Configuration Registry-Variable mail/cyrus/imap/quotawarnkn kann der Schwel- 

lenwert auch in Kilobyte konfiguriert werden. 

Die Quota-Einschränkungen werden durch eine Richtlinie am Benutzerobjekt gesetzt und bei der 

Authentifizierung am Mailserver in die Quota-Einstellungen übertragen. Dabei wird ein Aktualisie- 

rungsintervall ausgewertet, so dass erst nach Ablauf dieses Zeitraums die Quota-Einstellungen 

aktualisiert werden. Dieses Intervall kann durch die Univention Configuration Registry-Variable 

mail/cyrus/imap/quotainterval in Minuten konfiguriert werden. 

12.3.4 Logdateien 

In der Voreinstellung schreiben Postfix, Cyrus und gegebenenfalls Spam- und Virenscanner zu jeder E- 

Mail Informationen in die Logdateien unter /var/log/mail.. Auf Servern mit hohem Mailauf- 

kommen ist es empfehlenswert, diese Ausgaben einzuschränken. Dazu kann die Konfiguration von Syslog 

in der Datei /etc/syslog.conf angepasst werden. 

In der Datei finden sich folgende Zeilen: 

mail.info -/var/log/mail.info 

mail.warn -/var/log/mail.warn 

mail.err /var/log/mail.err 

Beispielsweise können die Meldungen der Kategorie info, in der zu jeder auch erfolgreich verarbeite- 

ten E-Mail mehrere Hinweise erscheinen, nach /dev/null umgeleitet werden und so den verbrauchten 

Festplattenplatz und die Systemlast verringern. Dazu ist die Zeile mit mail.info zu ersetzen durch: 

mail.info /dev/null 

Anschließend müssen die Änderungen dem Syslog-Dienst bekannt gegeben werden: 

/etc/init.d/sysklogd reload 

Hinweis: Es ist nicht zu empfehlen, alle Meldungen des Mail-Servers nach /dev/null umzulenken. So 

gibt es im Fehlerfall keine Möglichkeit mehr, eine Übersicht der bereits betroffenen E-Mails zu erhalten. 

12.4 Spamfilter 

Mit dem Begriff Spam werden E-Mails bezeichnet, die vom Empfänger nicht angefordert wurden und nicht 

erwünscht sind. Dementsprechend beanspruchen sie vom Empfänger Arbeitszeit und Vertrauen in das 

Medium E-Mail. 

282

12.4 Spamfilter 

Auf einem UCS-Mail-Server wird in der vorgegebenen Konfiguration das Paket univention- 

spamassassin installiert. Das Paket kann jedoch während der Installation in der erweiterten Auswahl 


Spamassassin ist ein Programm, das anhand von Herkunft, Form und Inhalt einer E-Mail zu erkennen 

versucht, ob sie erwünscht oder unerwünscht ist. Es arbeitet dazu mit einem Punktesystem, das mit stei- 

gender Anzahl Punkte eine höhere Wahrscheinlichkeit für Spam ausdrückt. Punkte werden nach ver- 

schiedenen Kriterien vergeben, die beispielsweise auf Schlagworte innerhalb der E-Mail oder fehlerhaftes 

Layout ansprechen. Zusätzlich gibt es die Möglichkeit, E-Mails mit einem Bayes-Klassifikator bewerten zu 

lassen. Dieser vergleicht eine eingehende E-Mail mit statistischen Daten, die er aus bereits verarbeiteten 

E-Mails gewonnen hat und kann so seine Bewertung an die Mailgewohnheiten anpassen. 

Mit installiertem Paket findet eine Filterung aller über SMTP eingehender E-Mails durch einen vorkon- 

figurierten Spamassassin statt. E-Mails lokalen Ursprungs, die z.B. über den Befehl sendmail an der 

Konsole verschickt wurden, werden von Spamassassin nicht erfasst. 

E-Mails, die als Spam klassifiziert wurden, also eine bestimmte Anzahl Punkte überschreiten, werden 

bei der Auslieferung durch Cyrus nicht im Posteingang (Inbox) des Empfängers, sondern im darunter lie- 

genden Ordner Spam abgelegt. Dieses Standardverhalten kann je Benutzer über Univention Directory 

Manager Web-Frontend auf dem Reiter Mail eines Benutzerobjekts über Globalen Spam-Ordner ver- 

wenden verändert werden. Ist das Attribut gesetzt, werden als Spam erkannte E-Mails an die Adresse 

spam@ weitergeleitet und können im zugehörigen IMAP-Ordner überprüft werden, sind 

für den ursprünglichen Empfänger aber nicht mehr erreichbar. Die Email-Adresse des globalen Empfän- 

gers für Spam kann in der Univention Configuration Registry-Variable mail/antispam/globalfolder 

konfiguriert werden. 

Konfigurierbar ist auch die Punkte-Schwelle, ab der E-Mails als Spam deklariert werden. Dafür muss 

die Univention Configuration Registry-Variable mail/antispam/requiredhits auf eine Zahl gesetzt 

werden, voreingestellt ist 5. Dieser Wert ist für eine Verarbeitung mit aktiviertem Bayes-Klassifikator, der 

insgesamt zu höheren Punktzahlen führt, vernünftig. Je nach Erfahrung im eigenen Umfeld kann dieser 

Wert auch niedriger angesetzt werden, es muss dann jedoch mit mehr E-Mails gerechnet werden, die 

fälschlich als Spam erkannt wurden. 

Die Bayes-Klassifizierung wird erst aktiv, wenn vorab eine ausreichende Zahl unerwünschter (Spam) wie 

erwünschter (Ham) E-Mails einem Lernalgorithmus übergeben wurden. Um es den Benutzern zu ermög- 

lichen, ihre Spam-Mails sowie ihre falsch klassifizierten E-Mails an den Lernalgorithmus zu übergeben, 

bekommt jeder Benutzer bei der Erstellung des Postfachs die beiden Ordner Spam und Ham angelegt. 

Bei Benutzerkonten, die mit einer UCS-Version vor 2.3 angelegt wurden, müssen diese manuell angelegt 

werden. 

Wird auf dem Server die Univention Configuration Registry-Variable mail/antispam/learndaily auf 

yes gesetzt, durchsucht der Cyrus-Dienst täglich die Spam und Ham-Ordner aller Benutzer und des 

globalen Spamempfängers nach unbekannten E-Mails. Werden noch nicht erfasste oder bisher falsch 

klassifizierte Daten gefunden, werden die in einer gemeinsamen Datenbank erfassten statistischen Daten 

aktualisiert. Standardmäßig ist diese Funktion deaktiviert. 

Der Lernvorgang kann alternativ manuell über das Programm sa-learn aufgerufen werden. Liegen E- 

Mails in einer Datei im Mbox-Format, wie es häufig von Mailprogrammen verwendet oder exportiert wird, 

können die darin enthaltenen E-Mails durch den folgenden Aufruf als Spam klassifiziert werden: 

283

12 Mail 

sa-learn --spam --mbox 

beziehungsweise als Ham, also als erwünschte E-Mails, durch 

sa-learn --ham --mbox 

Für die Klassifizierung von E-Mails ist es empfehlenswert, im gleichen Verhältnis erwünschte wie uner- 

wünschte E-Mails vorzulegen, wie in der Praxis über den Server verarbeitet werden. Wird auf das manuelle 

Lernen verzichtet, lernt Spamassassin automatisch während des Filterns. Das bedeutet, dass Spamas- 

sassin falsch klassifizierte E-Mails auch falsch lernt. 

Die Spam-Filterung kann durch Setzen der Univention Configuration Registry-Variable 

mail/antivir/spam auf no deaktiviert, bzw. durch yes wieder aktiviert werden. 

Danach muss Postfix neu gestartet werden. (Siehe Kapitel 12.3.1) Bei no wird jede eingehende Mail an 

den jeweiligen Benutzer ohne Prüfung weitergeleitet. 

12.5 Virenfilter 

Mit dem Paket univention-antivir-mail wird das Programm Amavisd-new als Schnittstelle zwischen Post- 

fix und verschiedenen Virenscannern eingerichtet. Der freie Virenscanner ClamAV ist im Paket enthalten 

und nach der Installation sofort einsatzbereit. Alternativ oder zusätzlich können andere Virenscanner ein- 

gebunden werden, indem sie in die Univention Configuration Registry-Variable mail/antivir/scanner 

eingetragen werden. Getestet sind derzeit Kaspersky und Sweep (Sophos). Ungetestet ist die Konfigura- 

tion für zahlreiche andere Scanner vorbereitet, deren Einstellungen beim UCS-Support erfragt werden 

können. 

Nach der Installation ist standardmäßig der Virenscanner ClamAV aktiv. Wenn statt oder neben Cla- 

mAV ein anderer Virenscanner eingesetzt werden soll, ist die Univention Configuration Registry-Variable 

mail/antivir/scanner entsprechend zu setzen. Mehrere Virenscanner werden durch Leerzeichen 

getrennt. Beispiel: 

univention-config-registry set mail/antivir/scanner="clamav sweep" 

Mit der Univention Configuration Registry-Variable mail/antivir kann der Virenscanner aktiviert (yes) 

bzw. deaktiviert (no) werden. Änderungen von mail/antivir/scanner und mail/antivir werden erst nach 

einem Neustart der Dienste Postfix und Amavis wirksam. 

Alle ein- und ausgehenden E-Mails werden auf Viren geprüft. Erkennt einer der eingetragenen Scan- 

ner einen Virus, wird die E-Mail unter Quarantäne gestellt. Das bedeutet, dass die E-Mail auf dem Ser- 

ver unerreichbar für den Benutzer abgelegt wird. Der ursprüngliche Empfänger erhält eine Benachrichti- 

gung per E-Mail über diese Maßnahmen. Bei Bedarf kann der Administrator diese aus dem Verzeichnis 

/var/lib/amavis/virusmails wiederherstellen oder löschen. Eine automatische Löschung erfolgt 

nicht. 

284

12.6 Konfiguration von Mail-Clients 


Im Folgenden wird am Beispiel von Kontact und Outlook Express erklärt, welche Einstellungen erforderlich 

sind, um den UCS-Mail-Server zu verwenden. Es ist zu beachten, dass der Posteingangsserver von Cyrus 

die primäre E-Mail-Adresse in Kleinbuchstaben als Benutzernamen erwartet. 

Ausführliche Anleitungen zu den Konfigurationsmöglichkeiten finden sich in der se- 

parat erhältlichen Dokumentation zum Univention Groupware Server, die unter 

http://www.univention.de/download_doku.html erhältlich ist. 

12.6.1 Kontact 

Für die Dokumentation wurde Kontact 1.2.4 (enterprise 20071102-731871) verwendet. 

Nach dem Start von Kontact ist am linken Rand die Komponente E-Mail auszuwählen. Über Einstellungen 

➞KMail einrichten wird der Konfigurationsdialog für die Mailkomponente von Kontact aufgerufen. 

Hierbei sind die nachfolgend aufgeführten Einstellungen wie beschrieben und weitere Einstellungen nach 

Bedarf vorzunehmen 

• Unter Identitäten ist bereits eine Standard-Identität eingerichtet, diese kann durch Anwahl von 

[Ändern...] bearbeitet werden. Hier muss in das Feld E-Mail-Adresse die im Univention Directory 

Manager auf der Karteikarte Mail konfigurierte primäre E-Mail-Adresse des Benutzers eingetragen 

werden. 

• Unter Zugänge muss auf der Registerkarte Versand ein neues Ausgangspostfach eingerichtet wer- 

den. Nach der Auswahl von [Hinzufügen...] muss die Versandart SMTP gewählt werden. Im folgen- 

den Dialogfenster müssen alle relevanten Einstellungen für den Mailserver vorgenommen werden: 

Feld einzutragender Wert 

Name Dieser Name bezeichnet den Namen des neuen Ausgangspost- 

fachs und kann frei gewählt werden. Dabei sollte ein kurzer Na- 

me verwendet werden, der leicht erkennen lässt, dass die Mails 

über den UCS-Mailserver versendet werden (z.B. ’ucs-mail’). 

Server Der Name des UCS-Mailservers im Netzwerk. Dieser kann ent- 

weder nur mit dem Hostnamen, dem FQDN oder mit der IP- 

Adresse des Mailservers angegeben werden. 

Port Hier ist 25 einzutragen. 

Server verlangt Authentifizie- 

rung 

Dieses Feld muss aktiviert werden. 

Benutzer Hier ist die primäre E-Mail-Adresse, wie schon beim Bearbeiten 

der Identität des Benutzers, einzutragen. 

Passwort Das Passwort des Benutzers. 

285

12 Mail 

SMTP-Passwort speichern Wird dieses Feld aktiviert, wird das Passwort des Benutzers in 

einer nur für ihn zugänglichen Datei gespeichert, der Benutzer 

muss sein Passwort damit nicht bei jedem Versand einer Mail 

erneut eingeben. Das Speichern eines Passworts in einer Datei 

kann ein Sicherheitsrisiko darstellen. 

Tabelle 12.1: Konfigurationsoptionen für das neue Ausgangspostfach 

• Auf der Registerkarte Sicherheit sollte anschließend der Punkt [Fähigkeiten des Servers testen] 

gewählt und die ermittelten Werte übernommen werden. Hierbei wird möglicherweise ein Hinweis 

angezeigt, dass die Authentifizierung des Server-Zertifikats fehlgeschlagen ist. Nach einer Prüfung 

des Zertifikats über [Details] kann [Fortsetzen] und im nächsten Dialog [Dauerhaft] gewählt wer- 

den, um dem Zertifikat des UCS-Mailservers dauerhaft zu vertrauen. 

Nach Auswahl von [OK] ist die Einrichtung des neuen Ausgangspostfachs abgeschlossen. Um Mails vom 

UCS-Mailserver abzurufen, muss noch ein Eingangspostfach angelegt werden: 

286 

• Auf der Registerkarte Empfang ist die Schaltfläche [Hinzufügen...] auszuwählen. 

• Anschließend muss der Typ des neuen Postfachs ausgewählt werden. Die konkrete Auswahl ist von 

den eigenen Anforderungen abhängig, normalerweise sollte hier IMAP gewählt werden. 

• Im folgenden Dialogfenster werden alle relevanten Einstellungen für den Mailempfang vorgenom- 

men: 

Feld einzutragender Wert 

Name Dieser Name bezeichnet den Namen des neuen Eingangspost- 

fachs und kann frei gewählt werden. Dabei sollte ein kurzer Na- 

me verwendet werden, der leicht erkennen lässt, dass die Mails 

vom UCS-Mailserver abgerufen werden (z.B. ’ucs-mail’). 

Benutzer Hier ist die primäre E-Mail-Adresse, wie schon beim Bearbeiten 

der Identität des Benutzers, einzutragen. 

Passwort Das Passwort des Benutzers. 

Server Der Name des UCS-Mailservers im Netzwerk. Dieser kann ent- 

weder nur mit dem Hostnamen, dem FQDN oder mit der IP- 

Adresse des Mailservers angegeben werden. 

Port Hier ist für IMAP 143 anzugeben. 

IMAP-Passwort speichern Hier gelten die gleichen Hinweise zum Speichern von Passwör- 

tern wie bei der Einrichtung des Ausgangspostfachs. 

Tabelle 12.2: Konfigurationsoptionen für das neue Eingangspostfach 

• Die weiteren Optionen sind abhängig vom Typ des neuen Postfachs. Bei einem IMAP-, DIMAP oder 

POP3-Konto sollte auf der Registerkarte Sicherheit wieder [Fähigkeiten des Servers testen] ge- 

wählt und die ermittelten Werte übernommen werden.

• Mit [OK] wird die Einrichtung des neuen Posteingangskontos abgeschlossen. 


Der Einrichtungsdialog Einstellungen ➞KMail einrichten wird über die Schaltfläche [OK] beendet. Über 

die Schaltfläche mit dem Briefsymbol und dem grün-weißen Pfeil können jetzt E-Mails vom Mailserver 

abgerufen werden. 

12.6.2 Outlook Express 

Für die Dokumentation wurde Outlook Express 6 unter Windows XP Professional Service Pack 2 verwen- 

det. 

Für ein neues E-Mail-Konto muss der Assistent für den Internetzugang gestartet werden. Er öffnet sich 

beim Starten von Outlook Express automatisch, wenn noch kein E-Mail-Konto in Outlook Express ein- 

gerichtet wurde. Sonst ist er über Extras ➞Konten... ➞Karteikarte E-Mail ➞[Hinzufügen] ➞E-Mail... 

erreichbar. Hier sind die nachfolgend aufgeführten Einstellungen wie beschrieben und weitere Einstellun- 

gen nach Bedarf vorzunehmen. 

In das Eingabefeld E-Mail-Adresse ist die primäre E-Mail-Adresse einzugeben, die in Univention Directory 

Manager auf der Karteikarte Mail für diesen Benutzer eingetragen ist. 

In der Auswahlliste im Satz Der Posteingangsserver ist ein ... Server. muss POP3 oder IMAP markiert 

werden. In das Eingabefeld Posteingangsserver (POP3, IMAP oder HTTP) muss der FQDN des UCS- 

Mail-Servers eingetragen werden, der für den Empfang von E-Mails zuständig ist. 

In das Eingabefeld Postausgangsserver (SMTP) ist der FQDN des UCS-Mail-Servers einzutragen, der 

für den Versand von E-Mails eingerichtet ist. 

Im Eingabefeld Kontoname ist die E-Mail-Adresse, die in Univention Directory Manager auf der Karteikar- 

te Mail als primäre E-Mail-Adresse für diesen Benutzer eingetragen ist, in Kleinbuchstaben anzugeben. 

Im Eingabefeld Kennwort muss das Passwort, das für den Benutzer in Univention Directory Manager auf 

der Karteikarte Allgemein eingetragen ist, angegeben werden. 

Das Auswahlkästchen Anmeldung durch gesicherte Kennwortauthentifizierung (SPA) sollte nicht markiert 

werden. 

Wenn ein bereits bestehendes E-Mail-Konto für die Verwendung des UCS-Mail-Servers umkonfiguriert 

werden soll, ist in Outlook Express Extras > Konten... aufzurufen. Dort ist auf der Karteikarte E-Mail 

das Konto zu markieren und [Eigenschaften] anzuklicken. Auf der folgende Karteikarte Server müssen 

die Eingabefelder Posteingangsserver (IMAP oder POP3), Postausgangsserver (SMTP), Kontoname und 

Kennwort wie oben beschrieben ausgefüllt werden. Falls von IMAP zu POP3 oder umgekehrt gewechselt 

werden soll, muss ein neues E-Mail-Konto angelegt werden. 

287

12 Mail 

288

13 Druckdienste 


13.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 

13.2 Druckserver installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 

13.2.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290 

13.2.2 Serversysteme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.3 Windows-Systeme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.4 Thin Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.5 Managed/Mobile Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . 291 

13.2.6 Richtlinienbasierte Zuweisung eines Druck-Servers . . . . . . . . . . . . . . . . . . 292 

13.3 Druckerfreigaben konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 

13.3.1 Einrichtung eines lokal angeschlossenen Druckers . . . . . . . . . . . . . . . . . . . 292 

13.3.2 Netzwerkdrucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 

13.3.3 PDF-Drucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293 

13.3.4 Druckergruppen einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 

13.4 Druckfreigaben unter Windows einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 

13.5 Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295 

13.5.1 Aktivierung der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296 

13.5.2 Erstellen einer Druck-Quota-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . 297 

13.5.3 Auswerten der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297 

13.5.4 Modifizieren der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 

13.6 Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 


13.6.1 Einstellungen für Druck-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

13.6.2 Einstellungen für die Authentifizierung an Druckerfreigaben . . . . . . . . . . . . . . 301 

13.6.3 Einstellungen für Druck-Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

13.6.4 Einstellungen für Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 

Univention Corporate Server beinhaltet ein Drucksystem, mit dem sich auch komplexe Umgebungen rea- 

lisieren lassen. Drucker und Druckergruppen lassen sich komfortabel im Univention Directory Manager 

anlegen und konfigurieren (siehe Abschnitt 4.5.7). Erweiterungen zur Kostenberechnung und Seiten- 

Limitierung können mit dem Druck-Quota-System nachinstalliert werden. 

Die Druckdienste basieren auf CUPS (Common Unix Printing System). Druckaufträge werden von 

CUPS in Warteschlangen verwaltet und bei Bedarf mit Hilfe von Filtern in ein Datenformat umgewandelt, 

das der jeweilige Drucker interpretieren kann. Eine Vielzahl von Filtern werden bereits über das Paket 

foomatic-filters bereitgestellt, sodass viele Drucker ohne zusätzlich zu installierende Treiber angespro- 

chen werden können. 

289


Nicht alle Druckaufträge werden durch CUPS umgewandelt. Druckaufträge deren Format nicht von CUPS 

erkannt wird oder die direkt vom Drucker interpretiert werden können, werden als Rohdaten (raw) an den 

Drucker weitergeleitet. Diese Eigenschaft ermöglicht auch das Drucken mit Windows-Druckertreibern über 

einen CUPS-Druckserver. 

Der Anschluss des Druckers wird über die Drucker-URI definiert. Ein Drucker am lokalen Parallelport 

erhält beispielsweise die Drucker-URI parallel:/dev/lp0 , die sich aus dem Protokoll parallel: 

und dem Ziel /dev/lp0 zusammensetzt. Weiterführende Dokumentation zu den URI-Formaten findet 

sich in Abschnitt 4.5.7. 

Die Pakete in der Übersicht: 

• cupsys enthält den CUPS-Druckserver. 

• foomatic-filters, foomatic-db, foomatic-filters-ppds stellen eine Vielzahl verschiedener Drucker- 

treiber und -Filter zur Verfügung. 

• univention-printclient erstellt die Konfiguration für Druck-Clients unter UCS. 

• univention-printserver bringt die Pakete cupsys und foomatic mit und erstellt die Konfiguration 

für Druck-Server unter UCS. 

• univention-winprinters ermöglicht die Übernahme von Windows-Druckfreigaben in UCS. 

• pykota stellt ein Quota-System für Druckdienste bereit. 

• univention-printquota integriert Quotaunterstützung für Druckdienste in UCS. 

• univention-printquotadb speichert die Informationen über Druck-Quota in einer Datenbank. 

• univention-printserver-pdf integriert das Paket cups-pdf in Univention Corporate Server, mit dem 

sich serverseitig PDF-Dokumente erstellen lassen. 

13.2 Druckserver installieren 

Als Druckserver bzw. Spoolhost können in UCS alle Rechnertypen genutzt werden. Im Univention Direc- 

tory Manager stehen jedoch vorerst nur Serversysteme (Master-, Backup-, Slave- und Memberserver) zur 

Auswahl. Über die Kommandozeile ist es möglich auch Managed- und Mobile Clients als Druckserver zu 

verwenden, weitere Informationen sind in der Kommandozeilen-Beschreibung von Univention Directory 

Manager zu finden [6]. 

13.2.1 Voraussetzungen 

Voraussetzung für den Betrieb eines Druckservers ist die Installation des Paketes univention- 

printserver. Mit diesem Paket werden die benötigten Komponenten installiert und konfiguriert. Während 

der Installation der Serversysteme kann dazu die Komponente Druckserver ausgewählt werden, nach- 

träglich ist die Einrichtung durch univention-system-setup-software oder die Installation des Pa- 

ketes univention-printserver über Univention Management Console möglich (siehe Abschnitt 5.3.11). 

290

13.2.2 Serversysteme als Druckserver 

13.2 Druckserver installieren 

Für UCS-Serversysteme besteht die Möglichkeit, über die Druckerverwaltung im Univention Directory Ma- 

nager Drucker und Druckergruppen anzulegen und zu konfigurieren. Die so angelegten Drucker stehen 

anschließend im Netzwerk für Linux- und Windows-Clients als Druckerfreigaben zur Verfügung. 

13.2.3 Windows-Systeme als Druckserver 

Auch Druckerfreigaben auf Windows-Systemen können eingebunden werden. Eine solche Freigabe kann 

im Univention Directory Manager auf einem Druckserver einrichtet werden. 

Um beispielsweise die Druckerfreigabe laser01 des Windows-Systems win01 über den Univention Di- 

rectory Manager einzubinden, muss eine Druckerfreigabe mit dem Protokoll smb:// und dem Ziel 

win01/laser01 erstellt werden. Dabei sollten Hersteller und Modell-Typ entsprechend des verwendeten 

Geräts gewählt werden. 

Der Druckserver nutzt dabei die verwendeten Druckermodell-Einstellungen um die Druckaufträge ggf. 

umzuwandeln und sendet diese anschließend an die URI smb://win01/laser01. Hierbei werden keine 

Windows-Treiber verwendet. 

Unabhängig von diesen Einstellungen kann die Druckerfreigabe auch weiterhin von anderen Windows- 

Systemen mit den entsprechenden Druckertreibern eingebunden werden. 

13.2.4 Thin Clients als Druckserver 

Auf einem Thin Client wird standardmäßig ein Druckserver betrieben, der für den Anschluss von Druckern 

am Parallel- oder USB-Anschluss vorkonfiguriert ist. Dieser Druckserver leitet Druckaufträge unverändert 

an den jeweiligen Anschluss weiter, ohne diese umzuwandeln. 

Der Thin Client nimmt Druckaufträge aus dem eigenen Subnetz sowie vom Desktop-Server, auf dem 

die Sitzung des Thin Client gestartet wurde, entgegen. Diese Druckaufträge müssen ggf. vorher auf den 

Druckservern in ein für den Drucker verständliches Format gebracht werden, da Thin Clients keine Filte- 

rung vornehmen können. 

Um einen Drucker am Parallelport des Thin Client thin01 zu betreiben, wird der Drucker beispielsweise 

auf dem zugehörigen Desktop-Server angelegt und folgender Drucker-URI zugewiesen: 

ipp://thin01.firma.com/printers/lp0 

Für den Betrieb am USB-Anschluss entsprechend: 

ipp://thin01.firma.com/printers/usb0 

13.2.5 Managed/Mobile Clients als Druckserver 

Um einen Client als Druckserver zu verwenden muss zunächst das Paket univention-printserver instal- 

liert werden. Clients können nicht in der Druckerverwaltung des Univention Directory Manager als Server 

291


ausgewählt werden. Es können jedoch mit dem univention-directory-manager auf der Komman- 

dozeile auch Druckerfreigaben auf Clients einrichtet werden. 

Um beispielsweise den Drucker laser01.domain.net auf dem Client client01.domain.net als Druckfrei- 

gabe hinzuzufügen ist folgender Befehl einzugeben: 

univention-directory-manager shares/printer create --set name=laser01 \ 

--set spoolHost=client01.domain.net \ 

--set uri=parallel:/dev/lp0 --set model=None \ 

--position cn=printers,dc=domain,dc=net 

Die angelegte Druckerfreigabe kann jetzt im Univention Directory Manager weiter konfiguriert werden. 

13.2.6 Richtlinienbasierte Zuweisung eines Druck-Servers 

Mit Hilfe der Richtlinie Drucker-Server können den verschiedenen Server- und Client-Systemen ex- 

plizit bestimmte Druckserver zugewiesen werden. Voraussetzung hierfür ist die Installation des Pakets 

univention-printclient auf dem entsprechenden System. 

Allgemeine Informationen zu Richtlinien finden sich in Kapitel 4.5.11. 

Die Änderung tritt nach der nächsten Auswertung der Richtlinien (standardmäßig einmal pro Stunde) in 

Kraft. 

Durch die Auswertung der Richtlinie wird auf dem Client-System der gesetzte Server in die Univention 

Configuration Registry-Variable cups/server geschrieben. 

13.3 Druckerfreigaben konfigurieren 

Neue Druckerfreigaben lassen sich mit Hilfe des Univention Directory Manager komfortabel einrichten. Das 

Univention Directory Manager-Modul zur Druckerverwaltung wird in Abschnitt 4.5.7 detailliert beschrieben. 

Da sich die Art der Druckerfreigaben stark unterscheiden können, sollen folgende Beispiele einige Mög- 

lichkeiten darstellen. 

13.3.1 Einrichtung eines lokal angeschlossenen Druckers 

Ein HP Laserjet 2100 ist am Parallel-Anschluss des Memberservers member01.domain.net angeschlos- 

sen und soll als laser01 in der Domäne domain freigeben werden. 

Im Univention Directory Manager muss unter Drucker ➞ Hinzufügen ein neues Objekt vom Typ Dru- 

cker angelegt werden. Als Name ist laser01 einzutragen und der entsprechende Server der Ser- 

verliste hinzuzufügen. Das Protokoll parallel:/ und das Ziel dev/lp0 ergeben die Drucker-URI 

(parallel:/dev/lp0). Nach Auswahl des Herstellers HP und des passenden Druckermodells Laser- 

jet 2100 ist die Eingabe mit [OK] zu bestätigen. Dadurch wird der Drucker als laser01 in der Domäne 

freigegeben. 

Der angelegte Drucker laser01 soll auch als Druckfreigabe des Memberservers member02.domain.net 

eingerichtet werden. Hier soll er als laser02 bekannt sein. 

292

13.3 Druckerfreigaben konfigurieren 

Der Drucker ist lokal an member01 angeschlossen. member02 leitet seine Druckaufträge an member01, 

der sie dann für laser01 umwandelt und auf laser01 ausgibt. 

Um das Beispiel einzurichten, ist wie folgt vorzugehen: 

Im Univention Directory Manager muss ein neues Objekt vom Typ Drucker mit dem Na- 

men laser02 eingerichtet werden. Als Server sollte member02.domain.net ausgewählt wer- 

den. Die Drucker-URI setzt sich in diesem Fall aus dem Protokoll http:// und dem Ziel 

member01.domain.net:631/printers/laser01 zusammen. Als Hersteller wird misc und als Mo- 

dell None gewählt, wodurch kein Filter für den Drucker installiert wird und die Druckaufträge unverändert 

weitergeleitet werden. Nach Bestätigung der Eingabe mit [OK] ist der Drucker nun als laser01 auf mem- 

ber01 und als laser02 auf member02 freigegeben. 

Der Drucker soll nun in einem anderen Raum an ein Windows-System angeschlossen werden. Das 

Windows-System ist in der Domäne als win06 bekannt und gibt den Drucker als laser03 in der Domäne 

frei. 

Nach Änderung der Drucker-URI von laser01 von parallel:/dev/lp0 in smb://win06/laser03 

steht der Drucker weiterhin als laser01 auf member01 und als laser02 auf member02 zur Verfügung. 

Außerdem können Windows-Systeme mit passendem Treiber auch die Freigabe laser03 auf win06 nut- 

zen. 

13.3.2 Netzwerkdrucker einrichten 

Um eigenständige Netzwerkdrucker als Freigabe einzubinden, sollten diese erst als IP-Managed-Client 

in die Domäne eingebunden werden. Dies ist notwendig um IP-Konflikte auszuschließen und die DHCP- 

/DNS-Dienste nutzen zu können. 

Um den Netzwerkdrucker als Druckfreigabe zu konfigurieren, muss unter Angabe von Name und Server 

der Freigabe im Univention Directory Manager ein neues Objekt Druckfreigabe: Drucker erstellt werden. 

Außerdem muss das vom Netzwerkdrucker verwendete Protokoll (z.B. ipp:// oder lpd://), das Ziel 

(der Name des IP-Managed-Clients) und ggf. geräte-spezifische Erweiterungen konfiguriert werden. 

Als Beispiel soll der Netzwerkdrucker kopierer01, der das lpd-Protokoll unterstützt und laut Hersteller- 

Handbuch durch eine Warteschleife LPT-Aufträge entgegennimmt, freigegeben werden. Die vollständige 

Drucker-URI ergibt sich dann aus dem Protokoll, Name des Managed-Clients und der gerätespezifischen 

Erweiterung zu lpd://kopierer01/LPT. 

13.3.3 PDF-Drucker einrichten 

Durch Installation des Pakets univention-printserver-pdf wird ein Druck-Server um den speziellen Dru- 

ckertyp cups-pdf erweitert, der eingehende Druckaufträge in das PDF-Format umwandelt und für den 

jeweiligen Benutzer lesbar in ein bestimmtes Verzeichnis auf dem Druck-Server ausgibt. 

Beim Anlegen eines PDF-Druckers im Univention Directory Manager muss als Protokoll cups- 

pdf:/ ausgewählt werden, das Ziel-Feld bleibt leer. Das Zielverzeichnis wird über die Univention 

Configuration Registry-Variable cups/cups-pdf/directory festgelegt. Standardmäßig wird sie auf 

/var/cache/cups-pdf/%U gesetzt, sodaß cups-pdf für jeden Benutzer ein eigenes Verzeichnis 

293


verwendet. Anonym eingegangene Druckaufträge werden in das durch die Univention Configuration 

Registry-Variable cups/cups-pdf/anonymous vorgegebene Verzeichnis ausgegeben (Standardein- 

stellung: /var/cache/cups-pdf). 

13.3.4 Druckergruppen einrichten 

CUPS bietet die Möglichkeit Drucker als Classes zusammenzufassen. In UCS sind diese als Drucker- 

gruppen implementiert. Druckergruppen werden in der Arbeitsumgebung wie Drucker bereitgestellt. Sinn 

einer solchen Druckergruppe ist es, eine höhere Verfügbarkeit des Druckdienstes zu schaffen. Wird auf 

eine Druckergruppe gedruckt, dann wird der Auftrag an den ersten verfügbaren Drucker der Druckergrup- 

pe geschickt. Die Auswahl der Drucker erfolgt nach dem Round-Robin-Prinzip, so dass eine gleichmäßige 

Auslastung angestrebt wird. 

Eine Druckergruppe muss mindestens einen Drucker als Mitglied haben. Es können nur Drucker vom 

gleichen Server als Mitglieder der Gruppe gesetzt werden. 

Folgende Beispiele verdeutlichen die Möglichkeiten bei der Erstellung von Druckergruppen: 

• Am Memberserver member01 sind vier identische Drucker angeschlossen. Diese sind als laser01, 

laser02, laser03 und laser04 benannt und als Druckerfreigaben eingerichtet. Diese Drucker sollen 

unter der Druckergruppe lasergruppe zusammengefasst werden. 

Hierfür ist im Univention Directory Manager unter Menüpunkt Drucker ➞ Hinzufügen der Typ 

Druckergruppe auszuwählen und durch Klicken auf [Weiter] zu bestätigen. Als Name wird laser- 

gruppe vergeben und der passende Servername der Serverliste hinzugefügt. Im Auswahlfeld Grup- 

penmitglieder werden nun die für diesen Druckserver bekannten Drucker aufgelistet. Dort können 

die Drucker einzeln der Druckergruppe hinzugefügt werden, die ausgewählten Mitglieder werden im 

Feld darunter aufgelistet. Nach Bestätigung der Angaben mit [OK] ist die Druckergruppe lasergrup- 

pe als Druckfreigabe in der Domäne verfügbar. 

• Die Druckerfreigaben laser01 auf member01 und tinte02 auf member02 sollen in der Drucker- 

Achtung: 

gruppe schwarzweiß auf Memberserver member03 zusammengefasst werden. Das geht nur über 

einen Umweg, da - wie weiter oben beschrieben - nur Drucker auf dem gleichen Server zu einer 

Druckergruppe zusammengefasst werden können. 

Auf member03 sollte eine Druckerfreigabe laser01v2 mit der Drucker-URI 

http://member01.domain.net:631/printers/laser01 und eine weitere Druckerfreigabe 

tinte01v2 mit der Drucker-URI http://member02.domain.net:631/printers/tinte02 

erstellt werden. Beide Druckerfreigaben werden mit Hersteller misc und Modell None eingerichtet. 

Nun kann wie im vorherigen Beispiel beschrieben eine neue Druckergruppe hinzugefügt und 

laser01v2 und tinte02v2 als Gruppenmitglieder ausgewählt werden. 

Die im letzten Beispiel beschriebene Fähigkeit, Druckerfreigaben von verschiedenen Druckservern in ei- 

ner Druckergruppe zusammenzufassen, ermöglicht es auch, Druckergruppen als Mitglieder einer Drucker- 

gruppe zu setzen. Eine Druckergruppe könnte sich dadurch selbst als Gruppenmitglied enthalten. Dies ist 

unbedingt zu vermeiden. 

294

13.4 Druckfreigaben unter Windows einbinden 

13.4 Druckfreigaben unter Windows einbinden 

Die im Univention Directory Manager eingerichteten Druckerfreigaben können auf Windows-Systemen als 

Netzwerkdrucker hinzugefügt werden. Der Netzwerkdrucker muss auf Windows-Seite lediglich mit einem 

Standard-PostScript-Druckertreiber eingerichtet werden. Wenn auf einen Farbdrucker zugegriffen werden 

soll, sollte auf Windows-Seite ein Treiber für einen PostScript-fähigen Farbdrucker verwendet werden, 

z.B. HP Color Laserjet 8550. Druckerfreigaben können allerdings auch mit den mitgelieferten Windows- 

Druckertreibern betrieben werden. Wird mit Druck-Quotas gearbeitet, ist vorher zu prüfen, ob das Daten- 

format des Treibers unterstützt wird (siehe auch Abschnitt 13.5). 

Achtung: 

Der Zugriff auf einen Drucker ist für einen regulären Benutzer nur möglich wenn dieser über lokale Rechte 

zur Treiberinstallation verfügt oder ein entsprechender Druckertreiber auf dem Drucker-Server hinterlegt 

wurde. Ist dies nicht der Fall kann es zu einer Windows Fehlermeldung kommen die besagt, dass die 

Berechtigungen nicht ausreichen, um eine Verbindung mit dem Drucker herzustellen. 

Um einen neuen Druckertreiber auf dem Drucker-Server zu hinterlegen, sind folgende Schritte notwendig: 

1. Als Administrator an Windows angemeldet kann über die Netzwerkumgebung der Drucker-Server 

und darin der Ordner mit Druckern geöffnet werden. 

2. Ein Rechtsklick in einen freien Bereich des Fensters öffnet ein Kontext-Menü, über das der Dialog 

Servereigenschaften geöffnet werden kann. Auf dem Reiter Treiber kann durch einen Klick auf 

Hinzufügen menügeführt ein Druckertreiber für die gewünschte Systemarchitektur gewählt und auf 

den Server geladen werden. 

3. Nun kann durch einen Rechtsklick auf den Drucker der Eigenschaften-Dialog aufgerufen werden. 

Auf dem Reiter Erweitert findet sich ein Auswahlfeld für die bereits installierten Treiber. Mit einem 

Klick auf [OK] wird der Treiber dem Drucker zugewiesen und auch unprivilegierte Benutzer können 

sich mit dem Drucker verbinden ohne einen Treiber installieren zu müssen. 

13.5 Druck-Quota 

Das Paket univention-printquota ermöglicht das Setzen von Druck-Quotas an Druckergruppen und Dru- 

cker. Die Quota-Richtlinien können für bestimmte Benutzer und Benutzergruppen pro einzelnem Benutzer 

oder pro Benutzergruppe definiert werden. 

Das Druck-Quota-System schaltet sich zwischen CUPS und den jeweiligen Drucker. Dabei prüft es die 

Berechtigung des Benutzers und dessen Druck-Limits. Außerdem werden zu jedem Druckauftrag die Kos- 

ten berechnet und in einer Druckauftrag-Historie protokolliert. Aus diesen gesammelten Daten können mit 

zugehörigen Programmen verschiedene Reports erstellt werden. 

Beim Betrieb eines Druckers mit Quota verliert die Druckauftrag-Historie in der CUPS-Webkonfiguration 

ihre Gültigkeit. Um einen störungsfreien Betrieb von CUPS zu gewährleisten, wird diesem immer ein 

erfolgreicher Druck zurückgemeldet. 

Für jeden Benutzer wird ein Seitenzähler bei jedem Druck aktualisiert. Überschreitet ein Benutzer das 

Soft-Limit, so wird ihm - sofern in Univention Configuration Registry konfiguriert (siehe Abschnitt 13.6.4) - 

295


eine Mail zugesandt, in der auf die bevorstehende endgültige Begrenzung durch das Hard-Limit informiert 

wird. Erreicht der Seitenzähler des Benutzers das Hard-Limit, so wird der überschreitende Druckauftrag 

nicht ausgeführt. In einer Mail wird der Benutzer darüber informiert, dass er nun nicht mehr auf dem ent- 

sprechenden Drucker drucken kann. Diese Mail wird an die primäre Mailadresse des Benutzers gesendet. 

Hinweis: 

Durch die Möglichkeit Quotas für Benutzer und Benutzergruppen an Druckern und Druckergruppen zu 

setzen, können unübersichtliche Quota-Richtlinien entstehen. Drucker-Quotas sollten deshalb gründlich 

geplant werden, um spätere Überschneidungen in den Richtlinien zu vermeiden. 

Das Druck-Quota-System ermittelt die Größe eines Druckauftrages während des Druckens. Hierfür wer- 

den die nach der Konvertierung durch CUPS, an den Drucker gesendeten Daten analysiert. Wenn das 

Datenformat nicht erkannt wird oder die Quota-Limits überschritten werden, wird der Druckauftrag unter- 

brochen. Folgende Datenformate werden korrekt ausgewertet: 

• PostScript 

• PDF 

• PCL1, PCL2, PCL3, PCL4, PCL5 

• PCLXL ( PCL6 ) 

• ESC/P2 

Das Druck-Quota-System speichert alle Daten in einer Datenbank. Es verwendet hierfür eine PostgreS- 

QL-Datenbank, die mit dem Paket univention-printquotadb installiert wird. 

Wenn nun ein Benutzer druckt, werden erst die gesetzten Quotas des Benutzers für den verwendeten 

Drucker aus der Datenbank abgefragt. Anschließend wird geprüft, ob der Druckauftrag die Quotas über- 

schreitet und gegebenenfalls der Druckauftrag abgebrochen und der Benutzer per Mail benachrichtigt. 

Wenn es für einen Benutzer noch keine Quotas für einen Drucker in der Datenbank gibt, werden die im 

Univention Directory Manager gesetzten Druck-Quota-Richtlinien abgefragt. Sind hier Eintragungen für 

den Benutzer vorhanden werden diese in die Datenbank eingetragen und der Druckauftrag, sollte er die 

Quotas nicht überschreiten, durchgeführt. Ist für den Benutzer keine Richtlinie vorhanden, so wird der 

Druckauftrag abgebrochen. 

13.5.1 Aktivierung der Druck-Quota 

Die Aktivierung der Druck-Quota bewirkt eine interne Änderung der Drucker-URI. Wird Quota für einen 

Drucker auf einem Druckserver ohne univention-printquota aktiviert, so wird der Drucker beim ersten 

Druckauftrag deaktiviert. 

Um die Druck-Quota für einen Drucker zu aktivieren, muss im Univention Directory Manager über den 

Menüpunkt Drucker der entsprechende Drucker oder die entsprechende Druckergruppe ausgewählt und 

in der Karteikarte Allgemein der Eintrag Quota aktivieren ausgewählt werden. Auf der Karteikarte 

[Druck-Quota-Richtlinie] können nun in dem Auswahlfeld Konfiguration eine bestehende Richtlinie aus- 

gewählt, oder eine neue Richtlinie für die aktuelle Druckerfreigabe erstellt werden. 

Achtung: 

Das Quota-System kann für Druckerfreigaben, die in eine Datei (file:/) oder über den Parallel-Port 

296


(parallel:/) drucken, nicht verwendet werden. Anderenfalls kann es dazu führen, dass der Drucker 

deaktiviert wird. 

13.5.2 Erstellen einer Druck-Quota-Richtlinie 

Um eine Druck-Quota-Richtlinie zu erstellen, kann im Richtlinien-Assistenten des Univention Directo- 

ry Manager ein Objekt des Typs Richtlinie: Druck-Quota hinzugefügt werden. In der sich öffnenden 

Eingabe-Maske muss der Name der Richtlinie festgelegt und anschließend einzelne Benutzer, Benut- 

zergruppen oder Gruppen pro Benutzer mit zugehörigen Seitenlimits hinzugefügt werden (siehe auch 

Abschnitt 4.5.11). Mit Soft-Limit kann eine Seitenzahl definiert werden, bei deren Überschreitung der Be- 

nutzer auf die Limitierung hingewiesen wird. Durch Hard-Limit kann die Grenze des Seitenkontingentes 

für den Benutzer eingestellt werden. Das Quota-System interpretiert die gesetzten Werte immer abzüglich 

1; bekommt also ein Benutzer ein Hard-Limit von 100, so können maximal 99 Seiten gedruckt werden. 

Daraus ergeben sich folgende Sonderwerte: 

0 - Keine Limitierung 

1 - Kein Seitenkontingent 

Die folgenden Beispiele sollen die Möglichkeiten der Druck-Quota-Richtlinien verdeutlichen: 

• Um jedem Benutzer der Gruppe Domain Users als Soft-Limit 200 Seiten und als Hard-Limit 250 Sei- 

ten für den Drucker laser01 zuzuweisen, muss im Univention Directory Manager im Modul Drucker 

der Drucker laser01 ausgewählt werden und auf der Karteikarte [Druck-Quota] im Feld Druck- 

Quota für Gruppen pro Benutzer der Gruppe Domain Users ein Soft-Limit von 201 Seiten und 

ein Hard-Limit von 251 Seiten zugewiesen werden. Durch Betätigen der Schaltflächen [Hinzufügen] 

und [OK] wird die Quota-Regelung eingetragen und die Richtlinie gespeichert. 

• Als Mitglied der Gruppe Domain Users unterliegt der Benutzer user01 den für Drucker laser01 

festgelegten Druck-Quota-Richtlinien. Wird dem Benutzer auf oben beschriebene Weise noch eine 

benutzerbezogene Druck-Quota mit einem Soft-Limit von 400 Seiten und einem Hard-Limit von 450 

Seiten zugewiesen, so kann er trotzdem nur maximal 250 Seiten drucken. Das Druck-Quota-System 

überschreitet das Limit der anderen Richtlinie nicht. 

• Jedem Benutzer der Gruppe Power Printer soll ein Soft-Limit von 1000 Seiten und ein Hard-Limit 

von 1200 Seiten für alle Tintenstrahldrucker in der Domäne zugewiesen werden. Hierfür ist eine 

Druckergruppe Tintenstrahl anzulegen und dieser alle Tintenstrahldrucker in der Domäne zuzu- 

weisen (siehe Abschnitt 13.3.4). Über eine Richtlinie vom Typ Richtlinie: Druck-Quota mit dem 

Namen PP-Limit werden nun, wie oben bereits beschrieben wurde, der Gruppe Power Printer im 

Feld Druck-Quota für Gruppen pro Benutzer Soft- und Hard-Limits zugewiesen. Nach Bestätigung 

der hinzugefügten Eingabe mit [OK] ist dann der Druckergruppe Tintenstrahl und allen Tinten- 

strahldruckern in der Druckerverwaltung auf der Karteikarte [Druck-Quota] die Richtline PP-Limit 

zuzuweisen und die Angaben mit [OK] zu bestätigen. 

13.5.3 Auswerten der Druck-Quota 

repykota generiert einen Report über die gesetzten Druck-Quota. Das Kommando kann auch von jedem 

297


Benutzer verwendet werden, um seinen aktuellen Seitenverbrauch abzufragen. 

Kommando Erklärung 

repykota Ausgabe aller Quotas pro Benutzer für jeden Drucker 

repykota -P drucker01 Ausgabe der Quotas pro Benutzer für das Gerät drucker01 

repykota -g -P 

drucker01 

Ausgabe der Quotas pro Benutzergruppe für das Gerät dru- 

cker01 

repykota -g Ausgabe aller Quotas pro Gruppe für jeden Drucker 

repykota user01 Ausgabe der Quotas für user01 auf allen Druckern 

repykota user* 

repykota -P druck* 

Ausgabe aller Quotas für die Benutzer deren Name mit user 

beginnt 

Ausgabe der Quotas für alle Benutzer auf den Druckern deren 

Name mit druck beginnt 

dumpykota bietet die Möglichkeit verschiedene Informationen des Druck-Quota-Systems in verschiedenen 

Formaten zu exportieren: 

dumpykota -d typ -f format -o datei 

Variable Erklärung 

typ bestimmt die auszugebenden Daten 

history Druckauftrag-Historie 

users Benutzer 

groups Benutzergruppe 

printers Drucker 

upquotas Benutzerquota 

gpquotas Benutzergruppenquota 

payments Kosten pro Benutzer 

pmembers Druckergruppenmitglieder 

umembers Benutzergruppenmitglieder 

format bestimmt das Ausgabeformat: 

csv Spalten separiert mit Komma 

ssv Spalten separiert mit Semikolon 

tsv Spalten separiert mit Tabulator 

xml Ausgabe im XML-Format 

Beispiel: 

dumpykota -d upquotas -f csv -o userquota.csv 

Ausgabe aller Benutzerquota im CSV-Format in die Datei userquota.csv 

298

13.5.3.1 pykotme 


Mit dem Programm pykotme läßt sich der Seitenumfang einer PostScript-Datei ermitteln und die durch 

ihren Ausdruck anfallenden Kosten. 

pykotme --printer drucker01,laser01 < datei01.ps 

Listet die jeweiligen Kosten für den Druck von datei01.ps auf drucker01 und laser01. 

pykotme --printer laser01 datei01.ps datei02.ps 

Listet die Kosten für den Druck von datei01.ps und datei02.ps auf laser01. 

13.5.4 Modifizieren der Druck-Quota 

13.5.4.1 edpykota 

Mit dem Programm edpykota lassen sich direkt die Quotas einzelner Benutzer oder Gruppen manipu- 

lieren. Weiterhin bietet es Möglichkeiten Drucker anzulegen und Gruppenzuordnungen von Druckern und 

Benutzern festzulegen. 

Achtung: 

Drucker und Gruppenzuordnungen für Drucker und Benutzer sollten nach Möglichkeit nur mit Univention 

Directory Manager festgelegt werden. Da edpykota nur Einträge im Quota-System ändert, werden diese 

Änderungen nicht dem CUPS-Drucksystem bekannt gemacht. 

edpykota [options] user1 user2 ... userN 

edpykota [options] group1 group2 ... groupN 

Parameter Erklärung 

-v –version Gibt die Versionsnummer aus 

-h –help Ausgabe der Hilfe mit Syntax und Beispielen 

-a –add Hinzufügen von Benutzern und/oder Druckern zur Quota- 

Datenbank 

-d –delete Entfernt Benutzer/Benutzergruppen aus der Quota-Datenbank 

-c –charge p[,j] Setzt den Preis pro Seite (p) und pro Auftrag (j) für einen be- 

stimmten Drucker. Der Preis pro Auftrag ist optional. Beim Set- 

zen beider Werte, werden diese mit Komma getrennt. Fließkom- 

mazahlen sind zulässig und werden mit Punkt angegeben (z.B. 

3.412). 

-i –ingroups g1[,g2...] Setzt einen Benutzer in jede angegebene Benutzergruppe 

(z.B. g1). Die Benutzergruppen müssen bereits in der Quota- 

Datenbank existieren. 

-u –users Benutzerquota bearbeiten (Standard) 

-P –printer p Nur die Quota für Drucker p wird bearbeitet. Es sind Wildcards 

(z.B. p*) zulässig. Mehrfachangaben sind mit Komma zu tren- 

nen. 

299


-G –pgroups pg1[,pg2...] Fügt den Drucker in die Druckergruppen pg1,pg2... ein. Die 

Druckergruppen müssen bereits existieren. 

-g –groups Benutzergruppen editieren. 

-p –prototype u|g Verwendet Benutzer u oder Benutzergruppe g als Prototyp zum 

Setzen der Quota. 

-n –noquota Es werden keine Quotas gesetzt, sondern nur Kosten und 

Druck-Historie aktiviert. 

-r –reset Setzt den Zähler des aktuellen Seitenverbrauchs zurück. Der 

Zähler für den Gesamtverbrauch (Life-Time-Counter) bleibt un- 

verändert. 

-R –hardreset Setzt alle Zähler für den Seitenverbrauch zurück. 

-S –softlimit X Setzt das Soft-Limit auf X Seiten. 

-H –hardlimit X Setzt das Hard-Limit auf X Seiten. 

edpykota --add -S 50 -H 60 user01 

user01 bekommt ein Soft-Limit von 50 Seiten und ein Hard-Limit von 60 Seiten auf allen Druckern. Wenn 

user01 noch nicht existiert, wird er im Druck-Quota-System angelegt, andernfalls wird der Eintrag ange- 

passt. 

edpykota --add --printer drucker01 -S 50 -H 60 user01 

user01 bekommt ein Soft-Limit von 50 Seiten und ein Hard-Limit von 60 Seiten auf drucker01. Wenn 

drucker01 oder user01 noch nicht existieren, werden sie angelegt, andernfalls werden die Einträge an- 

gepasst. 

edpykota --reset user01 

Setzt den Zähler für den aktuellen Seitenverbrauch des user01 auf allen Druckern auf 0 zurück. Der Zähler 

für den Gesamtverbrauch von user01 bleibt unberührt. 

edpykota --add -g testgruppe01 

Erstellt die Benutzergruppe testgruppe01 im Druck-Quota-System. 

edpykota -g -S 500 -H 650 testgruppe01 

Die Gruppe testgruppe01 bekommt ein Soft-Limit von 500 Seiten und ein Hard-Limit von 650 Seiten. 

edpykota -i testgruppe01 user01 

Fügt user01 der Gruppe testgruppe01 hinzu. 

edpykota --add --printer drucker01 -i testgruppe01 -S 50 -H 60 user01 

Setzt für user01 ein Soft-Limit von 50 Seiten und ein Hard-Limit von 60 Seiten für drucker01 und weist 

ihn der Gruppe testgruppe01 zu. Wenn drucker01 oder user01 im Quota-System noch nicht vorhanden 

sind, werden sie angelegt. 

edpykota --delete user01 

300

Entfernt user01 vollständig aus dem Quota-System. 

edpykota --printer lp --charge 12,7 

Setzt für lp den Preis pro Seite auf 12 und den Preis pro Druckauftrag auf 7. 

13.6 Univention Configuration Registry-Variablen 

13.6.1 Einstellungen für Druck-Clients 

13.6 Univention Configuration Registry-Variablen 

cups/server: Der vom System zu verwendende Drucker-Server. Dieser Wert wird von der Richtlinie: 

Drucker-Server überschrieben und sollte daher im Univention Directory Manager gesetzt werden. 

13.6.2 Einstellungen für die Authentifizierung an Druckerfreigaben 

cups/restrictedprinters: Eine Liste von Druckern mit Zugriffsbeschränkungen. 

cups/automaticrestrict: Wird diese Variable auf no gesetzt, so wird die Druckerliste in 

cups/restrictedprinters nicht mehr automatisch durch das Cups-Listener-Modul modifiziert, 

wenn Drucker angelegt, modifiziert oder gelöscht werden. 

13.6.3 Einstellungen für Druck-Freigaben 

samba/printmode/usergroup/GROUPNAME: Diese Variablen erlauben es, bestimmten Gruppen den 

Zugriff auf lokale Drucker über Samba Druckerfreigaben generell zu verbieten oder zu gestatten. 

Wird für eine Gruppe mit dem Namen GROUPNAME die entsprechende Variable auf all gesetzt, so 

wird sie in Samba an allen lokalen Druckerfreigaben als zugelassene Gruppe notiert. Wird statt des- 

sen die Variable auf none gesetzt, so wird die entsprechende Gruppe an allen lokalen Druckerfrei- 

gaben als ungültig eingetragen. Mit diesen Univention Configuration Registry-Variablen vergebene 

Zugriffsrechte gelten zusätzlich zu denen, die per Univention Directory Manager an den einzelnen 

Druckerobjekten auf dem Reiter Zugriffskontrolle eingestellt wurden (siehe Abschnitt 4.5.7). Durch 

die Art, in der Samba Freigabeberechtigungen auswertet, kann ein Benutzer, der sowohl Mitglied in 

einer zugelassenen Gruppe als auch in einer abgewiesenen Gruppe ist, nicht drucken. 

13.6.4 Einstellungen für Druck-Quota 

cups/quota/account: Die Quota-Informationen werden in einer PostgreSQL-Datenbank gespeichert. 

Über diese Einstellung wird der PostgreSQL-Benutzer für den Zugriff registriert. Die Standard- 

Einstellung ist pykotaadmin. 

cups/quota/admin/mail: Die Mail-Adresse des Quota-Administrators. Die Standard-Einstellung ist 

root@. 

cups/quota/inform: (De-)Aktiviert die Mail-Benachrichtigung bei Quota-Überschreitung. Mögliche 

Werte sind no (Standard) und yes. 

301


cups/quota/secret: Eine Pfadangabe zur Passwortdatei der Quota-Datenbank. Die Standard- 

Einstellung ist /etc/pykota/pykota.secret 

cups/quota/server/access: Die Zugriffsmethode auf die Quota-Datenbank. Die Standard- 

Einstellung ist local. 

cups/quota/server/name: Der Name des Servers, auf dem die Quota-Datenbank betrieben wird. Die 

302 

Standard-Einstellung ist localhost.

14 Univention Configuration Registry 


14.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 

14.2 Anzeige der aktuellen Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 

14.3 Übernahme von Variablen in Shell-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305 

14.4 Ändern von Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . 306 

14.5 Anlegen neuer Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . 307 

14.6 Löschen von Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . 307 

14.7 Registrierung von Univention Configuration Registry-Variablen . . . . . . . . . . . . . . . . 307 

14.8 Neuerzeugung von Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 

14.9 Richtlinienbasierte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 

14.9.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 

14.9.2 Konfiguration der Richtlinie im Univention Directory Manager . . . . . . . . . . . . . 310 

14.10Univention Configuration Registry in selbst erstellten Paketen . . . . . . . . . . . . . . . . . 311 

14.11Einbinden zusätzlicher Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . 313 

14.12Integration von Python-Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 


Univention Configuration Registry ist das zentrale Werkzeug zur Verwaltung der lokalen Systemkonfigu- 

ration eines UCS-basierten Systems. Ähnlich anderen Betriebssystemen stellt Univention Configuration 

Registry einen Registrierungsmechanismus für Systemeinstellungen dar. Einzelne Einstellungen werden 

über die so genannten Univention Configuration Registry-Variablen verwaltet, die im Bezug auf das Set- 

zen und Auslesen sowie im Bezug auf ihre Einsatzmöglichkeiten mit Umgebungsvariablen der Shell ver- 

gleichbar sind. Die Verwaltung der Univention Configuration Registry-Variablen erfolgt über den Befehl 

univention-config-registry oder über die Univention Management Console. 

Über den Univention Configuration Registry-Mechanismus wird die Verbindung zwischen den Univention 

Configuration Registry-Variablen und den Konfigurationsdateien verschiedener Dienste hergestellt. Der 

Univention Configuration Registry-Mechanismus stellt sicher, dass beim Ändern einer Univention Configu- 

ration Registry-Variable alle Konfigurationsdateien, auf die sich die veränderte Variable bezieht, neu erstellt 

werden. Dadurch wird der Systemadministrator davon entbunden, Konfigurationsdateien der verschiede- 

nen Dienste selbst (unter Berücksichtigung der jeweils gültigen Syntax) zu editieren. Dabei verbleiben 

die Konfigurationsdateien in ihrer ursprünglichen Form und können bei Bedarf unter Berücksichtigung der 

Funktionsweise des Univention Configuration Registry-Mechanismus manuell editiert werden. 

Nach der Installation eines UCS-Systems sind bereits eine Reihe von zentralen, systemnahen Einstellun- 

gen über Univention Configuration Registry-Variablen erfasst. Als Beispiel sei der Name eines Rechners 

303


genannt, der einerseits in der Systemkonfiguration selbst unter /etc/hostname aufgeführt wird, aber 

auch in der Konfiguration von System-Diensten wie dem LDAP-Server. Bei Bedarf können weitere Einstel- 

lungen und Konfigurationsdateien in den Univention Configuration Registry-Mechanismus aufgenommen 

werden. 

Neben der Verwaltung von Konfigurationsdateien können Univention Configuration Registry-Variablen sehr 

effizient in systemnahen Shell-Skripten verwendet werden, um auf aktuelle Einstellungen zuzugreifen. 

Insbesondere in Kombination mit der Univention Directory Manager-Kommandozeilenschnittstelle ergeben 

sich umfassende Möglichkeiten zur Verwaltung eines UCS-Systems. 

14.2 Anzeige der aktuellen Einstellungen 

Der Befehl univention-config-registry kann mit drei unterschiedlichen Parametern aufgerufen werden, 

um die Univention Configuration Registry-Variablen und ihre aktuellen Belegungen auszugeben. Statt 

univention-config-registry kann alternativ auch die Kurzform ucr angegeben werden. 

Mit dem Aufrufparameter dump können alle aktuell registrierten Variablen ausgegeben werden: 

# univention-config-registry dump 

admin/cmd/debug/level: 0 

admin/cmd/timeout: 300 

admin/timeout: 300 

admin/web/debug/level: 0 

admin/web/language: de 

apache/accessfilename: .htaccess 

apache/documentroot: /var/www 

apache/userdir: public_html 

auth/admin/methods: krb5 ldap unix 

... 

Pro Zeile wird eine Univention Configuration Registry-Variable und der aktuell zugewiesene Wert ausge- 

geben. 

Die Benennung der Univention Configuration Registry-Variablen folgt einer baumartigen Struktur, wobei 

ein Schrägstrich als Trennzeichen von Namensbestandteilen verwendet wird. Beispielsweise handelt es 

sich bei allen mit ldap beginnenden Univention Configuration Registry-Variablen um Einstellungen, die 

den lokalen Verzeichnisdienst betreffen. 

Univention Configuration Registry unterstützt auch die Suche nach Variablennamen über den Aufrufpara- 

meter search: 

univention-config-registry search 

Dieser Befehl sucht nach Variablennamen, welche die Zeichenkette enthalten und gibt diese mit 

den aktuellen Belegungen aus. Es kann alternativ auch nach gesetzten Variablen-Werten gesucht werden: 

univention-config-registry search --value 

# univention-config-registry search debug 

admin/cmd/debug/level: 0 

console/web/debug/level: 0 

304

listener/debug/level: 2 

samba/debug/level: 0 

# univention-config-registry search --value yes 

nsswitch/ldap: yes 

pkgdb/scan: yes 

postfix/autostart: yes 

sshd/permitroot: yes 

sshd/xforwarding: yes 

14.3 Übernahme von Variablen in Shell-Skripte 

Bei der Suche nach Univention Configuration Registry-Variablen können reguläre Ausdrücke verwendet 

werden, um nur Variablen auszugeben, die einem vorgegebenen Suchmuster entsprechen. Univention 

Configuration Registry unterstützt alle regulären Ausdrücke, die vom Python-Modul re unterstützt werden. 

Eine umfassende Beschreibung der Syntax ist in der Dokumentation des Moduls re zu finden. Auf UCS- 

Systemen kann sie auf der Kommandozeile mit dem Befehl pydoc re angezeigt werden. Nachfolgend 

einige Beispiele: 

• Suche nach allen Univention Configuration Registry-Variablen, die mit ’ldap’ oder ’ssl’ beginnen: 

univention-config-registry search ’^(ldap|ssl)’ 

• Suche nach allen Univention Configuration Registry-Variablen, die ’ssl’ oder ’ssh’ enthalten: 

univention-config-registry search ’ss(l|h)’ 

• Suche nach allen Univention Configuration Registry-Variablen, deren aktueller Wert aus dem String 

’mail’, einer beliebigen Zeichenfolge und dem String ’Address’ zusammengesetzt ist. Mit dem As- 

terisk (*) wird festgelegt, dass das vorstehende Zeichen überhaupt nicht, einmal oder mehrmals 

vorkommen soll. Um den Asterisk wie in der Bash-Shell für unterschiedliche Zeichen zu verwen- 

den, muss er in Kombination mit dem Punkt (.) als Platzhalter für ein alphanumerisches Zeichen 

kombiniert werden. 

univention-config-registry search --value ’mail.*Address’ 

Einzelne Univention Configuration Registry-Variablen können mit dem Aufrufparameter get ausgegeben 

werden. Im Unterschied zu den Aufrufparametern dump und search wird hierbei nur der aktuelle Wert 

der Univention Configuration Registry-Variable ohne Variablennamen ausgegeben: 

# univention-config-registry get ldap/server/name 

master.firma.de 

# univention-config-registry get ldap/server/ip 

192.168.0.2 

14.3 Übernahme von Variablen in Shell-Skripte 

Über den Aufrufparameter shell werden Univention Configuration Registry-Variablen und ihre aktuellen 

Belegungen in einem Format ausgegeben, das in Shell-Skripten verwendet werden kann: 

univention-config-registry shell 

Dieser Befehl gibt die Werte aller Univention Configuration Registry-Variablen zeilenweise als Paar in der 

Form 

305


variablenname="wert" 

aus. Dabei werden verschiedene Konvertierungen vorgenommen: Schrägstriche in Variablennamen wer- 

den durch Unterstriche ersetzt und in den Werten enthaltene Zeichen, die in Shell-Skripten eine besondere 

Bedeutung haben, werden durch Anführungszeichen geschützt. 

Es lassen sich auch einzelne Werte ausgeben, indem man den Parameter shell um den gewünschten 

Variablennamen ergänzt: 

univention-config-registry shell ldap/server/name 

Damit Univention Configuration Registry-Variablen als Umgebungsvariablen in einem Shell-Skript einge- 

lesen werden, muss die Ausgabe von Univention Configuration Registry durch den Befehl eval ausgeführt 

werden: 

# eval $(univention-config-registry shell ldap/server/name) 

# echo $ldap_server_name 

master.firma.de 

14.4 Ändern von Univention Configuration Registry-Variablen 


univention-config-registry set ="" 

kann der Wert einer Variable geändert werden. Es erfolgt dabei keine Syntax-Prüfung. Im folgenden Bei- 

spiel wird der Wert der Variable nameserver1 auf 192.168.0.1 gesetzt: 

univention-config-registry set nameserver1="192.168.0.1" 

Die Änderung einer Univention Configuration Registry-Variable bewirkt, dass alle Konfigurationsdateien, 

für die die Univention Configuration Registry-Variable registriert ist (siehe Kapitel 14.8), unmittelbar neu 

geschrieben werden. Die betroffenen Dateien werden an der Konsole ausgeben: 

# univention-config-registry set sshd/xforwarding=yes 

Setting sshd/xforwarding 

File: /etc/ssh/sshd_config 

Dabei ist zu beachten, dass zwar die Konfiguration eines Dienstes aktualisiert wird, der entsprechende 

Dienst aber nicht automatisch neu gestartet wird. Die Dienste sind in der Regel über entsprechende Init- 

Skripte unterhalb von /etc/init.d manuell erneut zu starten. Die Ausführung von Skripten nach der 

Änderung von Univention Configuration Registry-Variablen ist in Kapitel 14.10 beschrieben. 

Wird beispielsweise der Debug-Level des Samba-Dienstes verändert, muss dieser anschließend neu gestartet 

werden: 

# univention-config-registry set samba/debug/level=2 

Setting samba/debug/level 

Multifile: /etc/samba/smb.conf 

# /etc/init.d/samba restart 

Stopping Samba daemons: nmbd smbd. 

Starting Samba daemons: nmbd smbd. 

306

14.5 Anlegen neuer Univention Configuration Registry-Variablen 

Gleichzeitige Änderungen mehrerer Variablen in einer Befehlszeile sind möglich (wenn sich diese auf ein- 

und dieselbe Konfigurationsdatei beziehen, wird diese nur einmal neu geschrieben): 

# univention-config-registry set \ 

dns/forwarder1=192.168.0.2 \ 

sshd/xforwarding="no" \ 

sshd/port=2222 

14.5 Anlegen neuer Univention Configuration Registry-Variablen 

Eine neue Variable kann mit univention-config-registry und dem Aufrufparameter set registriert 

werden. Der Name der Variable kann frei gewählt werden, darf aber ausschließlich aus Kleinbuchstaben, 

Punkten, Zahlen, Binde- und Schrägstrichen bestehen. Soll die neu angelegte Univention Configuration 

Registry-Variable außer in Shell-Skripten auch in Konfigurationsdateien verwendet werden, muss sie re- 

gistriert werden (siehe Kapitel 14.7). 

# univention-config-registry set test/variable=neu 

Create test/variable 

Auch ein bedingtes Setzen von Variablen ist möglich. Soll z.B. ein Wert nur dann in einer Univention 

Configuration Registry-Variable gespeichert werden, wenn die Variable leer ist, kann dies durch ein Fra- 

gezeichen statt des Gleichheitszeichens beim Zuweisen des Wertes erreicht werden: 

univention-config-registry set dns/forwarder1?192.168.0.2 

In diesem Beispiel wird die Variable dns/forwarder1 nur auf den Wert 192.168.0.2 gesetzt, wenn sie 

vorher leer war. Enthält die Variable bereits einen Wert, wird dieser nicht verändert. 

Beim Setzen und Ändern von Univention Configuration Registry-Variablen können mehrere Variablen in 

einem Aufruf angegeben werden. 

14.6 Löschen von Univention Configuration Registry-Variablen 

Mit dem Aufrufparameter unset kann eine Variable entfernt werden. Das folgende Beispiel löscht die 

Variable dns/forwarder2. Auch hier können mehrere zu löschende Variablen übergeben werden. 

univention-config-registry unset dns/forwarder2 

Beim Löschen einer Variable gibt univention-config-registry aus, welche Dateien von der Veränderung 

betroffen sind und neu geschrieben werden. 

14.7 Registrierung von Univention Configuration Registry-Variablen 

Der Univention Configuration Registry-Mechanismus stellt bei Änderung einer Variable die Neugenerie- 

rung von Konfigurationsdateien sicher, für die diese Variable registriert wurde. Dazu werden Vorlagen, die 

307


so genannten Univention Configuration Registry-Templates verwendet. Ein Univention Configuration Re- 

gistry-Template ist im wesentlichen eine Kopie der ursprünglichen Konfigurationsdatei, in der die Zeilen, in 

denen der Wert einer Univention Configuration Registry-Variable verwendet werden soll, teilweise durch 

Programmcode ersetzt wurde. 

Die in Konfigurationsdateien verwendeten Univention Configuration Registry-Variablen werden unterhalb 

von /etc/univention/templates/info in info-Dateien registriert, die nach dem Paketnamen mit 

Dateiendung .info benannt werden. Ein Beispiel für das Paket univention-dhcp: 

Type: file 

File: etc/dhcp3/dhcpd.conf 

Variables: ldap/base 

Variables: dhcpd/ldap/base 

Variables: ldap/server/name 

Variables: dhcpd/enable 

Type: file 

File: etc/init.d/dhcp3-server 

Die Vorlagen für alle mit Univention Configuration Registry verwalteten Konfigurationsdateien, befinden 

sich unterhalb des Verzeichnisses /etc/univention/templates/files. Der Pfad zu den Vorlagen 

entspricht dem absoluten Pfad zu der Konfigurationsdatei mit vorangestelltem Pfad zum Vorlagenverzeich- 

nis. So findet sich zum Beispiel die Vorlage für die Konfigurationsdatei /etc/dhcp3/dhcpd.conf unter 

/etc/univention/templates/files/etc/dhcp3/dhcpd.conf. 

In den Vorlagen befinden sich Platzhalter für die in der Registrierung verwendeten Variablen. Wird der 

Wert einer Variable verändert, liest Univention Configuration Registry die Vorlage, ersetzt die Platzhalter 

durch die entsprechenden Variablen-Werte und schreibt die Konfigurationsdatei neu. 

Als Beispiel für eine Zeile mit Platzhalter dient der folgende Auszug aus der Vorlage für die Datei 

/etc/ssh/sshd_config. Als Platzhalter dient der Name der Univention Configuration Registry-Varia- 

ble, die von der Zeichenkette @%@ eingefasst wird. 

X11Forwarding @%@sshd/xforwarding@%@ 

Die ursprüngliche Konfigurationsdatei wird beim Ändern einer registrierten Univention Configuration Re- 

gistry-Variable überschrieben, was bedeutet, dass Änderungen, die manuell an der Konfigurationsdatei 

selbst vorgenommen wurden, verloren gehen. Sollen solche Änderungen dauerhaft sein, müssen sie an 

den Vorlagen vorgenommen werden. Nach Änderung einer Vorlage muss die Konfigurationsdatei neu ge- 

schrieben werden (siehe Kapitel 14.8). 

Hinweis: 

Damit Konfigurationsdateien von Univention Configuration Registry korrekt verarbeitet werden können, 

müssen sie im UNIX-Format vorliegen. Werden Konfigurationsdateien z.B. unter DOS oder Windows be- 

arbeitet, werden Steuerzeichen zur Kennzeichnung des Zeilenumbruchs eingefügt, die die Verwendung 

der Datei durch Univention Configuration Registry stören. 

Neben der Zeichenkette @%@ für einzelne Univention Configuration Registry-Variablen kann die Zei- 

chenkette @!@ verwendet werden. Sie dient zur Abgrenzung von Blöcken eingebetteten Python-Codes. 

Der Python-Code wird ebenfalls ausgeführt, wenn eine registrierte Univention Configuration Registry-Va- 

riable verändert wird. Mit solchen Blöcken kann beispielsweise erreicht werden, dass beim Ändern eines 

308

14.8 Neuerzeugung von Konfigurationsdateien 

Parameters über eine Variable weitere abhängige Einstellungen automatisch in die Konfigurationsdatei 

aufgenommen werden. Folgende Code-Sequenz konfiguriert beispielsweise Netzwerk-Einstellungen an- 

hand der Univention Configuration Registry-Einstellungen: 

@!@ 

for i in range(0,4): 

if baseConfig[’interfaces/eth%s/address’ % i]: 

print ’%s\tunivention-directory-manager.%s univention-directory-manager’ % \ 

(baseConfig[’interfaces/eth%s/address’ % i],baseConfig[’domainname’]) 

@!@ 

Wird neuer Python-Code in die Vorlagen eingefügt oder bestehender Code so verändert, dass er zusätz- 

liche oder andere Variablen nutzt, so müssen die in /etc/univention/templates/info befindlichen 

.info-Dateien erweitert bzw. verändert werden (siehe Kapitel 14.10). 

Hinweis: 

Univention Configuration Registry-Templates sind in den entsprechenden Software-Paketen als Konfigu- 

rationsdateien enthalten. Bei der Aktualisierung von Paketen wird überprüft, ob Änderungen an Konfigu- 

rationsdateien vorgenommen wurden. Wenn Konfigurationsdateien nicht mehr im Auslieferungszustand 

vorliegen, werden diese nicht überschrieben. Stattdessen wird eine neue Version im selben Verzeichnis 

mit der Endung .debian.dpkg-new abgelegt. Sollen Änderungen an Univention Configuration Registry- 

Templates vorgenommen werden, werden diese Templates bei der Aktualisierung ebenfalls nicht über- 

schrieben und im selben Verzeichnis mit der Endung .dpkg-new oder .dpkg-dist abgelegt. Entsprechen- 

den Hinweise werden in die Log-Datei /var/log/univention/actualise.log geschrieben. 

14.8 Neuerzeugung von Konfigurationsdateien 

Durch den Befehl 

univention-config-registry commit 

können einzelne Konfigurationsdateien neu aus ihren Vorlagen erzeugt werden, was beispielsweise dann 

notwendig wird, wenn eine Konfigurationsdatei testhalber verändert oder das zugehörige Univention Con- 

figuration Registry-Template bearbeitet wurde. 

Wird beim Aufruf von univention-config-registry commit kein Dateiname angegeben, werden sämtliche 

durch Univention Configuration Registry verwalteten Dateien neu aus den Vorlagen erzeugt. In der Regel 

sollte es allerdings nicht notwendig sein, alle Konfigurationsdateien neu zu erzeugen. 


univention-config-registry commit /etc/samba/smb.conf 

wird beispielsweise nur die Konfigurationsdatei des Samba-Dienstes neu geschrieben. 

309


14.9 Richtlinienbasierte Konfiguration 

14.9.1 Übersicht 

Ein Teil der in Univention Configuration Registry abgelegten Eigenschaften sind systemspezifisch (z.B. der 

Rechnername), viele andere Eigenschaften können jedoch auch auf mehrere Rechner angewendet wer- 

den. Um die Verteilung der Einstellungen automatisieren zu können, ist es möglich, Univention Configura- 

tion Registry-Variablen auch über Richtlinien im Verzeichnisdienst zu konfigurieren. Allgemeine Hinweise 

zu Richtlinien finden sich in Kapitel 4.5.11. 

Die Auswertung der Univention Configuration Registry-Variablen auf einem UCS-System erfolgt vierstufig: 

• Als Erstes werden lokale Univention Configuration Registry-Variablen ausgewertet. 

• Die lokalen Variablen werden von Richtlinien-Variablen überstimmt, die in der Regel per 

unvention-policy-result aus dem Verzeichnisdienst bezogenen werden. 

• Die Option schedule dient zum Setzen lokaler Variablen, die nur für einen gewissen Zeitraum gelten 

sollen. Diese Ebene der Univention Configuration Registry ist reserviert für lokale Einstellungen, 

die durch zeitgesteuerte Mechanismen in Univention Corporate Server automatisiert vorgenommen 

werden. 

• Durch Verwendung der Option force beim Setzen einer lokalen Variable werden aus den Verzeich- 

nisdienst übernommene Einstellung ebenso wie Variablen der Schedule-Ebene überstimmt und statt 

dessen der angegebene Wert für das lokale System festgelegt. Beispiel: 

univention-config-registry set --force mail/messagesizelimit=1000000 

Wird eine Variable gesetzt, die durch eine übergeordnete Richtlinie überschrieben wird, erscheint eine 

Warnmeldung. 

14.9.2 Konfiguration der Richtlinie im Univention Directory Manager 

Beim Anlegen des Richtlinien-Objekts muss der Typ Univention Configuration Registry ausgewählt 

werden. Zuerst muss für die anzulegende Richtlinie ein Name gesetzt werden, unter dem die Variablen 

später einzelnen Rechner-Objekten zugewiesen werden können. 

Ausserdem muss mindestens eine Univention Configuration Registry-Variable konfiguriert werden. Zu- 

erst muss unter Name der neuen Configuration Registry Variable der Name der Variable eingetragen 

werden. Nach einem Klick auf das Pluszeichen neben dem Eingabefeld ändert sich das Eingabefeld in 

Variable: NAME. Hier muss nun der zu setzende Wert eingetragen werden. 

Durch Klick auf Ok wird die Richtlinie gespeichert, alternativ können auch noch weitere Variablen erfasst 

werden. 

Diese Richtlinie kann dann einem Rechner-Objekt zugewiesen werden. Es ist zu beachten, dass die An- 

zeige der konfigurierten Werte gegenüber den übrigen Richtlinien abweicht: Die Werte werden nicht direkt 

im Univention Directory Manager angezeigt, sondern durch Univention Directory Policy auf den zugewie- 

senen Rechner geschrieben. Das dabei verwendete Zeitintervall wird durch die Univention Configuration 

Registry-Variable ldap/policy/cron konfiguriert und erfolgt standardmässig stündlich. 

310

14.10 Univention Configuration Registry in selbst erstellten Paketen 

14.10 Univention Configuration Registry in selbst erstellten Paketen 

Auch bei der Erstellung eigener Software-Pakete zur Verwendung in UCS können Konfigurationsdateien 

in den Univention Configuration Registry-Mechanismus integriert werden. Die komplette Vorgehensweise 

bei der Paketerstellung unter UCS ist in einem gesonderten Dokument beschrieben, siehe [19]. 

In dem Verzeichnis mit den Paketquellen muss ein Unterverzeichnis mit dem Namen conffiles erzeugt 

werden, in das die gewünschten Konfigurationsdateien mit etwaigen Unterverzeichnissen kopiert werden. 

Soll beispielsweise die Datei /etc/ldap/slapd.conf durch Univention Configuration Registry verwaltet 

werden, kopiert man sie nach conffiles/etc/ldap/slapd.conf. 

Nun können Platzhalter für die Variablen und eventuell notwendiger Python-Code in die Konfigurationsda- 

teien unterhalb von conffiles integriert werden. 

In jedem Fall können Defaultwerte für die durch das jeweilige Binärpaket verwendeten Variablen in 

debian/postinst bzw. debian/.postinst durch bedingtes Setzen (siehe Kapi- 

tel 14.5) vergeben werden. 

In den Abschnitt install der debian/rules-Datei muss die Zeile 

univention-install-config-registry 

eingefügt werden, damit Univention Configuration Registry beim Erzeugen des Paketes mit einbezogen 

wird. 

Zusätzlich muss die Datei debian/control angepasst, das Quellpaket um eine Abhängigkeit auf 

univention-config-dev und alle Univention Configuration Registry nutzenden Binärpakete um eine Ab- 

hängigkeit auf univention-config-registry erweitert werden. 

Außerdem muss für jedes Binärpaket eine Datei mit dem Namen 

debian/.univention-config-registry angelegt werden, in der angegeben 

ist, welche Dateien und Skripte durch Univention Configuration Registry verwaltet werden sollen und 

welche Variablen in diesen enthalten sind. 

Die Syntax der Datei ist wie in den folgenden Beispielen ersichtlich: 

• Zwei Konfigurationsdateien und die in ihnen verwendeten Variablen. Die Zuordnung von Variablen 

zu Dateien kann entfallen, wenn kein Python-Code in der entsprechenden Konfigurationsdatei ver- 

wendet wird. 

# cat univention-dhcp.info 

Type: file 

File: etc/dhcp3/dhcpd.conf 


Variables: dhcpd/ldap/base 

Variables: ldap/server/name 

Variables: dhcpd/enable 

Type: file 

File: etc/init.d/dhcp3-server 

• Neben Konfigurationsdateien können auch Skripte in Univention Configuration Registry integriert 

werden. Diese Skripte können ausgeführt werden, wenn bestimmte Variablen gesetzt werden. 

311


Mit Paketen installierte Skripte werden unter /etc/univention/templates/scripts abgelegt. 

Weitere Skripte, die einzeln erstellt und nachträglich mit Univention Configuration Registry registriert 

werden sollen, müssen ebenfalls in das Verzeichnis kopiert werden. Außerdem müssen zusätzli- 

che Skripte in die Univention Configuration Registry-Info-Dateien eingetragen werden. Sie müssen 

ausführbar sein und ebenfalls in das Verzeichnis conffiles kopiert werden. 

Im folgenden Beispiel wird bei Änderung der Werte der Variablen interfaces/eth0/address oder 

interfaces/eth0/network das Skript interfaces.sh ausgeführt: 

Type: script 

Script: interfaces.sh 

Variables: interfaces/eth0/address 

Variables: interfaces/eth0/network 

• Das folgende Beispiel zeigt eine Datei (Multifile), die aus mehreren Einzeldateien (Subfile) zusam- 

mengesetzt wird, wenn der Wert einer Variable geändert wird. Auf diese Art und Weise können 

verschiedene Pakete einzelne Teile einer Konfigurationsdatei mitbringen, die so zusammengefügt 

werden. 

Type: multifile 

Multifile: etc/ldap/slapd.conf 

Type: subfile 


Subfile: etc/ldap/slapd.conf.d/10schema-core 


Type: subfile 


Subfile: etc/ldap/slapd.conf.d/20acl 


Um eine Konfigurationsdatei aus mehreren Templates zu generieren, muss ein Multifile-Template erzeugt 

werden. Hierbei wird ein Verzeichnis angelegt, dessen Name aus dem Template-Namen und der Endung 

.d gebildet wird. In diesem Verzeichnis können nun mehrere Teil-Templates angelegt werden. 

Die Dateinamen dieser Teil-Templates müssen mit zweistelligen Ziffern beginnen, welche die Reihenfolge 

vorgeben, in der die Teile ausgewertet und zusammengesetzt werden. Dies ist insbesondere nützlich, 

wenn die einzelnen Teile von verschiedenen Paketen mitgebracht oder verwaltet werden oder eigene 

Erweiterungen für Konfigurationsdateien eingepflegt werden sollen. 

In /etc/univention/templates/files/etc/ liegt beispielsweise das Verzeichnis config.d. In 

diesem befinden sich die Dateien 00Header, 05Grundkonfig und 11Erweiterungen. Diese werden 

von Univention Configuration Registry in aufsteigender Reihenfolge ihrer numerischen Präfixe zusammen- 

gefügt und ausgewertet, um die Datei /etc/config zu erzeugen. 

Wurden die Templates (einfach oder Multifile) erstellt, so müssen sie registriert werden, bevor sie im Uni- 

vention Configuration Registry-Mechanismus verwendet werden können (siehe Kapitel 14.11). 

312

14.11 Einbinden zusätzlicher Konfigurationsdateien 

14.11 Einbinden zusätzlicher Konfigurationsdateien 

Es ist möglich, Konfigurationsdateien, die nicht aus einem Installationspaket stammen, in Univention Con- 

figuration Registry zu registrieren. Die folgende Beschreibung gilt nur für Konfigurationsdateien, die nicht 

von einem Paket installiert wurden. 

Zuerst müssen eine oder mehrere Vorlagendateien erzeugt bzw. angepasst und unterhalb des Verzeich- 

nisses /etc/univention/templates/files abgelegt werden. Syntax und genauer Speicherort der 

Vorlagendateien sind in Kapitel 14.7 beschrieben. 

Im Verzeichnis /etc/univention/templates/info muss eine Datei angelegt werden, in der die ver- 

wendeten Konfigurationsdateien und die in ihnen enthaltenen Variablen aufgeführt werden. Der Name 

der anzulegenden Datei ist frei wählbar, sie muss allerdings auf .info enden. Die Syntax entspricht dem 

in Kapitel 14.10 für die Datei debian/.univention-config-registry genannten 

Schema. 

Abschließend muss die Cachedatei /var/cache/univention-config/cache gelöscht werden. Die 

zusätzlichen Konfigurationsdateien sind beim nächsten Aufruf registriert. Sobald eine für diese Datei re- 

gistrierte Univention Configuration Registry-Variable verändert wird oder der Befehl univention-config- 

registry commit für diese Datei aufgerufen wird, wird aus der Vorlagedatei unter Berücksichtigung der 

Univention Configuration Registry-Variablen eine neue Konfigurationsdatei erstellt. 

14.12 Integration von Python-Code 

Wenn das Einbinden einzelner Univention Configuration Registry-Variablen für das Erzeugen einer 

Konfigurationsdatei nicht ausreicht, kann Python-Code direkt in die Datei integriert werden. Ein Python- 

Codeblock wird mit der Zeichenkette @!@ eingeleitet und abgeschlossen. 

Im folgenden Beispiel wird die Vorlage /etc/univention/templates/files/etc/issue (aus der 

die Datei /etc/issue erzeugt wird) um Python-Code erweitert. Zuvor sieht sie wie folgt aus: 

@!@ 

if baseConfig[’version/version’] and baseConfig[’version/patchlevel’]: 

print ’UCS \%s-\%s \BS\BSn \BS\BSl’ \% \ 

(baseConfig[’version/version’], \ 

baseConfig[’version/patchlevel’]) 

@!@ 

Soll im Python-Code der Wert einer Univention Configuration Registry-Variable abgefragt werden, kann 

- wie im Beispiel dargestellt - das Python-Objekt baseConfig genutzt werden. Bei der Verwendung von 

Python-Code muss darauf geachtet werden, dass die im Python-Code genutzten Variablen beim Erstellen 

des Paketes angegeben werden (siehe Kapitel 14.10). 

Es werden nun außerhalb des Python-Codes zwei Univention Configuration Re- 

gistry-Variablen, hostname und domainname, hinzugefügt, indem die Vorlage 

/etc/univention/templates/files/etc/issue wie folgt bearbeitet wird: 

@!@ 


313





@!@ 

Der Hostname ist: @%@hostname@%@ 

Die Domain lautet: @%@domainname@%@ 

Debian GNU/\s 3.0 

Nun kann die Datei /etc/issue durch den folgenden Befehl neu aus ihrer Vorlage erzeugt werden: 

univention-config-registry commit /etc/issue 

Wenn neue Variablen eingeführt werden, sollte das Namensschema beachtet werden (siehe Kapitel 14.5). 

Im folgenden Beispiel werden zwei neue Variablen eingeführt, meine/variable1 und meine/variable2: 

@!@ 





@!@ 

Meine erste Variable: @%@meine/variable1@%@ 

Meine zweite Variable: @%@meine/variable2@%@ 

Debian GNU/\s 3.0 

Um die in Inline-Python-Code definierten neuen Variablen mit Werten füllen zu können, muss einmalig die 

Cachedatei von Univention Configuration Registry entfernt werden: 

rm /var/cache/univention-config/cache 

Die neuen Variablen können dann wie in Kapitel 14.5 beschrieben gesetzt werden: 

univention-config-registry set meine/variable1="foo" \ 

set meine/variable2="bar" 

Die Datei /etc/issue wird nun neu aus ihrer Vorlage erzeugt. 

314

15 Univention System Setup 


15.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315 

15.2 Univention System Setup-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 

15.2.1 Basis-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316 

15.2.2 Tastatur-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 

15.2.3 Sprach-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 

15.2.4 Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 

15.2.5 Software-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322 

15.2.6 Zeitzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 

15.3 Univention System Setup-Event-Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . 323 

15.4 Konfiguration für Aufruf zum Systemstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 

15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart . . . . . . . . . . 325 


Univention System Setup ist ein Werkzeug zur Rekonfiguration eines UCS-Systems. Es kann sowohl zur 

nachträglichen Anpassung von Systemeigenschaften an veränderte Umgebungen, als auch zur Vorberei- 

tung von Systeminstallationen verwendet werden. 

Die Nutzerführung erfolgt tastaturgestützt: Der momentan aktive Menüpunkt ist rot hinterlegt, mit den 

Pfeiltasten nach oben/unten bzw. den Tasten TAB/Shift+TAB kann zwischen den Auswahlpunkten navigiert 

werden. 

Die Eingaben für ein Univention System Setup-Modul können mit der Taste F12 beendet werden, mit 

der Taste F11 kann (sofern mehrere Module gestartet wurden) auf das vorhergehende Modul gewechselt 

werden. Mit der Taste F8 kann Univention System Setup beendet werden und Auswahlfelder lassen sich 

mit der Leertaste aktivieren. Die Online-Hilfe kann über die Taste F1 aufgerufen werden. 

Wenn auf anderen Rechnerrollen als Domänencontroller Master Informationen im Zuge von Rekonfigu- 

rationen nicht in den LDAP-Verzeichnisdienst geschrieben werden können, gibt Univention System Setup 

eine Warnmeldung aus und führt nur die Konfigurationsschritte durch, die ohne Netzzugriff möglich sind. 

Der Rechner muß dann später mit univention-join neu in die Domäne eingebunden werden. 

Fehleranalysen sind durch die Logdatei /var/log/univention/setup.log möglich. 

Univention System Setup basiert auf der Curses-Bibliothek, die zur terminalbasierten Bildschirmanzeige 

verwendet wird und benötigt bestimmte Mindestbreiten und -höhen des Terminalfensters zur Darstellung. 

Wenn der Start mit einer Fehlermeldung abbricht, so ist das Terminalfenster zu vergrößern. 

315


Abbildung 15.1: Aktuell aktivierter Menüpunkt ist hier Europe/Berlin 

15.2 Univention System Setup-Module 

Univention System Setup ist modular aufgebaut und besteht zur Zeit aus sieben Modulen. Diese 

können sowohl alle zusammen (univention-setup-all) als auch einzeln gestartet werden, bspw. 

univention-system-setup-net für die Netzwerkeinstellungen. Desweiteren besteht die Möglichkeit 

eine Auswahl von Modulen zu laden: Der Befehl univention-system-setup -modules net,basis 

lädt beispielsweise nur die Module für die Basis- und Netzkonfiguration. 

15.2.1 Basis-Einstellungen 

Zentrale System-Eigenschaften lassen sich mit univention-system-setup-basis konfigurieren: 

Der Rechner- und Domänenname kann mit Univention System Setup geändert werden. Dazu werden 

auch Anpassungen für verschiedene Serverdienste in Univention Configuration Registry vorgenommen 

(z.B. Mail-Aliase im Mailserver). Auf einem Domänencontroller Master wird außerdem ein neues SSL- 

Zertifikat erzeugt. Andere Systemrollen beziehen vom DC Master ein neues Zertifikat. 

Das Ändern des Domänennamens erfordert ggf. eine Anpassung weiterer Systeme. Soll der Name der ge- 

samten DNS-Domäne geändert werden, so muss diese Änderung auf allen Systemen erfolgen. Wird der 

Domänenname einzelner Systeme geändert, so können beispielsweise Service-Records, die u.a. für das 

Auffinden des Domänencontroller Master verwendet werden, nicht mehr korrekt aufgelöst werden. In sol- 

chen Fällen müssen manuell entsprechende Service-Records im Univention Directory Manager angelegt 

werden. Das geänderte System sollte nach der Änderung neu gestartet werden. 

316

Abbildung 15.2: Basis-Einstellungen in Univention System Setup 


Die LDAP-Basis kann ebenfalls mit Univention System Setup nachträglich geändert werden. Das Ändern 

der LDAP-Basis erfordert die Installation einer angepassten Lizenz, das erneute Joinen sowie den Neu- 

start aller Systeme. 

Die Änderung der LDAP-Basis kann nicht in allen Szenarien repliziert werden, andere System in der 

Domäne müssen manuell angepasst werden. 

Der Wechsel des DNS-Domänennamens oder der LDAP-Basis auf dem Domänencontroller Master ändert 

grundlegende Parameter der übrigen Systeme der Domäne. Die Rechner-Objekte der weiteren UCS- 

Systeme sollten im Univention Directory Manager gelöscht werden und die Rechner erneut der Domäne 

beitreten (siehe dazu auch Kapitel 2.4.1). 

Windows-Domänennamen können geändert werden. Der Name einer Domäne sollte aus Kompatibilitäts- 

gründen maximal 14 Zeichen umfassen und unterscheidet nicht zwischen Groß- und Kleinschreibung. 

Das Passwort für den lokalen root-Nutzer kann ebenfalls über Univention System Setup geändert werden. 

Auf Domänencontroller Master-Systemen wird darüberhinaus das Passwort für das Administrator-Konto im 

LDAP geändert. Es ist zu beachten, dass hierbei keine Prüfungen hinsichtlich der Passwort-Länge/-Stärke 

und bereits verwendeter Passwörter durchgeführt wird. Um Folgefehler durch Tippfehler zu vermeiden, 

muss dass Passwort doppelt eingegeben werden. 

317


15.2.2 Tastatur-Einstellungen 

Das auf dem Rechner verwendete Tastatur-Layout kann mit univention-system-setup-keyboard 

verändert werden. 

15.2.3 Sprach-Einstellungen 

Abbildung 15.3: Tastaturkonfiguration in Univention System Setup 

In UCS werden Lokalisierungseigenschaften für Software in Locales definiert. Konfiguriert wer- 

den u.a. Einstellungen wie Datums- sowie zu nutzende Währungsformate und verwendete Zeichen- 

sätze. Außerdem wird die verwendete Sprache für internationalisierte Programme definiert. Über 

univention-system-setup-language können die Locales für ein System angelegt werden. 

Überdies kann mit univention-system-setup-defaultlocale eine Standard-Locale festgelegt 

werden. Zur Auswahl stehen hier die mit univention-system-setup-language angelegten Locales. 

318


Abbildung 15.4: Sprach-Einstellungen in Univention System Setup 

319


15.2.4 Netzwerkeinstellungen 

Mit univention-system-setup-net können Netzwerkeigenschaften eines Rechners komfortabel ge- 

ändert werden. Bis zu vier physische Netzwerkkarten können konfiguriert werden, sowohl mit statischer 

als auch dynamischer Adress-Vergabe. 

Abbildung 15.5: Netzwerk-Einstellungen in Univention System Setup 

Bei statischer Konfiguration müssen neben den IP-Adressen auch die für das Routing relevanten Einstel- 

lungen der Netzmaske, der Broadcast-Adresse und der Netzwerk-Adresse vorgenommen werden. Hierfür 

werden ausgehend von der IP-Adresse Standardwerte vorgeschlagen, um die Konfiguration zu erleichtern. 

Die Vergabe der IP-Adresse kann auch dynamisch über das Dynamic Host Configuration Protocol 

(DHCP) erfolgen. DC Master, DC Backup, DC Slave und Memberserver können ausschliesslich mit einer 

statischen Adressierung betrieben werden. 

Das Standard-Gateway lässt sich ebenfalls konfigurieren. Als Nameserver (der Eintrag mehrerer Rechner 

ist möglich) sollte der DC Master konfiguriert werden, weitere Server für DNS-Lookups können als DNS- 

Forwarder konfiguriert werden (etwa der DNS-Server des Internet Service Providers). 

Desweiteren kann der Zugriff über einen Web-Proxy eingestellt werden. 

Änderungen von Rechnereigenschaften werden im LDAP und in Univention Configuration Registry über- 

nommen und treten direkt in Kraft. Dies betrifft auch die Änderung von Routingeigenschaften, was beim 

Remote-Zugriff beachtet werden sollte. 

Die Änderung der IP-Adresse eines DC Master kann nicht in allen Replikations-Szenarien repliziert wer- 

den; andere System in der Domäne müssen in der Regel mit univention-join erneut der Domäne 

320

eitreten. 


Abbildung 15.6: Netzwerk-Interface-Konfiguration in Univention System Setup 

321


15.2.5 Software-Komponenten 

Mit dem Befehl univention-system-setup-software können menügesteuert Softwarekomponen- 

ten nachinstalliert werden. Neben den Komponenten kann auch gezielt Einfluss auf einzelne Pakete ge- 

nommen werden. Ein Wechsel zwischen den Blöcken ist durch die linke und rechte Pfeiltaste möglich. Die 

Software-Pakete werden anschliessend aus dem Repository installiert. 

322 

Abbildung 15.7: Softwareauswahl in Univention System Setup

15.2.6 Zeitzone 

15.3 Univention System Setup-Event-Registrierung 

Mit univention-system-setup-timezone kann die Zeitzone konfiguriert werden. 

Abbildung 15.8: Konfiguration der Zeitzone in Univention System Setup 

15.3 Univention System Setup-Event-Registrierung 

Für Standard-Systemeigenschaften eines Univention Corporate Server-Systems werden bei Änderung 

einer Systemeigenschaft bereits notwendige Änderungen durchgeführt. Für lokale Erweiterungen gibt es 

die Möglichkeit, Shell-Skripte zu hinterlegen, die von Univention System Setup ausgeführt werden, wenn 

eine Systemeigenschaft geändert wird. 

Skripte in folgenden Verzeichnissen werden vor oder nach dem Ändern einer Systemeigenschaft in alpha- 

betischer Reihenfolge ausgeführt: 

/var/lib/univention-system-setup/hostname.pre Rechnername 

/var/lib/univention-system-setup/hostname.post Rechnername 

/var/lib/univention-system-setup/domainname.pre Domänenname 

/var/lib/univention-system-setup/domainname.post Domänenname 

/var/lib/univention-system-setup/ldapbase.pre LDAP-Basis 

/var/lib/univention-system-setup/ldapbase.post LDAP-Basis 

/var/lib/univention-system-setup/windowsdomain.pre Windows-Domäne 

/var/lib/univention-system-setup/windowsdomain.post Windows-Domäne 

323


/var/lib/univention-system-setup/interfaces.post Netzwerkeigenschaften 

/var/lib/univention-system-setup/gateway.post Netzwerkgateway 

/var/lib/univention-setup/nameserver.post Nameserver 

/var/lib/univention-setup/dnsforwarder.post DNS-Forwarder 

/var/lib/univention-setup/httpproxy.post HTTP-Proxy 

Skripte, deren Dateiname auf pre endet, werden vor dem Umsetzung der Änderung ausgeführt, Skripte 

mit post danach. Die Dateinamen der Skripte dürfen keine zusätzlichen Punkte enthalten. 

An das jeweilige Shell-Skript wird der alte Wert als erster und der neue Wert als zweiter Parameter über- 

geben. Bei einigen Modulen müssen mehrere Werte an die Skripte übergeben werden. Diese werden in 

einer speziellen Syntax zu einem Wert zusammengefasst. 

Für Netz-Interfaces lautet die Syntax 

#DEVICE-IP-NETWORK-NETMASK(..) 

Wird beispielsweise durch den Benutzer die IP-Adresse der ersten Netzwerkkarte eth0 bei gleich bleiben- 

den Netzwerkeigenschaften von 10.200.3.100 auf 10.200.3.200 geändert, so würden an das Shell-Skript 

die Parameter #eth0-10.200.3.100-10.200.100.0-255.255.255 und #eth0-10.200.3.200-10.200.100.0- 

255.255.255 übergeben. 

Für Forwarder und Nameserver lautet die Syntax: 

#SERVER1#SERVER2#SERVER3 

Werden beispielsweise zwei Nameserver für ein System konfiguriert, so würde an das Shell-Skript der 

Wert #nameserver1.firma.com#nameserver2.firma.com übergeben. 

15.4 Konfiguration für Aufruf zum Systemstart 

Es besteht die Möglichkeit, Univention System Setup automatisch während des Systemstarts auszuführen. 

Dies geschieht durch die Installation des Pakets univention-system-setup-boot und das Setzen der 

Univention Configuration Registry-Variable boot/setup/start auf true. 

Außerdem können die zu startenden Module in der Univention Configuration Registry-Variable 

boot/setup/modules definiert werden. Die Werte entsprechen dabei den Dateinamensbestandtei- 

len hinter univention-system-setup. Sollen beispielsweise nur die Module zur Netzwerk- und 

Tastaturlayout-Konfiguration angezeigt werden, ist die Variable auf net,keyboard zu setzen. Wenn das 

Tastaturmodul ausgewählt wurde, wird es immer zuerst ausgeführt, so dass die geänderte Einstellung für 

die folgenden Module direkt greift. 

Die Sprache von Univention System Setup kann mit der Univention Configuration Registry-Variable 

boot/setup/language konfiguriert werden. Soll bspw. Univention System Setup während des Sys- 

temstarts in Deutsch gestartet werden, so sollte die Variable auf de_DE.UTF-8 gesetzt werden. 

324

15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart 

Wenn Univention System Setup zum Systemstart aufgerufen wurde, wird die Univention Configuration 

Registry-Variable boot/setup/start anschliessend automatisch auf false zurückgesetzt. Dies ermög- 

licht beispielsweise eine Vorkonfiguration eines Systems, so dass bei der Inbetriebnahme nur die lokal 

nötigen Parameter geändert werden müssen. 

15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart 

Für den Betrieb von vorkonfigurierten UCS-Installationen steht das Paket univention-system-setup- 

appliance zur Verfügung. Es bietet die Möglichkeit die SSL-Zertifikate und Rechner-Passwörter zum 

nächsten Systemstart neu zu generieren. 

Wird die Univention Configuration Registry-Variable system/setup/appliance/start auf true ge- 

setzt, so werden beim nächsten Durchlauf von univention-system-setup-boot die Passwörter in den 

Dateien /etc/ldap.secret und /etc/ldap-backup.secret neu gesetzt. Außerdem werden die 

Passwörter der Systembenutzer join-slave und join-backup neu geschrieben. 

Wenn in der Univention Configuration Registry-Variable boot/setup/modules ssl gesetzt ist, wird 

beim nächsten Start von univention-system-setup-boot auf einem Domänencontroller Master eine 

Neugenerierung des Root-Zertifikats und der Rechner-Zertifikate durchgeführt. Die Einstellung für das 

neue Zertifikat werden aus den Univention Configuration Registry-Variablen ssl/country, ssl/email, 

ssl/locality, ssl/organization, ssl/organizationalunit und ssl/state ausgelesen. 

325


326

16 Häufig gestellte Fragen (FAQ) 


16.1 Wie ersetze ich den DC Master durch den DC Backup? . . . . . . . . . . . . . . . . . . . . 327 

16.2 Wie kann ich Microsoft TrueType-Fonts nachinstallieren? . . . . . . . . . . . . . . . . . . . . 328 

16.3 Wie ändert ein Benutzer sein Passwort? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.1 Am Linux-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.2 Am Windows-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.3 Bei der Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.3.4 Über Univention Directory Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 

16.4 Wie wird das Passwort von root geändert? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

16.5 Welche Kriterien muss ein Passwort erfüllen? . . . . . . . . . . . . . . . . . . . . . . . . . . 330 

16.6 Einzelne Webseiten können nicht erreicht werden . . . . . . . . . . . . . . . . . . . . . . . 330 

16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients Anmeldeprobleme auf . . 331 

16.8 Wie ändere ich den Timeout von Univention Directory Manager? . . . . . . . . . . . . . . . 331 

16.9 Warum werden NFS-Freigaben beim Boot nicht gemountet? . . . . . . . . . . . . . . . . . . 332 

16.10Was bedeutet ”No DB-Server-Name found.” ? . . . . . . . . . . . . . . . . . . . . . . . . . . 332 

16.11Rechnername und Netzwerkeinstellungen unter Windows XP Prof. . . . . . . . . . . . . . . 333 

16.12Doppelte Anmeldung an Windows-Terminalserver verhindern . . . . . . . . . . . . . . . . . 334 

Hinweise auf weitere Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 

16.1 Wie ersetze ich den DC Master durch den DC Backup? 

Um einen DC Backup zum DC Master heraufzustufen, muss auf dem DC Backup der Befehl 

/usr/lib/univention-ldap/univention-backup2master 

aufgerufen werden. 

Hinweis: 

Innerhalb einer LDAP-Domäne darf es nur einen DC Master geben. Das Skript darf nur aufgerufen werden, 

wenn der ursprüngliche DC Master nicht verfügbar ist. 

Das Skript schaltet die Replikation auf dem bisherigen DC Backup ab. Es aktiviert den WINS-Dienst, 

konfiguriert das System als Kerberos-Adminserver und stellt den LDAP-Server auf schreibenden Betrieb 

um. Anschliessend werden die Dienste OpenLDAP, Samba, Kerberos, Univention Directory Listener und 

Univention Directory Notifier neu gestartet. 

Samba arbeitet danach als als primärer Domänencontroller (PDC). 

Danach ersetzt das Skript im DNS-Service-Record für den Kerberos-Admin den bisherigen DC Master 

durch den bisherigen DC Backup. Den DNS-Service-Record _domaincontroller_master._tcp setzt es 

327


ebenfalls auf den bisherigen DC Backup. Soweit der bisherige DC Master in den DNS-Alias-Records für 

univention-directory-manager und univention-repository und als Nameserver in den SOA-Records von 

Forward und Reverse Zonen eingetragen ist, tauscht das Skript ihn auch dort gegen den bisherigen DC 

Backup aus. 

Achtung: 

Wird ein externer DNS-Dienst verwendet, müssen die Einträge dort manuell angepasst werden. 

Wenn der bisherige DC Master als Mail-Relay-Host im LDAP-Verzeichnis eingetragen war, ändert das 

Skript auch diesen Eintrag auf den bisherigen DC Backup. Diese Änderung wird mit Univention Directory 

Manager durchgeführt, durch die LDAP-Replikation wird auf allen Systemen die Univention Configuration 

Registry-Variable mail/relay automatisch angepasst. 

Das Skript ändert die im LDAP-Verzeichnis eingetragene Serverrolle des bisherigen DC Backup auf DC 

Master und löscht den bisherigen DC Master und soweit vorhanden seinen DNS-Host-Eintrag in der For- 

ward Lookup Zone, seinen Pointer in der Reverse Lookup Zone sowie seinen DHCP-Host-Eintrag aus dem 

LDAP-Verzeichnis. 

Es ist darauf zu achten, dass der bisherige DC Backup als Nameserver auf allen Rechnern der Domäne 

eingetragen ist, wenn der interne DNS-Dienst eingesetzt wird. In der Regel sollte der DC Backup bereits 

bei der Installation eines jeden Rechners als zweiter Nameserver neben dem DC Master eingetragen 

werden. 

Neben den automatischen Änderungen müssen einige Änderungen von Hand vorgenommen werden: 

1. Weitere DNS-Einstellungen, die auf den bisherigen DC Master verweisen. 

2. DHCP-Einstellungen, die auf den bisherigen DC Master verweisen (z.B. Nameserver und WINS- 

Server). 

3. Univention Configuration Registry-Einstellungen, die auf den bisherigen DC Master verweisen. 

Die entsprechenden Einträge im LDAP-Verzeichnis müssen mit Univention Directory Manager, die auf den 

Rechnern mit Univention Configuration Registry angepasst werden. 

Das Skript univention-backup2master sorgt nur dafür, dass die Domänencontroller-Master-Funktion 

vom DC Backup übernommen wird. Für weitere Dienste wie z.B. Groupware- oder Terminal-Services, die 

der bisherige DC Master möglicherweise bereitgestellt hat, richtet das Skript keinen Ersatz ein. 

Um erneut Ausfallsicherheit zu erhalten, sollte eine neuer DC Backup aufgesetzt werden. 

16.2 Wie kann ich Microsoft TrueType-Fonts nachinstallieren? 

Einige Anwendungen setzen standardmäßig Microsoft TrueType-Fonts ein. Wenn diese nicht zur Verfü- 

gung stehen, werden sie meist automatisch durch andere Schriften ersetzt. 

Aus lizenzrechtlichen Gründen dürfen die Microsoft TrueType-Schriften nicht auf der UCS-Installations-CD 

mitgeliefert werden. Während der Installation wird versucht, sie aus dem Internet von sourceforge.net 

herunterzuladen. 

328

16.3 Wie ändert ein Benutzer sein Passwort? 

Wenn das Herunterladen während der Installation fehlschlägt, z.B. weil keine Internetverbindung besteht, 

können die Schriften zu einem beliebigen späteren Zeitpunkt mit dem Befehl update-ms-fonts herun- 

tergeladen und nachinstalliert werden. 

Wurde die Installation der Microsoft TrueType-Fonts bei der Installation abgewählt, können sie durch nach- 

trägliche Installation des Pakets msttcorefonts verfügbar gemacht werden. 

16.3 Wie ändert ein Benutzer sein Passwort? 

Benutzer können ihr Passwort auf mehrere Arten und Weisen ändern. Es ist immer erforderlich, dass das 

neue Passwort den Sicherheitsanforderungen entspricht. Ist dies nicht der Fall, kommt es, je nach ver- 

wendetem Mechanismus, zu verschiedenen Fehlermeldungen. Bei Problemen mit der Passwortänderung 

sollte also als erstes überprüft werden, ob die Sicherheitsanforderungen eingehalten wurden. 

16.3.1 Am Linux-Arbeitsplatz 

Ist der Benutzer an einem Linux-Arbeitsplatz angemeldet, so kann er mit K-Menü ➞ Kontrollzentrum ➞ 

Sicherheit und Privatsphäre ➞ Passwort & Benutzerzugang ➞ Passwort ändern das Programm öff- 

nen, mit dem er sein Passwort ändern kann. Das Programm fragt zunächst nach dem bisherigen Passwort 

und anschließend nach der zweimaligen Eingabe des neuen Passworts. Ist das neue Passwort länger als 

acht Zeichen, erscheint eine Warnmeldung, die durch Klick auf die Schaltfläche [Genau so benutzen] 

bestätigt werden sollte. 

Falls das Passwort nicht den Sicherheitsanforderungen entspricht, erscheint die Meldung Das Passwort 

wurde nicht geändert, zusammen mit einem Hinweis, aus welchem Grund die Änderung fehlgeschlagen 

ist. 

An der Kommandozeile kann ein Benutzer sein Passwort auch mit dem Befehl kpasswd ändern, der auch 

detailliertere Fehlermeldungen ausgibt. (siehe auch Kapitel 16.5). 

16.3.2 Am Windows-Arbeitsplatz 

Ist der Benutzer an einem Windows-Arbeitsplatz angemeldet, so kann mit ”Strg + Alt + Entf” ein Dialog 

zur Passwortänderung aufrufen werden. 

16.3.3 Bei der Anmeldung 

Wenn das Passwort eines Benutzers nicht mehr gültig ist und der Benutzer versucht, sich an der Domä- 

ne anzumelden, so erscheint automatisch ein Fenster, das ihn auffordert, sein Passwort zu ändern. Zur 

Einstellung der Passwortgültigkeit siehe Kapitel 4.5.11. 

329


16.3.4 Über Univention Directory Manager 

Damit ein Benutzer sein Passwort über Univention Directory Manager ändern darf, ist 

es erforderlich, dass auf dem DC Master die Univention Configuration Registry-Variable 

ldap/acl/user/password/change auf yes gesetzt ist. 

Nach der Anmeldung an Univention Directory Manager wird der Dialog zum Ändern des Benutzerpass- 

worts durch Auswahl von Passwort am linken Bildschirmrand aufgerufen. Das neue Passwort muss in die 

Felder Passwort (*) und Passwort (Wiederholung) (*) in identischer Schreibweise eingetragen werden. 

16.4 Wie wird das Passwort von root geändert? 

Auf jedem UCS-Rechner existiert ein root-Benutzer. Sein Passwort wird lokal auf dem Rechner mit dem 

Befehl passwd geändert. 

16.5 Welche Kriterien muss ein Passwort erfüllen? 

Folgende Sicherheitsanforderungen sind standardmäßig in UCS implementiert: 

• Das Passwort muss die Mindestlänge, die in der Passwort-Richtlinie eingestellt wird, erfüllen. Der 

Vorgabewert beträgt acht Zeichen. 

• Das Passwort darf keinem Passwort entsprechen, das in der Passwort-History des Benutzers ge- 

speichert ist. 

• Standardmässig sind keine weitergehenden Einstellungen zur Passwort-Qualität in der Passwort- 

Richtlinie definiert. 

Bei Passwortänderungen mit kdepasswd oder passwd gelten außerdem die Sicherheitsanforderungen 

des PAM-Moduls pam_cracklib.so. Dazu gehören unter anderem: 

• Das Passwort darf dem vorigen Passwort nicht zu ähnlich sein, d.h. es muss sich in einer Mindest- 

zahl von Zeichen vom vorigen Passwort unterscheiden. Die Mindestzahl beträgt standardmäßig zehn 

Zeichen oder die Hälfte der Zeichen des neuen Passworts (es gilt der kleinere von beiden Werten). 

• Das Passwort darf keinem ”normalen” Wort entsprechen. Dies wird anhand eines Wörterbuchs ge- 

prüft, das hauptsächlich englische Begriffe enthält. 

• Das Passwort darf sich nicht nur durch eine Änderung der Groß- und Kleinschreibung der Zeichen 

vom vorigen Passwort unterscheiden. 

Das Paket libpam_doc enthält weitere Informationen zu Cracklib. 

16.6 Einzelne Webseiten können nicht erreicht werden 

Problem: 

330

16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients Anmeldeprobleme auf 

Zu einem Teil der Webseiten kann keine Verbindung aufgebaut werden, obwohl andere Webseiten im 

Internet und Rechner im Intranet erreicht werden. 

Mögliche Ursache: 

Der Router zum Internet unterstützt ECN nicht. 

Hintergrund: 

ECN (Explicit Congestion Notification) ist eine Erweiterung des IP-Protokolls, die TOS abgelöst hat und 

heute als Standard gilt. ECN erkennt frühzeitig, wenn die Überlastung einer Netzwerkverbindung im Inter- 

net droht und passt die Menge der gesendeten Daten pro Zeiteinheit entsprechend an. Dadurch gehen 

weniger Datenpakete verloren und es müssen weniger Daten erneut gesendet werden. Der übertragene 

Datenmenge wird also insgesamt reduziert und der Datentransfer beschleunigt. 

UCS ist standardmäßig so konfiguriert, dass ECN eingesetzt wird. 

ECN wird von fast allen Netzwerkkomponenten (Hard- und Software) unterstützt. Beim Datenaustausch im 

Internet wird trotzdem sicherheitshalber von einem Rechner, der ECN verwenden möchte, in jedem Fall 

zunächst geprüft, ob der Kommunikationspartner ECN versteht. Versteht einer der Rechner ECN nicht, 

wird auf den Einsatz von ECN verzichtet. 

Probleme können dennoch auftreten, wenn ein Vermittlungsglied zwischen sendendem und empfangen- 

dem Rechner ECN nicht unterstützt und zusätzlich das Datenpaket verändert. (Normalerweise leiten Ver- 

mittlungsglieder das Paket unverändert weiter, so dass eine fehlende ECN-Unterstützung bei Vermittlungs- 

gliedern sich nicht negativ auswirkt.) Wenn es sich bei dem störenden Vermittlungsglied um Ihren Router 

zum Internet handelt, sind alle Webseiten, die ECN einsetzen, nicht erreichbar. Bisher ist uns dies von 

einem Netgear-Router berichtet worden. 

Lösung: Wenn es sich bei dem störenden Vermittlungsglied um Ihren Router handelt, empfiehlt es sich, 

die Firmware des Routers upzudaten. 

Außerdem kann ECN auf einem UCS-Server deaktiviert werden, indem die Zeile 

net/ipv4/tcp_ecn=0 

in die Datei /etc/sysctl.conf aufgenommen wird. 

16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients 

Anmeldeprobleme auf 

Wird für Thin Clients kein Authentifizierungs-Server (Kerberos-Server) in der Karteikarte Thin-Client-Kon- 

figuration angegeben bzw. über eine Richtlinie zugeordnet, werden diese vom Thin Client über Service- 

Records im DNS ermittelt. Der Thin Client versucht, sich über einen der ermittelten Kerberos-Server zu 

authentifizieren. Können nicht alle Benutzer über alle Kerberos-Server der Domäne authentifiziert werden, 

treten Anmeldeprobleme auf. 

Diese Situation tritt typischerweise in Organisationen mit mehreren Standorten ein, bei denen Benutzer 

sich nur an bestimmten Standorten anmelden dürfen, über DNS aber die Kerberos-Server aller Standorte 

gefunden werden. Diesem Problem wird vorgebeugt, wenn der bzw. die Kerberos-Server für den Standort, 

an dem der Thin Client angeschlossen ist, hier eingetragen werden. 

331


16.8 Wie ändere ich den Timeout von Univention Directory Manager? 

Der Timeout des Univention Directory Manager-Webfrontends kann mit der Univention Configuration 

Registry-Variable directory/manager/timeout gesetzt werden. Es ist die gewünschte Dauer in Se- 

kunden anzugeben. Der Befehl 

univention-config-registry set directory/manager/timeout=3600 

setzt den Timeout z.B. auf eine Stunde. Das Setzen der Univention Configuration Registry-Variable ist 

auch über Univention Management Console möglich. 

16.9 Warum werden NFS-Freigaben beim Boot nicht gemountet? 

Dieses Problem kann auftreten, wenn die NFS-Freigaben in der Datei /etc/fstab nicht mit der IP- 

Adresse, sondern mit dem Rechnernamen eingetragen sind. 

Beim Rechnerstart werden ganz am Anfang die Verzeichnisse, die in der Datei /etc/fstab eingetragen 

sind, eingebunden. Dienste wie der DNS-Dienst BIND werden erst später gestartet. Deswegen können 

Rechnernamen in der Datei /etc/fstab noch nicht vom internen DNS-Dienst aufgelöst werden und 

NFS-Freigaben ohne IP-Adresse können nicht eingebunden werden. Damit diese NFS-Freigaben künftig 

eingebunden werden, 

• muss der Rechnernamen durch die IP-Adresse ersetzt werden oder 

• es muss ein externer DNS-Server verwendet werden, der den Rechnernamen auflösen kann, oder 

• der Server muss in die Datei /etc/hosts eingetragen werden. 

Die Datei /etc/hosts wird unter UCS aus mehreren Dateien generiert. Der Server muss deshalb in 

eine kundenspezifische Datei unterhalb von /etc/univention/templates/files/etc/hosts.d/ 


Beispiel: 

Die NFS-Freigabe liegt auf einem Server mit dem FQDN ucs-file- 

server.firma.com und der IP-Adresse 192.168.0.34. Es muss eine Datei 

/etc/univention/templates/files/etc/hosts.d/20-custom mit folgendem Inhalt erstellt 

werden: 

192.168.0.34 ucs-file-server.firma.com ucs-file-server 

Anschließend muss die neue Datei Univention Configuration Registry bekannt gemacht und die Konfigu- 

rationsdatei neu geschrieben werden (siehe Kapitel 14). 

16.10 Was bedeutet ”No DB-Server-Name found.” ? 

Bei der Installation von Software mit dem Befehl univention-install kann folgende Meldung erschei- 

nen: 

332

Cannot find Service-Record of _pkgdb._tcp. 

No DB-Server-Name found. 

16.11 Rechnername und Netzwerkeinstellungen unter Windows XP Prof. 

Die Meldung besagt, dass kein DNS-Service-Record mit dem Namen _pkgdb._tcp gefunden wurde und 

dem Rechner deshalb der Name des Paketstatus-Datenbank-Servers nicht bekannt ist. 

Standardmäßig versuchen alle UCS-Systeme, ihren Installationsstatus dem Software-Monitor mitzuteilen. 

Deshalb suchen sie nach der Installation von Software nach dem DNS-Service-Record der Paketstatus- 

Datenbank. Wird der Software-Monitor nicht verwendet, ist kein entsprechender DNS-Service-Record vor- 

handen und die Meldung erscheint. Mit dem Befehl 

univention-config-registry set pkgdb/scan=no 

kann der betroffene Rechner angewiesen, keine Informationen an den Software-Monitor zu senden. Die 

DNS-Abfrage wird dann nicht mehr ausgeführt und die Meldung erscheint nicht mehr. Es besteht aber 

keine Notwendigkeit zu der Einstellung, denn die fehlschlagende DNS-Abfrage nach dem Service-Record 

verursacht weder eine nennenswerte zeitliche Verzögerung noch eine erhebliche Netzwerklast. 

16.11 Rechnername und Netzwerkeinstellungen unter Windows XP Prof. 

Auf einem Windows-Rechner kann über Start ➞ Ausführen ➞ Öffnen ➞ cmd ➞ [OK] ➞ ipconfig 

/all die aktuelle Netzwerk-Konfiguration ausgegeben werden. 

Die MAC-Adresse wird in der Ausgabe als Physikalische Adresse bezeichnet. Dabei muss beachtet 

werden, dass die einzelnen Teile der MAC-Adresse in Univention Directory Manager durch Doppelpunk- 

te (“:”) getrennt gespeichert werden. Auch MAC-Adressen, die mit Minuszeichen (“-”) als Trennzeichen 

eingegeben wurden, werden später mit Doppelpunkten angezeigt. 

Die Ausgabe DHCP aktiviert gibt an, ob die IP-Adresse über einen DHCP-Server bezogen wird oder lokal 

auf dem Rechner eingetragen wurde. Die Netzwerk-Konfiguration kann wie folgt geändert werden: 

• Öffnen von Start ➞ Systemsteuerung ➞ Netzwerk- und Internetverbindungen ➞ Netzwerkver- 

bindungen ➞ LAN-Verbindung 

• Im sich öffnenden Dialog auf der Karteikarte Allgemein die Schaltfläche [Eigenschaften] auswäh- 

len. 

• Es öffnet sich der Dialog Eigenschaften von LAN-Verbindung auf dem Internetprotokoll (TCP/IP) 

selektiert und die Schaltfläche [Eigenschaften] ausgewählt werden muss. 

• Um die lokalen Einstellungen zu deaktivieren, müssen die Auswahlkästchen IP-Adresse automa- 

tisch beziehen und DNS-Serveradresse automatisch beziehen auf der Karteikarte Allgemein 

aktiviert und die Änderung mit [OK] bestätigt werden. 

Wenn der Rechner einer Domäne beitreten soll, muss außerdem der lokal eingetragene Rechnername 

mit dem Namen übereinstimmen, der mit Univention Directory Manager in das LDAP-Verzeichnis ein- 

getragen wird. Um den Rechnernamen anzupassen, muss im Startmenü mit der rechten Maustaste auf 

Arbeitsplatz geklickt werden, um dort den Eintrag Eigenschaften auszuwählen. Auf der Karteikarte Com- 

putername kann schließlich über die Schaltfläche Ändern ein Dialog zum Ändern des Rechnernamens 

geöffnet werden. Der neue Name ist im Eingabefeld Computername einzutragen und die Änderung mit 

333


OK zu bestätigen. Anschließend ist ein Neustart des Windows-Rechners notwendig, damit die Änderung 

wirksam wird. 

16.12 Doppelte Anmeldung an Windows-Terminalserver verhindern 

Wird an einem UCS Thin Client als Sitzungsart die Verbindung zu einem Windows Terminalserver aus- 

gewählt, ist es normalerweise erforderlich, dass sich der Benutzer zwei Mal anmeldet. Im ersten Schritt 

muss die Anmeldung am Anmeldemanager GDM erfolgen, im zweiten Schritt eine erneute Anmeldung 

am Terminalserver. Dies ist erforderlich, da Windows Terminalserver in der Standardeinstellung nicht er- 

lauben, dass das Passwort für die Benutzeranmeldung von der zugreifenden Anwendung (in diesem Fall: 

rdesktop) übergeben wird. Dies verhindert, dass rdesktop das vom Anmeldemanager gdm übergebene 

Benutzerpasswort direkt für die Anmeldung verwenden kann. 

Um die erneute Anmeldeaufforderung am Terminal Server zu verhindern, muss auf dem Terminal Server 

unter Start ➞ Verwaltung ➞ Terminaldienstkonfiguration ➞ Verbindungen (Windows 2000) bzw. Start 

➞ Programme ➞ Verwaltung ➞ Terminaldienstkonfiguration ➞ Verbindungen (Windows 2003) mit 

der rechten Maustaste die RDP-TCP-Verbindung ausgewählt werden. Unter Eigenschaften befinden 

sich die Anmeldeeinstellungen. Durch die Auswahl der Anmeldeeinstellungen und der Deaktivierung 

des Kontrollkästchen Kennwort immer anfordern wird die Änderung wirksam. 

Nun ist es bei Auswahl der Sitzungsart ”Windows Terminalserver” nicht mehr erforderlich, sein Passwort 

ein zweites Mal einzugeben. 

334

Literaturverzeichnis 

[1] Univention. Übersichtsseite der weiteren UCS Dokumentationen. 2010. 

http://www.univention.de/download/dokumentation/standarddokumentation/. 

[2] Univention. Listener/Notifier Mechanismus. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs- 

listener-notifier.pdf. 

[3] Univention. UCS Profilbasierte Installation. 2010. 


installation-profil.pdf. 

[4] Univention. UCS Windows Installer. 2010. 


windows-installer.pdf. 

[5] Univention. UCS FAX-Komponente. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-fax.pdf. 

[6] Univention. Univention Directory Manager Kommandozeile. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/univention- 

directory-manager-cli.pdf. 

[7] Univention. Univention Directory Reports. 2010. 


directory-reports.pdf. 

[8] Jelmer R. Vernooij, John H. Terpstra, and Gerald (Jerry) Carter. The Official Samba 3.2.x HOWTO 

and Reference Guide. 2010. 

http://samba.org/samba/docs/Samba3-HOWTO.pdf. 

[9] Univention. UCS Benutzer Quota. 2010. 


benutzer-quota.pdf. 

[10] Univention. KDE-Desktop Profile. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-kde- 

profile.pdf. 

[11] Univention. Nagios unter UCS. 2010. 


nagios.pdf. 

[12] Univention. Univention Wiki - UVMM - Quickstart Guide. 2011. 

http://http://wiki.univention.de/index.php?title=UVMM_Quickstart. 

335


[13] Univention. Univention Wiki - UVMM - Technische Details. 2011. 

http://wiki.univention.de/index.php?title=UVMM_Technische_Details. 

[14] Univention. UCS Windows-Domänen Migration. 2010. 


windows-migration.pdf. 

[15] Univention. Univention Active Directory Connector. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-ad- 

connector.pdf. 

[16] Gustavo Noronha Silva. APT HOWTO . 2010. 

http://www.debian.org/doc/manuals/apt-howto/. 

[17] Univention. Kolab2 für UCS. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/kolab2- 

ucs.pdf. 

[18] Univention. Scalix für UCS. 2010. 


scalix.pdf. 

[19] Univention. Univention Paketerstellung. 2010. 

http://wiki.univention.de/index.php?title=Paketierung_von_Software_f%C3% 

BCr_UCS. 

[20] Univention. Übersichtsseite zu UCS@school. 2010. 

http://www.univention.de/produkte/schule. 

[21] Univention. UCS@school - Handbuch für Lehrkräfte zum alltäglichen Umgang mit der Univention 

Management Console (UMC). 2010. 

http://www.univention.de/fileadmin/download/dokumentation_ucs_schule/ 

handbuch_ucsschool_lehrer_2.4.pdf. 

[22] Univention. UCS@school - Handbuch für Administratoren. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_ucs_schule/ 

handbuch_ucsschool_admins_2.4.pdf. 

[23] Univention. Univention Corporate Server - Handbuch für Benutzer und Administratoren. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/ 

handbuch_ucs24.pdf. 

[24] Univention. Software-RAID mit UCS. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-expert- 

partition.pdf. 

[25] Univention. Web-Proxy für UCS. 2010. 


proxy.pdf. 

[26] Univention. UCS Backup. 2010. 

336 


backup.pdf.

[27] Univention. SSL Infrastruktur unter UCS. 2010. 


http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-ssl.pdf. 

[28] Univention. Einbinden von Unix/Linux Systemen. 2010. 


einbindung-unix-systeme.pdf. 

[29] Univention. UCS Performance Guide. 2010. 


performance-guide.pdf. 

[30] Univention. UCS Szenarien. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_2.2/ 

ucs_szenarien_22.pdf. 

[31] Tobias Doerffel. iTALC - Intelligent Teaching And Learning with Computers. 2010. 

http://italc.sourceforge.net/. 

[32] Univention. UCS Thin Client Services 3.1 - Handbuch zur Installation, Einsatz und Betrieb von UCS 

Thin Client Services. 2010. 

http://www.univention.de/fileadmin/download/dokumentation_ucs_tcs/ucs- 

tcs_3_1.pdf. 

337

UCS-Handbuch - Univention

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?