UCS-Handbuch - Univention
UCS-Handbuch - Univention
UCS-Handbuch - Univention
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Univention</strong> Corporate Server<br />
<strong>Handbuch</strong> für Benutzer und Administratoren
Version 2.4<br />
Revision 8447<br />
Stand: 3. April 2011<br />
Alle Rechte vorbehalten. / All rights reserved.<br />
(c) 2002 bis 2011<br />
<strong>Univention</strong> GmbH<br />
Mary-Somerville-Straße 1<br />
28359 Bremen<br />
Deutschland<br />
feedback@univention.de<br />
Jede aufgeführte Marke und jedes Warenzeichen steht im Eigentum ihrer jeweiligen eingetragenen Rechts-<br />
inhaber. Linux ist ein eingetragenes Warenzeichen von Linus Torvalds.<br />
The mentioned brand names and registered trademarks are owned by the respective legal owners in each<br />
case. Linux is a registered trademark of Linus Torvalds.
Inhaltsverzeichnis<br />
1 Einführung 11<br />
1.1 Was ist <strong>Univention</strong> Corporate Server? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
1.2 Überblick über <strong>UCS</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12<br />
1.3 Weitere Dokumentationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
1.4 Verwendete Symbole und Konventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
2 Domänenkonzept 17<br />
2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
2.2 <strong>UCS</strong>-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18<br />
2.2.1 Domänencontroller Master . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18<br />
2.2.2 Domänencontroller Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18<br />
2.2.3 Domänencontroller Slave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.4 Member-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.5 Basissystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.6 Managed Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.7 Mobile Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20<br />
2.2.8 Thin Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20<br />
2.3 Systemrollen in Windows-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20<br />
2.3.1 Wie sind diese Rollen in das <strong>UCS</strong>-Konzept integriert? . . . . . . . . . . . . . . . . . 20<br />
2.4 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21<br />
2.4.1 Domänenbeitritt von <strong>UCS</strong>-Systemen . . . . . . . . . . . . . . . . . . . . . . . . . . . 21<br />
2.4.2 Windows-Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23<br />
2.4.3 Rotation von Maschinenpasswörtern . . . . . . . . . . . . . . . . . . . . . . . . . . . 25<br />
3 Installation 27<br />
3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27<br />
3.2 Textbasierte Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
3.2.1 Bedienung des Installers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29<br />
3.2.2 Ablauf der textbasierten Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 30<br />
3.3 Hardwareabhängige Installationsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41<br />
3.3.1 Starten der Installation mit zusätzlichen Kernelparametern . . . . . . . . . . . . . . 41<br />
3.3.2 Zusätzliche Kernelparameter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
3.3.3 Anpassung der automatischen Hardwareerkennung . . . . . . . . . . . . . . . . . . 42<br />
3.4 Lizenz installieren und aktualisieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
3.5 Software nachinstallieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
4 <strong>Univention</strong> Directory Manager 45<br />
3
Inhaltsverzeichnis<br />
4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
4.2 Hinweise zur Programmbedienung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48<br />
4.2.1 Hinweise zu Listenfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49<br />
4.2.2 Hinweise zu Mehrfachauswahlfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
4.3 <strong>Univention</strong> Directory Manager-Assistenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
4.3.1 Untermenü ”Suchen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51<br />
4.3.2 Untermenü ”Hinzufügen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53<br />
4.4 Navigation / LDAP-Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54<br />
4.4.1 Im Verzeichnisbaum navigieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54<br />
4.4.2 Objekte in der Navigation anzeigen und bearbeiten . . . . . . . . . . . . . . . . . . . 56<br />
4.5 <strong>Univention</strong> Directory Manager Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57<br />
4.5.1 Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58<br />
4.5.2 Gruppenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69<br />
4.5.3 Netzwerkverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71<br />
4.5.4 Rechnerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73<br />
4.5.5 Freigabeverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81<br />
4.5.6 Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93<br />
4.5.7 Druckerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95<br />
4.5.8 Container, Organisationseinheiten, Domänen . . . . . . . . . . . . . . . . . . . . . . 100<br />
4.5.9 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102<br />
4.5.10 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110<br />
4.5.11 Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118<br />
4.5.12 <strong>Univention</strong> Directory Manager Einstellungen . . . . . . . . . . . . . . . . . . . . . . 143<br />
4.5.13 Benutzerdefinierte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151<br />
4.5.14 Erweiterte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156<br />
4.6 Richtlinien gesteuerte Ansichten des <strong>Univention</strong> Directory Manager Web-Frontends . . . . 161<br />
5 <strong>Univention</strong> Management Console 167<br />
4<br />
5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167<br />
5.2 Aufbau der Web-Oberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168<br />
5.2.1 Anmeldemaske . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168<br />
5.2.2 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169<br />
5.3 Standard-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170<br />
5.3.1 System Statistiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170<br />
5.3.2 Kernel Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171<br />
5.3.3 VNC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171<br />
5.3.4 Systeminformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172<br />
5.3.5 <strong>Univention</strong> Configuration Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172<br />
5.3.6 Drucker Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173<br />
5.3.7 Prozessübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174<br />
5.3.8 Dateisystem-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174<br />
5.3.9 System-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176<br />
5.3.10 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178<br />
5.3.11 Software Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
Inhaltsverzeichnis<br />
5.3.12 Neustarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179<br />
5.3.13 Online-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179<br />
5.4 Wizards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182<br />
5.4.1 Basis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182<br />
5.4.2 Nagios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182<br />
5.4.3 Mail-Server Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183<br />
6 <strong>Univention</strong> Virtual Machine Manager (UVMM) 185<br />
6.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185<br />
6.1.1 Paravirtualisierung / virtIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185<br />
6.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186<br />
6.3 Verwaltung virtueller Maschinen mit UVMM . . . . . . . . . . . . . . . . . . . . . . . . . . . 187<br />
6.3.1 Erstellen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187<br />
6.3.2 Bearbeiten der Einstellungen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . 188<br />
7 <strong>UCS</strong> Verzeichnisdienst 195<br />
7.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
7.2 Protokollierung von LDAP-Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
7.2.1 Installation und Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
7.2.2 Format der Log-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196<br />
7.3 Timeout für inaktive LDAP-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
7.4 Konfiguration von LDAP-ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
7.4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
7.4.2 Definition der Objekte, auf die eine Regel gilt (access to) . . . . . . . . . . . . . . . 198<br />
7.4.3 Definition der Zugriffsberechtigten auf die Objekte . . . . . . . . . . . . . . . . . . . 198<br />
7.4.4 Definition der Berechtigung auf die Objekte . . . . . . . . . . . . . . . . . . . . . . . 199<br />
7.4.5 Definition der Verarbeitung weiterer Regeln bei angewendeten Regeln . . . . . . . . 200<br />
7.4.6 Delegation des Zurücksetzens von Benutzerpasswörtern . . . . . . . . . . . . . . . 200<br />
8 Services für Windows 203<br />
8.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203<br />
8.2 <strong>Univention</strong> Corporate Server und Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203<br />
8.2.1 Authentifizierungsdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204<br />
8.2.2 Dateidienst (File-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204<br />
8.2.3 Druckdienst (Print-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205<br />
8.2.4 NetBIOS-Netzwerkdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205<br />
8.3 Aufbau von Samba-Domänen mit <strong>UCS</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206<br />
8.4 Erweiterte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207<br />
8.4.1 Vertrauensstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207<br />
8.4.2 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211<br />
8.4.3 NETLOGON-Freigabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213<br />
8.4.4 Anlegen von Objekten im LDAP-Verzeichnis über Samba . . . . . . . . . . . . . . . 214<br />
8.4.5 Konfiguration von Windows-Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . 214<br />
8.4.6 Konfiguration von Samba-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218<br />
5
Inhaltsverzeichnis<br />
9 Desktop-Systeme 221<br />
9.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221<br />
9.2 Desktop-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222<br />
9.2.1 Thin Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222<br />
9.2.2 Managed Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222<br />
9.2.3 Mobile Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223<br />
9.3 Einstellungen im <strong>Univention</strong> Directory Manager für Desktop-Systeme . . . . . . . . . . . . 223<br />
9.3.1 Grafische Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223<br />
9.3.2 Anbindung an Serversysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224<br />
9.3.3 Autostart-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224<br />
9.3.4 NX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225<br />
9.4 VNC-Desktopfreigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226<br />
9.4.1 Konfiguration des VNC-Zugangs auf Thin Clients . . . . . . . . . . . . . . . . . . . . 226<br />
9.4.2 Konfiguration des VNC-Zugangs auf Managed/Mobile Clients . . . . . . . . . . . . . 226<br />
9.5 Thin Client-Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227<br />
9.5.1 Unterstützung des Starts von Compact Flash-Karten oder USB-Sticks . . . . . . . . 229<br />
9.5.2 Thin Client Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230<br />
9.6 Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234<br />
9.6.1 Erzeugen von neuen Heimatverzeichnissen . . . . . . . . . . . . . . . . . . . . . . . 234<br />
9.6.2 Ändern des Standardinhalts von Heimatverzeichnissen . . . . . . . . . . . . . . . . 234<br />
9.6.3 Setzen von Umgebungsvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235<br />
9.7 Globale Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236<br />
9.7.1 Erstellen und Verwalten globaler Heimatverzeichnisse . . . . . . . . . . . . . . . . . 236<br />
10 Basis-Systemdienste 241<br />
6<br />
10.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242<br />
10.2 Server-Startseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242<br />
10.3 Paketfilter mit <strong>Univention</strong> Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243<br />
10.3.1 Service-Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243<br />
10.3.2 Service-Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243<br />
10.3.3 Lokale Filterregeln durch <strong>Univention</strong> Configuration Registry . . . . . . . . . . . . . . 244<br />
10.3.4 Lokale Filterregeln durch iptables-Kommandos . . . . . . . . . . . . . . . . . . . . . 245<br />
10.3.5 Testen von <strong>Univention</strong> Firewall-Einstellungen . . . . . . . . . . . . . . . . . . . . . . 245<br />
10.4 Authentifizierung / PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245<br />
10.4.1 Automatisches Sperren von Benutzer nach fehlgeschlagenen Anmeldungen . . . . 247<br />
10.5 Netz-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248<br />
10.5.1 Netzwerk-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248<br />
10.5.2 DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249<br />
10.5.3 Proxy-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249<br />
10.6 Protokollierung von Systemmeldungen und -zuständen . . . . . . . . . . . . . . . . . . . . 249<br />
10.6.1 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249<br />
10.6.2 Protokollierung des Systemzustands . . . . . . . . . . . . . . . . . . . . . . . . . . . 250<br />
10.7 Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250<br />
10.7.1 Verfügbare Kernel-Varianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Inhaltsverzeichnis<br />
10.7.2 Treiber-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251<br />
10.8 GRUB Boot-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252<br />
10.9 Ausführen von wiederkehrenden Aktionen mit Cron . . . . . . . . . . . . . . . . . . . . . . . 252<br />
10.9.1 Stündliches/tägliches/wöchentliches/monatliches Ausführen von Skripten . . . . . . 253<br />
10.9.2 Definition eigener Cron-Jobs in /etc/cron.d . . . . . . . . . . . . . . . . . . . . . . . 253<br />
10.9.3 Definition eigener Cron-Jobs in <strong>Univention</strong> Configuration Registry . . . . . . . . . . 253<br />
10.10Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254<br />
10.11Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254<br />
10.11.1Name Service Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254<br />
10.11.2LDAP-NSS-Modul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255<br />
10.11.3Name Server Cache Daemon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255<br />
10.11.4Konfiguration von /etc/hosts in <strong>Univention</strong> Configuration Registry . . . . . . . . . . . 256<br />
10.12SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256<br />
10.13Zeitsynchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257<br />
11 Softwarepflege 259<br />
11.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259<br />
11.2 <strong>UCS</strong> Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260<br />
11.2.1 <strong>UCS</strong>-Security-Updates und Hotfixes . . . . . . . . . . . . . . . . . . . . . . . . . . . 260<br />
11.2.2 <strong>UCS</strong>-Release-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261<br />
11.3 Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263<br />
11.3.1 Repository-Server zuweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263<br />
11.3.2 Aktualisierung von Paketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263<br />
11.3.3 Hinzufügen von Komponenten-Repositories . . . . . . . . . . . . . . . . . . . . . . . 265<br />
11.3.4 Verwalten von Paketlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266<br />
11.3.5 Release-Aktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268<br />
11.3.6 Manuelle Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269<br />
11.4 Software-Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270<br />
11.5 Repository-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272<br />
11.5.1 Anlegen eines Repository . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273<br />
11.5.2 Pakete hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273<br />
11.5.3 Pakete entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274<br />
11.5.4 Zusammenführen von Repositorys . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274<br />
11.5.5 Repository-Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275<br />
12 Mail 277<br />
12.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277<br />
12.2 Basis-Maildienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278<br />
12.3 Einrichtung des Mail-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278<br />
12.3.1 SMTP-Server (Postfix) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279<br />
12.3.2 IMAP/POP3-Server (Cyrus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281<br />
12.3.3 Mail-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281<br />
12.3.4 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282<br />
12.4 Spamfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282<br />
7
Inhaltsverzeichnis<br />
12.5 Virenfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284<br />
12.6 Konfiguration von Mail-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285<br />
12.6.1 Kontact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285<br />
12.6.2 Outlook Express . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287<br />
13 Druckdienste 289<br />
13.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289<br />
13.2 Druckserver installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290<br />
13.2.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290<br />
13.2.2 Serversysteme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.3 Windows-Systeme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.4 Thin Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.5 Managed/Mobile Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.6 Richtlinienbasierte Zuweisung eines Druck-Servers . . . . . . . . . . . . . . . . . . 292<br />
13.3 Druckerfreigaben konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292<br />
13.3.1 Einrichtung eines lokal angeschlossenen Druckers . . . . . . . . . . . . . . . . . . . 292<br />
13.3.2 Netzwerkdrucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293<br />
13.3.3 PDF-Drucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293<br />
13.3.4 Druckergruppen einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294<br />
13.4 Druckfreigaben unter Windows einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295<br />
13.5 Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295<br />
13.5.1 Aktivierung der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296<br />
13.5.2 Erstellen einer Druck-Quota-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . 297<br />
13.5.3 Auswerten der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297<br />
13.5.4 Modifizieren der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299<br />
13.6 <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
13.6.1 Einstellungen für Druck-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
13.6.2 Einstellungen für die Authentifizierung an Druckerfreigaben . . . . . . . . . . . . . . 301<br />
13.6.3 Einstellungen für Druck-Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
13.6.4 Einstellungen für Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
14 <strong>Univention</strong> Configuration Registry 303<br />
8<br />
14.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303<br />
14.2 Anzeige der aktuellen Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304<br />
14.3 Übernahme von Variablen in Shell-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305<br />
14.4 Ändern von <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . 306<br />
14.5 Anlegen neuer <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . 307<br />
14.6 Löschen von <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . 307<br />
14.7 Registrierung von <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . 307<br />
14.8 Neuerzeugung von Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309<br />
14.9 Richtlinienbasierte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310<br />
14.9.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310<br />
14.9.2 Konfiguration der Richtlinie im <strong>Univention</strong> Directory Manager . . . . . . . . . . . . . 310<br />
14.10<strong>Univention</strong> Configuration Registry in selbst erstellten Paketen . . . . . . . . . . . . . . . . . 311
Inhaltsverzeichnis<br />
14.11Einbinden zusätzlicher Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . 313<br />
14.12Integration von Python-Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313<br />
15 <strong>Univention</strong> System Setup 315<br />
15.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315<br />
15.2 <strong>Univention</strong> System Setup-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316<br />
15.2.1 Basis-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316<br />
15.2.2 Tastatur-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318<br />
15.2.3 Sprach-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318<br />
15.2.4 Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320<br />
15.2.5 Software-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322<br />
15.2.6 Zeitzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323<br />
15.3 <strong>Univention</strong> System Setup-Event-Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . 323<br />
15.4 Konfiguration für Aufruf zum Systemstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324<br />
15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart . . . . . . . . . . 325<br />
16 Häufig gestellte Fragen (FAQ) 327<br />
16.1 Wie ersetze ich den DC Master durch den DC Backup? . . . . . . . . . . . . . . . . . . . . 327<br />
16.2 Wie kann ich Microsoft TrueType-Fonts nachinstallieren? . . . . . . . . . . . . . . . . . . . . 328<br />
16.3 Wie ändert ein Benutzer sein Passwort? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.1 Am Linux-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.2 Am Windows-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.3 Bei der Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.4 Über <strong>Univention</strong> Directory Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.4 Wie wird das Passwort von root geändert? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330<br />
16.5 Welche Kriterien muss ein Passwort erfüllen? . . . . . . . . . . . . . . . . . . . . . . . . . . 330<br />
16.6 Einzelne Webseiten können nicht erreicht werden . . . . . . . . . . . . . . . . . . . . . . . 330<br />
16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients Anmeldeprobleme auf . . 331<br />
16.8 Wie ändere ich den Timeout von <strong>Univention</strong> Directory Manager? . . . . . . . . . . . . . . . 331<br />
16.9 Warum werden NFS-Freigaben beim Boot nicht gemountet? . . . . . . . . . . . . . . . . . . 332<br />
16.10Was bedeutet ”No DB-Server-Name found.” ? . . . . . . . . . . . . . . . . . . . . . . . . . . 332<br />
16.11Rechnername und Netzwerkeinstellungen unter Windows XP Prof. . . . . . . . . . . . . . . 333<br />
16.12Doppelte Anmeldung an Windows-Terminalserver verhindern . . . . . . . . . . . . . . . . . 334<br />
Hinweise auf weitere Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335<br />
9
Inhaltsverzeichnis<br />
10
1 Einführung<br />
Inhaltsverzeichnis<br />
1.1 Was ist <strong>Univention</strong> Corporate Server? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
1.2 Überblick über <strong>UCS</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12<br />
1.3 Weitere Dokumentationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
1.4 Verwendete Symbole und Konventionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
1.1 Was ist <strong>Univention</strong> Corporate Server?<br />
<strong>Univention</strong> Corporate Server (<strong>UCS</strong>) ist ein Linux-basiertes Betriebssystem, das vom Server bis zum Client<br />
ein durchgängiges Gesamtkonzept mit einheitlicher und zentraler Administration umsetzt. Dabei macht es<br />
ausgiebigen Gebrauch von einem umfangreichen Domänenkonzept.<br />
<strong>UCS</strong> setzt sich aus drei Hauptbestandteilen zusammen:<br />
1. <strong>UCS</strong>-Basissystem<br />
2. <strong>Univention</strong> Management System<br />
3. <strong>UCS</strong>-Komponenten<br />
Das Basissystem umfasst das Betriebssystem (die <strong>UCS</strong>-Linux-Distribution auf Basis von Debian GNU/-<br />
Linux) sowie Werkzeuge zur Installation, zur Aktualisierung und zur lokalen Konfiguration von Clients und<br />
Servern.<br />
Das <strong>Univention</strong> Management System realisiert einen Single-Point-of-Administration, über den die Kon-<br />
ten aller Domänenmitglieder (Benutzer, Gruppen und Rechner) und Dienste wie DNS und DHCP in<br />
einem Verzeichnisdienst verwaltet werden. Dafür bedient es sich der Standardkomponenten OpenLDAP,<br />
Kerberos, DNS und SSL. Es lässt sich sowohl über eine webbasierte als auch über eine kommandozei-<br />
lenbasierte Schnittstelle verwenden. Es ist erweiterbar und besitzt eine flexible Client-Server-Architektur,<br />
durch die Änderungen auf die davon betroffenen Systeme übertragen und dort aktiviert werden.<br />
Die <strong>UCS</strong>-Komponenten erweitern das System um zahlreiche Funktionen wie Thin-Client-Infrastruktur,<br />
Terminal-Services, Groupware oder Services für Windows, die sich ebenfalls in das <strong>Univention</strong> Manage-<br />
ment System einfügen.<br />
<strong>UCS</strong> ermöglicht die einfache, komfortable Verwaltung einzelner Server, aber auch die Administration kom-<br />
plexer Berechtigungsstrukturen großer Organisationen mit vielen Standorten, Servern, Clients und mehre-<br />
ren zehntausend Benutzern. Durch seinen modularen Aufbau lässt es sich sehr einfach um zusätzliche<br />
oder kundenspezifische Features erweitern.<br />
11
1 Einführung<br />
1.2 Überblick über <strong>UCS</strong><br />
Als Betriebssystem, das von Anfang an für den Multiuser- und Multitasking-Einsatz vorgesehen war und<br />
stets Wert auf Stabilität, Sicherheit und die Kompatibilität zu anderen Betriebssystemen legte, ist Linux<br />
prädestiniert für den Einsatz in komplexen Umgebungen. Allerdings gilt traditionell die Administration von<br />
Linux-Systemen als schwierig und wenig komfortabel. An diesem Punkt setzt <strong>UCS</strong> an.<br />
<strong>UCS</strong> ermöglicht den Einsatz von Linux als zentrale und wirtschaftliche Komponente in Ihrer IT-Infrastruktur.<br />
Alle unternehmenskritischen Anwendungen sind in ein einheitliches Konzept integriert, aufeinander abge-<br />
stimmt und für den professionellen Einsatz vorkonfiguriert. Es eignet sich gleichermaßen für kleine Organi-<br />
sationen mit wenigen Servern und Clients wie für komplexe, heterogene Umgebungen, in denen mehrere<br />
zehntausend Benutzer Rechner mit verschiedenen Betriebssystemen und Aufgaben einsetzen.<br />
Der Einsatz von <strong>UCS</strong> beginnt mit der problemlosen Installation, die interaktiv oder vollautomatisch, von<br />
CD-ROM beziehungsweise DVD oder über das Netzwerk erfolgen kann. Während der Installation wird<br />
dem Rechner eine Systemrolle zugewiesen. Bei <strong>UCS</strong> sind ähnlich wie bei Windows alle Server, Clients<br />
und Benutzer in einen gemeinsamen Sicherheits- und Vertrauenskontext, die <strong>UCS</strong>-Domäne, eingebet-<br />
tet. Dementsprechend stehen als Systemrollen Domänencontroller, Memberserver und Clients zur Wahl.<br />
Ausserdem können Stand-alone-Server aufgesetzt werden, die unabhängig von einer Domäne sind.<br />
Abhängig von der Systemrolle werden neben dem Betriebssystem grundlegende Dienste wie Kerberos,<br />
OpenLDAP, Module für einen Notification-Mechanismus oder eine Root-CA (Zertifizierungsstelle) auf dem<br />
Rechner installiert und automatisch für die gewählte Systemrolle konfiguriert. Das manuelle Einrichten und<br />
Konfigurieren jedes einzelnen Dienstes und jeder einzelnen Anwendung erübrigt sich damit. Durch den<br />
modularen Aufbau lassen sich dennoch auf individuelle Bedürfnisse zugeschnittene Lösungen umsetzen.<br />
Über die Auswahl verschiedener zusätzlicher Komponenten während der Installation lässt sich der Funkti-<br />
onsumfang eines Rechners gezielt erweitern. Durch den modularen Aufbau skaliert <strong>UCS</strong> gut und lässt sich<br />
problemlos um kundenspezifische Features ergänzen. Die Komponenten können ebenfalls ohne aufwendi-<br />
ge Konfigurationsarbeiten eingesetzt werden, denn sie sind auf das Gesamtkonzept von <strong>UCS</strong> abgestimmt<br />
und fügen sich nahtlos in das <strong>Univention</strong> Management System ein.<br />
Mit dem <strong>Univention</strong> Management System können alle Bestandteile der <strong>UCS</strong>-Domäne über Rechner-,<br />
Betriebssystem- und Standortgrenzen hinweg organisationsweit zentral verwaltet werden. Es steht so-<br />
mit ein echter Single-Point-of-Administration für die Domäne zur Verfügung. Ein tragendes Element des<br />
<strong>Univention</strong> Management Systems ist ein LDAP-Verzeichnis, in dem alle verwaltungsrelevanten Daten vor-<br />
gehalten werden. Dort wird neben Benutzerkonten und Ähnlichem auch die Konfiguration von Diensten<br />
wie DHCP gespeichert. Die zentrale Datenhaltung im LDAP-Verzeichnis erspart nicht nur die wiederholte<br />
Eingabe derselben Daten in verschiedene Konfigurationsdateien, sondern verringert auch die Wahrschein-<br />
lichkeit von Fehlern und Inkonsistenzen erheblich.<br />
Ein LDAP-Verzeichnis ist eine baumartige Struktur, deren Wurzel die Basis der <strong>UCS</strong>-Domäne bildet. Die<br />
<strong>UCS</strong>-Domäne ist ein Sicherheits- und Vertrauenskontext für ihre Mitglieder. Bei Benutzern begründet ein<br />
Konto im LDAP-Verzeichnis die Mitgliedschaft in der <strong>UCS</strong>-Domäne. Rechner werden durch Beitritt Mitglied.<br />
Auch Windows-Benutzer und -Rechner können in die Domäne aufgenommen werden.<br />
Bei der Anmeldung an die Domäne wird der Benutzer gegen das LDAP-Verzeichnis authentifiziert und<br />
erhält ein Kerberos-Ticket. Anschließend kann er auf alle Ressourcen der Domäne, wie Dateien, Anwen-<br />
12
1.2 Überblick über <strong>UCS</strong><br />
dungen und Rechner, seinen Rechten entsprechend zugreifen, ohne sein Passwort erneut einzugeben,<br />
weil ihn sein Kerberos-Ticket intern authentifiziert (Für einige Dienste steht die Implementierung dieses<br />
Single-Sign-on noch aus).<br />
<strong>UCS</strong> setzt als Verzeichnisdienst OpenLDAP ein. Das Verzeichnis wird vom Domänencontroller Master be-<br />
reitgestellt und auf alle anderen Domänencontroller (DC) in der Domäne repliziert. Weil ein DC Backup<br />
im Notfall den DC Master ersetzen soll, wird immer das komplette LDAP-Verzeichnis auf ihn repliziert. Die<br />
Replikation auf DC Slaves kann dagegen mithilfe von ACLs (Access Control Lists) auf beliebige Berei-<br />
che des LDAP-Verzeichnisses beschränkt werden, wodurch eine selektive Replikation erreicht wird. Dies<br />
kann z.B. dann gewünscht sein, wenn Daten aus Sicherheitsgründen auf möglichst wenigen Servern ge-<br />
speichert werden sollen. Damit diese und andere Daten verschlüsselt übertragen werden können, ist in<br />
<strong>UCS</strong> eine Root-CA (Zertifizierungsstelle) integriert. Der Zugang zum LDAP-Verzeichnis erfolgt über das<br />
Programm <strong>Univention</strong> Directory Manager, das über ein Web-Frontend und eine Kommandozeilen-Schnitt-<br />
stelle verfügt. Letztere eignet sich besonders, um Administrationsaufgaben mit Skripten zu erledigen. Das<br />
Web-Frontend ist eine graphische Oberfläche, die sich intuitiv bedienen lässt. Mit <strong>Univention</strong> Directory<br />
Manager kann prinzipiell von jedem beliebigen Ort aus auf das LDAP-Verzeichnis zugegriffen werden.<br />
Mit <strong>Univention</strong> Directory Manager können Daten in das LDAP-Verzeichnis eingetragen und die Daten be-<br />
trachtet, bearbeitet und gelöscht werden. Auch die Suche — gefiltert nach einer Vielzahl von Kriterien<br />
— ist möglich. Im Web-Frontend stehen Assistenten zur Verwaltung von Benutzern, Gruppen, Netzwer-<br />
ken, Rechnern, Verzeichnisfreigaben und Druckern zur Verfügung. Die Rechnerverwaltung umfasst auch<br />
umfangreiche Funktionen zur Verteilung und Aktualisierung von Software.<br />
Fortgeschrittene Einstellungen wie DHCP, DNS, Richtlinien und die Einstellungen für <strong>Univention</strong> Directory<br />
Manager selbst, sind über den Verzeichnis-Browser des Web-Frontends zugänglich. Auch hier können<br />
problemlos kundenspezifische Objektklassen und Attribute hinzugefügt werden.<br />
Richtlinien erleichtern die Administration, da eine Richtlinie die enthaltenen Einstellungen an alle mit ihr<br />
verbundenen Objekte weiter gibt. Diese Objekte wiederum vererben die Einstellungen an die ihnen nach-<br />
geordneten Objekte.<br />
Werden zum Beispiel an verschiedenen Stellen im Unternehmen Rechner mit dem gleichen Bildschirm<br />
verwendet, so müssen die Grafik-Einstellungen nur einmal in einer Richtlinie zusammengefasst und mit<br />
den betroffenen Rechnern verbunden werden. Wenn die Einstellungen für alle Rechner eines Zweigs des<br />
LDAP-Verzeichnisbaums gelten sollen, so wird die Richtlinie an den Zweig gebunden. Über den Verer-<br />
bungsmechanismus gilt die Richtlinie dann für alle darunterliegenden Rechner.<br />
Ein weiteres wesentliches Element des <strong>Univention</strong> Management Systems stellt der Listener-/Notifier-<br />
Mechanismus dar. Dadurch lösen bestimmte Einträge im LDAP-Verzeichnis definierte Aktionen auf be-<br />
troffenen Rechnern aus. Wenn zum Beispiel mit <strong>Univention</strong> Directory Manager ein Verzeichnis auf einem<br />
bestimmten Server über NFS und Samba freigegeben wird, wird die Freigabe nicht nur in das LDAP-<br />
Verzeichnis eingetragen, sondern auch die NFS- und Samba-Konfigurationsdateien auf dem gewählten<br />
Server entsprechend erweitert. Außerdem wird das Verzeichnis im Dateisystem des gewählten Servers<br />
erstellt, falls es noch nicht existiert. Das <strong>Univention</strong> Management System sorgt also auch auf entfernten<br />
Rechnern automatisch für die Ausführung aller Schritte, die im Zusammenhang mit einem bestimmten<br />
Vorgang nötig sind. Der Listener-/Notifier-Mechanismus kann leicht um Module für weitere - auch kunden-<br />
spezifische - Vorgänge ergänzt werden.<br />
Neben <strong>Univention</strong> Directory Manager als Zugang zum LDAP-Verzeichnis mit den Domänendaten steht mit<br />
13
1 Einführung<br />
<strong>Univention</strong> Management Console ein Programm zur webbasierten Konfiguration und Administration der<br />
einzelnen Rechner zur Verfügung. Dies umfasst zum Beispiel das Setzen von Parametern, die automa-<br />
tisch in alle relevanten Konfigurationsdateien übertragen werden, die lokale Softwareverwaltung und die<br />
Überwachung und Steuerung von Diensten und Betriebssystem. Mit dem <strong>Univention</strong> Management Sys-<br />
tem ist also die Verwaltung sowohl der Domänendaten als auch der lokalen Rechnerdaten von jedem<br />
beliebigen Ort über komfortable graphische Web-Oberflächen möglich.<br />
1.3 Weitere Dokumentationen<br />
Dieses <strong>Handbuch</strong> behandelt nur einen kleinen Ausschnitt der Möglichkeiten von <strong>UCS</strong>. In <strong>UCS</strong> findet sich<br />
u.a.:<br />
• Umfangreiche Unterstützung für komplexe Serverumgebungen und Replikationsszenarien<br />
• Weitergehende Einsatzmöglichkeiten für Windows-Umgebungen (u.a. automatische Windows-Client-<br />
Installationen)<br />
• Zentrales Netzmanagement mit DNS und DHCP<br />
• System- und Netzüberwachung mit Nagios<br />
• Druckserver-Funktionalität<br />
• Thin-Client-Support<br />
• Fax-Dienst<br />
• Proxy-Server<br />
• Virtualisierung mit Xen<br />
• Integriertes Backup<br />
• Linux-Desktop für den Business-Einsatz<br />
Unter [1] sind weitere Dokumentationen zu <strong>UCS</strong> veröffentlicht, die weiterführende Themen behandeln.<br />
1.4 Verwendete Symbole und Konventionen<br />
Im <strong>Handbuch</strong> werden folgende Symbole verwendet:<br />
Achtung:<br />
Das Achtung-Symbol soll auf einen Sachverhalt aufmerksam machen, der an dieser Stelle beachtet wer-<br />
den sollte.<br />
14<br />
Infobox ’Konventionen’<br />
Hinweis:<br />
Das Info-Symbol kennzeichnet Infoboxen, in denen Informationen zu einem bestimmten Thema zu-<br />
sammengefasst sind.
1.4 Verwendete Symbole und Konventionen<br />
Menüeinträge, Schaltflächenbeschriftungen und ähnliches sind fett gesetzt.<br />
[Schaltflächenbeschriftungen] sind zusätzlich durch eckige Klammern gekennzeichnet.<br />
Hinweise sind kursiv gesetzt.<br />
Computernamen, LDAP-DNs, Programmnamen, Dateinamen und -pfade, Internetadressen und Op-<br />
tionen werden ebenfalls optisch hervorgehoben.<br />
Befehle und andere Tastatureingaben sind in der Schriftart Courier gesetzt.<br />
Auszüge aus Konfigurationsdateien, Bildschirmausgaben und ähnliches haben<br />
zusätzlich einen grauen Hintergrund.<br />
Ein Backslash \ am Ende einer Zeile weist darauf hin, dass der folgende Zeilenumbruch nicht die Bedeu-<br />
tung eines End-of-Line hat. Das kommt z.B. bei Befehlen vor, die nicht in einer Zeile des <strong>Handbuch</strong>es<br />
dargestellt werden können, an der Kommandozeile aber entweder ohne den Backslash in einem Stück<br />
oder mit dem Backslash und einem anschließenden Enter eingegeben werden müssen.<br />
Der Weg zu einer Funktion wird ähnlich wie ein Dateipfad dargestellt. Benutzer ➞ Hinzufügen bedeutet<br />
beispielsweise, dass im Hauptmenü auf Benutzer und im erscheinenden Untermenü auf Hinzufügen zu<br />
klicken ist.<br />
15
1 Einführung<br />
16
2 Domänenkonzept<br />
Inhaltsverzeichnis<br />
2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
2.2 <strong>UCS</strong>-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18<br />
2.2.1 Domänencontroller Master . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18<br />
2.2.2 Domänencontroller Backup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18<br />
2.2.3 Domänencontroller Slave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.4 Member-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.5 Basissystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.6 Managed Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19<br />
2.2.7 Mobile Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20<br />
2.2.8 Thin Client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20<br />
2.3 Systemrollen in Windows-Domänen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20<br />
2.3.1 Wie sind diese Rollen in das <strong>UCS</strong>-Konzept integriert? . . . . . . . . . . . . . . . . . 20<br />
2.4 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21<br />
2.1 Einführung<br />
2.4.1 Domänenbeitritt von <strong>UCS</strong>-Systemen . . . . . . . . . . . . . . . . . . . . . . . . . . . 21<br />
2.4.2 Windows-Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23<br />
2.4.3 Rotation von Maschinenpasswörtern . . . . . . . . . . . . . . . . . . . . . . . . . . . 25<br />
<strong>Univention</strong> Corporate Server bietet ein plattformübergreifendes Domänenkonzept mit einem gemeinsamen<br />
Vertrauenskontext zwischen Linux- und Windows-Systemen. Innerhalb dieser Domäne ist ein Benutzer mit<br />
seinem im <strong>Univention</strong> Management System hinterlegten Benutzernamen und Passwort auf allen Systemen<br />
bekannt, und kann für ihn freigeschaltete Dienste nutzen.<br />
Die Replikation der Verzeichnisdaten innerhalb einer <strong>UCS</strong>-Domäne erfolgt über den Listener-/Notifier-<br />
Mechanismus: Auf dem Domänencontroller Master überwacht der Notifier-Dienst Änderungen im LDAP-<br />
Verzeichnis und stellt die aufgezeichneten Änderungen transaktionsbasiert den Listener-Diensten auf den<br />
weiteren Domänensystemen mit LDAP-Verzeichniskopie zur Verfügung. Die Verteilung der domänenwei-<br />
ten Datenänderungen beinhaltet neben der Replikation der LDAP-Inhalte auch eine Übertragung von Än-<br />
derungen an LDAP-Inhalten in Konfigurationsdateien nicht-LDAP-fähiger Dienste (wie z.B. NFS). Das fol-<br />
gende Schaubild gibt einen Überblick, für eine ausführlichere Dokumentation der technischen Verfahren<br />
und den Möglichkeiten der Fehleranalyse kann das technische Dokument [2] herangezogen werden.<br />
17
2 Domänenkonzept<br />
2.2 <strong>UCS</strong>-Systemrollen<br />
Abbildung 2.1: Listener/Notifier-Mechanismus<br />
In einer <strong>UCS</strong>-Domäne können Systeme in unterschiedlichen Systemrollen installiert werden. Im Folgen-<br />
den werden die verschiedenen Systemrollen kurz charakterisiert:<br />
2.2.1 Domänencontroller Master<br />
Auf dem Domänencontroller Master (kurz DC Master) befindet sich der Originaldatenbestand des gesam-<br />
ten LDAP-Verzeichnisses. Änderungen im LDAP-Verzeichnis werden nur auf diesem Server vorgenom-<br />
men. Deswegen muss dieser als erstes System in Betrieb genommen werden und kann innerhalb einer<br />
Domäne nur einmal existieren. Außerdem befindet sich die Root Certification Authority (Root-CA) auf dem<br />
DC Master. Alle ausgestellten SSL-Zertifikate werden auf dem DC Master archiviert.<br />
2.2.2 Domänencontroller Backup<br />
Auf Servern mit der Rolle Domänencontroller Backup (kurz DC Backup) befindet sich eine replizierte Kopie<br />
des gesamten LDAP-Verzeichnisses, die nicht verändert werden kann, da alle Schreibzugriffe grundsätz-<br />
lich am DC Master durchgeführt werden. Ausserdem wird eine Kopie aller SSL-Zertifikate einschließlich<br />
des privaten Schlüssels der Root-CA auf dem DC Backup vorgehalten.<br />
Die Root-CA wird auf dem DC Master bei der Installation erzeugt. Das Root-CA-Verzeichnis<br />
/etc/univention/ssl wird beim Domänenbeitritt zum DC Backup übertragen und anschließend syn-<br />
chron gehalten. Hierzu wird das Rechner-Konto in eine spezielle Gruppe (DC Backup Hosts) aufgenom-<br />
men. Nur diese Gruppe kann die kompletten Daten des Root-CA-Verzeichnisses lesen. Die Informationen<br />
des DC Master stehen in der Domäne also mehrmals zur Verfügung. Dadurch kann die Last zwischen<br />
18
2.2 <strong>UCS</strong>-Systemrollen<br />
DC Master und einem oder mehreren DC Backup verteilt werden und bei Ausfall eines Servers bleibt die<br />
Domäne durch den/die anderen Server arbeitsfähig.<br />
Der DC Backup dient somit als Sicherheitskopie des DC Master. Sollte der DC Master dauerhaft ausfallen,<br />
kann ein DC Backup innerhalb kürzester Zeit durch Aufruf des Befehls univention-backup2master<br />
die Rolle des DC Master dauerhaft übernehmen. Dies ist nur notwendig, wenn Änderungen am LDAP-<br />
Verzeichnis vorgenommen oder neue Zertifikate ausgestellt werden sollen, weil diese Aufgaben nur von<br />
einem DC Master durchgeführt werden können.<br />
2.2.3 Domänencontroller Slave<br />
Auf einem Domänencontroller Slave (kurz DC Slave) befindet sich eine replizierte Kopie des LDAP-<br />
Verzeichnisses, die nicht verändert werden kann, da alle Schreibzugriffe am DC Master durchgeführt<br />
werden. Die Kopie kann das gesamte Verzeichnis umfassen oder durch selektive Replikation auf an ei-<br />
nem Standort benötigte Daten eingeschränkt werden.<br />
Auf einem DC Slave wird nur das eigene und das öffentliche SSL-Zertifikat der Root-CA vorgehalten.<br />
Ein DC Slave-System kann nicht zum DC Master hochgestuft werden.<br />
2.2.4 Member-Server<br />
Member-Server sind Mitglieder einer LDAP-Domäne und bieten Dienste wie z.B. Datenspeicherung für<br />
die Domäne an. Auf einem Member-Server befindet sich keine Kopie des LDAP-Verzeichnisses.<br />
Auf ihm wird nur das eigene und das öffentliche SSL-Zertifikat der Root-CA vorgehalten.<br />
2.2.5 Basissystem<br />
Ein Basissystem ist ein eigenständiges System. Es ist nicht Mitglied einer Domäne und unterhält keine<br />
Vertrauensbeziehungen zu anderen Servern oder Domänen.<br />
Ein Basissystem bietet sich somit für Dienste an, die ausserhalb des Vertrauenskontextes der Domäne<br />
betrieben werden, etwa als Web-Server oder Firewall.<br />
Die Dienste eines Basissystems können nicht über das <strong>UCS</strong>-Managementsystem konfiguriert werden. Es<br />
können aber DNS- und DHCP-Einstellungen für Basissysteme über das <strong>Univention</strong> Management System,<br />
sofern das betreffende Basissystem als IP-Managed-Client im Verzeichnisdienst eingetragen wurde (Siehe<br />
Kapitel 4.5.4).<br />
2.2.6 Managed Client<br />
Ein Managed Client ist ein PC mit Linux-Desktop, der Mitglied der <strong>UCS</strong>-Domäne ist. Er speichert stan-<br />
dardmäßig die Passwörter der letzten drei unterschiedlichen Benutzer zwischen, so dass für diese drei<br />
Benutzer eine Anmeldung auch ohne Netzwerkverbindung zu einem Domänencontroller möglich ist. An-<br />
wendungen werden lokal auf dem Client ausgeführt. Durch diese beiden Faktoren ist er weitgehend un-<br />
abhängig von Serversystemen.<br />
19
2 Domänenkonzept<br />
2.2.7 Mobile Client<br />
Ein Mobile Client bietet wie ein Managed Client einen Linux-Desktop an, behält die letzten drei Passwörter<br />
in seinem Cache und ist Mitglied der <strong>UCS</strong>-Domäne. Er bietet jedoch die Möglichkeit, speziell auf die<br />
Hardware von Notebooks abgestimmte Software zu pflegen.<br />
2.2.8 Thin Client<br />
Ein Thin Client ist ein festplattenloser Rechner, der über das Netz gebootet wird und der auf einem<br />
Terminal-Server (Linux oder Windows) ausgeführte Anwendungen darstellt.<br />
Auf dem Thin Client ist also kein Betriebssystem installiert, wodurch er sehr wartungsarm ist.<br />
2.3 Systemrollen in Windows-Domänen<br />
In einer Windows-NT-Domäne, die von <strong>UCS</strong> durch die Software Samba zur Verfügung gestellt wer-<br />
den kann, muss immer ein primärer Domänencontroller (PDC) vorhanden sein. Außerdem kann es<br />
Backup-Domänencontroller (BDC), Mitgliedsserver und Clients geben. Der PDC stellt dabei die Passwort-<br />
Datenbank bereit. BDCs beziehen eine Kopie der Passwort-Datenbank vom PDC, so dass sie den PDC<br />
entlasten oder bei einem Ausfall seine Rolle übernehmen können. Die Kopien sollten aber nicht direkt<br />
geändert werden. Änderungen werden gewöhnlich immer an den Originalen auf dem PDC vorgenommen<br />
und dann auf die BDCs repliziert. In einer Windows-NT-Domäne kann es nur eine Original-Passwort-<br />
Datenbank geben. Infolgedessen kann es auch nur einen PDC geben. Ein Mitgliedsserver stellt Diens-<br />
te wie z.B. Datenspeicherung zur Verfügung. Er hat im Gegensatz zu PDC und BDCs keine Passwort-<br />
Datenbank.<br />
2.3.1 Wie sind diese Rollen in das <strong>UCS</strong>-Konzept integriert?<br />
Unter <strong>UCS</strong> wird als Passwort-Datenbank und für weitere Administrationsaufgaben in der Windows-<br />
Domäne das LDAP-Verzeichnis eingesetzt. Weil das LDAP-Verzeichnis, an dem Änderungen vorgenom-<br />
men werden dürfen, vom DC Master bereitgestellt wird, übernimmt er in der Regel auch die Rolle des PD-<br />
Cs. BDCs befinden sich standardmäßig auf DC Backup oder DC Slave. Soll von diesem Schema abgewi-<br />
chen werden, wird ein LDAP-Referral genutzt, mithilfe dessen der PDC Änderungen im LDAP-Verzeichnis<br />
des DC Master vornehmen kann. Die Replikation zwischen Windows-NT-basierten Domänencontrollern<br />
und solchen auf der Basis von <strong>UCS</strong> ist nicht möglich. Deswegen müssen der PDC und alle BDCs in ei-<br />
ner Windows-Domäne auf Basis von <strong>UCS</strong> mit <strong>UCS</strong> realisiert werden, während Mitgliedsserver sowohl<br />
mit <strong>UCS</strong> als auch mit Windows betrieben werden können. PDC und BDCs geben sich gegenüber den<br />
Windows-Clients als solche aus, so dass Windows-Clients Operationen, bei denen die Benutzerdaten-<br />
bank verändert wird (z.B. das Ändern eines Benutzerpassworts) auf dem PDC durchführen. Die Replika-<br />
tion der Passwort-Datenbank erfolgt durch die Replikation des LDAP-Verzeichnisses. Die Replikation wird<br />
anhand der Systemrolle, die Sie bei der Installation eines Rechners angeben, automatisch eingerichtet.<br />
Eine manuelle Konfiguration ist auch dann nicht notwendig, wenn Sie zu einem späteren Zeitpunkt einen<br />
20
2.4 Domänenbeitritt<br />
weiteren Server zu der Domäne hinzufügen. Server und Clients, auf denen lokal ein Microsoft-Windows-<br />
Betriebssystem installiert ist, werden als Rechner vom Typ Windows im LDAP-Verzeichnis verwaltet.<br />
2.4 Domänenbeitritt<br />
Alle Benutzer, Linux- und Windowssysteme innerhalb einer <strong>UCS</strong>-Domäne verfügen über ein Domänenkon-<br />
to. Mit diesem können sich die Systeme untereinander sowie der Benutzer gegenüber einem der Systeme<br />
oder Dienste authentifizieren. Das Konto wird über das Managementsystem sowohl für die Windows-<br />
Anmeldung als auch für Linux/Posix-Systeme und Kerberos synchron gehalten.<br />
Ein <strong>UCS</strong>- oder Windows-System muss nach der Installation der Domäne beitreten. Im Folgenden werden<br />
die verschiedenen Möglichkeiten hierzu vorgestellt:<br />
2.4.1 Domänenbeitritt von <strong>UCS</strong>-Systemen<br />
Es gibt drei Möglichkeiten ein <strong>UCS</strong>-System einer bestehenden Domäne beitreten zu lassen; direkt<br />
am Ende der Installation im <strong>Univention</strong> Installer (siehe Kapitel 13) oder nachträglich durch den Befehl<br />
univention-join bzw. mit der <strong>Univention</strong> Management Console.<br />
Der Domänencontroller Master sollte immer auf dem aktuellsten Release-Stand der Domäne installiert<br />
sein, da beim Join eines Systems in aktuellerer Version gegen einen älteren DC Master Probleme auftreten<br />
können.<br />
Beim Beitritt eines Rechners wird für diesen ein Rechnerkonto angelegt, die SSL-Zertifikate synchro-<br />
nisiert und ggf. eine LDAP-Replikation angestossen. Ausserdem werden am Ende des Join-Vorgangs<br />
Join-Skripte ausgeführt. Diese registrieren anhand der auf dem System installierten Software-Pakete<br />
z.B. weitere Objekte im Verzeichnis-Dienst.<br />
Der Domänenbeitritt wird auf Client-Seite in der Logdatei /var/log/univention/join.log aufge-<br />
zeichnet, die zur Fehleranalyse herangezogen werden kann. Auf dem Domänencontroller Master ausge-<br />
führte Aktionen werden in der Logdatei /home//.univention-server-join.log<br />
abgelegt.<br />
Der Join-Vorgang kann jederzeit wiederholt werden. Nach bestimmten administrativen Schritten (etwa<br />
nach Änderungen wichtiger Systemeigenschaften auf dem Domänencontroller Master) kann ein erneuter<br />
Beitritt der Systeme sogar zwingend erforderlich sein.<br />
2.4.1.1 Domänenbeitritt mit univention-join<br />
univention-join fragt eine Reihe essentieller Parameter direkt ab, ist aber auch durch mehrere Para-<br />
meter konfigurierbar:<br />
• Der Domänencontroller Master wird im Regelfall durch eine DNS-Abfrage ermittelt, wenn das nicht<br />
möglich sein sollte (z.B. weil ein Standortserver mit einer abweichenden DNS-Domäne beitreten<br />
soll), lässt sich der Rechnername des DC Master auch durch den Parameter -dcname HOSTNAME<br />
21
2 Domänenkonzept<br />
direkt angegeben werden. Der Rechnername muss dabei als vollqualifizierter Name angeben wer-<br />
den, also beispielsweise master.firma.de.<br />
Der DNS-Verweis kann auch auf einem bestehenden externen DNS-Server nachträg-<br />
lich eingerichtet werden. Dazu muss in der Zonendatei ein Service Record mit Namen<br />
_domaincontroller_master._tcp. hinzugefügt wer-<br />
den. Als Rechnername muss der vollständige Domänenname (FQDN) des DC Masters mit einem<br />
abschließendem Punkt eingetragen werden.<br />
• Als Join-Account wird ein Benutzerkonto bezeichnet, das berechtigt ist, Systeme der <strong>UCS</strong>-Domäne<br />
hinzuzufügen. Standardmäßig ist dies der Benutzer Administrator oder ein Mitglied der Gruppe Do-<br />
main Admins. Der Join-Account kann durch den Parameter -dcaccount ACCOUNTNAME über-<br />
geben werden.<br />
• Das Passwort kann durch den Parameter -dcpwd DATEI übergeben werden. Das Passwort wird<br />
dabei aus der angegebenen Datei ausgelesen.<br />
2.4.1.2 Domänenbeitritt mit <strong>Univention</strong> Management Console<br />
Der Domänenbeitritt kann auch webbasiert über die <strong>Univention</strong> Management Console erfolgen, die auf<br />
dem zu joinenden Rechner unter https:///univention-management-console/<br />
aufgerufen werden kann. Da auf einem noch nicht der Domäne beigetretenen System der domänenweite<br />
Administrator-Benutzer noch nicht vorhanden ist, muss die Anmeldung an <strong>Univention</strong> Management Con-<br />
sole als Benutzer root erfolgen.<br />
Im UMC-Modul Domänenbeitritt muss der gleichnamige Button ausgewählt werden. In dem darauf fol-<br />
genden Dialog muss nun der Benutzername und das Passwort eines Benutzers eingetragen werden, der<br />
berechtigt ist, Rechner der Domäne hinzuzufügen.<br />
Wie beim Domänenbeitritt über die Kommandozeile ist es auch bei der <strong>Univention</strong> Management Con-<br />
sole erforderlich, dass ein DNS-Service-Record für den DC Master vorhanden ist. Es besteht hier keine<br />
Möglichkeit, den FQDN des DC Masters explizit anzugeben.<br />
Durch Betätigen der Schaltfläche [Erneuter Domänenbeitritt] wird der Join-Vorgang erneut gestartet<br />
(siehe Abbildung 2.2). Die dabei ausgegebenen Informationen können über Logdateien verfolgt werden.<br />
22<br />
Abbildung 2.2: Erneutes Joinen über <strong>Univention</strong> Management Console
2.4 Domänenbeitritt<br />
Auf der Registerkarte Status des Domänenbeitritt werden zusätzlich bisher nicht initialisierte Dienste an-<br />
gezeigt. Durch Auswahl von [Erneut ausführen] kann dies für jeden einzelnen Dienst manuell nachgeholt<br />
werden. Auch hierbei muss der Benutzername und das Passwort eines Benutzers angegeben werden, der<br />
berechtigt ist, Rechner der Domäne hinzuzufügen.<br />
2.4.1.3 Nachträgliches Ausführen von Join-Skripten<br />
Mit dem Befehl univention-run-join-scripts lassen sich alle auf einem System installierten Join-<br />
Skripte ausführen. Ob sie bereits gestartet wurden prüfen die Skripte selbst und beenden sich ggf. mit<br />
Exitcode 1; die Exitcodes werden für jedes Join-Skript ausgegeben. Mit dem Parameter -force werden<br />
alle Skripte erneut ausgeführt.<br />
Der Name des Join-Skriptes, die Ausgabe des Skriptes und der Exitcode werden auch in<br />
/var/log/univention/join.log festgehalten.<br />
Wird univention-run-join-scripts auf einer anderen Systemrolle als Domänencontroller Master<br />
oder Domänencontroller Backup ausgeführt, so wird der Benutzer nach einem Benutzernamen und einem<br />
Passwort gefragt.<br />
2.4.2 Windows-Domänenbeitritt<br />
Der Domänenbeitritt von Windows-Systemen zu einer durch Samba bereitgestellten <strong>UCS</strong>-Domäne wird<br />
nachfolgend für Windows 7, Windows Vista, Windows XP Professional, Windows 2000 Server und Win-<br />
dows NT 4.0 Workstation beschrieben. Bei anderen Windows-Versionen geht er ähnlich vonstatten. Bei<br />
Windows 95/98/Me/XP Home Edition ist nur die Authentifizierung gegen die Domäne aber kein Domänen-<br />
beitritt möglich.<br />
Beim Domänenbeitritt kann automatisch ein Samba-Account für den Rechner im LDAP-Verzeichnis<br />
— also ein Rechner-Objekt vom Typ Windows — erstellt werden, das lediglich den Rechnerna-<br />
men und die vorgegebene primäre Gruppe enthält. Mit der <strong>Univention</strong> Configuration Registry-Variable<br />
samba/defaultcontainer/computer kann ein Container bestimmt werden, in dem der Rechner an-<br />
gelegt wird (der Vorgabewert ist cn=computers,). Soll das Rechner-Objekt an einer anderen<br />
Stelle im LDAP-Verzeichnis gespeichert werden, muss der Windows-Rechner vor dem Domänenbeitritt<br />
mit <strong>Univention</strong> Directory Manager erfasst werden (siehe auch Kapitel 8.4.4). Angaben zu MAC- und IP-<br />
Adresse, Netzwerk, DHCP oder DNS können vor oder nach dem Domänenbeitritt mit <strong>Univention</strong> Directory<br />
Manager ergänzt werden.<br />
Anschließend sollte nach einer lokalen Anmeldung als Administrator den Anweisungen zur verwendeten<br />
Windows-Version gefolgt werden (siehe unten).<br />
Hinweis:<br />
Wird der Rechner über das Eingabefeld Computername umbenannt, muss der Rechner neu gestartet<br />
werden, bevor der Domänenbeitritt durchgeführt werden kann. Der Computername muss mit dem durch<br />
<strong>Univention</strong> Directory Manager im LDAP-Verzeichnis eingetragenen Rechnernamen übereinstimmen.<br />
Der Domänenbeitritt dauert einige Zeit und sollte nicht vorzeitig abgebrochen werden. Nach einem erfolg-<br />
reichen Beitritt erscheint ein kleines Fenster mit der Nachricht Willkommen in der Domäne
2 Domänenkonzept<br />
name>, die mit [OK] bestätigt werden muss. Abschließend muss der Rechner neu gestartet werden, um<br />
die Änderungen in Kraft zu setzen.<br />
Domänennamen sollten auf 15 Zeichen beschränkt werden, da diese auf Seite der Windows-Clients an-<br />
sonsten verkürzt dargestellt werden, was zu Anmeldefehlern führen kann.<br />
2.4.2.1 Windows 7<br />
Der Domänenbeitritt ist nur mit der Professional, Enterprise oder Ultimate-Edition von Windows 7 möglich.<br />
Unter Windows 7 müssen vor dem Domänenbeitritt einige Einstellungen in der Windows-Registry vor-<br />
genommen werden. Eine entsprechende REG-Datei kann unter http://sdb.univention.de/1102<br />
heruntergeladen werden. Anschließend muss das System neu gestartet werden.<br />
Über Start ➞ Systemsteuerung ➞ System und Sicherheit ➞ Computernamen anzeigen kann der<br />
Basiskonfigurationsdialog erreicht werden. Unter Einstellungen für Computernamen, Domäne und Ar-<br />
beitsgruppe muss Einstellungen ändern gewählt werden und auf Ändern geklickt werden.<br />
Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne<br />
in das Eingabefeld eingetragen werden. Nach einem Klick auf die Schaltfläche [OK] muss in das<br />
Eingabefeld Name der Name Administrator und in das Eingabefeld Kennwort das Passwort von<br />
uid=Administrator,cn=users, eingetragen werden. Abschließend kann der Domänenbeitritt<br />
mit einem Klick auf [OK] gestartet werden.<br />
2.4.2.2 Windows Vista<br />
Der Domänenbeitritt ist nur mit der Business, Enterprise oder Ultimate-Edition von Windows Vista möglich.<br />
Über Start ➞ Einstellungen ➞ Systemsteuerung ➞ System kann der Basiskonfigurationsdialog erreicht<br />
werden. Unter Einstellungen für Computernamen, Domäne und Arbeitsgruppe muss Einstellungen<br />
ändern gewählt werden, die nachfolgende Sicherheitsabfrage bestätigt werden und auf Ändern geklickt<br />
werden.<br />
Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne<br />
in das Eingabefeld eingetragen werden. Nach einem Klick auf die Schaltfläche [OK] muss in das<br />
Eingabefeld Name der Name Administrator und in das Eingabefeld Kennwort das Passwort von<br />
uid=Administrator,cn=users, eingetragen werden. Abschließend kann der Domänenbeitritt<br />
mit einem Klick auf [OK] gestartet werden.<br />
2.4.2.3 Windows XP Professional<br />
Über einen Rechtsklick auf den Eintrag Arbeitsplatz im Startmenü kann der Dialog zum Domänenbeitritt<br />
erreicht werden. Dort muss Eigenschaften ➞ Computername ➞ Ändern ausgewählt werden.<br />
Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne<br />
in das Eingabefeld eingetragen werden. Nach einem Klick auf die Schaltfläche [OK] muss in das<br />
Eingabefeld Name der Name Administrator und in das Eingabefeld Kennwort das Passwort von<br />
24
2.4 Domänenbeitritt<br />
uid=Administrator,cn=users, eingetragen werden. Abschließend kann der Domänenbeitritt<br />
mit einem Klick auf [OK] gestartet werden.<br />
2.4.2.4 Windows 2000 Server<br />
Über einen Klick mit der rechten Maustaste auf das Desktop-Icon Arbeitsplatz kann im Menü Eigen-<br />
schaften ➞ Netzwerkidentifikation ➞ Eigenschaften der Domänenbeitritt angestossen werden.<br />
Dort muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne in das Eingabefeld einge-<br />
geben werden. Nach einem Klick auf die Schaltfläche [OK] muss in das Eingabefeld Name der Name Ad-<br />
ministrator und in das Eingabefeld Kennwort das Passwort von uid=Administrator,cn=users, eingetragen werden. Es entspricht standardmäßig dem Passwort des lokalen Benutzers root auf<br />
dem DC Master. Abschließend kann der Domänenbeitritt mit einem Klick auf [OK] gestartet werden.<br />
2.4.2.5 Windows NT 4.0 Workstation<br />
Über Start ➞ Einstellungen ➞ Systemsteuerung ➞ Netzwerk ➞ Identifikation ➞ Ändern wird eine<br />
Eingabemaske erreicht, in der das Optionsfeld Domäne markiert und der Name der Samba-Domäne in<br />
das Eingabefeld eingetragen werden muss.<br />
Wenn der Rechner bereits mit <strong>Univention</strong> Directory Manager in das LDAP-Verzeichnis eingetragen wurde<br />
und dabei auf der Karteikarte Rechner-Konto das Auswahlkästchen Passwort mit dem Rechnernamen<br />
initialisieren markiert wurde, kann der Domänenbeitritt mit einem Klick auf [OK] begonnen werden. Beim<br />
Domänenbeitritt wird das Passwort geändert. (Falls der Rechner erneut der Domäne hinzugefügt werden<br />
soll, muss das Passwort durch erneutes Markieren des Auswahlkästchens Passwort mit dem Rechner-<br />
namen initialisieren wieder auf den Rechnernamen gesetzt werden.)<br />
Wenn der Rechner noch nicht im LDAP-Verzeichnis eingetragen ist, muss das Auswahlkästchen Compu-<br />
terkonto in der Domäne erstellen markiert und in das Eingabefeld Benutzername der Name Adminis-<br />
trator und in das Eingabefeld Kennwort das Passwort von uid=Administrator,cn=users,<br />
eingetragen werden. Es entspricht dem Passwort des lokalen Benutzers root auf dem DC Master. Ab-<br />
schließend kann der Domänenbeitritt mit einem Klick auf [OK] gestartet werden.<br />
2.4.3 Rotation von Maschinenpasswörtern<br />
Die Passwörter der Rechnerkonten der Server-Systemrollen werden standardmässig im Drei-<br />
Wochen-Rhythmus automatisch geändert. Mit der <strong>Univention</strong> Configuration Registry-Variable<br />
server/password/interval kann ein abweichender Wert in Tagen angegeben werden.<br />
Die alten Passwörter werden in der Datei /etc/machine.secret.old gesichert und der Ablauf in der<br />
Datei /var/log/univention/server_password_change.log protokolliert.<br />
25
2 Domänenkonzept<br />
26
3 Installation<br />
Inhaltsverzeichnis<br />
3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27<br />
3.2 Textbasierte Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
3.2.1 Bedienung des Installers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29<br />
3.2.2 Ablauf der textbasierten Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . 30<br />
3.3 Hardwareabhängige Installationsprobleme . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41<br />
3.3.1 Starten der Installation mit zusätzlichen Kernelparametern . . . . . . . . . . . . . . 41<br />
3.3.2 Zusätzliche Kernelparameter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42<br />
3.3.3 Anpassung der automatischen Hardwareerkennung . . . . . . . . . . . . . . . . . . 42<br />
3.4 Lizenz installieren und aktualisieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
3.5 Software nachinstallieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
3.1 Einführung<br />
Die folgende Dokumentation beschreibt die Installation von <strong>Univention</strong> Corporate Server.<br />
Im Wesentlichen verläuft die Installation von <strong>Univention</strong> Corporate Server wie bei anderen Linux-<br />
Distributionen auch. Im Unterschied zu diesen hängt die Funktion des zu installierenden Systems maß-<br />
geblich von der ausgewählten Systemrolle ab. Systemrollen sind Bestandteil des <strong>UCS</strong> Domänenkonzepts<br />
und sind in Kapitel 2.1 beschrieben.<br />
Mehrere Installationsvarianten werden unterstützt:<br />
• <strong>Univention</strong> Corporate Server kann von DVD installiert werden. Die Installation des ersten <strong>UCS</strong>-<br />
Systems einer Domäne wird in der Regel von DVD vorgenommen. Dabei kann die Installation in-<br />
teraktiv erfolgen oder automatisiert durch ein vorbereitetes Installationsprofil. Bei der interaktiven<br />
Installation werden alle System-Einstellungen abgefragt, siehe Kapitel 3.2.<br />
• Bei der profilbasierten Installation werden System-Einstellungen in Textdateien, den so genannten<br />
Installationsprofilen gespeichert, weiterführende Informationen dazu sind in einem separaten Do-<br />
kument zu finden [3]. Installationsprofile lassen sich lokal über Disketten oder USB-Speichergeräte<br />
einbinden oder im Rahmen einer angepassten Installations-CD im Vorfeld auf dem Installationsme-<br />
dium speichern.<br />
• Weiterhin können Installationsprofile im Rahmen der netzbasierten Installation mittels <strong>Univention</strong><br />
Net Installer von einem Installationsserver bezogen werden, siehe [3].<br />
27
3 Installation<br />
3.2 Textbasierte Installation<br />
Abbildung 3.1: Bootprompt der Installation<br />
Nach dem Starten des Systems vom Installationsmedium, erscheint der Bootprompt von Abbildung 3.1.<br />
Hier kann zwischen verschiedenen Installationsverfahren gewählt werden.<br />
28<br />
• <strong>Univention</strong> Installer startet die textbasierte Installation auf Grundlage des Linux-Kernels in Version<br />
2.6.32. Bei der textbasierten Installation fragt das System nach einigen Parametern wie Netzwerk-<br />
einstellungen, Festplattenpartitionierung, Systemrolle und ggf. Komponentenauswahl für den zu in-<br />
stallierenden Rechner und führt anschließend die Installation durch. Die textbasierte Installation ist<br />
in Kapitel 3.2.2 dokumentiert.<br />
• Additional options erlaubt die Auswahl fortgeschrittener Optionen für den Installationsprozess.<br />
Zuerst erscheint eine Abfrage, die den zu installierenden Linux-Kernel abfragt. Im Gegensatz zur<br />
Standard-Installation kann hier auch ein Kernel auf Basis von Linux 2.6.18 ausgewählt werden. An-<br />
schließend können verschiedene Installationsvarianten ausgewählt werden:<br />
– <strong>Univention</strong> Installer (normal mode) führt eine interaktive Standardinstallation durch.<br />
– <strong>Univention</strong> Installer Software RAID (expert mode) startet ebenso wie der vorherige Mo-<br />
dus eine textbasierte Installation. In dieser Variante wird die Partitionierung jedoch nicht mit
3.2 Textbasierte Installation<br />
Unterstützung des Installer durchgeführt, sondern manuell vorgenommen. Dafür stehen Pro-<br />
gramme wie cfdisk, mdadm und mkfs.ext3 und weitere zur Verfügung. Dieser Modus kann<br />
beispielsweise genutzt werden um ein Software RAID oder eine verschlüsselte Festplattenpar-<br />
tition einzurichten. Nach der Partitionierung wird die textbasierte Installation fortgesetzt.<br />
– <strong>Univention</strong> Installer Profil startet die profilbasierte Installation. Bei der profilbasierten Instal-<br />
lation wird ein vorbereitetes Installationsprofil ausgewählt, aus dem das System die Installati-<br />
onsparameter ausliest. Das zu verwendende Installationsprofil wird aus einem Verzeichnis des<br />
Installationsmediums gelesen. Die profilbasierte Installation ist in einer separaten Dokumenta-<br />
tion unter [3] beschrieben.<br />
– <strong>Univention</strong> Installer Profil USB startet ebenfalls die profilbasierte Installation. Das Installati-<br />
onsprofil wird dabei von einem USB Speichermedium gelesen.<br />
– <strong>Univention</strong> Installer Profil Floppy startet ebenfalls die profilbasierte Installation. Das Instal-<br />
lationsprofil wird von einer Diskette gelesen.<br />
• Boot from first harddisk partition startet nicht die <strong>UCS</strong>-Installation, sondern das auf der ersten<br />
Festplatte installierte Betriebssystem.<br />
Nun wird der Kernel vom Installationsmedium geladen und es werden Statusmeldungen am Bildschirm<br />
ausgegeben. Die eigentliche Installation gliedert sich in einzelne Module. In einem Modul werden inhaltlich<br />
zusammenhängende Einstellungen getroffen, es gibt beispielsweise Module für die Netzkonfiguration oder<br />
die Auswahl der zu installierenden Software.<br />
3.2.1 Bedienung des Installers<br />
Die Eingabemasken der Module werden ausschließlich über die Tastatur bedient:<br />
• Mit der Tabulator-Taste kann der Cursor auf das nächste Feld bewegt werden.<br />
• Auf das vorige Feld wird mit der Tastenkombination Shift-Tabulator gesprungen.<br />
• Mit der Eingabetaste werden Werte im Eingabefeld übergeben und Schaltflächen betätigt.<br />
• Innerhalb einer Liste oder Tabelle kann mit den Pfeiltasten zwischen den Einträgen gewechselt<br />
werden.<br />
• Um nähere Informationen zum aktuellen Modul zu bekommen, kann über die Funktionstaste F1<br />
einen Hilfe-Dialog aufgerufen werden.<br />
• Das nächste Modul wird über die Funktionstaste F12 aufgerufen, über die Funktionstaste F11<br />
kann zu bereits bearbeiteten Modulen zurückgekehrt werden. Alternativ zu F11 und F12 können die<br />
Schaltflächen betätigt werden.<br />
Weitere Belegungen von Funktionstasten sind in den folgenden Beschreibungen der jeweiligen Module<br />
genannt.<br />
Hinweis:<br />
Im linken Fenster der Installationsoberfläche ist die Liste der einzelnen Module eingeblendet, das aktu-<br />
elle Modul ist farblich hervorgehoben. Diese Liste kann nicht zur Navigation verwendet werden, sie dient<br />
lediglich zur Orientierung.<br />
29
3 Installation<br />
3.2.2 Ablauf der textbasierten Installation<br />
Die Module werden in einer festgelegten Reihenfolge ausgeführt. Die Beschreibung der Module berück-<br />
sichtigt diese Reihenfolge. Abhängig von der ausgewählten Systemrolle werden einige Module nicht ver-<br />
wendet.<br />
30<br />
1. Auswahl der Installationssprache<br />
Die Sprache wird ausgewählt, die während der Installation verwendet werden soll. Zur Auswahl<br />
stehen Deutsch oder Englisch.<br />
2. Hardwarerkennung<br />
Die Hardware des Rechners wird automatisch erkannt. Für Geräte, die der Kernel über Module<br />
unterstützt, werden diese Module geladen. Über die Schaltfläche [Modul hinzufügen] wird die Liste<br />
aller verfügbaren Module angezeigt. Durch das Auswählen weiterer Module können Geräte aktiviert<br />
werden, die nicht automatisch erkannt wurden.<br />
3. Auswahl des Installationsmediums<br />
Das aktuell verwendete Installationsmedium wird ermittelt. Über die Funktionstaste F2 wird das zu<br />
verwendende Installationsmedium vorgegeben. Dieser Parameter kann verwendet werden, wenn<br />
Probleme mit einem von mehreren CD-Laufwerken festgestellt werden oder die netzwerkbasierte<br />
Installation von einem anderen Installationsserver ausgeführt werden soll. Mit der Funktionstaste F4<br />
kann die Liste der Installationsmedien erneut eingelesen werden.<br />
4. Festlegen der Zeitzone<br />
Hier wird die gewünschte Zeitzone ausgewählt. Wenn als Installationssprache Deutsch gewählt<br />
wurde, ist die Zeitzone Europe/Berlin vorausgewählt, für Englisch wird US/Eastern verwendet.<br />
5. Auswahl der Tastaturbelegung<br />
Hier wird die Tastaturbelegung der verwendeten Tastatur ausgewählt. Wenn als Installationssprache<br />
Deutsch gewählt wurde, ist als Tastaturbelegung qwertz:de-latin1 vorausgewählt, für Englisch wird<br />
qwerty/us verwendet.<br />
Die angegebene Tastaturbelegung wird bei Verlassen dieses Dialoges umgehend geladen.<br />
6. Auswahl der Systemsprache(n)<br />
Hier wird die Systemsprache ausgewählt, die verwendet werden soll. Die Auswahl beeinflusst die<br />
Verwendung von sprachspezifischen Schriftzeichen und ermöglicht die Darstellung von Programm-<br />
ausgaben in den ausgewählten Sprachen.<br />
Es können mehrere Sprachen ausgewählt werden, der Administrator kann im späteren Betrieb die<br />
zu verwendende Sprache über die <strong>Univention</strong> Configuration Registry-Variable locale festlegen.<br />
7. Auswahl der Standard-Systemsprache<br />
Hier wird eine der vorher ausgewählten Systemsprache als Standard-Systemsprache definiert. Die-<br />
se Sprache wird dann beispielweise für <strong>Univention</strong> Directory Manager oder <strong>Univention</strong> Management<br />
Console verwendet, sofern eine entsprechende Übersetzung vorhanden ist.<br />
8. Auswahl der Systemrolle<br />
Hier wird die Systemrolle ausgewählt, als welche das spätere System installiert werden soll.
Zur Auswahl stehen:<br />
a) Domaincontroller Master<br />
b) Domaincontroller Backup<br />
c) Domaincontroller Slave<br />
d) Memberserver<br />
e) Managed Client<br />
f) Mobile Client<br />
g) Basissystem<br />
Hinweis:<br />
3.2 Textbasierte Installation<br />
Das erste zu installierende System einer <strong>UCS</strong> Domäne sollte immer ein Domaincontroller Master.<br />
Die Installation weiterer <strong>UCS</strong>-Systeme benötigt während der Installation einen laufenden Domain-<br />
controller Master. Die einzige Ausnahme bildet die Systemrolle Basissystem, dieses kann ohne<br />
erreichbaren Domaincontroller Master installiert werden.<br />
Die Systemrollen sind in Kapitel 2.1 beschrieben.<br />
9. Domäneneinstellungen<br />
Unter Systemname wird ein Name eingetragen, unter dem der Rechner im Netzwerk erreichbar<br />
sein soll. Es dürfen ausschließlich die Buchstaben a-z in Kleinschreibung, die Ziffern 0-9, Binde- und<br />
Unterstriche verwendet werden. Der Rechnername muss mit einem Buchstaben beginnen und darf<br />
maximal 15 Zeichen lang sein.<br />
Unter Domänenname wird der DNS-Name der <strong>UCS</strong>-Domäne eingetragen, beispielsweise firma.de.<br />
Nachdem der Domänenname gesetzt wurde, werden die Felder LDAP-Basis und Windows-<br />
Domäne mit abgeleiteten Werten belegt. Wenn die LDAP-Basis geändert werden soll, müssen die<br />
Konventionen für die Benennung von DNs beachtet werden. Die Basis-DN muss mit ’cn=’, ’dc=’, ’c=’,<br />
’l=’ oder ’o=’ beginnen. Basis-DNs, die diese Konventionen verletzen, werden abgewiesen. Der Na-<br />
me der Windows-Domäne darf maximal 15 Zeichen lang sein und nur aus Buchstaben, Zahlen und<br />
Bindestrichen bestehen. Das Eingabefeld LDAP-Basis erscheint nur bei der Systemrolle Domain-<br />
controller Master.<br />
Unter Root-Passwort wird das Passwort für den Benutzer root eingetragen. Dieses Passwort wird<br />
auch für den Benutzer Administrator eingetragen. Mit dem Benutzer Administrator werden Windows-<br />
Clients in die <strong>UCS</strong>-Domäne aufgenommen. Im späteren Betrieb können die Passworte der Benutzer<br />
root und Administrator unabhängig voneinander verwaltet werden. Das Passwort wird im letzten<br />
Feld erneut eingetragen. Die doppelte Eingabe ist erforderlich, um Tippfehler zu vermeiden, da die<br />
eingegebenen Zeichen nicht angezeigt werden, siehe Abbildung 3.2.<br />
Das Root-Passwort muss aus Sicherheitsgründen mindestens acht Zeichen umfassen.<br />
10. Partitionieren der Festplatten<br />
In dieser Einstellungsmaske wird die Partitionierung der vorhandenen Festplatten vorgenommen. Es<br />
wird empfohlen, mindestens zwei Partitionen zu verwenden - eine für das Root-Dateisystem, eine<br />
für den Swap-Bereich, der von Linux intern verwendet wird.<br />
Nach dem ersten Wechsel auf diese Einstellungsmaske bietet der Installer die automatische<br />
Partitionierung des Systems an. Nach der Zustimmung zur automatischen Partitionierung zeigt<br />
31
3 Installation<br />
32<br />
Abbildung 3.2: Domäneneinstellungen<br />
der Installer einen Partitionierungsvorschlag an, bei dem alle vorhandenen Festplatten unter<br />
Verwendung des Logical Volume Managers (LVM) neu partitioniert und formatiert werden.<br />
Achtung:<br />
Alle Daten auf diesen Festplatten gehen dabei verloren! Sollte der Partitionierungsvorschlag unpas-<br />
send sein, kann er durch die Funktionstaste F5 verworfen werden. Es wird auch der Speicherplatz<br />
von externen Speichermedien wie z.B. USB-Sticks und USB-Festplatten in die automatische Parti-<br />
tionierung einbezogen. Diese müssen ggf. vorher abgezogen bzw. abgeschaltet werden.<br />
Die Eigenschaften der gefundenen Laufwerke, vorhandener Partitionen und LVM-Medien (Name,<br />
Grenzen einer Partition, Typ, Formatierung, Verzeichnis, unter dem die Partition eingebunden wer-<br />
den soll und Größe in MB) werden in einer Tabelle angezeigt. Siehe Abbildung 3.3.<br />
Um eine neue Partition anzulegen, wird der Eintrag frei des gewünschten Laufwerks ausgewählt<br />
und die Schaltfläche [F2-Erstellen] betätigt (Funktionstaste F2). Im nächsten Dialog müssen das<br />
Verzeichnis, unter dem die Partition eingebunden werden soll (Mount-Point), die Größe der anzu-<br />
legenden Partition in Megabyte, das Dateisystem, welches auf der Partition erzeugt werden soll<br />
und die Art der Partition (primär Partition oder logische Partition innerhalb einer erweiterten Partiti-<br />
on) angegeben werden. Wenn eine Partition für den Swap-Bereich erzeugt werden soll, muss kein<br />
Verzeichnisname angegeben werden, unter dem die Partition eingebunden werden soll. Wenn al-<br />
le Einstellungen getroffen sind, wird die Schaltfläche [Speichern] zum Sichern der Einstellungen<br />
betätigt.
Abbildung 3.3: Partitionierung der Festplatten<br />
3.2 Textbasierte Installation<br />
Um Partitionen aus vorherigen Installationen einzubinden oder beim Anlegen neuer Partitionen vor-<br />
genommene Einstellungen zu korrigieren, wird die gewünschte Partition markiert und die Schaltflä-<br />
che [F3-Editieren] betätigt (Funktionstaste F3). Es kann das Verzeichnis angegeben werden, unter<br />
dem die Partition eingebunden werden soll, das Dateisystem ausgewählt und festgelegt werden, ob<br />
die Partition formatiert werden soll. Wenn die Option Formatieren ausgewählt wird, werden alle Da-<br />
ten auf dieser Partition gelöscht. Die Größe der Partition kann nachträglich nicht verändert werden.<br />
Um Partitionen aus vorherigen Installationen oder neu angelegte Partitionen zu löschen, werden die<br />
gewünschten Partitionen markiert und die Schaltfläche [F4-Löschen] betätigt (Funktionstaste F4).<br />
Die manuelle Partitionierung der Festplatten kann optional unter Verwendung des Logical Volume<br />
Managers stattfinden. Vom Installer wird hierbei nur eine einzelne LVM-Medien-Gruppe (Volume<br />
Group) unterstützt, die automatisch den Namen vg_ucs trägt. Die Möglichkeit zum Anlegen von<br />
physikalischen und logischen LVM-Medien (Physical/Logical Volume) steht nur dann zur Verfügung,<br />
wenn die LVM-Unterstützung zuvor manuell aktiviert wurde oder bereits ein physikalisches LVM-<br />
Medium auf einer der angeschlossenen Festplatten vorhanden ist.<br />
Beim Löschen von physikalischen LVM-Medien (Physical Volume) ist zu beachten, daß der Instal-<br />
ler diesen Vorgang nur dann unterstützt, wenn zuvor alle logischen LVM-Medien über den Installer<br />
gelöscht wurden. Anderenfalls muß der Inhalt des physikalischen LVM-Mediums manuell über den<br />
Befehl pvmove auf andere physikalische LVM-Medien verschoben und das physikalische LVM-Me-<br />
dium mittels vgreduce und pvremove aus der LVM-Medien-Gruppe entfernt und gelöscht werden.<br />
Nachdem die Einstellungen für eine neue Partition vorgenommen wurden, werden diese nicht um-<br />
gehend aktiviert. Um die ursprünglichen Einstellungen wiederherzustellen, kann die Schaltfläche<br />
[F5-Änderungen verwerfen] betätigt werden (Funktionstaste F5) . Erst über die Schaltfläche [F6-<br />
33
3 Installation<br />
34<br />
Änderungen schreiben] (Funktionstaste F6) wird die neue Partitionstabelle auf die Festplatte ge-<br />
schrieben.<br />
11. Bootloader<br />
In diesem Dialogfeld wird ausgewählt, ob der Bootloader in den Master Boot Record (MBR) installiert<br />
wird, oder ob der Bootloader in den ersten Sektor einer bootbaren Festplattenpartiton installiert<br />
werden soll. Wenn das <strong>UCS</strong> System das einzige auf dem Rechner installierte Betriebssystem ist, so<br />
sollte hier der Master Boot Record und die entsprechende Festplatte ausgewählt werden.<br />
12. Netzwerkkonfiguration<br />
Beim ersten Aufruf der Netzwerkkonfiguration wird ein Dialog angezeigt, über den die Einstellungen<br />
für die erste gefundene Netzwerkkarte vorgenommen werden können. Wurde keine Netzwerkkarte<br />
gefunden, so sollte geprüft werden, ob das notwendige Kernelmodul geladen ist. Gegebenenfalls<br />
kann es über das Modul Hardwareerkennung nachgeholt werden. Sollte die Netzwerkkarte den-<br />
noch nicht erkannt werden, wird vom Installer eine virtuelle Netzwerkkarte angelegt mit der die<br />
Installation fortgesetzt werden kann.<br />
Abbildung 3.4: Netzwerkeinstellungen<br />
Wenn die Option DHCP nicht gewählt wurde, muss die IP-Adresse eingegeben werden, die an die<br />
Netzwerkkarte gebunden werden soll. Zusätzlich zur IP-Adresse muss die Netzmaske angegeben<br />
werden. Mit F5-DHCP-Anfrage kann eine Adresse von einem DHCP-Server abgefragt werden. Die-<br />
se wird als Vorgabe verwendet und kann auch statisch konfiguriert werden.<br />
Nachdem die erste Netzwerkkarte eingerichtet wurde, können weitere netzwerkbezogene Einstellun-<br />
gen vorgenommen werden. In das Eingabefeld Gateway kann die IP-Adresse oder der vollständige
Name des im Subnetz eingesetzten Standard-Gateway eingegeben werden.<br />
3.2 Textbasierte Installation<br />
Unter Nameserver wird die IP-Adresse des Nameservers eingetragen, der zur Auflösung von Rech-<br />
nernamen in IP-Adressen verwendet werden soll. Über die Schaltfläche [Mehr] können weitere Na-<br />
meserver aufgenommen werden. Sollte außer einer virtuellen Netzwerkkarte keine Netzwerkkarten<br />
existieren, so sollte kein Nameserver angegeben werden, um längere Wartezeiten während der In-<br />
stallation zu vermeiden. Wenn der Nameserver während der Installation nicht erreicht werden kann,<br />
sollte dieser nicht im <strong>Univention</strong> Installer angegeben, sondern später per <strong>Univention</strong> System Setup<br />
konfiguriert werden. Dies vermeidet längere Timeouts während der Installation.<br />
Forwarder werden nur eingetragen, wenn auf dem System ein lokaler Nameserver betrieben wird.<br />
Können Rechernamen oder IP-Adressen aus DNS-Anfragen an den lokalen Nameserver nicht be-<br />
antwortet werden, wird die Anfrage an den Forwarder weitergereicht. Die vom Forwarder erhaltene<br />
Antwort wird an den anfragenden Rechner zurückgegeben. Über die Schaltfläche [Mehr] können<br />
weitere Forwarder aufgenommen werden.<br />
DNS Forwarder werden nur bei der Installation der Systemrollen Domänencontroller Master, Domä-<br />
nencontroller Backup und Domänencontroller Slave abgefragt.<br />
Bei der DNS-Einrichtung können drei unterschiedliche Situationen auftreten:<br />
a) Das installierte System ist ein Domaincontroller Master. Auf diesem soll ein Nameserver für die<br />
<strong>UCS</strong> Domäne betrieben werden. Dieser Nameserver verwaltet ausschließlich Rechnernamen<br />
und IP-Adressen der <strong>UCS</strong> Domäne. Um Anfragen nach externen Rechnernamen beantwor-<br />
ten zu können, muss für dieses System ein externer Nameserver als Forwarder eingetragen<br />
werden.<br />
Falls während der Installation des Systems Paketen von externen Web-Servern herunterge-<br />
laden werden, muss ein Nameserver angegeben werden über den Rechnernamen der Web-<br />
Server aufgelöst werden können. Es kann der bereits als Forwarder eingetragene Nameserver<br />
oder ein anderer externer Nameserver unter Nameserver aufgenommen werden. Im späteren<br />
Betrieb wird der Domaincontroller Master nur noch seinen lokalen Nameserver verwenden. Der<br />
oder die externen Nameserver werden als Forwarder verwendet und wenn der lokale Name-<br />
server nicht verfügbar ist.<br />
b) Das installierte System ist ein weiteres <strong>UCS</strong> Server-System auf dem ein Nameserver für die<br />
<strong>UCS</strong> Domäne betrieben werden soll. Es muss die IP-Adresse eines Rechners unter Name-<br />
server eingetragen werden, über den innerhalb der <strong>UCS</strong> Domäne verwendete DNS Service<br />
Records aufgelöst werden können, in der Regel Domaincontroller Master oder Backup. Dieser<br />
Nameserver wird im späteren Betrieb nur verwendet, wenn der lokale Nameserver nicht ver-<br />
fügbar ist. Als Forwarder können IP-Adressen von externen Nameservern eingetragen werden<br />
oder von anderen <strong>UCS</strong> Server Systemen mit Nameserver, die selbst einen externen Nameser-<br />
ver als Forwarder verwenden.<br />
c) Auf dem installierten System wird kein lokaler Nameserver betrieben. Es muss die IP-Adresse<br />
mindestens eines Rechners unter Nameserver eingetragen werden, über den innerhalb der<br />
<strong>UCS</strong> Domäne verwendete DNS Service Records aufgelöst werden können. Es muss kein<br />
Forwarder eingetragen werden.<br />
35
3 Installation<br />
36<br />
Achtung:<br />
Es wird empfohlen auf mindestens einem der <strong>UCS</strong> Server Systeme den Nameserver zu instal-<br />
lieren und diesen <strong>UCS</strong> Server bei allen weiteren <strong>UCS</strong> Systemen als ersten Nameserver einzu-<br />
tragen, da innerhalb der <strong>UCS</strong>-Domäne so genannte DNS Service Records und Alias Namen<br />
verwendet werden, die teilweise von Managementsystem automatisch angepasst werden. Z.B.<br />
wird bei der Installation eines zweiten Repository-Servers der DNS Alias univention-repository<br />
auf den neuen Repository-Server gesetzt. Für die Verwendung eines externen Nameservers<br />
stellt <strong>Univention</strong> ein technisches Dokument bereit, in dem die unterschiedlichen Service Re-<br />
cords und DNS Alias Namen beschrieben sind, die ein externer Nameserver neben den einzel-<br />
nen <strong>UCS</strong> Rechnernamen bereitstellen muss.<br />
Während der Installation einiger Pakete müssen aufgrund rechtlicher Einschränkungen Dateien von<br />
externen Web-Servern heruntergeladen werden, z.B. Installations-Images für das Paket univention-<br />
windows-installer-image. Wenn das <strong>UCS</strong>-System keinen unmittelbaren Zugang zum Internet<br />
besitzt, kann unter HTTP-Proxy die URL eines erreichbaren Proxy-Servers angegeben werden,<br />
über den die Download-Vorgänge abgewickelt werden. Das Format der URL lautet http://:<br />
Achtung:<br />
Da die Auflösung von Hostnamen während der Installation in Abhängigkeit von den installierten<br />
Komponenten nicht zu jedem Zeitpunkt sichergestellt werden kann, sollte die IP-Adresse des Proxy-<br />
Servers eingetragen werden.<br />
Um weitere Netzwerkkarten einzubinden oder auf einer bereits eingerichteten Netzwerkkarte weitere<br />
virtuelle Netzwerkadapter zu konfigurieren, wird in der Tabelle den entsprechenden Eintrag markiert<br />
und die Schaltfläche [F2-Neu] betätigt (Funktionstaste F2). Es wird erneut der Dialog zur Eingabe<br />
von IP-Adresse, Broadcast-Adresse, Netzmaske und Netzwerkbereich angezeigt.<br />
13. Join-Optionen<br />
Diese Eingabemaske erscheint nicht bei den Systemrollen Domaincontroller Master und Basissys-<br />
tem.<br />
Standardmäßig wird der Beitritt zu einer <strong>UCS</strong> Domäne am Ende der Installation vorgenomme-<br />
nen. Über die Option Starte den Join Vorgang am Ende der Installation kann der Beitritt un-<br />
terbunden werden. Das System muss dann im laufenden Betrieb der Domäne über das Kommando<br />
univention-join beitreten.<br />
Wenn ein <strong>UCS</strong> Server System als Nameserver in der entsprechenden Einstellungsmaske eingetra-<br />
gen wurde, wird der Name des Domaincontroller Master über eine DNS-Anfrage bestimmt. Ande-<br />
renfalls muss die Option DNS nach Domain Controller Master durchsuchen deaktiviert und der<br />
vollständige Name (FQDN) des Domaincontroller Master in das Feld Systemname des DC Master<br />
eingetragen werden.<br />
Als Join-Account wird ein Benutzerkonto bezeichnet, das berechtigt ist, Systeme der <strong>UCS</strong> Domä-<br />
ne hinzuzufügen. Standardmäßig ist dies der Benutzer Administrator, der bei der Installation des<br />
Domaincontroller Master angelegt wurde. Unter Passwort muss das entsprechende Passwort des<br />
Benutzerkontos angegeben werden. Das Passwort muss in beiden Feldern in identischer Schreib-<br />
weise eingetragen werden.
Weitere Informationen zum Domänenbeitritt finden sich in Kapitel 2.4.1.<br />
14. SSL-Einstellungen<br />
3.2 Textbasierte Installation<br />
Diese Eingabemaske erscheint nur bei der Systemrolle Domaincontroller Master. Auf einem <strong>UCS</strong><br />
Domaincontroller Master wird eine SSL-Zertifikatsinfrastruktur verwaltet. Die Zertifikate werden von<br />
den <strong>UCS</strong> Systemen zur gegenseitigen Authentisierung und zur Verschlüsselung von Netzwerkver-<br />
bindungen verwendet. Unter Länderkennung wird das zweistellige Kürzel des Ländernamens nach<br />
ISO 3166-1, z.B. DE für Deutschland eingetragen, unter Staat wird das Bundesland, der Bundes-<br />
staat oder die Provinz, unter Ort der Ort des Unternehmens und unter Abteilung der Abteilungsna-<br />
men eingetragen. Die Mail-Adresse wird aus dem Domänennamen konstruiert. Sie wird in Zertifika-<br />
ten dieser Zertifikatsinfrastruktur verwendet.<br />
15. Sicherheits-Optionen<br />
Der <strong>Univention</strong> Installer ermöglicht die Vorkonfiguration von Paketfilterprofilen. Folgende drei Profile<br />
stehen während der Installation zur Auswahl:<br />
• Deaktiviert (kein Dienst wird geblockt).<br />
• Empfohlene Auswahl an Systemdiensten (einige typischerweise nicht benötigte Dienste werden<br />
gefiltert).<br />
• Abgesicherte Grundinstallation (nur SSH, LDAP und HTTPS werden erlaubt).<br />
Ausführliche Hinweise dazu finden sich in Kapitel 10.3.2.<br />
16. Auswahl von Software-Komponenten<br />
Komponenten sind inhaltlich zusammenhängende Software-Pakete, die zum Bereitstellen unter-<br />
schiedlicher Dienste installiert werden können. Komponenten können wiederum aus mehreren Teil-<br />
komponenten bestehen Es können einzelne oder alle Teilkomponenten installiert werden.<br />
Die Navigation innerhalb der Komponentenliste erfolgt mit den Pfeiltasten. Um zu den Teilkompo-<br />
nenten zu gelangen, wird eine Komponente markiert und die Tabulator-Taste gedrückt.<br />
Es gibt drei Auswahlzustände einer Komponente, die im Kästchen vor dem Namen abgebildet sind.<br />
Wenn alle Teilkomponenten einer Komponente für die Installation ausgewählt sind, steht im Kästchen<br />
ein X. Wenn keine Teilkomponente zur Installation ausgewählt ist, ist das Kästchen leer. Sind nicht<br />
alle Teilkomponenten ausgewählt, steht im Kästchen ein Schrägstrich (/). Siehe Abbildung 3.5.<br />
Folgende Komponenten sind verfügbar:<br />
• Services für Windows<br />
– Samba - Ermöglicht den Einsatz von Linux-Rechnern als Domänencontroller und Fileser-<br />
ver in einer Windows-Domäne (siehe Kapitel 8).<br />
– Windows Installer - Ermöglicht die vollautomatische Installation von Windows-Rechnern<br />
(siehe [4]).<br />
– DC Slave als Samba PDC - Diese Option ermöglicht den Betrieb eines Windows PDC auf<br />
anderen Systemrollen als dem Domänencontroller Master (nur verfügbar auf Domänen-<br />
controller Slave/Backup und Memberservern, siehe auch Kapitel 8.3).<br />
– Winbind - Dieser Dienst wird insbesondere bei Vertrauensstellungen zwischen <strong>UCS</strong> und<br />
Windows-Domänen benötigt (siehe Kapitel 8.4.1).<br />
37
3 Installation<br />
38<br />
Abbildung 3.5: Auswahl von Software-Komponenten<br />
– <strong>Univention</strong> AD Connector - Lösung zur bidirektionalen Synchronisation zwischen dem<br />
<strong>UCS</strong>-Verzeichnisdienst und Active Directory.<br />
• Mail/Groupware<br />
– Standard Mail-Dienste - Basis-Maildienste auf Basis von Postfix für den Mail-Versand<br />
über SMTP und Cyrus für die Bereitstellung von Postfächern über IMAP und POP3. Vi-<br />
renprüfungen über den Scanner ClamAV und Spam-Erkennung über Spamassassin sind<br />
integriert (siehe Kapitel 12).<br />
– Kolab 2 für <strong>UCS</strong> - Eine Groupware-Lösung nach dem Kolab-Standard.<br />
• IP-Verwaltung<br />
– DNS - Dienst zur Auflösung von Rechnernamen in IP-Adressen auf Basis der Software<br />
Bind.<br />
– DHCP - Dienst zum dynamischen IP-Management.<br />
– Squid-Proxyserver - Dienst zum zentralen Caching und Policy-Management abgerufener<br />
Web-Seiten<br />
• Systemdienste<br />
– Terminalserver - Linux-Terminalserver für die Anmeldung Linux-basierter Thin Clients.<br />
(siehe Kapitel 9.5)<br />
– Thinclient Environment - Komponenten für den Betrieb von Thin Clients. (siehe Kapitel<br />
9.5)<br />
– Druckserver - Druck-Server auf Basis der Software CUPS.<br />
– Druck-Quota - Erlaubt die Quotierung von Druckaufträgen.<br />
– Nagios-Server - System- und Netzwerk-Überwachung auf Basis der Software Nagios.
3.2 Textbasierte Installation<br />
– Nagios-Client - Erlaubt die Einbindung von Nagios-Systemen über das NRPE-Protokoll.<br />
– Fax-Server - Verwaltung von ein- und ausgehenden Fax-Nachrichten auf Basis der Soft-<br />
ware Hylafax (siehe [5]).<br />
– OpenSSH-Server - Server zur Bereitstellung eines verschlüsselten SSH-Remote-Logins.<br />
– FreeNX-Server - Server zur Bereitstellung eines NX-Remote-Logins. NX bietet effiziente<br />
Kompression und ist auch über langsame Verbindung interaktiv benutzbar.<br />
• Virtualisierung<br />
– Virtual Machine Manager (UVMM) - UMC-Modul zur Verwaltung virtueller Maschinen<br />
– Xen Virtualisierungsserver - Virtualisierung von Systemen durch den Hypervisor Xen<br />
– KVM Virtualisierungsserver - Virtualisierung von Systemen durch KVM<br />
• Administrative Werkzeuge<br />
– <strong>Univention</strong> Directory Manager - Zentrale Komponente des <strong>UCS</strong>-Managementsystems<br />
(siehe Kapitel 4.1).<br />
– <strong>Univention</strong> Management Console - Administration von <strong>UCS</strong>-Systemen über ein Web-<br />
Interface.<br />
– <strong>Univention</strong> Software Monitor - Zentrale Erfassung von installierten Softwarepaketen auf<br />
<strong>UCS</strong> Systemen.<br />
– <strong>UCS</strong>-Net Installer - Netzwerkbasierte Installation von <strong>UCS</strong> Systemen mit Unterstützung<br />
• Backup<br />
von Installationsprofilen.<br />
– Backup (Bacula) - Enterprise-Backuplösung<br />
– Unidump - Werkzeug zur Datensicherung auf Bandlaufwerk.<br />
– Remote-Backup - Sicherung von Daten entfernter Rechner für Unidump<br />
• Desktop-Umgebung<br />
– Grafische Benutzeroberfläche - Die X.org-Oberfläche und der GDM-Login-Manager.<br />
– KDE-Desktop - Eine benutzerfreundliche Desktop-Arbeitsumgebung.<br />
– KDE-Erweiterungen - Weitere KDE-Desktop-Applikationen, u.a. k3b zum Brennen von<br />
DVD/CDs und die Video- und Musik-Abspielprogramme Amarok, Kaffeine und MPlayer.<br />
– OpenOffice.org - Ein Office-Paket mit u.a. Textverarbeitung, Tabellenkalkulation, Präsen-<br />
tation und Datenbankanbindung.<br />
– Mozilla Firefox - Web-Browser für den Internetzugriff.<br />
– Java Plugin/Java-Umgebung - Java-Integration für den Firefox-Browser.<br />
– Flash-Plugin - Ein Installationsprogramm zur Integration des Flash-Plugins in den Firefox-<br />
Browser.<br />
– Mplayer-Plugin - Ein Plugin für den Firefox-Browser zum Abspielen von Videos.<br />
– Microsoft-Schriften - Ein Installationsprogramm zur Integration kostenloser Truetype<br />
Standardschriften von Microsoft.<br />
• Werkzeuge<br />
– Java - Die Java-Laufzeitumgebung von Sun.<br />
– Kommandozeilen-Programme - Die Editoren vim und emacs, das Tool less zum Be-<br />
trachten von Textdateien, der textbasierte Web-Browser elinks, der Portscanner nmap,<br />
die Kompressions-Tools zip und unzip, das Download-Tools wget und eject zum<br />
skriptgesteuerten Öffnen eines DVD-Laufwerks.<br />
39
3 Installation<br />
17. Optionen<br />
In diesem Dialog kann festgelegt werden, ob auf dem <strong>UCS</strong> System ein lokales Software-Repo-<br />
sitory eingerichtet werden soll. Das lokale <strong>UCS</strong> System, aber auch andere <strong>UCS</strong> Systeme kön-<br />
nen dieses Software-Repository für Software-Installationen und -Aktualisierungen verwenden. Auch<br />
für eine netzwerkbasierte Installation wird ein Software-Repository benötigt. Über die Option<br />
Heimatverzeichnis-Freigabe wird festlegt, ob das Verzeichnis /home über NFS und bei installierter<br />
Komponente Services for Windows als Benutzerverzeichnis über Samba freigegeben werden soll.<br />
18. Überblick<br />
In diesem Dialog werden die wichtigsten vorgenommenen Einstellungen angezeigt. Sind alle Ein-<br />
stellungen korrekt, kann über die Schaltfläche [Starte Installation] die Installation der Software ver-<br />
anlasst werden.<br />
Während der Installation wird eine große Zahl an Statusmeldungen am Bildschirm ausgegeben. Das Sys-<br />
tem formatiert die Festplatten wie angegeben, hängt die Partitionen in den Verzeichnisbaum ein und in-<br />
stalliert zuerst das Basissystem und danach gegebenenfalls die zusätzlichen Komponenten und Pakete.<br />
Hinweis:<br />
Wenn bestimmte Komponenten installiert werden, wird außerdem versucht, Dateien aus dem Internet<br />
herunterzuladen, z.B. das Flashplugin. Wenn das Herunterladen fehlschlägt, können die Dateien später<br />
nachinstalliert werden. Die Installation wird dadurch nicht beeinträchtigt, allerdings können wiederholte<br />
Versuche, die Dateien während der Installation herunterzuladen, einige Zeit in Anspruch nehmen.<br />
Vorausgesetzt die Option Starte den Join Vorgang am Ende der Installation wurde nicht deaktiviert,<br />
versuchen alle Rechner außer Basissysteme und Domaincontroller Master, der <strong>UCS</strong>-Domäne beizutre-<br />
ten, Konfigurationseinstellungen für ihre Dienste aus dem LDAP-Verzeichnis zu lesen und die Dienste<br />
entsprechend zu konfigurieren. In Kapitel 2.4 wird beschrieben, wie der Domänenbeitritt erneut veranlasst<br />
werden kann, falls der Beitritt während der Installation fehlschlägt.<br />
Das Installationsprotokoll des <strong>Univention</strong> Installers wird als installer.log und das Protokoll der<br />
Paketinstallation als installation.log im Verzeichnis /var/log/univention/ abgelegt. Zuletzt<br />
wird das bei der Installation erzeugte Installationsprofil installation_profile in das Verzeichnis<br />
/etc/univention/ kopiert. Wenn die entsprechende Anweisung über die Einstellung Lokales Reposi-<br />
tory gegeben wurde, wird außerdem die Installations-CD nach /var/lib/univention-repository<br />
kopiert.<br />
Zum Abschluss der Installation muss die Eingabetaste gedrückt werden, um das System neu zu starten.<br />
Hier finden sich auch Hinweise auf eine eventuell fehlgeschlagene Installation und ein Verweis auf URLs,<br />
unter denen das <strong>UCS</strong>-Management-System erreicht werden kann (siehe auch Abbildung 3.6).<br />
Die DVD sollte während des Neustarts entnommen werden, damit nicht erneut von der Installations-DVD<br />
gebootet wird. Alternativ kann das BIOS des Rechners so eingestellt werden, dass erst von Festplatte und<br />
danach von DVD gebootet wird.<br />
Das System startet nun von Festplatte. Nach dem Bootvorgang können sich der Benutzer root oder der<br />
Benutzer Administrator mit dem während der Installation angegebenen Passwort anmelden. Wenn der<br />
Rechner als Domänencontroller Master installiert wurde, kann nun die Lizenz eingespielt werden (siehe<br />
Abschnitt 1.6). Zur Verwaltung des Systems steht unter anderem das Web-Frontend <strong>Univention</strong> Directory<br />
Manager (siehe Kapitel 4.1) zur Verfügung.<br />
40
Abbildung 3.6: Abschluss der Installation<br />
3.3 Hardwareabhängige Installationsprobleme<br />
3.3 Hardwareabhängige Installationsprobleme<br />
Falls bei der Installation hardwarebedingte Probleme auftreten, können diese normalerweise durch zusätz-<br />
liche Kernelparameter oder eine Anpassung der automatischen Hardwareerkennung umgangen werden.<br />
3.3.1 Starten der Installation mit zusätzlichen Kernelparametern<br />
Um die Installation mit zusätzlichen Kernelparametern zu starten, ist am Bootprompt (siehe auch Abbil-<br />
dung 3.1 auf Seite 28) das gewünschte Installationsverfahren mit den Pfeiltasten zu markieren.<br />
Durch Drücken der Taste ’e’, werden die Konfigurationszeilen des Bootloaders für das ausgewählten In-<br />
stallationsverfahren angezeigt. Die mit kernel beginnende, obere Zeile wird ausgewählt. Nach erneutem<br />
Drücken der Taste ’e’ kann jetzt die Liste der Bootparameter angepasst werden. Zusätzliche Kernelpa-<br />
rameter müssen am Ende der Zeile hinzugefügt werden. Sollen mehrere Parameter angegeben werden,<br />
sind diese durch Leerzeichen zu trennen.<br />
Die Eingabe wird über die Return-Taste übernommen. Durch Drücken der Taste ‘b’ wird mit den geänder-<br />
ten Bootparametern gebootet. Der <strong>UCS</strong> Installer übernimmt die zusätzlichen Parameter nach der Instal-<br />
41
3 Installation<br />
lation automatisch in die <strong>Univention</strong> Configuration Registry-Variable grub/append, so dass sie auch bei<br />
künftigen Rechnerstarts berücksichtigt werden.<br />
3.3.2 Zusätzliche Kernelparameter<br />
Manche Grafikkarten unterstützen den VESA-Standard für Framebuffer nicht, der zur Darstellung von<br />
Bootsplash-Grafiken benötigt wird. Auf solchen Systemen kann die Verwendung des Framebuffers über<br />
den Kernelparameter<br />
video=vga16:off<br />
unterbunden werden. Dieser Parameter wird jedoch nicht dauerhaft in die Boot-Konfiguration übernom-<br />
men.<br />
Bei der Verwendung älterer Hardware kann es auch zu Problemen bei der Verwendung des “Advanced<br />
Configuration and Power Interface” (ACPI) kommen. In diesen Fällen sollte die Verwendung von ACPI über<br />
den Kernelparameter<br />
acpi=off<br />
deaktiviert werden.<br />
3.3.3 Anpassung der automatischen Hardwareerkennung<br />
Der <strong>UCS</strong> Installer führt beim Start eine automatische Hardwareerkennung durch. Sollte es zu Systemab-<br />
stürzen oder Hardwareproblemen während der automatischen Hardwareerkennung kommen, kann diese<br />
über den zusätzlichen Bootparameter noprobe deaktiviert werden.<br />
Für die Verwaltung der Geräte im <strong>Univention</strong> Installer wird standardmässig udev verwendet. Um die au-<br />
tomatische Hardwareerkennung zu unterbinden muss auch udev mit dem Bootparameter noudev unter-<br />
bunden werden.<br />
Der Bootparameter wird ausschließlich von <strong>UCS</strong> Installer ausgewertet und ist wie ein zusätzlicher Kernel-<br />
parameter am Bootprompt anzugeben. Dabei ist zu beachten, dass anschließend im <strong>UCS</strong> Installer alle<br />
benötigten Kerneltreiber (für Festplatten, Ethernetkarte, usw.) manuell angegeben werden müssen, um<br />
eine erfolgreiche Installation durchführen zu können.<br />
Um bestimmte Kerneltreiber bereits am Bootprompt mit in die Liste der zu ladenden Kerneltreiber auf-<br />
zunehmen (z.B. bei einer profilbasierten Installation), kann der Bootparameter loadmodules verwendet<br />
werden. Über ihn können auch mehrere Kerneltreiber kommasepariert angegeben werden:<br />
loadmodules="treibermodul1,treibermodul2,treibermodul3"<br />
In einigen Fällen ist es erforderlich, das Laden bestimmter Kerneltreiber zu unterbinden. Der Bootpa-<br />
rameter excludemodules verhindert, dass die angegebenen Kerneltreiber bei der Hardwareerkennung<br />
automatisch geladen werden. Falls mehrere Kerneltreiber ausgeschlossen werden sollen, sind diese kom-<br />
masepariert anzugeben:<br />
excludemodules="treibermodul1,treibermodul2,treibermodul3"<br />
42
Achtung:<br />
3.4 Lizenz installieren und aktualisieren<br />
Der Kernel verwendet beim Laden von Kerneltreibern enthaltene Minuszeichen ’–’ und Unterstriche ’_’<br />
synonym. Das heisst, bei der Verwendung von loadmodules muss nicht z.B. zwischen usb-storage und<br />
usb_storage unterschieden werden. excludemodules benötigt jedoch die exakte aktuell vom Kernel ver-<br />
wendete Schreibweise. Daher sollten die betreffenden Kerneltreiber in beiden Schreibweisen (nur Minus-<br />
zeichen oder nur Unterstrich) in excludemodules aufgeführt werden:<br />
excludemodules="usb-storage,usb_storage"<br />
3.4 Lizenz installieren und aktualisieren<br />
Die Lizenz wird über den <strong>Univention</strong> Directory Manager installiert. Dazu muss als Administrator der Über<br />
Dialog im <strong>Univention</strong> Directory Manager aufgerufen werden. Dort kann durch einen Klick auf den Button<br />
Durchsuchen eine Lizenzdatei ausgewählt werden. Nach einer Bestätigung mittels des Datei laden But-<br />
tons wird diese an den DC Master übertragen und installiert. Nach der Installation ist ein erneuter Login<br />
am <strong>Univention</strong> Directory Manager erforderlich. Anschließend können die Informationen über die installierte<br />
Lizenz im Über Dialog eingesehen werden.<br />
3.5 Software nachinstallieren<br />
<strong>UCS</strong> basiert auf der im professionellen Umfeld am häufigsten eingesetzten Linux-Distribution Debian. Zu<br />
den Vorzügen von Debian - und damit auch von <strong>UCS</strong> - gehört ein äußerst flexibles und durchdachtes<br />
Paket-Management.<br />
Auf der DVD, die zur Installation von <strong>UCS</strong> genutzt werden kann, befinden sich neben den Paketen zur<br />
Installation des <strong>UCS</strong>-Basissystems auch Pakete für die unterschiedlichen Rollen eines <strong>UCS</strong>-Rechners<br />
(z.B. DC Master, DC Backup, DC Slave, Memberserver, Managed Client). Zudem sind auf der <strong>UCS</strong>-DVD<br />
weitere Pakete enthalten, die für den Betrieb von <strong>UCS</strong> nicht nötig sind, aber <strong>UCS</strong> um sinnvolle Funktionen<br />
ergänzen.<br />
Sollen also zusätzliche Pakete auf einem <strong>Univention</strong> Corporate Server-System installiert werden, empfiehlt<br />
es sich, zuerst auf der DVD nachzusehen, ob die gewünschte Funktionalität durch eines der dort vorhan-<br />
denen Pakete bereitgestellt werden kann. Der Vorteil der Verwendung von mitgelieferten Programmen ist<br />
die vorhergehende Prüfung der Verwendbarkeit mit <strong>UCS</strong> durch <strong>Univention</strong>. Auf Anfrage kann <strong>Univention</strong><br />
in vielen Fällen auch weitere Pakete zur Verfügung stellen.<br />
Der empfohlene Weg zur Integration fremder Software in <strong>UCS</strong> ist das Kompilieren der Software auf dem<br />
betreffenden <strong>UCS</strong>-Rechner aus den Debian-Quellpaketen und die Installation der daraus entstandenen<br />
Binärprogramme. Bei der Installation muss allerdings darauf geachtet werden, dass durch die Installation<br />
keine anderen Pakete aktualisiert oder deinstalliert werden, weil dadurch Funktionsstörungen des <strong>UCS</strong>-<br />
Systems hervorgerufen werden können. Auf Anfrage kann <strong>Univention</strong> in vielen Fällen weitere Pakete zur<br />
Verfügung stellen.<br />
Paketquellen für die Installation von Debian-Paketen werden in die Datei /etc/apt/sources.list eingetra-<br />
gen. Dort sind bereits Einträge vorhanden, die nicht geändert oder entfernt werden sollten.<br />
43
3 Installation<br />
Zusätzlich stellt <strong>Univention</strong> ein Online-Repository zur Verfügung. Die aktuell relevanten sources.list-<br />
Einträge werden jeweils unter der URL http://apt.univention.de bekannt gegeben.<br />
Neben dem üblichen Weg über die Softwareverteilung gibt es zum Installieren zusätzlicher Debian-<br />
Pakete grundsätzlich drei weitere Wege: Die <strong>Univention</strong> Management Console, univention-install<br />
und dpkg. Die <strong>Univention</strong> Management Console bietet einen komfortablen Weg, über die grafische Be-<br />
nutzeroberfläche eines Webbrowsers Softwarepakete zu verwalten. Dabei wird im Hintergrund der apt-<br />
Mechanismus verwendet. Dieser ist in der Lage, Abhängigkeiten automatisch aufzulösen, kann allerdings<br />
nur Pakete aus Paketquellen einspielen. (Das Repository dient als Paketquelle. Wie sie Pakete zum Re-<br />
pository hinzufügen, ist in Kapitel 11 beschrieben.)<br />
Mit dpkg können Pakete aus beliebigen Verzeichnissen installiert werden. Eventuell nicht erfüllte Abhän-<br />
gigkeiten werden von dpkg nicht selbständig aufgelöst.<br />
Beispiel für die Installation des Paketes univention-samba:<br />
univention-install univention-samba<br />
Im ersten Beispiel muss sich ein Paket mit dem Namen univention-samba in irgendeiner der in<br />
/etc/apt/sources.list eingetragenen Paketquellen befinden. Es wird nach Eingabe des Befehls<br />
zusammen mit eventuellen Abhängigkeiten aus den verfügbaren Paketquellen geholt und installiert.<br />
Durch den Befehl dpkg -i werden keine Abhängigkeiten auf weitere Pakete aufgelöst, daher werden kei-<br />
ne weiteren Pakete aus Paketquellen installiert. Es wird lediglich das als Parameter übergebene Debian-<br />
Paket installiert.<br />
Software, die nicht in Form von Debian-Paketen vorliegt, sollte nach Möglichkeit in die Verzeichnisse /opt<br />
oder /usr/local installiert werden. In diese Verzeichnisse werden keine <strong>UCS</strong>- oder Debian-Pakete in-<br />
stalliert, dadurch ist eine saubere Trennung von <strong>UCS</strong>-/Debian-spezifischer Software und solcher, die nicht<br />
in eine dieser Kategorien fällt, gewährleistet.<br />
44
4 <strong>Univention</strong> Directory Manager<br />
Inhaltsverzeichnis<br />
4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45<br />
4.2 Hinweise zur Programmbedienung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48<br />
4.2.1 Hinweise zu Listenfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49<br />
4.2.2 Hinweise zu Mehrfachauswahlfeldern . . . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
4.3 <strong>Univention</strong> Directory Manager-Assistenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50<br />
4.3.1 Untermenü ”Suchen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51<br />
4.3.2 Untermenü ”Hinzufügen” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53<br />
4.4 Navigation / LDAP-Browser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54<br />
4.4.1 Im Verzeichnisbaum navigieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54<br />
4.4.2 Objekte in der Navigation anzeigen und bearbeiten . . . . . . . . . . . . . . . . . . . 56<br />
4.5 <strong>Univention</strong> Directory Manager Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57<br />
4.5.1 Benutzerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58<br />
4.5.2 Gruppenverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69<br />
4.5.3 Netzwerkverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71<br />
4.5.4 Rechnerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73<br />
4.5.5 Freigabeverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81<br />
4.5.6 Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93<br />
4.5.7 Druckerverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95<br />
4.5.8 Container, Organisationseinheiten, Domänen . . . . . . . . . . . . . . . . . . . . . . 100<br />
4.5.9 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102<br />
4.5.10 DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110<br />
4.5.11 Richtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118<br />
4.5.12 <strong>Univention</strong> Directory Manager Einstellungen . . . . . . . . . . . . . . . . . . . . . . 143<br />
4.5.13 Benutzerdefinierte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151<br />
4.5.14 Erweiterte Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156<br />
4.6 Richtlinien gesteuerte Ansichten des <strong>Univention</strong> Directory Manager Web-Frontends . . . . 161<br />
4.1 Einführung<br />
<strong>Univention</strong> Directory Manager ermöglicht die komfortable webbasierte Verwaltung von Objekten in einem<br />
LDAP-Verzeichnis. Objekte können z.B. Benutzer, Gruppen, Rechner oder DHCP-Einträge sein. Neben<br />
dem hier beschriebenen Web-Interface von <strong>Univention</strong> Directory Manager existiert auch eine Kommando-<br />
zeilenschnittstelle, siehe [6]. Welche Operationen ein Benutzer des <strong>Univention</strong> Directory Manager durch-<br />
führen darf, richtet sich nach den Rechten im Verzeichnisdienst (ACLs). <strong>Univention</strong> Directory Manager<br />
führt selbst keine Rechteverwaltung oder -prüfung durch, sondern leitet die Authentifizierungsinformatio-<br />
nen und Anfragen des Benutzers direkt an den Verzeichnisdienst weiter.<br />
45
4 <strong>Univention</strong> Directory Manager<br />
Das Web-Interface von <strong>Univention</strong> Directory Manager kann aufgerufen werden, indem die URL<br />
https://IP-Adresse-des-Servers/univention-directory-manager/ in das Adressfeld des<br />
Browsers eingegeben wird. Dabei ist IP-Adresse-des-Servers durch die IP-Adresse des Servers,<br />
auf dem <strong>Univention</strong> Directory Manager installiert ist, zu ersetzen. Standardmäßig ist <strong>Univention</strong> Directory<br />
Manager auf dem DC Master installiert. Falls die DNS-Namensauflösung richtig eingerichtet ist, kann auch<br />
direkt auf den Namen des <strong>Univention</strong> Directory Manager-Rechners zugegriffen werden. Dafür ist die URL<br />
https://Name-des-Servers.Domänenname/univention-directory-manager/ einzugeben.<br />
<strong>Univention</strong> Directory Manager verwendet für die Darstellung der Web-Oberfläche Javascript- und CSS-<br />
Funktionen, die mit einigen Browsern Darstellungsprobleme aufwerfen können. Wird die Oberfläche mit<br />
einem anderen Browser als Firefox 3.x oder dem Internet Explorer ab 6.0 aufgerufen, erscheint eine Warn-<br />
meldung.<br />
Unter besonderen Umständen kann es nötig sein, auf den <strong>Univention</strong> Directory Manager über<br />
eine ungesicherte Verbindung zuzugreifen. Dies ist zum Beispiel dann der Fall, wenn für<br />
das System noch keine SSL-Zertifikate erstellt worden sind. Der ungesicherte Zugriff erfolgt<br />
über die Adresse http://IP-Adresse-des-Servers/univention-directory-manager/ bzw.<br />
http://Name-des-Servers.Domänenname/univention-directory-manager/.<br />
Achtung:<br />
Passwörter werden in diesem Fall im Klartext über das Netzwerk gesendet.<br />
Auf dem Bildschirm erscheint nun das Anmeldeformular. Für die erste Anmeldung am System kann der<br />
Benutzer Administrator mit dem Passwort, das bei der Installation des DC Master für den Benutzer root<br />
vergeben wurde, verwendet werden.<br />
In der Anmeldemaske kann unter Sprache die Anzeigesprache des <strong>Univention</strong> Directory Manager konfi-<br />
guriert werden, zur Auswahl stehen Deutsch und Englisch.<br />
Nach der Eingabe des Benutzernamens und des Passwortes ist die Anmeldung durch einen Klick auf die<br />
Schaltfläche [Login] abzuschliessen.<br />
Nach der erfolgreichen Anmeldung erscheint die <strong>Univention</strong> Directory Manager-Begrüßungsseite. Siehe<br />
dazu auch Abbildung 4.2.<br />
Auf der linken Seite ist das Hauptmenü zu erkennen. Unter dem Hauptmenü ist ein Statusfeld mit aktuellen<br />
Statusmeldungen zu getätigten Aktionen. Am oberen Rand ist der angemeldete Benutzername zu sehen,<br />
in diesem Fall Administrator.<br />
Über den Menüeintrag Navigation kann durch das LDAP-Verzeichnis navigiert werden und es können<br />
neue Objekte im LDAP-Verzeichnis erzeugt, modifiziert oder gelöscht werden. Weitere Hinweise dazu<br />
sind im Kapitel 4.4 zu finden.<br />
Mit den Menüeinträgen auf der linken Seite, im folgenden Assistenten genannt, können komfortabel be-<br />
stimmte Objekte bearbeitet werden.<br />
Je nach verwendeter Lizenz bzw. Installation können die angezeigten Assistenten variieren. Hierzu sind<br />
weitere Hinweise in Kapitel 4.5 zu finden.<br />
In der oberen Bildleiste finden sich Links, die einen direkten Zugriff auf häufig verwendete Funktionalität<br />
ermöglichen: Das Anlegen eines Rechner- oder Benutzerobjekts, der Zugriff auf die Navigation und die<br />
Abmeldung von der Oberfläche.<br />
46
Abbildung 4.1: ungesicherte Begrüßungsseite<br />
4.1 Einführung<br />
Der Menüpunkt Über UDM gibt u.a. Angaben zu der verwendeten Lizenz und zur <strong>Univention</strong> Directory<br />
Manager-Programmversion an. Dort kann auch über Lizenz aktualisieren eine Softwarelizenzdatei im-<br />
portiert werden.<br />
Nach einem Klick auf den Eintrag Abmelden im Hauptmenü auf der linken Seite erscheint eine Nachfrage,<br />
ob die Abmeldung tatsächlich durchgeführt werden soll. Die Schaltfläche [Abbrechen] führt wieder zum<br />
vorherigen Menüeintrag zurück ins Programm. Die Schaltfläche [Ok] führt die Abmeldung durch. Anschlie-<br />
ßend wird eine Seite mit einem Link für eine erneute Anmeldung angezeigt.<br />
Ein ähnliches Fenster erscheint, nachdem die laufende <strong>Univention</strong> Directory Manager-Sitzung bei einer<br />
Zeitüberschreitung aus Sicherheitsgründen automatisch beendet wird (siehe Abbildung 4.3).<br />
Um das Zeitintervall bis zum automatischen Beenden der Sitzung zu verändern, kann die <strong>Univention</strong><br />
Configuration Registry-Variable directory/manager/timeout verändert werden. Das Zeitintervall ist<br />
in Sekunden anzugeben. Soll das Zeitintervall bis zum Beenden der nächsten Sitzung auf zehn Minuten<br />
gesetzt werden, so ist der Wert auf 600 einzustellen. In der Standardeinstellung beträgt das Intervall<br />
fünfzehn Minuten.<br />
Die verwendete Standardsprache von <strong>Univention</strong> Directory Manager kann über die <strong>Univention</strong> Configura-<br />
tion Registry-Variable directory/manager/web/language gesteuert werden. Für die englische Uni-<br />
vention Directory Manager-Version muss die Variable auf den Wert us gesetzt werden.<br />
In der Standardeinstellung prüft das <strong>UCS</strong>-System regelmäßig auf verfügbare Updates. Sollte ein Update<br />
zur Verfügung stehen, wird im oberen Teil der Begrüßungsseite (Abbildung 4.2) ein entsprechender Hin-<br />
weis angezeigt. Dieser Hinweis wird nur Benutzern gezeigt, die in mindestens einer der in der <strong>Univention</strong><br />
Configuration Registry-Variable directory/manager/web/update/available/groups angegebe-<br />
nen Gruppen vertreten sind. Der Standardwert wird bei der Installation auf Domain Admins gesetzt. Die<br />
47
4 <strong>Univention</strong> Directory Manager<br />
Gruppen sind kommasepariert anzugeben.<br />
4.2 Hinweise zur Programmbedienung<br />
Abbildung 4.2: Begrüßungsseite<br />
<strong>Univention</strong> Directory Manager ist für den Einsatz von Webbrowsern mit JavaScript-Unterstützung opti-<br />
miert. Aus diesem Grund geht diese Dokumentation bei Abbildungen und Beschreibungen davon aus,<br />
dass ein grafischer Browser mit aktivierter JavaScript-Unterstützung verwendet wird. Ohne aktiviertes Ja-<br />
vaScript werden manche Funktionen nicht automatisch ausgeführt und es ergeben sich somit Abweichun-<br />
gen in der Programmbedienung.<br />
Im <strong>Univention</strong> Directory Manager angezeigte Eingabefelder, die mit einem Stern (*) gekennzeichnet sind,<br />
müssen ausgefüllt werden, alle anderen Felder sind nicht zwingend erforderlich.<br />
Soweit nicht anders angegeben, sind alle Zeichen erlaubt, also auch Sonderzeichen wie < und > sowie<br />
die Umlaute ä, ö, ü und ß.<br />
In Listenfeldern können mittels der Tasten [Strg] oder [Umschalten] und der Maus oder Pfeiltasten mehrere<br />
48
Abbildung 4.3: Automatische Abmeldung nach Zeitüberschreitung<br />
Einträge auf einmal ausgewählt werden.<br />
4.2.1 Hinweise zu Listenfeldern<br />
4.2 Hinweise zur Programmbedienung<br />
Unter den Eingabefeldern des <strong>Univention</strong> Directory Manager befinden sich auch spezielle Listenfelder.<br />
Diese Listenfelder kommen zum Einsatz, wenn für eine Einstellung ein einzelner oder mehrere Werte an-<br />
gegeben werden können. Abbildung 4.4 zeigt ein Beispiel für ein Listenfeld, anhand dessen seine Funktion<br />
näher erläutert wird.<br />
In dem Eingabefeld (➊ in Abbildung 4.4) kann der gewünschte Wert eingetragen und über einen Klick auf<br />
die Schaltfläche [+] ➋ übernommen werden. Der Wert wird anschließend in dem Listenfeld Einträge ➌<br />
angezeigt.<br />
Listenfelder existieren in mehreren Varianten, die sich in der Art des Eingabefeldes ➊ unterscheiden. Hier<br />
können statt eines einzelnen Eingabefeldes auch mehrere Eingabefelder angezeigt werden. Weiterhin<br />
treten auch Auswahllisten oder Kombinationen von Eingabefeldern und Auswahllisten auf. Das weitere<br />
Verhalten der Listenfelder unterscheidet sich dadurch jedoch nicht.<br />
In einigen Fällen ist es notwendig, dass die Einträge in dem Listenfeld Einträge ➌ eine bestimmte Rei-<br />
henfolge aufweisen. Nach der Selektion eines Eintrags durch einfaches Anklicken kann dieser über die<br />
49
4 <strong>Univention</strong> Directory Manager<br />
Abbildung 4.4: Angabe von DNS-Servern über ein Listenfeld<br />
Schaltflächen [△] ➍ und [▽] ➎ innerhalb der Liste nach oben bzw. nach unten verschoben werden.<br />
Mittels der Tasten [Strg] oder [Umschalten] und der Maus oder Pfeiltasten können auch mehrere Einträge<br />
auf einmal ausgewählt und verschoben bzw. gelöscht werden.<br />
Über die Schaltfläche [-] ➏ können einzelne oder mehrere Einträge aus dem Listenfeld entfernt werden,<br />
sofern sie zuvor markiert wurden.<br />
Hinweis:<br />
Werte, die zwar in das Eingabefeld ➊ eingetragen, aber nicht über die Schaltfläche [+] dem Listenfeld<br />
Einträge hinzugefügt wurden, werden beim Bestätigen der Änderungen am Objekt nicht übernommen!<br />
4.2.2 Hinweise zu Mehrfachauswahlfeldern<br />
Für einige komplexe Eingabefelder wie die Gruppenmitgliedschaften gibt es Mehrfachauswahlfelder. (sie-<br />
he auch Abbildung 4.5). Das Dialogelement zeichnet sich dadurch aus, dass in einer Menge von Objekten<br />
nach bestimmten Kriterien gesucht werden kann und sich daraus markierte Objekte der Gruppe hinzufü-<br />
gen lassen.<br />
In der Auswahlliste Eigenschaft (➊ in Abbildung 4.5) kann ein Attribut ausgewählt werden, das als Such-<br />
kriterium verwendet wird. Bei einigen Attributen wird nach der Auswahl automatisch ein Eingabefeld gela-<br />
den, das an die Stelle des Platzhalters Keine ➋ tritt.<br />
In dem zusätzlichen Eingabefeld ➋, das den Namen des gewählten Attributs trägt, kann ein Suchmuster<br />
eingegeben werden. Dabei ist es möglich, einen Stern ’*’ als Platzhalter für beliebige Zeichenketten zu<br />
verwenden.<br />
Nach einem Klick auf die Schaltfläche [Anzeigen] werden die Objekte, auf die das angegebene Suchkrite-<br />
rium zutrifft, in dem Listenfeld Alles ➌ angezeigt. Das Listenfeld Aktuell ➍ zeigt die derzeit ausgewählten<br />
Objekte an.<br />
Mit den Schaltflächen [▹] und [◃] ➎ lassen sich zuvor markierte Objekte zwischen den Listenfeldern Alles<br />
und Aktuell verschieben, wodurch die Objekte in die Gruppe aufgenommen bzw. aus ihr entfernt werden.<br />
4.3 <strong>Univention</strong> Directory Manager-Assistenten<br />
Neben der Navigation im Verzeichnisbaum bietet <strong>Univention</strong> Directory Manager eine Reihe von Assisten-<br />
ten im linken Hauptmenü an (siehe Abbildung 4.2). Diese Assistenten bieten eine einfache Schnittstelle für<br />
50
Abbildung 4.5: Beispiel für Gruppenmitgliedschaften<br />
4.3 <strong>Univention</strong> Directory Manager-Assistenten<br />
häufig auftretende Administrationsschritte. Standardmäßig werden die folgenden Assistenten angezeigt:<br />
• Benutzer<br />
• Gruppen<br />
• Netzwerk<br />
• Rechner<br />
• DNS<br />
• DHCP<br />
• Drucker<br />
• Freigaben<br />
• Richtlinien<br />
Je nach installierter Software und verwendeter Lizenz kann die Anzahl der Assistenten variieren.<br />
Nach einem Klick auf einen Assistenten öffnet sich ein Untermenü und die Einträge Suchen und Hin-<br />
zufügen werden angezeigt. Das Untermenü Suchen wird direkt aktiviert und eine Suche nach dem ak-<br />
tuellen Objekttyp durchgeführt. Wenn nicht direkt gesucht werden soll - etwa in grossen Umgebungen<br />
mit vielen Objekten - kann dieses Verhalten durch Setzen der <strong>Univention</strong> Configuration Registry-Variable<br />
directory/manager/web/modules/autosearch auf false unterbunden werden.<br />
4.3.1 Untermenü ”Suchen”<br />
Durch das Untermenü Suchen können sehr einfach Objekte eines bestimmten Typs oder einer bestimmten<br />
Typengruppe gesucht und ggf. bearbeitet werden.<br />
In der Auswahlliste Suchen in kann zwischen verschiedenen Suchbereichen gewählt werden; damit wird<br />
bestimmt, welche Teile des LDAP-Verzeichnisses durchsucht werden sollen. Weitere Hinweise zu den<br />
registrierten Containern finden sich in Kapitel 4.5.12.7.<br />
51
4 <strong>Univention</strong> Directory Manager<br />
Abbildung 4.6: Suche nach Benutzernamen<br />
Falls der Assistent für unterschiedliche <strong>Univention</strong> Directory Manager-Module zuständig ist (so ist bei-<br />
spielsweise der Rechner-Assistent für unterschiedliche Rechnertypen (<strong>UCS</strong> DC Systeme, Windows Rech-<br />
ner usw.) zuständig), so wird unter Typ auswählen eine Liste mit den möglichen Objekt-Typen angezeigt.<br />
In der Auswahlliste Eigenschaft kann die Suche auf bestimmte Attribute beschränkt werden. Bei einigen<br />
Eigenschaften, beispielsweise in der Suche nach Benutzern mit der Eigenschaft Deaktiviert, erscheint ein<br />
Auswahlkästchen. Bei den meisten anderen Eigenschaften erscheint ein Eingabefeld, in das der gesuchte<br />
Wert für das Attribut eingetragen wird.<br />
Wildcards, wie bsp. der Stern *, sind möglich, es hängt dabei aber von den Schema-Definitionen des<br />
LDAP-Verzeichnisses ab, ob die Suche erfolgreich ist.<br />
Beispiel:<br />
Wenn alle Benutzer, deren Nachname mit dem Buchstaben m beginnt, gesucht werden sollen, so ist der<br />
Benutzer-Assistent aufzurufen. In der Auswahlliste Eigenschaften wird das Attribut Nachname gewählt<br />
und in das Eingabefeld wird m* eingetragen.<br />
Im Eingabefeld Ergebnisse pro Seite wird definiert, wie viele Objekte auf einer Seite angezeigt werden.<br />
Standardmässig werden maximal 1000 Objekte auf einer Seite angezeigt werden, durch die <strong>Univention</strong><br />
Configuration Registry-Variable directory/manager/web/ldap/sizelimit kann ein abweichender<br />
Wert konfiguriert werden.<br />
Wenn für alle Objekte mehr als eine Seite benötigt wird, ist es durch einen Klick auf die Seitenzahlen<br />
möglich, in den Seiten zu blättern. Die Seitennummer der aktuell angezeigten Seite wird gegenüber den<br />
anderen Seitenzahlen optisch hervorgehoben.<br />
52
4.3 <strong>Univention</strong> Directory Manager-Assistenten<br />
Durch Klick auf die Schaltfläche [Suchen] wird die Suche mit den gewählten Kriterien ausgeführt. Durch<br />
Klick auf die Schaltfläche [Zurücksetzen] werden dagegen alle Kriterien auf ihre Ausgangswerte zurück-<br />
gesetzt. In diesem Fall wird keine Suche im Verzeichnisbaum durchgeführt. Zusätzlich existiert bei den<br />
Assistenten für Benutzer , Rechner und Gruppen die Schaltfläche [Report erstellen]. Darüber können<br />
Suchergebnisse in ein PDF-Dokument oder alternativ auch in eine Datei im CSV-Format übertragen wer-<br />
den. Details zu den <strong>Univention</strong> Directory Reports sind in der Dokumentation unter [7] zu finden.<br />
Das durch Klick auf die Schaltfläche [Suchen] erzeugte Suchergebnis wird in einer Tabelle mit den Spalten<br />
Objekt, ggf. Eigenschaft, Ort und einem Auswahlkästchen Auswählen präsentiert. In der Spalte Objekt<br />
sind alle Ergebnisse, auf die die Suchkriterien zutreffen, mit einem entsprechenden Symbol für das Objekt<br />
und mit ihrem Namen aufgeführt.<br />
Wenn eine bestimmte Eigenschaft ausgewählt wurde, so wird eine Spalte mit der Eigenschaft als Über-<br />
schrift und den jeweiligen Werten als Einträge dargestellt. Wenn bspw. bei den Benutzern nach den Nach-<br />
namen gesucht wurde, so wird eine Spalte mit den Nachnamen angezeigt.<br />
In der nächsten Spalte Ort wird die Position des Suchergebnisses im LDAP-Verzeichnis angezeigt. Die<br />
Position setzt sich zusammen aus der Domäne gefolgt von dem Namen des aktuell ausgewählten Contai-<br />
ners.<br />
In der letzten Spalte Auswählen wird ein Auswahlkästchen angezeigt, darunter wird eine Auswahl von<br />
möglichen Operationen unter dem Punkt Die ausgewählten Objekte ... angeboten. Mit der Option Aus-<br />
wahl umkehren kann die Auswahl der markierten Objekte umgekehrt werden. Durch die Option Bearbei-<br />
ten besteht die Möglichkeit mehrere Objekte auf einmal zu editieren. Wenn bspw. mehrere Benutzer auf<br />
einmal deaktiviert werden sollen, kann dieser Befehl verwendet werden. Die Option Löschen erlaubt das<br />
Löschen von Objekten.<br />
Durch Klick auf den Namen des Objekts oder auf das Symbol vor dem Namen in der Liste der Sucher-<br />
gebnisse werden die Daten des Objektes zur Anzeige bzw. zur Bearbeitung geöffnet. Die Daten sind auf<br />
mehrere Karteikarten verteilt und entsprechen im wesentlichen den Daten beim Hinzufügen eines Ob-<br />
jektes. Die Abweichungen sind in den jeweiligen <strong>Univention</strong> Directory Manager-Modul-Dokumentationen<br />
beschrieben (siehe Kapitel 4.5.1 bis 4.5.12).<br />
Nach Abschluss der Bearbeitung werden die Änderungen mittels der Schaltfläche [OK] in das LDAP-<br />
Verzeichnis übernommen bzw. mittels der Schaltfläche [Abbrechen] verworfen.<br />
Hinweis:<br />
Nach Betätigung einer der beiden Schaltflächen wird das vorherige zwischengespeicherte Suchergebnis<br />
wieder angezeigt. Soeben gemachte Änderungen sind in dem zwischengespeicherten Suchergebnis noch<br />
nicht enthalten!<br />
4.3.2 Untermenü ”Hinzufügen”<br />
Durch das Untermenü Hinzufügen können sehr einfach Objekte eines bestimmten Typs hinzugefügt wer-<br />
den.<br />
In der Auswahlliste Container auswählen kann zwischen verschiedenen Positionen im LDAP-Verzeichnis<br />
gewählt werden. Weitere Hinweise zu diesen registrieren Containern finden sich in Kapitel 4.5.12.7.<br />
53
4 <strong>Univention</strong> Directory Manager<br />
Abbildung 4.7: Hinzufügen eines Benutzers<br />
Falls der Assistent für unterschiedliche <strong>Univention</strong> Directory Manager-Module zuständig ist (so ist bei-<br />
spielsweise ist der Rechner-Assistent für unterschiedliche Rechnertypen - (<strong>UCS</strong> DC Systeme, Windows<br />
Rechner usw. zuständig) - , so wird unter Typ auswählen eine Liste mit den möglichen Typen angezeigt.<br />
Falls das <strong>Univention</strong> Directory Manager-Modul, welches für diesen Assistenten zuständig ist, den Vorla-<br />
gen-Mechanismus unterstützt, so wird unter Vorlage auswählen eine Liste der möglichen Vorlagen zur<br />
Auswahl gestellt.<br />
Ein Klick auf die Schaltfläche [Abbrechen] verwirft die Eingaben und aktiviert das Untermenü Suchen<br />
des Assistenten.<br />
Durch einen Klick auf die Schaltfläche [Weiter] werden die Karteikarten des neuen Objektes angezeigt.<br />
In diesen Karteikarten können nun die Daten des neuen Objektes eingegeben werden. Durch einen ab-<br />
schließenden Klick auf die Schaltfläche [Ok] werden die Einträge in das LDAP-Verzeichnis übernommen,<br />
durch einen Klick auf die Schaltfläche [Abbrechen] werden die eingetragenen Informationen verworfen.<br />
Hinweise zu den Karteikarten sind in den jeweiligen <strong>Univention</strong> Directory Manager-Modul-Kapiteln zu fin-<br />
den, siehe Kapitel 4.5.1 bis 4.5.12.<br />
4.4 Navigation / LDAP-Browser<br />
4.4.1 Im Verzeichnisbaum navigieren<br />
Über den Menüeintrag Navigation kann durch das LDAP-Verzeichnis navigiert werden und es können<br />
neue Objekte im LDAP-Verzeichnis erzeugt, modifiziert oder gelöscht werden.<br />
Ein Klick auf den Menüeintrag Navigation öffnet eine Seite, die eine Tabelle mit einem Ausschnitt der<br />
Daten aus dem LDAP-Verzeichnis anzeigt. Diese Tabelle wird im folgenden Verzeichnisübersicht genannt<br />
(siehe Abbildung 4.8).<br />
Die angezeigte Position (➊ in der Abbildung 4.8) gibt die Position im Verzeichnisbaum der Domäne an.<br />
Die oberste Ebene wird durch den Namen der Domäne angezeigt. Wenn per Mausklick in einen Contai-<br />
ner gewechselt wird, bsp. durch Klick auf den Container users ➋, wird der aktuelle Pfad unter Position<br />
angezeigt. Die einzelnen Pfad-Segmente können zum Wechseln in die jeweilige Ebene angeklickt werden.<br />
Durch Klick auf den grauen Pfeil nach oben mit dem Text übergeordneter Ordner (➌ in Abbildung 4.9)<br />
kann im LDAP-Verzeichnis eine Ebene nach oben navigiert werden. Auf der obersten Ebene wird das<br />
Ordnersymbol für den übergeordneten Ordner nicht angezeigt.<br />
54
Abbildung 4.8: Verzeichnisübersicht<br />
4.4 Navigation / LDAP-Browser<br />
In der Auswahlliste Neues Objekt an aktueller Position hinzufügen ➍ stehen jeweils Objekttypen zur<br />
Auswahl, die an dieser Position im LDAP-Verzeichnis angelegt werden können.<br />
Über die Auswahlliste Typ ➎ und die Schaltfläche [Anzeigen] ➏ kann gesteuert werden, welche Objekte<br />
zusätzlich zu den Containerobjekten dieser Ebene angezeigt werden. Wenn ein Typ in der Liste ➎ markiert<br />
ist, wird ggf. eine weitere Auswahlliste Eigenschaft ➐ angezeigt. Nach der Auswahl der gewünschten<br />
Eigenschaft wird ggf. ein weiteres Eingabefeld angezeigt, in dem ein Suchbegriff eingegeben werden<br />
kann.<br />
Im Eingabefeld Ergebnisse pro Seite ➑ wird festgelegt, wie viele Objekte auf einer Seite anzuzeigen<br />
sind. Wenn für alle Objekte mehr als eine Seite benötigt wird, ist es durch einen Klick auf die Seitenzahlen<br />
➒ möglich, in den Seiten zu blättern. Die Seitennummer der aktuell angezeigten Seite wird gegenüber den<br />
anderen Seitenzahlen optisch hervorgehoben.<br />
Durch Klick auf die Schaltfläche [Anzeigen] ➏ werden die Objekte der aktuellen Ebene, die den Auswahl-<br />
kriterien entsprechen, in der Verzeichnisübersicht angezeigt. Die Ordner-Objekte werden unabhängig von<br />
den Suchkriterien angezeigt.<br />
In der Verzeichnisübersicht wird für ein Objekt in der Spalte Objekt ein Symbol für den Objekttyp und<br />
ein Name angezeigt. In der Spalte Typ wird der Objekttyp in Worten angegeben. Falls ein Suchkriterium<br />
definiert wurde, so wird in der nächsten Spalte das Ergebnis des Suchkriteriums angezeigt. In der letzten<br />
Spalte Auswählen wird ein Auswahlkästchen angezeigt, darunter wird eine Auswahl von möglichen Ope-<br />
rationen unter dem Punkt Die ausgewählten Objekte ... angeboten. Mit der Option Auswahl umkehren<br />
55
4 <strong>Univention</strong> Directory Manager<br />
Abbildung 4.9: Benutzerobjekte Anzeigen<br />
kann die Auswahl der markierten Objekte umgekehrt werden. Durch die Option Bearbeiten besteht die<br />
Möglichkeit, mehrere Objekte auf einmal zu editieren. Wenn beispielsweise mehrere Benutzer auf ein-<br />
mal deaktiviert werden sollen, kann dieser Befehl verwendet werden. Die Option Löschen erlaubt das<br />
Löschen von Objekten. Durch Verschieben besteht die Möglichkeit, ein oder mehrere Objekte an eine<br />
andere Position im Verzeichnisbaum zu verschieben.<br />
4.4.2 Objekte in der Navigation anzeigen und bearbeiten<br />
Die über ein Objekt gespeicherten Informationen können angeschaut bzw. bearbeitet werden, indem auf<br />
das Symbol oder den Namen des Objektes in der Verzeichnisübersicht geklickt wird. Es werden dann<br />
sogenannte Karteikarten mit den Informationen zu diesem Objekt angezeigt (siehe Abbildung 4.10).<br />
Handelt es sich bei dem Objekt um einen Container, in dem weitere Objekte enthalten sein können, so<br />
wird zunächst der Inhalt des Containers als Verzeichnisübersicht dargestellt. Das Objekt selbst erscheint<br />
in dieser Verzeichnisübersicht mit seinem Symbol und der Bezeichnung (aktuell). Nach einem Klick auf<br />
das Symbol oder auf (aktuell) erscheinen die Karteikarten und Information zu diesem Objekt.<br />
Die Karteikarten beim Bearbeiten entsprechen weitgehend den Karteikarten beim Hinzufügen von Objek-<br />
ten und werden in den entsprechenden Anleitungen dazu ausführlich beschrieben (siehe Kapitel 4.5).<br />
Wenn die Informationen lediglich angezeigt werden sollen, so sollte das Objekt nach der Betrachtung<br />
56
Abbildung 4.10: Benutzerobjekt des Administrators<br />
durch einen Klick auf die Schaltfäche [Abbrechen] verlassen werden.<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Manche Werte sind vor Änderung geschützt und können nicht geändert werden. Diese Werte werden<br />
ausgegraut dargestellt und lassen sich nicht ändern.<br />
Andere Werte sind zwingend erforderlich, sie können meistens geändert, aber nicht gelöscht werden. Hin-<br />
ter der Feldbeschriftung eines solchen Feldes wird in der Regel ein Stern mit Klammern angezeigt (*).<br />
Diese Werte müssen ausgefüllt sein, bevor die Karteikarte gewechselt wird. Abgesehen davon kann zwi-<br />
schen den Karteikarten beliebig gewechselt werden. Die eingetragenen Werte bleiben bei einem Wechsel<br />
der Karteikarte erhalten.<br />
Wenn alle gewünschten Änderungen an einem Objekt durchgeführt wurden, so wird durch einen Klick<br />
auf die Schaltfläche [Ok] die Eingabe übernommen und im LDAP-Verzeichnis werden die entsprechenden<br />
Änderungen durchgeführt.<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Neben der Möglichkeit, über die Navigation das LDAP-Verzeichnis zu modifizieren, stellt <strong>Univention</strong> Di-<br />
rectory Manager mehrere <strong>Univention</strong> Directory Manager-Module bereit, die dem Benutzer das Suchen,<br />
57
4 <strong>Univention</strong> Directory Manager<br />
Hinzufügen, Modifizieren und Löschen von LDAP-Objekten erleichtern sollen, indem sie gängige Abläufe<br />
zusammenfassen (z.B. das Anlegen von DHCP- und DNS-Einträgen beim Anlegen eines neuen Rechner-<br />
Objektes).<br />
Die in einem <strong>Univention</strong> Directory Manager-Modul verwaltbaren Attribute werden unterteilt in Standard-<br />
Attribute und erweiterte Attribute. Standardmässig werden in den Reitern eines Moduls nur die<br />
Standard-Attribute angezeigt. Durch einen Klick auf Zeige die erweiterten Einstellungen wer-<br />
den die übrigen Reiter eingeblendet. Durch Setzen der <strong>Univention</strong> Configuration Registry-Variable<br />
directory/manager/web/modules/advancedview auf true werden standardmässig alle Attribute<br />
angezeigt.<br />
4.5.1 Benutzerverwaltung<br />
Die folgenden Richtlinien-Objekte können auf die Benutzerverwaltung angewendet bzw. vererbt werden<br />
(siehe Kapitel 4.5.11):<br />
58<br />
• Mail-Quota<br />
• Passwort-Richtlinie<br />
• <strong>Univention</strong> Admin-Ansicht<br />
• Desktop-Einstellungen<br />
• UMC-Zugriff<br />
Karteikarte ’Allgemein’<br />
Benutzername (*)<br />
Mit diesem Namen meldet sich der Benutzer am System an. Die Angabe des Benutzernamens ist für<br />
einen Benutzer zwingend erforderlich, auch muss der Name mit einem Buchstaben beginnen und darf<br />
anschließend Buchstaben von a bis z, die Ziffern 0 bis 9, einen Punkt, Bindestrich oder Unterstrich<br />
enthalten. Nur der erste Buchstabe des Benutzernamens darf ein Großbuchstabe sein.<br />
Hinweis:<br />
Um die Kompatibilität mit anderen nicht-<strong>UCS</strong>-Systemen zu gewährleisten, verhindert <strong>Univention</strong> Di-<br />
rectory Manager das Anlegen von Benutzern, die sich lediglich in der Groß- und Kleinschreibung<br />
unterscheiden. Wenn beispielsweise der Benutzername ’meier’ bereits existiert, wird der Benutzer-<br />
name ’Meier’ nicht mehr zugelassen.<br />
Beschreibung<br />
Hier können beliebige Beschreibungen für den Benutzer eingetragen werden.<br />
Passwort (*)<br />
Hier wird das Passwort des Benutzers eingeben.<br />
Passwort (Wiederholung) (*)<br />
Um Tippfehler auszuschließen wird das Passwort des Benutzers erneut eingegeben.
Passwort-History ignorieren<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Durch die Auswahl dieses Auswahlkästchens wird die Passwort-History für diesen Benutzer und für<br />
diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer mit dieser Passwortän-<br />
derung ein bereits verwendetes Passwort zugewiesen werden. Weitere Hinweise zu den Passwort-<br />
Richtlinien für Benutzer finden sich in Kapitel 4.5.11.5.<br />
Passwort-Prüfungen ignorieren<br />
Durch die Auswahl dieses Auswahlkästchens wird die Prüfung der Passwortlänge und -qualität für<br />
diesen Benutzer und für diese Passwortänderung außer Kraft gesetzt. Dadurch kann dem Benutzer<br />
mit dieser Passwortänderung z.B. ein kürzeres Passwort zugewiesen werden, als in der Mindestlän-<br />
ge vorgegeben ist. Weitere Hinweise zu den Passwort-Richtlinien für Benutzer finden sich in Kapi-<br />
tel 4.5.11.5.<br />
Vorname<br />
Hier wird der Vorname des Benutzers eingetragen.<br />
Nachname (*)<br />
Hier wird der Nachname des Benutzers angegeben.<br />
Titel<br />
Der Titel des Benutzers kann hier eingegeben werden.<br />
Organisation<br />
Die Organisation wird in diesem Feld eingetragen.<br />
Karteikarte ’Benutzer-Konto’<br />
Konto-Ablaufdatum<br />
In diesem Eingabefeld wird das Datum festgelegt, ab wann dieses Benutzerkonto ungültig ist. Das<br />
Ablaufdatum ist in der Form TT MM JJ anzugeben, also 05 03 06 für den 5. März 2006. Ab dem<br />
eingestellten Datum bekommt der Benutzer, wenn er versucht sich am System anzumelden, eine<br />
Meldung, dass seine Benutzerkennung ungültig ist; er hat somit keinen Zugang mehr zum System.<br />
Wenn das Datum entfernt oder ein anderes, zukünftiges Datum eingetragen wird, kann der Benutzer<br />
sich wieder anmelden.<br />
Passwort-Ablaufdatum<br />
Wenn das Passwort zu einem bestimmten Datum abläuft, wird dieses Datum in diesem Eingabefeld<br />
in der Form TT MM JJ angezeigt, also 05 03 06 für den 5. März 2006. Diese Eingabefelder sind<br />
nicht direkt änderbar. Das Datum kann über das Auswahlkästchen Passwort bei der nächsten An-<br />
meldung ändern auf dieser Karteikarte und über das Eingabefeld Passwort-Ablaufintervall auf der<br />
Richtlinien-Karteikarte Passwort geändert bzw. beeinflusst werden.<br />
59
4 <strong>Univention</strong> Directory Manager<br />
60<br />
Ist das Passwort-Ablaufdatum erreicht oder überschritten, wird der Benutzer bei der Anmeldung am<br />
System aufgefordert, sein Passwort zu ändern. Nachdem das Passwort geändert wurde, hat der<br />
Benutzer wieder Zugang zum System.<br />
Ändert der Benutzer sein Passwort, wird das Passwort-Ablaufdatum automatisch angepasst, wenn<br />
auf der Richtlinien-Karteikarte Passwort ein Wert für das Passwort-Ablaufintervall eingetragen ist<br />
oder von einem übergeordneten Objekt der Wert geerbt wird. Das neue Ablaufdatum wird, gerechnet<br />
vom Zeitpunkt der Passwortänderung, um den in Passwort-Ablaufintervall angegebenen Zeitraum<br />
in die Zukunft gesetzt.<br />
Ist kein Passwort-Ablaufintervall gesetzt, so wird das alte Passwort-Ablaufdatum gelöscht und kein<br />
neues eingetragen.<br />
Konto-Deaktivierung<br />
Mit dem Auswahlfeld Konto-Deaktivierung kann das Benutzerkonto für ein oder mehrere Anmelde-<br />
verfahren deaktiviert werden. Solange der jeweilige Konto-Typ deaktiviert ist, kann sich der Benutzer<br />
nicht am System anmelden. Ein typischer Anwendungsfall ist ein Benutzer, der das Unternehmen ver-<br />
lassen hat. Eine Kontodeaktivierung kann in einer heterogenen Umgebung ggf. auch durch externe<br />
Tools ausgelöst werden, das Auswahlfeld spiegelt dann den Zustand des Kontos wieder. Normaler-<br />
weise sollten Benutzer immer für alle Konto-Typen deaktiviert werden. Folgende Deaktivierungszu-<br />
stände können umgesetzt werden:<br />
• Keine - Der Grundzustand; alle Anmeldungen sind möglich.<br />
• Alle deaktiviert - Alle Kontotypen sind gesperrt.<br />
• Windows deaktiviert<br />
• Kerberos deaktiviert<br />
• POSIX deaktiviert<br />
• Windows und POSIX deaktiviert<br />
• Windows und Kerberos deaktiviert<br />
• POSIX und Kerberos deaktiviert<br />
Folgende Querbeziehungen zwischen den verschiedenen Anmeldeverfahren ergeben sich aus der<br />
<strong>UCS</strong>-PAM-Konfiguration:<br />
• Die Linux-Anmeldung (z.B. an GDM oder einem tty) wird nur deaktiviert, wenn alle Anmelde-<br />
verfahren deaktiviert werden; ein deaktiviertes POSIX-Konto reicht dazu nicht aus.<br />
• Samba setzt ein nicht deaktiviertes POSIX-Konto voraus, d.h. durch das Deaktivieren des<br />
POSIX-Kontos wird auch Samba deaktiviert.
4.5 <strong>Univention</strong> Directory Manager Module<br />
• Die Kerberos-Bibliothek (Heimdal) wertet auch die Samba-Kontoeinstellungen aus, d.h. durch<br />
das Deaktivieren des Windows-Kontos wird auch Kerberos deaktiviert.<br />
Passwort bei der nächsten Anmeldung ändern<br />
Wenn dieses Auswahlkästchen aktiviert ist, muss der Benutzer bei der nächsten Anmeldung an<br />
der Domäne sein Passwort ändern. Bei der Aktivierung wird das aktuelle Datum als Passwort-<br />
Ablaufdatum gespeichert. Weitere Hinweise sind in der Beschreibung zum Passwort-Ablaufdatum<br />
auf der selben Karteikarte zu finden.<br />
Gesperrte Anmeldeverfahren<br />
Mit diesem Auswahlfeld können einzelne Anmeldeverfahren gesperrt werden. Dies kann beispielswei-<br />
se aus Sicherheitsgründen automatisch erfolgen, wenn ein Benutzer sein Passwort zu oft fehlerhaft<br />
eingegeben hat. Normalerweise sollten Benutzer immer für alle Anmeldeverfahren gesperrt werden.<br />
Im Gegensatz zur Konto-Deaktivierung wird dabei nicht das Konto deaktiviert, sondern nur die<br />
Anmeldung verweigert. Folgende Anmeldeverfahren können eingeschränkt werden:<br />
• Kein gesperrtes Anmeldeverfahren<br />
• Alle Anmeldeverfahren sind gesperrt<br />
• Nur Windows/Kerberos gesperrt<br />
• Nur POSIX/LDAP gesperrt<br />
Karteikarte ’Mail’<br />
Primäre E-Mail-Adresse<br />
Hier wird die primäre E-Mail-Adresse des Benutzers angegeben. E-Mail-Adressen können die Zei-<br />
chen a-z, die Ziffern 0-9, Punkte, Bindestriche und Unterstriche enthalten. Als weitere Vorgabe müs-<br />
sen die E-Mail-Adressen mit einem Buchstaben beginnen und ein @-Zeichen enthalten.<br />
Alternative E-Mail-Adressen<br />
Hier können weitere E-Mail-Adressen für den Benutzer eingetragen werden. E-Mails an diese Adres-<br />
se werden an denselben Posteingang geliefert wie E-Mails an die primäre E-Mail-Adresse des Be-<br />
nutzers. Es ist möglich, dass mehrere Benutzer die gleiche alternative E-Mail-Adresse erhalten, aller-<br />
dings sollte die mehrfach verwendete alternative E-Mail-Adresse nicht bei einem Benutzer als primäre<br />
E-Mail-Adresse verwendet werden.<br />
Achtung:<br />
Wird Scalix für <strong>UCS</strong> verwendet, so ist der Betrieb von mehreren Benutzern mit identischer alternativer<br />
Email-Adresse nicht möglich.<br />
61
4 <strong>Univention</strong> Directory Manager<br />
62<br />
Globalen Spam-Ordner verwenden<br />
Als Spam eingestufte E-Mail wird nicht an den persönlichen Spam-Ordner des Benutzers zugestellt,<br />
sondern in einen globalen Spam-Ordner, wenn diese Option aktiviert ist.<br />
Karteikarte ’Kontakt’<br />
Hinweis:<br />
Die Daten für Telefonnummer, Straße, Postleitzahl und Stadt werden in den Attributen für die Ge-<br />
schäftsadresse im LDAP-Verzeichnis gespeichert. Die privaten Kontaktdaten können auf der Kartei-<br />
karte Kontakt privat eingetragen werden.<br />
E-Mail-Adresse<br />
Hier wird die E-Mail-Adresse des Benutzers eingetragen. Im LDAP-Verzeichnisdienst werden die<br />
Werte dieses Attributes in das LDAP-Attribut mail eingetragen. Die meisten Adressbücher mit einer<br />
LDAP-Suchfunktion suchen für die E-Mail-Adresse nach diesem Attribut. Die Syntax ist identisch zu<br />
dem Attribut Primäre E-Mail-Adresse.<br />
Telefonnummer<br />
Dieses Feld beinhaltet die Telefonnummer des Benutzers. Erlaubte Werte sind die Ziffern 0-9, die<br />
Buchstaben a-z in Groß- und Kleinschreibung und die Zeichen ), (, /, + und -.<br />
Straße<br />
Die Straße und die Hausnummer des Benutzers kann hier eingetragen werden.<br />
Postleitzahl<br />
Dieses Feld beinhaltet die Postleitzahl des Benutzers.<br />
Stadt<br />
Dieses Feld beinhaltet die Stadt der Anschrift des Benutzers.<br />
Geburtsdatum<br />
In diesem Feld kann das Geburtsdatum eines Benutzers gespeichert werden<br />
Bild des Benutzers (JPEG-Format)<br />
Über diese Maske kann ein Bild des Benutzers im JPEG-Format im LDAP hinterlegt werden. Stan-<br />
dardmäßig ist die Dateigröße nicht limitiert; über die <strong>Univention</strong> Configuration Registry-Variable<br />
directory/manager/jpegphoto/maxsize kann aber eine Beschränkung konfiguriert werden.
Karteikarte ’Kontakt privat’<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Rufnummern können die Ziffern 0-9, die Buchstaben a-z in Groß- und Kleinschreibung und die Zei-<br />
chen ), (, /, + und - enthalten.<br />
Telefonnummer Mobil<br />
Hier werden die Mobilfunknummern des Benutzers eingetragen.<br />
Telefonnummer Festnetz<br />
Die privaten Festnetznummern können hier angegeben werden.<br />
Rufnummer Pager<br />
Pager-Rufnummern werden in diesem Feld angegeben.<br />
Private Adresse<br />
Eine oder mehrere private Postadressen des Benutzers kann in diesem Feld angegeben werden. In<br />
<strong>UCS</strong>-Versionen vor 2.3 konnte in diesem Feld nur eine Adresse gespeichert werden. Wenn von einer<br />
früheren Version aktualisiert wurde, kann hier nur eine Adresse gespeichert werden.<br />
Karteikarte ’Organisation’<br />
Mitarbeiternummer<br />
Nummern für Mitarbeiter können in diesem Feld eingetragen werden.<br />
Mitarbeiterkategorie<br />
Hier kann die Kategorie des Mitarbeiters festgelegt werden.<br />
Abteilungsnummer<br />
Hier kann die Abteilungsnummer des Mitarbeiters angegeben werden.<br />
Raumnummer<br />
Die Raumnummer des Benutzers.<br />
Vorgesetzter<br />
Der Vorgesetzte des Benutzers kann hier ausgewählt werden.<br />
Karteikarte ’POSIX (Linux/UNIX)’<br />
UNIX-Heimatverzeichnis (*)<br />
Hier ist der Verzeichnispfad zum Heimatverzeichnis des Benutzers einzutragen. Standardmäßig wird<br />
hier /home/ gefolgt von dem Benutzernamen eingetragen. Die Angabe des Heimatverzeichnisses<br />
63
4 <strong>Univention</strong> Directory Manager<br />
64<br />
sollte domänenweit eindeutig sein.<br />
Weitere Hinweise findet sich in der Desktop-Dokumentation in Kapitel 9.7.<br />
Login-Shell<br />
In diesem Feld wird die Login-Shell des Benutzers eingetragen. Dieses Programm wird bei der text-<br />
basierten Anmeldung des Benutzers gestartet. Standardmäßig wird hier /bin/bash eingetragen.<br />
Benutzer-ID<br />
Wenn der Benutzer eine bestimmte Benutzer-ID bekommen soll, so kann die Benutzer-ID in die-<br />
ses Feld eingetragen werden. Wird keine Benutzer-ID zugewiesen, so vergibt <strong>Univention</strong> Directory<br />
Manager beim Hinzufügen eine freie Benutzer-ID. Die Benutzer-ID kann nur beim Hinzufügen des<br />
Benutzers angegeben werden, beim späteren Bearbeiten des Benutzers kann die Benutzer-ID nicht<br />
geändert werden und wird ausgegraut dargestellt.<br />
Gruppen-ID<br />
Beim Hinzufügen des Benutzers wird hier die Gruppen-ID der primären Gruppe des Benutzers einge-<br />
tragen. Dieser Wert kann nur beim Hinzufügen geändert werden. Beim Bearbeiten kann die primäre<br />
Gruppe auf der Karteikarte Gruppen bearbeitet werden.<br />
Heimatverzeichnisfreigabe<br />
Hier kann, alternativ zur bereits bestehenden Heimatverzeichnisfreigabe, ein Verzeichnis ausgewählt<br />
werden, in dem sich das Heimatverzeichnis des Benutzers befindet bzw. in dem das Verzeichnis<br />
angelegt werden soll.<br />
Pfad der Heimatverzeichnisfreigabe<br />
Der Pfad zum Heimatverzeichnis relativ zur Heimatverzeichnisfreigabe wird hier angegeben. Als<br />
Vorgabewert ist hier der Benutzername bereits eingetragen.<br />
Hinweis:<br />
Nur wenn beide Werte eingetragen sind, Heimatverzeichnisfreigabe und Pfad der Heimatver-<br />
zeichnisfreigabe, werden diese Einstellungen in das LDAP-Verzeichnis übernommen.<br />
GECOS<br />
Ein Benutzer-Eintrag in der Datei /etc/passwd wird auch als GECOS-Feld bezeichnet. Ein hier<br />
eingetragener Benutzername wird aber nicht in die Datei /etc/passwd übertragen, sondern als<br />
LDAP-Attribut gecos abgespeichert. Er kann so von Applikationen abgefragt werden, die nicht ein-<br />
zeln auf die Attribute für Vor- und Nachname zugreifen.<br />
Beim Anlegen eines neuen Benutzers wird das Attribut auf ’ ’ gesetzt, wobei<br />
Umlaute ersetzt werden.
4.5 <strong>Univention</strong> Directory Manager Module<br />
Beim Bearbeiten des Vor- oder Nachnamens eines Benutzers wird der Eintrag automatisch neu ge-<br />
setzt, wenn der vorherige Wert auf ’ ’ gesetzt war.<br />
Karteikarte ’Windows’<br />
Auf dieser Karteikarte können Angaben zum Windows-Konto des Benutzers gemacht werden. Für<br />
leere Felder werden die Vorgabewerte aus der Samba-Konfiguration verwendet.<br />
Windows-Heimatverzeichnis<br />
Hier wird der Pfad zu dem Verzeichnis angegeben, das als Windows-Heimatverzeichnis für den Be-<br />
nutzer dienen soll.<br />
Beispiel:<br />
\\ucs-file-server\meier<br />
Laufwerk für das Windows-Heimatverzeichnis<br />
Wenn das Windows-Heimatverzeichnis bei diesem Benutzer auf einem anderen Windows-Laufwerk<br />
erscheinen soll, als in der Samba-Konfiguration vorgegeben, so kann hier ein Laufwerksbuchstabe<br />
eingetragen werden.<br />
Beispiel:<br />
M:<br />
Anmeldeskript<br />
Hier wird das benutzerspezifische Anmeldeskript relativ zur Netlogon-Freigabe eingetragen.<br />
Beispiel:<br />
scripts\user.bat<br />
Profilverzeichnis<br />
Das Profilverzeichnis für den Benutzer kann hier angegeben werden.<br />
Beispiel:<br />
\\ucs-file-server\user\profile<br />
Relative ID<br />
Die relative ID (RID) ist der lokale Teil der SID. Wenn ein Benutzer eine bestimmte RID erhalten<br />
soll, so kann diese hier eingetragen werden. Wenn keine RID eingetragen wird, so wird automatisch<br />
die nächste freie RID verwendet. Die RID kann nachträglich nicht geändert werden, es sind ganze<br />
Zahlen ab 1000 zulässig. RIDs unter 1000 sind Standard-Gruppen und anderen speziellen Objekten<br />
vorbehalten.<br />
Anmeldung<br />
In diesem Eingabefeld kann der Administrator bestimmte Tageszeiten (0-24h) der Wochentage in In-<br />
tervallen von einer Stunde festlegen, zu denen dieser Benutzer sich an Windows-Rechnern anmelden<br />
kann. Das heißt, es kann ein Zeitfenster erstellt werden, in dem der Benutzer sich anmelden kann.<br />
65
4 <strong>Univention</strong> Directory Manager<br />
66<br />
Wird keine Einstellung in diesem Feld vorgenommen, so kann sich der Benutzer zu jeder Tageszeit<br />
anmelden.<br />
Erlaubte Rechner<br />
Diese Einstellung gibt an, an welchen Rechnern sich der Benutzer anmelden darf. Werden keine<br />
Einstellungen vorgenommen, ist der Benutzer berechtigt, sich an jedem Rechner anzumelden.<br />
Karteikarte ’Gruppen’<br />
Auf dieser Karteikarte kann die Gruppenzugehörigkeit des Benutzers eingestellt werden. Falls beim<br />
Anlegen des Benutzers an dieser Karteikarte keine Änderungen gemacht werden, so wird der Vor-<br />
gabewert für die primäre Gruppe gespeichert.<br />
Primäre Gruppe<br />
In dieser Auswahlliste kann die primäre Gruppe für den Benutzer bestimmt werden. Zur Auswahl<br />
stehen alle in der Domäne eingetragenen Gruppen. Standardmäßig ist die Gruppe Domain Users<br />
als Vorgabe eingestellt. Diese Voreinstellung kann geändert werden, weitere Hinweise dazu sind in<br />
Kapitel 4.5.12.6 zu finden. Sollte die primäre Gruppe eines Benutzers durch eine externe LDAP-<br />
Modifikation gelöscht worden sein, wird bei der nächsten Bearbeitung des Benutzerobjektes automa-<br />
tisch die Standardgruppe als primäre Gruppe zugewiesen.<br />
Gruppen<br />
Hier können dem Benutzer weitere Gruppen zugeordnet werden, in denen er Mitglied sein soll.<br />
Karteikarte ’Windows Erweiterungen’<br />
Hier können Einstellungen für das Arbeiten am Windows-Terminalserver vorgenommen werden.<br />
Basisverzeichnis des Terminalservers<br />
Hier kann der Pfad zu einem Verzeichnis angegeben werden, das als Windows-Heimatverzeichnis<br />
für den Benutzer am Terminalserver dienen soll.<br />
Beispiel:<br />
\\ucs-file-server\ts\user<br />
Laufwerksbuchstabe für das Basisverzeichnis des Terminalservers<br />
Wenn das Windows-Heimatverzeichnis bei diesem Benutzer auf einem anderen Windows-Laufwerk<br />
erscheinen soll, als in der Samba-Konfiguration vorgegeben, so kann der entsprechende Laufwerks-<br />
buchstabe mit anschließendem Doppelpunkt hier eingetragen werden.<br />
Beispiel:<br />
M:
Startprogramm Befehlszeile<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Pfad zu einem Programm, das beim Starten der Terminal-Sitzung ausgeführt werden soll. Unter<br />
Microsoft Windows wird standardmäßig der Explorer gestartet.<br />
Startprogramm Arbeitsverzeichnis<br />
Arbeitsverzeichnis des Programms, das unter Startprogramm Befehlszeile eingetragen ist.<br />
Client Konfiguration übernehmen für das Startprogramm<br />
Die beiden Konfigurations-Einstellungen Startprogramm Befehlszeile und Startprogramm Ar-<br />
beitsverzeichnis können von der Client-Anwendung überschrieben werden. Wird dieses Auswahl-<br />
kästchen aktiviert, so wird die Client-Konfiguration verwendet.<br />
Windows Terminalserver Profilpfad<br />
Der Pfad zum Windows-Profil, das in der Terminalserver-Sitzung verwendet werden soll, ist hier an-<br />
zugeben. Wird hier kein Wert angegeben, so wird der Standard-Profilpfad verwendet.<br />
Tastaturlayout<br />
Das Tastaturlayout für die Terminalserver-Sitzung.<br />
Anmeldung am Terminalserver zulassen<br />
Ist dieses Auswahlkästchen aktiviert, so darf sich der Benutzer an einem Terminalserver anmelden.<br />
Client-Laufwerke beim Anmelden verbinden<br />
Die Client-Laufwerke können in der Terminalserver-Sitzung zur Verfügung gestellt werden, wenn die-<br />
ses Auswahlkästchen aktiviert ist.<br />
Client-Drucker beim Anmelden verbinden<br />
Die Client-Drucker werden bei der Anmeldung am Terminalserver verbunden und stehen somit in der<br />
Terminalserver-Sitzung zur Verfügung.<br />
Standardmäßig der Client Hauptdrucker<br />
Wird dieses Auswahlkästchen aktiviert, so wird der Client Standard-Drucker zum Standard-Drucker<br />
für diese Terminalserver-Sitzung deklariert.<br />
CTX Spiegelung<br />
Diese Auswahlliste gibt an, ob eine Benutzersitzung gespiegelt werden kann. Wenn deaktiviert aus-<br />
gewählt ist, so kann diese Sitzung nicht gespiegelt werden.<br />
Wird ein Eintrag mit der Option Eingabe EIN ausgewählt, wird dem Benutzer, welcher die Spiegelung<br />
veranlasst hat, die Erlaubnis erteilt, Tastatureingaben und Mausaktionen in der gespiegelten Sitzung<br />
vorzunehmen. Sollte ein Eintrag mit der Option Benachrichtigung EIN ausgewählt sein, so wird auf<br />
67
4 <strong>Univention</strong> Directory Manager<br />
68<br />
dem Client eine Meldung angezeigt, in der um die Berechtigung zum Spiegeln der Sitzung gebeten<br />
wird.<br />
Beendete oder abgelaufene Verbindungen<br />
In dieser Auswahlliste kann ausgewählt werden, ob beendete oder abgelaufene Verbindungen ge-<br />
trennt oder zurückgesetzt werden sollen.<br />
Wiederherstellung von beendeten Verbindungen<br />
Hier wird ausgewählt, ob die beendete Verbindung von jedem Client oder nur vom vorherigen Client<br />
wieder aufgebaut werden kann.<br />
CTX RAS Dialin<br />
Diese Option konfiguriert die Callback-Funktion eines Remote Access Servers. Dabei wird die Ein-<br />
wahlleitung des Benutzer nach Authentifizierung unterbrochen und der Benutzer zurückgerufen.<br />
Karteikarte ’(Optionen)’<br />
Diese Karteikarte ermöglicht es, einzelne LDAP-Objektklassen für den Benutzer abzuwählen. Einga-<br />
befelder für Attribute deaktivierter Klassen können dann nicht ausgefüllt werden.<br />
Mail-Konto<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse univention-<br />
Mail nicht.<br />
Kerberos Prinzipal<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen<br />
krb5Principal und krb5KDCEntry nicht.<br />
Samba-Konto<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse sambaSa-<br />
mAccount nicht.<br />
POSIX-Konto<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen posixAc-<br />
count und shadowAccount nicht.<br />
Persönliche Informationen<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen organizatio-<br />
nalPerson und inetOrgPerson nicht.<br />
Groupware-Konto<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklassen univention-
KolabInetOrgPerson und kolabInetOrgPerson nicht.<br />
Public Key Infrastruktur Konto<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Wenn dieses Auswahlkästchen nicht markiert ist, erhält der Benutzer die Objektklasse pkiUser nicht.<br />
Einfaches Authentisierungskonto<br />
Diese Option kann verwendet werden, um Benutzer-Objekte anzulegen die ausschließlich einen Be-<br />
nutzernamen und ein Passwort haben. Mit diesen Benutzern ist ausschließlich eine Authentisie-<br />
rung gegen den LDAP-Verzeichnisdienst möglich, aber keine Anmeldung an <strong>UCS</strong>- oder Windows-<br />
Systemen. Wird diese Option gesetzt, dann werden die Objektklassen uidObject und simpleSecu-<br />
rityObject verwendet.<br />
4.5.2 Gruppenverwaltung<br />
Die folgenden Richtlinien-Objekte können auf die Gruppenverwaltung angewendet bzw. vererbt werden<br />
(siehe Kapitel 4.5.11):<br />
• UMC-Zugriff<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name der Gruppe muss mit einem Buchstaben oder einer Ziffer beginnen und auch enden. Die<br />
übrigen Zeichen des Benutzernamens dürfen aus Buchstaben, Ziffern, Leerzeichen, Bindestrich oder<br />
Punkt bestehen.<br />
Beschreibung<br />
Hier kann eine beliebige Beschreibung für die Gruppe eingetragen werden.<br />
Gruppen ID<br />
Wenn der Gruppe eine bestimmte Gruppen-ID zugewiesen werden soll, kann die Gruppen-ID in die-<br />
sem Eingabefeld eingetragen werden. Anderenfalls ordnet <strong>Univention</strong> Directory Manager der Gruppe<br />
beim Hinzufügen automatisch die nächste freie Gruppen-ID zu. Sie kann nachträglich nicht geändert<br />
werden und wird beim Bearbeiten der Gruppe ausgegraut angezeigt. Als Gruppen-ID können ganze<br />
Zahlen zwischen 1000 und 59999 sowie zwischen 65536 und 1000000 frei vergeben werden.<br />
Relative ID<br />
Die relative ID (RID) ist der lokale Teil der Security-ID (SID) und wird in Windows- bzw. Samba-Do-<br />
mänen verwendet. Wenn der Gruppe eine bestimmte RID zugewiesen werden soll, kann sie in die-<br />
sem Eingabefeld eingetragen werden. Anderenfalls ordnet <strong>Univention</strong> Directory Manager der Gruppe<br />
beim Hinzufügen automatisch eine RID zu. Die RID kann nachträglich nicht geändert werden und wird<br />
beim Bearbeiten der Gruppe ausgegraut angezeigt. Weil RIDs domänenweit eindeutig sein müssen,<br />
69
4 <strong>Univention</strong> Directory Manager<br />
70<br />
verhindert <strong>Univention</strong> Directory Manager, dass eine RID mehrfach vergeben wird. Als RID sind gan-<br />
ze Zahlen grösser 999 zulässig. RIDs kleiner 1000 sind Standard-Gruppen und anderen speziellen<br />
Objekten vorbehalten.<br />
Gruppentyp Samba<br />
Man unterscheidet zwischen drei Gruppentypen:<br />
• Globale Gruppen:<br />
Diese Gruppen sind domänenweit bekannt. In <strong>Univention</strong> Directory Manager sind neu erstellte<br />
Gruppen standardmäßig vom Typ ’Globale Gruppe’.<br />
• Lokale Gruppen:<br />
Lokale Gruppen sind nur auf Windows-Servern von Bedeutung. Wird auf einem Windows-Ser-<br />
ver eine lokale Gruppe erstellt, ist sie nur dem Server bekannt und ist nicht domänenweit ver-<br />
fügbar. <strong>UCS</strong> hingegen unterscheidet nicht zwischen lokalen und globalen Gruppen. Nach der<br />
Übernahme einer NT-Domäne können lokale Gruppen in <strong>UCS</strong> wie globale Gruppen verwaltet<br />
werden.<br />
• Bekannte Gruppen:<br />
Unter diesem Gruppentyp werden von Samba- bzw. Windows-Servern vorkonfigurierte Grup-<br />
pen zusammengefasst, die sowohl domänenweit als auch lokal begrenzt sein können.<br />
Beispiel:<br />
Adminusers, Printer Admins, etc.<br />
Mail-Adresse<br />
In diesem Eingabefeld kann die Mail-Adresse eingetragen werden, über die alle Mitglieder dieser<br />
Gruppe erreicht werden können.<br />
Karteikarte ’Mitglieder’<br />
Mitglieder dieser Gruppe<br />
Auf dieser Karteikarte können Benutzer als Mitglieder in diese Gruppe aufgenommen werden.<br />
Karteikarte ’enthaltene Rechner’<br />
In dieser Gruppe enthaltene Rechner<br />
Auf dieser Karteikarte können Rechner als Mitglieder in diese Gruppe aufgenommen werden.
Karteikarte ’enthaltene Gruppen’<br />
Mitgliedschaft von weiteren Gruppen<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Auf dieser Karteikarte können Gruppen als Mitglieder in diese Gruppe aufgenommen werden (Grup-<br />
pen in Gruppen).<br />
Zirkuläre Abhängigkeiten von Gruppen in Gruppen werden erkannt und abge-<br />
wiesen. Diese Prüfung kann durch die <strong>Univention</strong> Configuration Registry-Variable<br />
directory/manager/web/modules/groups/group/checks/circular_dependency<br />
deaktiviert werden.<br />
Karteikarte ’Mitglied von’<br />
Mitgliedschaft in weiteren Gruppen<br />
Auf dieser Karteikarte kann diese Gruppe einer oder mehreren anderen Gruppen als Mitglied hinzu-<br />
gefügt werden.<br />
Karteikarte ’(Optionen)’<br />
Diese Karteikarte steht nur beim Hinzufügen von Gruppen zur Verfügung, nicht aber beim Bearbeiten<br />
von Gruppen. Sie ermöglicht es, bestimmte LDAP-Objektklassen für die Gruppe abzuwählen. Die<br />
Eingabefelder für Attribute dieser Klassen können dann nicht ausgefüllt werden.<br />
Samba-Gruppe:<br />
Dieses Auswahlkästchen gibt an, ob die Gruppe die Objektklasse SambaGroupMapping erhält.<br />
Posix-Gruppe:<br />
Dieses Auswahlkästchen gibt an, ob die Gruppe die Objektklasse PosixGroup erhält.<br />
4.5.3 Netzwerkverwaltung<br />
Netzwerke dienen dazu, Geräten wie Rechnern und Druckern mit eigener Netzwerkkarte automatisch eine<br />
passende IP-Adresse zuzuweisen sowie DNS- und DHCP-Einträge zu erstellen.<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
In diesem Eingabefeld ist der Name des Netzwerks einzutragen. Unter diesem Namen erscheint das<br />
Netzwerk auch in anderen Bereichen von <strong>Univention</strong> Directory Managers wie z.B. in der Rechnerver-<br />
waltung (siehe Abschnitt 4.5.4).<br />
71
4 <strong>Univention</strong> Directory Manager<br />
72<br />
Netzwerk (*)<br />
In diesem Eingabefeld muss die Netzwerk-Adresse in Oktettschreibweise eingetragen werden.<br />
Beispiel:<br />
192.168.1.0<br />
Netzmaske (*)<br />
Die Netzmaske kann in diesem Eingabefeld wahlweise als Bitzahl (Netzpräfix) oder in Oktettschreib-<br />
weise eingetragen werden.<br />
Hinweis:<br />
Wenn die Netzmaske in Oktettschreibweise eingegeben wird, wird sie automatisch in den entspre-<br />
chenden Netzpräfix umgewandelt und später auch ausgegeben.<br />
Beispiel:<br />
Die Netzmaske 255.255.255.0 wird später als 24 angezeigt.<br />
Karteikarte ’IP’<br />
Auf dieser Karteikarte können ein oder mehrere IP-Adressbereiche angelegt werden. Wenn später<br />
ein Gerät diesem Netzwerk zugeordnet werden soll, wird dem Gerät automatisch die nächste freie<br />
IP-Adresse aus den hier eingetragenen IP-Adressbereichen zugewiesen.<br />
Wenn an dieser Stelle kein IP-Adressbereich eingerichtet wird, verwendet das System automatisch<br />
den Bereich, der sich aus dem Netzwerk und der Netzmaske, die auf der Karteikarte Allgemein<br />
eingetragen wurde, ergibt.<br />
Hinweis:<br />
Falls eine einzelne IP-Adresse als Bereich angelegt werden soll, so muss diese IP-Adresse in die<br />
beiden Eingabefelder Erste Adresse und Letzte Adresse eingetragen werden.<br />
Achtung:<br />
Die angegebenen IP-Adressbereiche dürfen sich dabei nicht überschneiden. Andernfalls weist eine<br />
entsprechende Fehlermeldung beim Bestätigen über die Schaltfläche [OK] auf die Überschneidung<br />
hin.<br />
Karteikarte ’DNS’<br />
Auf dieser Karteikarte können Forward Lookup Zone und Reverse Lookup Zone ausgewählt werden.<br />
Wird später ein Gerät diesem Netzwerk zugeordnet, wird für das Gerät automatisch ein Host Record<br />
in der Forward Lookup Zone beziehungsweise ein Pointer Record in der Reverse Lookup Zone an-<br />
gelegt. Wird hier keine Zone ausgewählt, werden auch keine automatischen Einträge angelegt. In<br />
jedem Fall bleibt die Möglichkeit, die Einstellungen sowohl am Geräte-Objekt als auch direkt in den<br />
DNS-Zonen zu bearbeiten.
Forward Lookup Zone für DNS-Eintrag<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Hier ist die Forward Lookup Zone anzugeben, in die Geräte aus diesem Netzwerk eingetragen wer-<br />
den sollen. Zur Wahl stehen alle in der Domäne eingetragenen Forward Lookup Zonen sowie deren<br />
Untercontainer.<br />
Reverse Lookup Zone für DNS-Eintrag<br />
Hier ist die Reverse Lookup Zone anzugeben, in die Geräte aus diesem Netzwerk eingetragen wer-<br />
den sollen. Zur Wahl stehen alle in der Domäne eingetragenen Reverse Lookup Zonen sowie deren<br />
Untercontainer.<br />
Karteikarte ’DHCP’<br />
Auf dieser Karteikarte kann dem Netzwerk ein DHCP-Service zugeteilt werden. Wird später ein Gerät<br />
diesem Netzwerk zugeordnet, wird für das Gerät automatisch ein DHCP-Rechner-Eintrag mit einer<br />
festen IP-Adresse unterhalb des gewählten DHCP-Services angelegt. Wenn hier kein DHCP-Service<br />
ausgewählt wird, wird ebenfalls kein automatischer DHCP-Rechner-Eintrag angelegt. Es bleibt in<br />
jedem Fall die Möglichkeit, die Einstellungen am Geräte-Objekt oder unter dem DHCP-Service zu<br />
bearbeiten.<br />
4.5.4 Rechnerverwaltung<br />
Die folgenden Rechner-Objekte können in der Rechnerverwaltung angelegt werden. Weitergehende Hin-<br />
weise zu den einzelnen Systemrollen finden sich in Kapitel 2.1.<br />
• Domänencontroller Master<br />
Auf einem Domaincontroller Master, auch DC Master genannt, befindet sich der veränderbare Ver-<br />
zeichnisdienst. Es darf in einer <strong>UCS</strong>-Domäne immer nur einen DC Master geben.<br />
• Domänencontroller Backup<br />
Auf einem Domänencontroller Backup, auch DC Backup genannt, befindet sich eine exakte Kopie<br />
des Verzeichnisdienstes. Ein DC Backup kann zu einem DC Master hochgestuft werden. In einer<br />
<strong>UCS</strong>-Domäne darf es beliebig viele DC Backup Systeme geben.<br />
• Domänencontroller Slave<br />
Auf einem Domänencontroller Slave, auch DC Slave genannt, befindet sich eine Kopie des Verzeich-<br />
nisdienstes. Diese Kopie kann alle oder nur einen Teil der Daten enthalten. In einer <strong>UCS</strong>-Domäne<br />
darf es beliebig viele DC Slave Systeme geben.<br />
• Member-Server<br />
Im Gegensatz zu den anderen Domänencontroller-Systemrollen ist auf dem Member-Server kein<br />
Verzeichnisdienst vorhanden. Ein Member-Server fügt sich ansonsten in eine <strong>UCS</strong>-Domäne ein,<br />
bspw. sind alle Benutzer und Gruppen der <strong>UCS</strong>-Domäne auch auf dem Member-Server vorhanden.<br />
In einer <strong>UCS</strong>-Domäne darf es beliebig viele Member-Server geben.<br />
73
4 <strong>Univention</strong> Directory Manager<br />
• Domain Trust Account<br />
Ein Domain Trust Account wird für Vertrauensstellungen zwischen Windows und <strong>UCS</strong> Domänen<br />
eingerichtet.<br />
• IP-Managed-Client<br />
Ein IP-Managed-Client ist speziell für Nicht-<strong>UCS</strong>-Systeme vorgesehen, bspw. für Netzwerkdrucker<br />
oder Router, um somit eine vereinfachte DNS und DHCP-Verwaltung zu ermöglichen. <strong>UCS</strong>-Basis-<br />
systeme können ebenfalls als IP-Managed-Clients angelegt werden.<br />
• Mac OS X Client<br />
Ein Mac OS X Client kann zur Verwaltung und Integration von Max OS X Clients angelegt werden.<br />
• Managed Client<br />
Ein Managed Client ist ein <strong>UCS</strong>-Domänenmitglied mit einem Linux-Desktop.<br />
• Mobile Client<br />
Ein Mobile Client ist dem Managed Client ähnlich, allerdings liegt der Fokus bei Mobile Clients auf<br />
Notebooks.<br />
• Thin Client<br />
Ein Thin Client ist ein Rechner, der Anwendungen, die auf einem Terminal-Server (Linux oder Win-<br />
dows) ausgeführt werden, lediglich darstellt. Somit ist ein Thin Client sehr wartungsarm.<br />
• Windows<br />
Die Rolle Windows ist speziell für Windows-Rechner vorgesehen. Wenn ein WindowsSystem der<br />
<strong>UCS</strong>-Domäne beitritt, wird automatisch ein Windows-Konto angelegt, sofern es nicht vorab angelegt<br />
wurde.<br />
Auf diese Rechner-Objekte können die folgenden Richtlinien-Objekte angewendet werden (siehe dazu<br />
auch Kapitel 4.5.11):<br />
74<br />
• Autostart<br />
• Client-Peripherie<br />
• Display<br />
• Druckserver<br />
• LDAP-Server<br />
• Pakete Client<br />
• Pakete Master<br />
• Pakete Member<br />
• Pakete Mobile Client<br />
• Pakete Slave<br />
• Paketpflege<br />
• Release<br />
• Repository-Server<br />
• Repository-Synchronisation
• Sound<br />
• Thin Client<br />
• Windows-Installation<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
In dieses Eingabefeld muss der Name für den Rechner eingetragen werden. Dabei sollten die an-<br />
schließenden Hinweise in der Infobox ’Rechnernamen’ beachtet werden.<br />
Beschreibung<br />
Für den Rechner kann in diesem Eingabefeld eine beliebige Beschreibung hinterlegt werden.<br />
MAC-Adresse<br />
An dieser Stelle kann die MAC-Adresse des Rechners eingetragen werden. Soll der Rechner einen<br />
DHCP-Eintrag erhalten, ist die Angabe der MAC-Adresse zwingend erforderlich. Da ein Thin Client<br />
ohne DHCP-Eintrag nicht in Betrieb genommen werden kann, muss die MAC-Adresse bei Thin Cli-<br />
ents immer angegeben werden!<br />
Beispiel:<br />
2e:44:56:3f:12:32<br />
oder<br />
2e-44-56-3f-12-32<br />
Netzwerk<br />
Der Rechner kann einem bereits angelegten Netzwerk zugeordnet werden. Zur Wahl stehen alle in<br />
der Domäne eingetragenen Netzwerke. Anhand des Netzwerks wird dem Rechner dann automa-<br />
tisch die nächste freie IP-Adresse aus diesem Netzwerk zugewiesen. Wenn das Netzwerk DNS- und<br />
DHCP-Einstellungen enthält, wird der Rechner außerdem automatisch im DNS- und im DHCP-Ser-<br />
vice eingetragen. Die nach der Auswahl eines Netzwerks automatisch zugewiesenen Werte auf den<br />
Karteikarten IP, DNS und DHCP können anschließend überprüft und verändert werden.<br />
Inventarnummer<br />
Hier können Inventarnummern für Rechner hinterlegt werden.<br />
Infobox ’Rechnernamen’<br />
Im Prinzip können Rechnernamen frei gewählt werden. Unter bestimmten Umständen, z.B. beim<br />
Einsatz von Windows-Betriebssystemen, muss allerdings der im LDAP-Verzeichnis eingetragenene<br />
und in der DNS-Domäne verwendete Rechnername mit dem Namen übereinstimmen, der (in der<br />
Regel bei der Installation des Betriebssystem) lokal direkt auf dem Rechner selbst eingetragen wurde.<br />
75
4 <strong>Univention</strong> Directory Manager<br />
76<br />
Rechnername wird im Englischen mit hostname übersetzt.<br />
Wenn an den Rechnernamen der Name der Domäne angehängt wird, zu der der Rechner gehört,<br />
erhält man den voll qualifizierten Domänennamen des Rechners. Dieser ist besser bekannt unter<br />
der englischen Abkürzung FQDN für fully qualified domain name.<br />
Um die Kompatibilität mit verschiedenen Betriebssystemen und Diensten zu gewährleisten, sollten<br />
Rechnernamen ausschließlich die Buchstaben a bis z in Kleinschreibung, Zahlen, Bindestriche und<br />
Unterstriche enthalten.<br />
Umlaute und Sonderzeichen sind nicht erlaubt. Der Punkt wird als Trennzeichen zwischen den einzel-<br />
nen Bestandteilen eines FQDN interpretiert und darf deswegen nicht innerhalb des Rechnernamens<br />
vewendet werden. Rechnernamen sollten mit einem Buchstaben beginnen.<br />
Microsoft Windows akzeptiert nur Rechnernamen mit maximal 15 Zeichen, so dass man sich bei<br />
Rechnernamen grundsätzlich auf 15 Zeichen beschränken sollte, sofern nicht ausgeschlossen ist,<br />
dass Microsoft Windows zum Einsatz kommen wird.<br />
Karteikarte ’IP’<br />
IP-Adresse<br />
Hier können feste IP-Adressen für den Rechner eingegeben werden. Wenn auf der Karteikarte All-<br />
gemein ein Netzwerk ausgewählt wurde, wird die IP-Adresse, die dem Rechner aus dem Netzwerk<br />
automatisch zugewiesen wurde, hier angezeigt. Die hier angezeigten IP-Adressen können nachträg-<br />
lich noch verändert werden. Ein Thin Client benötigt in jedem Fall eine feste IP-Adresse.<br />
Hinweis:<br />
Eine hier (also im LDAP-Verzeichnis) eingetragene IP-Adresse kann dem Rechner nur über DHCP<br />
übermittelt werden. Sollte kein DHCP-Server verwendet werden, so ist die IP-Adresse auch lokal auf<br />
dem Rechner einzutragen.<br />
Achtung:<br />
Werden die eingetragenen IP-Adressen eines Rechners ohne Wechsel der DNS-Zonen geändert,<br />
werden diese im Rechner-Objekt und — soweit vorhanden — auch automatisch in den DNS-Einträ-<br />
gen in der Forward und Reverse Lookup Zone geändert. Falls die IP-Adresse des Rechners noch<br />
an anderen Stellen eingetragen wurde, müssen diese Einträge manuell geändert werden! Wurde<br />
beispielsweise in einer DHCP-Boot-Richtlinie nicht der Name des Boot-Servers, sondern seine IP-<br />
Adresse dort eingetragen, muss diese IP-Adresse manuell durch das Bearbeiten der Richtlinie ange-<br />
passt werden.
Karteikarte ’DNS’<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Auf dieser Karteikarte können Forward Lookup Zonen und Reverse Lookup Zonen ausgewählt wer-<br />
den, in die der Rechner eingetragen wird und ein DNS-Alias festgelegt werden. Für diese Einträge<br />
ist eine feste IP-Adresse erforderlich, die auf der Karteikarte IP eingetragen sein muss, damit die<br />
DNS-Einträge automatisch erstellt werden können. Es wird kein Eintrag angelegt, wenn keine Zone<br />
ausgewählt wurde. Für die korrekte Funktion eines Thin Clients wird ein DNS-Eintrag (Host-Record<br />
in der Forward Lookup Zone) benötigt!<br />
Nähere Informationen zum Thema DNS finden sich in Kapitel 4.5.9.<br />
Forward Lookup Zone für DNS-Eintrag<br />
Für den Rechner kann an dieser Stelle eine Forward Lookup Zone ausgewählt werden. Zur Wahl ste-<br />
hen alle in der Domäne eingetragenen Forward Lookup Zonen bzw. darin enthaltene Untercontainer.<br />
Zusätzlich ist es notwendig, eine der IP-Adressen des Rechners auszuwählen, mit der der Rechner<br />
in die Forward Lookup Zone eingetragen werden soll.<br />
Reverse Lookup Zone für DNS-Eintrag<br />
Für den Rechner kann an dieser Stelle eine Reverse Lookup Zone ausgewählt werden. Zur Wahl ste-<br />
hen alle in der Domäne eingetragenen Reverse Lookup Zonen bzw. darin enthaltene Untercontainer.<br />
Zusätzlich ist es notwendig, eine zur Reverse Lookup Zone passenden IP-Adresse des Rechners<br />
auszuwählen, mit der der Rechner in die Reverse Lookup Zone eingetragen werden soll.<br />
Alias<br />
Wenn für den Rechner im Feld Forward Lookup Zone für DNS-Eintrag ein Zoneneintrag zur Vor-<br />
wärtsauflösung eingerichtet wurde, können hier zusätzlich Alias-Einträge konfiguriert werden, über<br />
die der Rechner erreichbar ist.<br />
Karteikarte ’DHCP’<br />
Nähere Informationen zum Thema DHCP finden sich in Kapitel 4.5.10.<br />
DHCP-Service für DHCP-Eintrag<br />
Damit ein Rechner von einem DHCP-Service eine IP-Adresse erhält, muss ein Eintrag aus DHCP-<br />
Service, MAC-Adresse und IP-Adresse gebildet werden.<br />
Im ersten Auswahlfeld ist der DHCP-Service auszuwählen, der dem Rechner eine IP-Adresse zu-<br />
teilen soll. Zur Wahl stehen alle in der Domäne eingetragenen DHCP-Services. Es muss darauf<br />
geachtet werden, dass der ausgewählte DHCP-Server für das physikalische Netzwerk zuständig ist.<br />
Im zweiten Auswahlfeld ist die MAC-Adresse der Netzwerkkarte auszuwählen, mit der der Rechner<br />
beim DHCP-Service eine IP-Adresse anfordert. Die dafür erforderliche MAC-Adresse der Netzwerk-<br />
karte des Rechners muss zuvor auf der Karteikarte Allgemein eingetragen werden.<br />
77
4 <strong>Univention</strong> Directory Manager<br />
78<br />
Die IP-Adresse, die dem Rechner vom DHCP-Service zugeordnet wird, ist im dritten Auswahlfeld<br />
auszuwählen.<br />
Wurde auf der Karteikarte Allgemein ein Netzwerk ausgewählt, wird automatisch ein für das Netz-<br />
werk passender Eintrag hinzugefügt. Er kann nachträglich manuell angepasst werden. Für einen Thin<br />
Client wird in jedem Fall ein DHCP-Eintrag benötigt.<br />
Karteikarte ’Konto’<br />
Diese Karteikarte findet sich nur bei Rechnertypen, die der <strong>UCS</strong>-Domäne beitreten, z.B. Domaincon-<br />
troller, Managed Clients, Mac OS X-Clients, . . .<br />
Passwort<br />
Rechner, die Mitglied der <strong>UCS</strong>-Domäne sind, benötigen ein Passwort, um im LDAP-Verzeichnis le-<br />
sen und ihre eigenen Daten ändern zu können. Bei Domänenbeitritt erzeugt der Rechner automa-<br />
tisch ein Passwort und schreibt dieses in die Datei /etc/machine.secret und in das LDAP-Ver-<br />
zeichnis. Dabei werden gegebenenfalls bereits eingetragene Passwörter überschrieben. Wenn das<br />
Passwort hier gesetzt oder geändert wird, muss es ebenfalls lokal auf dem Rechner in der Datei<br />
/etc/machine.secret eingetragen werden.<br />
Passwort (Wiederholung)<br />
Wenn das Passwort im Eingabefeld Passwort von Hand eingetragen oder verändert wurde, muss es<br />
in diesem Eingabefeld wiederholt werden, um Tippfehler auszuschliessen.<br />
Primäre Gruppe<br />
In diesem Auswahlfeld kann die primäre Gruppe des Rechners selektiert werden. Das ist nur notwen-<br />
dig, wenn von den automatisch eingestellten Vorgabewerten abgewichen werden soll. Der Vorgabe-<br />
wert für einen DC Master oder DC Backup lautet DC Backup Hosts, für einen DC Slave DC Slave<br />
Hosts und für Member-Server, Managed Clients und Mobile Clients Computers.<br />
Karteikarte ’POSIX (Linux/UNIX)-Konto’<br />
Diese Karteikarte findet sich nur bei Rechnertypen, die der <strong>UCS</strong>-Domäne beitreten, z.B. Domaincon-<br />
troller, Managed Clients, Mac OS X-Clients, . . .<br />
UNIX-Heimatverzeichnis (*)<br />
In diesem Eingabefeld kann ein abweichendes Heimatverzeichnis für das Rechner-Konto eingetragen<br />
werden. Der automatisch eingestellte Vorgabewert für das Heimatverzeichnis lautet /dev/null.<br />
Login-Shell<br />
Falls eine vom Vorgabewert abweichende Login-Shell für das Rechner-Konto verwendet werden soll,<br />
kann die Login-Shell in diesem Eingabefeld manuell angepasst werden. Der automatisch eingestellte
Vorgabewert sieht /bin/bash als Login-Shell vor.<br />
Karteikarte ’Rechner-Konto’<br />
Diese Karteikarte findet sich nur bei Rechnern vom Typ Windows.<br />
Primäre Gruppe<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Diese Auswahlliste ermöglicht die Angabe der primären Gruppe für den Windows-Rechner. In der<br />
Regel braucht der Vorgabewert Windows Hosts nicht verändert werden.<br />
Passwort mit dem Rechnernamen initialisieren<br />
Bei Windows NT 4.0-Rechnern, die der Domäne beitreten sollen, muss dieses Auswahlkästchen<br />
markiert werden. Es wird dann der Rechnername als Passwort gespeichert. Wenn das Rechner-Ob-<br />
jekt mit <strong>Univention</strong> Directory Manager erneut aufgerufen wird, ist das Auswahlkästchen nicht mehr<br />
markiert. Beim Domänenbeitritt wird das Passwort geändert (Windows NT 4.0 erwartet beim Domä-<br />
nenbeitritt, dass das Passwort dem Rechnernamen entspricht).<br />
Karteikarte ’(Re)installation’<br />
Diese Karteikarte steht bei den Rechnertypen DC Master, DC Backup, DC Slave, Member-Servern,<br />
Managed Clients, Mobile Clients und Windows-Rechnern zur Verfügung. Weitere Informationen über<br />
die automatische Installation können den Dokumentationen der profilbasierten <strong>UCS</strong>-Installation [3]<br />
und des <strong>Univention</strong> Windows Installers [4] entnommen werden.<br />
(Neu-)Installation bei nächstem Systemstart<br />
Bei <strong>UCS</strong>-Rechnern: Dieses Auswahlkästchen ist zu markieren, wenn auf dem Rechner beim nächs-<br />
ten Rechnerstart automatisch <strong>UCS</strong> installiert werden soll.<br />
Achtung:<br />
Die Markierung muss während oder nach der Installation wieder mit <strong>Univention</strong> Directory Manager<br />
entfernt werden, sonst erfolgt beim nächsten Booten des Rechners ein erneuter Installationsvorgang!<br />
Bei Windows-Rechnern muss dieses Auswahlkästchen markiert werden, wenn auf dem Rechner<br />
beim nächsten Rechnerstart automatisch Windows installiert werden soll. Dafür sollte außerdem eine<br />
unattend.txt-Datei auf der Karteikarte [Windows Installation] eingetragen werden. Die Markie-<br />
rung wird während der Windows-Installation automatisch wieder entfernt.<br />
Eindeutiger Installationsprofilname<br />
Bei <strong>UCS</strong>-Rechnern kann in diesem Eingabefeld ein Installationsprofil für den Rechner vorgege-<br />
ben werden. Profile sollten auf dem Server, auf dem <strong>Univention</strong> Server Installer ausgeführt wird,<br />
im Verzeichnis /var/lib/univention-repository/profiles/ bereitgestellt werden. Der Da-<br />
teiname des Profils ist ohne die Angabe des Pfads einzutragen.<br />
79
4 <strong>Univention</strong> Directory Manager<br />
80<br />
Erweiterte Startoptionen<br />
Die in diesem Feld eingetragenen Optionen werden dem Kernel bei der netzbasierten Installation<br />
übergeben, etwa für die Deaktivierung von ACPI beim Systemstart.<br />
Interaktive Installation<br />
Standardmäßig wird bei der Installation mit <strong>Univention</strong> Server Installer eine profilbasierte Installation<br />
durchgeführt. Wenn stattdessen eine interaktive Installation durchgeführt werden soll, muss dieses<br />
Auswahlkästchen markiert werden. Werte im Eingabefeld Eindeutiger Installationsprofilname wer-<br />
den dann im LDAP-Verzeichnis gespeichert, aber nicht bei der Installation verwendet.<br />
Bei Windows-Rechnern sind das Eingabefeld Eindeutiger Installationsprofilname und das Aus-<br />
wahlkästchen Interaktive Installation nicht auf dieser Karteikarte zu finden. Stattdessen muss die<br />
Karteikarte [Windows Installation] verwendet werden.<br />
Karteikarte ’Dienste’<br />
Diese Karteikarte steht bei den Rechnertypen DC Master, DC Backup, DC Slave und Member-Server<br />
zur Verfügung.<br />
Dienst<br />
Aus den Vorgabewerten können die System-Dienste ausgewählt und in dieses Listenfeld eingetragen<br />
werden, die dieses <strong>UCS</strong>-System zur Verfügung stellt.<br />
Karteikarte ’(Optionen)’<br />
Diese Karteikarte steht nur beim Hinzufügen eines Rechners und nur bei Rechnertypen, die stan-<br />
dardmäßig ein Rechner-Konto erhalten, zur Verfügung. Beim Bearbeiten von Rechnern wird die Kar-<br />
teikarte nicht angezeigt. Die Karteikarte ermöglicht es, bestimmte Objektklassen für den Rechner<br />
abzuwählen. Die Eingabefelder für Attribute abgewählter Objektklassen werden dann nicht ange-<br />
zeigt.<br />
Bei <strong>UCS</strong>-Rechnern:<br />
Kerberos Principal<br />
Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklassen krb5Principal und<br />
krb5KDCEntry nicht.<br />
Posix Account<br />
Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklasse posixAccount nicht.<br />
Bei Windows-Rechnern:<br />
Samba Account<br />
Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklasse sambaSamAccount
nicht.<br />
4.5.4.1 Domain Trust Account<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Windows-Domänen (Windows NT/2000/2003, Samba), die der <strong>UCS</strong>-Samba-Domäne eine Vertrauens-<br />
stellung einräumen möchten, benötigen einen Domain Trust Account-Eintrag im LDAP-Verzeichnis (siehe<br />
dazu auch Kapitel 8.4.1.1).<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
In dieses Eingabefeld ist der Name der Windows-Domäne einzutragen, die der Samba-Domäne ver-<br />
traut.<br />
Beschreibung<br />
Für den Domain Trust Account kann in diesem Eingabefeld eine beliebige Beschreibung hinterlegt<br />
werden.<br />
Karteikarte ’Domain Trust Account’<br />
Passwort (*)<br />
Das Passwort, das später auf dem PDC der Windows-Domäne verwendet wird, muss in diesem<br />
Eingabefeld eingetragen werden. Das Passwort kann frei gewählt werden. Dabei sollten jedoch die<br />
allgemeinen Anforderungen an Passwörter beachtet werden.<br />
Passwort (Wiederholung) (*)<br />
Um Tippfehler auszuschließen, muss das obige Passwort erneut eingegeben werden.<br />
4.5.5 Freigabeverwaltung<br />
In der Freigabeverwaltung können Verzeichnisfreigaben für NFS und Samba hinzufügt, gesucht, bearbeitet<br />
und gelöscht werden. In <strong>Univention</strong> Directory Manager gelöschte Verzeichnisfreigaben werden automa-<br />
tisch auch aus dem System entfernt. Die in dem freigegebenen Verzeichnis enthaltenen Daten bleiben<br />
beim Entfernen einer Verzeichnisfreigabe erhalten.<br />
Die folgenden Richtlinien-Objekte können auf die Freigabenverwaltung angewendet bzw. vererbt werden<br />
(siehe Kapitel 4.5.11):<br />
• Benutzer-Quota<br />
81
4 <strong>Univention</strong> Directory Manager<br />
82<br />
Karteikarte Allgemein<br />
Name (*)<br />
Hier ist der Name der Freigabe einzutragen.<br />
Server<br />
Der Server, auf dem die Freigabe liegt. Zur Wahl stehen alle im LDAP-Verzeichnis für die Domäne<br />
eingetragenen Rechner vom Typ Domänencontroller Master/Backup/Slave und Member-Server, die<br />
in einer DNS Forward Lookup Zone im LDAP-Verzeichnis eingetragen sind. Die Einstellung kann<br />
nachträglich nicht mehr bearbeitet werden.<br />
Pfad (*)<br />
Der absolute Pfad des freizugebenden Verzeichnisses ohne Anführungszeichen (auch wenn der Pfad<br />
z.B. Leerzeichen enthält). Wenn das Verzeichnis noch nicht existiert, wird es automatisch auf dem<br />
ausgewählten Server angelegt. Auf und unterhalb von /proc, /tmp, /root, /dev und /sys können<br />
keine Freigaben angelegt werden.<br />
Verzeichnis-Besitzer<br />
Der Benutzer, dem die Freigabe gehören soll. Zur Wahl stehen alle im LDAP-Verzeichnis für die Do-<br />
mäne eingetragenen Benutzer. Wenn mehr als 1000 Benutzer gefunden werden (dieser Wert kann<br />
mit der <strong>Univention</strong> Configuration Registry-Variable directory/manager/web/sizelimit konfi-<br />
guriert werden) oder die Suche der Benutzer im LDAP-Verzeichnis länger als zehn Sekunden dauert,<br />
wird anstelle der Auswahlliste ein Eingabefeld angezeigt, in das der Benutzername einzutragen ist.<br />
Verzeichnis-Gruppe<br />
Die Gruppe, der die Freigabe gehören soll. Zur Wahl stehen alle im LDAP-Verzeichnis für die Do-<br />
mäne eingetragenen Gruppen. Wenn mehr als 1000 Gruppen gefunden werden (dieser Wert kann<br />
mit der <strong>Univention</strong> Configuration Registry-Variable directory/manager/web/sizelimit konfi-<br />
guriert werden) oder die Suche der Gruppen im LDAP-Verzeichnis länger als zehn Sekunden dauert,<br />
wird anstelle der Auswahlliste ein Eingabefeld angezeigt, in das der Gruppenname einzutragen ist.<br />
Verzeichnis-Modus<br />
Lese-, Schreib- und Zugriffsrechte für die Freigabe.<br />
Achtung:<br />
<strong>Univention</strong> Directory Manager speichert die eingestellten Werte für Besitzer, Gruppe und Zugriffs-<br />
berechtigungen im LDAP-Verzeichnis und sorgt dafür, dass das Verzeichnis entsprechend angelegt<br />
und freigegeben wird. Existiert das Verzeichnis bereits, so werden die im Dateisystem festgelegten<br />
Werte mit den Werten aus dem LDAP-Verzeichnis überschrieben. Änderungen an einem freigege-<br />
benen Verzeichnis, die direkt im Dateisystem vorgenommen wurden, werden nicht an das LDAP-<br />
Verzeichnis weitergeleitet und dementsprechend nicht von <strong>Univention</strong> Directory Manager angezeigt.<br />
Wird das Freigabe-Objekt im LDAP-Verzeichnis bearbeitet, werden die Änderungen im Dateisystem<br />
überschrieben. Einstellungen sollten deshalb nur mit <strong>Univention</strong> Directory Manager gesetzt und be-
arbeitet werden.<br />
Karteikarte ’Samba Allgemein’<br />
Samba-Name<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Der von Samba zu verwendende Name der Freigabe (NetBIOS-Name). Unter diesem Namen er-<br />
scheint das Verzeichnis z.B. auf Windows-Rechnern in der Netzwerkumgebung. <strong>Univention</strong> Directory<br />
Manager übernimmt beim Hinzufügen einer Verzeichnisfreigabe automatisch den Namen, der auf der<br />
Karteikarte Allgemein im Feld Name (*) eingetragen ist, als Samba-Namen.<br />
Hinweis:<br />
Die Freigabe homes nimmt unter Samba eine Sonderstellung ein. Sie dient der Freigabe der Hei-<br />
matverzeichnisse der Benutzer. Für jeden Benutzer wird diese Freigabe automatisch in das eigene<br />
Heimatverzeichnis umgewandelt. Deswegen ignoriert Samba die der Freigabe zugewiesenen Rechte<br />
und verwendet die Rechte des jeweiligen Heimatverzeichnisses.<br />
Sichtbar<br />
Konfiguriert, ob diese Freigabe auf Windows-Rechnern in der Netzwerkumgebung angezeigt werden<br />
soll.<br />
Öffentlich<br />
Erlaubt den Zugriff auf diese Freigabe ohne Passwortabfrage. Alle Zugriffe werden dabei über einen<br />
gemeinsamen Gast-Nutzer nobody durchgeführt.<br />
Postexec-Skript<br />
Ein Skript oder ein Befehl, der ausgeführt werden soll, wenn die Verbindung zu dieser Freigabe<br />
beendet wird.<br />
Preexec-Skript<br />
Ein Skript oder ein Befehl, der bei jeder Verbindungsaufnahme zu dieser Freigabe ausgeführt werden<br />
soll.<br />
VFS-Objects<br />
Virtual File System (VFS)-Module werden in Samba verwendet, um Aktionen vor dem Zu-<br />
griff auf das Dateisystem einer Freigabe auszuführen. Ein VFS-Modul könnte z.B. ein<br />
Virenscanner sein, der jede infizierte Datei, auf die in der Freigabe zugegriffen wird,<br />
in einem Quarantänebereich ablegt. VFS-Module sind im offiziellen Samba-Howto un-<br />
ter http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/VFS.html do-<br />
kumentiert.<br />
MSDFS-Wurzel<br />
Durch ein verteiltes Dateisystem ist es möglich Freigaben über mehrere Server und Pfade auf eine<br />
83
4 <strong>Univention</strong> Directory Manager<br />
84<br />
virtuelle Ordner-Hierarchie abzubilden. Dieser Mechanismus kann dazu genutzt werden Lasten auf<br />
verschiedene Server zu verteilen oder Speicherorte auszulagern. Auch logische Strukturen lassen<br />
sich so besser abbilden.<br />
MSDFS steht für Microsoft Distributed File System und ist eine Implementierung eines verteilten<br />
Dateisystems.<br />
Das Setzen der MSDFS-Wurzel Option gibt an, dass es sich bei dem freigegebenen Ordner um eine<br />
Freigabe handelt die für MSDFS genutzt werden kann. Nur innerhalb einer solchen MSDFS-Wurzel<br />
werden Verweise auf andere Freigaben angezeigt, andernfalls werden diese ausgeblendet.<br />
Um die Funktionen eines verteilten Dateisystem nutzen zu können, muss die <strong>Univention</strong> Configu-<br />
ration Registry-Variable samba/enable-msdfs auf yes gesetzt werden. Anschließend muss der<br />
Samba-Dienst neu gestartet werden.<br />
Um einen Verweis von Server sa in der Freigabe fa auf die Freigabe fb des Servers sb anzulegen<br />
muss im Ordner fa folgender Befehl ausgeführt werden.<br />
ln -s msdfs:sb\\fb zufb<br />
Dieser Verweis wird in jedem MSDFS fähigem Client (z.B. Windows 2000 und XP) als regulärer<br />
Ordner angezeigt.<br />
Achtung:<br />
Auf Wurzel-Verzeichnisse sollten nur eingeschränkte Benutzergruppen Schreibzugriff haben. Andern-<br />
falls könnten Benutzer Verweise auf andere Freigaben umlenken und so Dateien abfangen oder ma-<br />
nipulieren. Weiterhin müssen Pfade zu den Freigaben und die Verweise komplett klein geschrieben<br />
werden.<br />
Sollten Änderungen an den Verweisen vorgenommen werden, müssen beteiligte Clients neu gest-<br />
artet werden. Weitere Informationen dazu befinden sich in der Samba Dokumentation [8] im Kapitel<br />
’Hosting a Microsoft Distributed File System Tree’.<br />
Benutzer mit Schreibrechten dürfen die Berechtigungen verändern<br />
Im Unix-Dateiberechtigungs-Konzept können nur die Besitzer einer Datei Zugriffsberechtigungen än-<br />
dern. Dieses Schema wird standardmässig auch in Samba abgebildet. Wird diese Option aktiviert,<br />
erhalten alle Benutzer mit Schreibrechten auf eine Datei auch die Möglichkeiten Berechtigungen,<br />
ACL-Einträge und Dateibesitzrechte zu ändern. Es ist zu beachten, dass Mitglieder einer Besitzer-<br />
gruppe keine Änderungsberechtigung erhalten, wenn diese nur über Leserechte verfügen.<br />
Verstecke nicht lesbare Dateien und Verzeichnisse<br />
Wenn diese Option aktiviert ist, werden Dateien, die anhand der Dateirechte für einen Benutzer nicht
lesbar sind, für diesen nicht angezeigt.<br />
Karteikarte ’Samba-Rechte’<br />
Samba-Schreibzugriff<br />
Erlaubt den Schreibzugriff auf diese Freigabe von Windows-Rechnern aus.<br />
Erzwungener Benutzer<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Der Benutzername, mit dessen Namen, Rechten und primärer Gruppe alle Dateioperationen aller Be-<br />
nutzer ausgeführt werden sollen. Der Benutzername wird erst verwendet, nachdem der Benutzer mit<br />
seinem tatsächlichen Benutzernamen und gültigem Passwort eine Verbindung zur Samba-Freigabe<br />
aufgebaut hat. Ein gemeinsamer Benutzername ist nützlich, um Dateien gemeinsam zu benutzen,<br />
kann bei falscher Anwendung aber Sicherheitsprobleme verursachen.<br />
Erzwungene Gruppe<br />
Eine Gruppe, die alle Benutzer, die sich mit dieser Freigabe verbinden, als primäre Gruppe verwen-<br />
den sollen. Dadurch gelten die Rechte dieser Gruppe als Gruppenrechte für alle diese Benutzer.<br />
Eine hier eingetragene Gruppe hat Vorrang über eine Gruppe, die über das Eingabefeld Erzwunge-<br />
ner Benutzer zur primären Gruppe eines Benutzers geworden ist.<br />
Wird dem Gruppennamen ein Plus-Zeichen vorangestellt, wird die Gruppe nur solchen Benutzern<br />
als primäre Gruppe zugeschrieben, die bereits Mitglied dieser Gruppe sind. Alle anderen Benutzer<br />
behalten ihre gewöhnliche primäre Gruppe<br />
Gültiger Benutzer<br />
Namen von Benutzern oder Gruppen, die auf diese Samba-Freigabe zugreifen dürfen. Alle anderen<br />
Benutzern wird der Zugriff verweigert. Wenn das Feld leer ist, dürfen alle Benutzer - ggf. mit ihrem<br />
Passwort - auf die Freigabe zugreifen.<br />
Die Einträge sind durch Leerzeichen zu trennen. Durch die Zeichen @, + und & in Verbindung mit<br />
einem Gruppennamen kann den Mitgliedern der angegebenen Gruppe die Berechtigung zum Zugriff<br />
auf die Samba-Freigabe erteilt werden:<br />
• Ein Name, der mit @ beginnt, wird zunächst als NIS-Netgroup interpretiert. Wenn keine NIS-<br />
Netgroup mit diesem Namen gefunden wird, wird der Name als UNIX-Gruppe angesehen.<br />
• Ein Name, der mit + beginnt, wird ausschließlich als UNIX-Gruppe aufgefasst, ein Name, der<br />
mit & beginnt, ausschließlich als NIS-Netgroup.<br />
• Ein Name, der mit +& beginnt, wird zunächst als UNIX-Gruppe interpretiert. Wenn keine UNIX-<br />
Gruppe mit diesem Namen gefunden wird, wird der Name als NIS-Netgroup betrachtet. Die<br />
Zeichen &+ als Namensanfang entsprechen @.<br />
85
4 <strong>Univention</strong> Directory Manager<br />
86<br />
Dieser Parameter ist standardmäßig nicht gesetzt.<br />
Nicht erlaubte Benutzer<br />
Die hier aufgeführten Benutzer oder Gruppen dürfen auf diese Samba-Freigabe nicht zugreifen. Die<br />
Syntax ist identisch zu den gültigen Benutzern. Wenn ein Benutzer oder eine Gruppe in der Liste der<br />
gültigen Benutzer und der nicht erlaubten Benutzer enthalten ist, so wird der Zugriff verweigert.<br />
Dieser Parameter ist standardmäßig nicht gesetzt.<br />
Zugelassene Rechner<br />
Namen von Rechnern, die auf diese Samba-Freigabe zugreifen dürfen. Allen anderen Rechnern wird<br />
der Zugriff verweigert. Neben Rechnernamen können auch Netzwerkadressen angegeben werden,<br />
bspw. 192.168.0.0/255.255.255.0.<br />
Dieser Parameter ist standardmäßig nicht gesetzt.<br />
Nicht zugelassene Rechner<br />
Das Gegenteil von den zugelassenen Rechnern. Sollte ein Rechner in beiden Listen auftauchen, so<br />
wird dem Rechner der Zugriff auf die Samba-Freigabe gestattet.<br />
Dieser Parameter ist standardmäßig nicht gesetzt.<br />
Liste von Schreibberechtigten<br />
Nur die aufgeführten Benutzer oder Gruppen erhalten Schreibrecht auf die jeweiligen Freigabe.<br />
Verstecke Dateien<br />
Dateien und Verzeichnisse, auf die ein Zugriff unter Windows möglich sein soll, die aber nicht sichtbar<br />
sein sollen. Die Dateien bzw. Verzeichnisse erhalten das DOS-Attribut hidden.<br />
Datei- bzw. Verzeichnisnamen müssen unter Beachtung von Groß- und Kleinschreibung angege-<br />
ben werden. Die einzelnen Einträge sind durch Schrägstriche zu trennen. Da der Schrägstrich nicht<br />
als Verzeichnistrenner eingegeben werden kann, dürfen nur Namen, aber keine Pfade eingetragen<br />
werden. Alle Dateien bzw. Verzeichnisse mit diesen Namen innerhalb der Freigabe werden dann<br />
versteckt. Die Namen dürfen Leerzeichen und die Platzhalter * und ? enthalten.<br />
Beispiel:<br />
/.*/test/ versteckt alle Dateien und Verzeichnisse, die mit einem Punkt beginnen oder test heißen.<br />
Hinweis:<br />
Einträge in diesem Feld beeinflussen die Geschwindigkeit von Samba, da vor Anzeige von Freiga-<br />
beinhalten alle Dateien und Verzeichnisse auf Übereinstimmung mit den gesetzten Filtern geprüft
werden müssen.<br />
NT ACL-Support<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Ist diese Option aktiviert, versucht Samba, POSIX-ACLs unter Windows anzuzeigen und Änderungen<br />
an den ACLs, die unter Windows vorgenommen werden, in die POSIX-ACLs zu übernehmen. Dafür<br />
muss das Linux-Dateisystem POSIX-ACLs unterstützen. In <strong>UCS</strong> unterstützen die Dateisysteme ext3<br />
und XFS POSIX-ACLs.<br />
Wenn die Option nicht gesetzt ist, werden vorhandene POSIX-ACLs beachtet, aber nicht unter Win-<br />
dows angezeigt und können von dort nicht verändert werden.<br />
Ererbte ACLs<br />
Bei Aktivierung dieser Option erbt jede in dieser Freigabe neu erzeugte Datei die ACL (Access Control<br />
List) des Verzeichnisses, in dem sie angelegt wird.<br />
Besitzer erben<br />
Bei Aktivierung dieser Option wird jede neu erzeugte Datei dem Besitzer des übergeordneten Ver-<br />
zeichnis zugeordnet und nicht dem Benutzer, der die Datei erstellt hat.<br />
Rechte erben<br />
Bei Aktivierung dieser Option werden für jede Datei oder jedes Verzeichnis, die in einer Freigabe neu<br />
erzeugt werden, automatisch die UNIX-Rechte des übergeordneten Verzeichnisses übernommen.<br />
Karteikarte ’Samba-Erweiterte-Einstellungen’<br />
Erweiterte Einstellungen für Samba-Freigaben<br />
Neben den standardmässig konfigurierbaren Eigenschaften einer Samba-Freigabe ermöglicht diese<br />
Einstellung beliebige weitere Samba-Einstellungen an einer Freigabe zu setzen. Eine Liste der ver-<br />
fügbaren Optionen kann mit dem Befehl man smb.conf abgerufen werden. Unter Key ist der Name<br />
der Option anzugeben und unter Value der zu setzende Wert. Doppelt angebene Konfigurationsop-<br />
tionen werden nicht überprüft.<br />
Achtung:<br />
Das Setzen erweiterter Samba-Einstellungen ist nur in Sonderfällen nötig. Die Optionen sollten vor<br />
dem Setzen gründlich geprüft werden, da sie unter Umständen sicherheitsrelevante Auswirkungen<br />
haben können.<br />
Karteikarte ’Erweiterte Samba-Rechte’<br />
Wenn von einem Windows-Rechner aus eine neue Datei auf einem Samba-Server angelegt wird,<br />
werden die Rechte der Datei in mehreren Schritten gesetzt.<br />
87
4 <strong>Univention</strong> Directory Manager<br />
88<br />
1. Zunächst werden die DOS-Rechte in UNIX-Rechte übersetzt.<br />
2. Anschließend werden die Rechte durch den Datei-Modus “gefiltert”. Nur die UNIX-Rechte, die<br />
im Datei-Modus markiert sind, bleiben erhalten. Rechte, die hier nicht gesetzt sind, werden ent-<br />
fernt. Die Rechte müssen also als UNIX-Rechte und im Datei-Modus gesetzt sein, um erhalten<br />
zu bleiben.<br />
3. Im nächsten Schritt werden die Rechte um die unter Erzwinge Datei-Modus gesetzten Rechte<br />
ergänzt. Als Ergebnis hat die Datei alle Rechte, die nach Schritt 2 oder unter Erzwinge Datei-<br />
Modus gesetzt sind. Rechte, die unter Erzwinge Datei-Modus markiert sind, werden also auf<br />
jeden Fall gesetzt.<br />
Entsprechend erhält ein neu angelegtes Verzeichnis zunächst die Rechte, die sowohl als UNIX-<br />
Rechte als auch im Verzeichnis-Modus gesetzt sind. Danach werden die Rechte ergänzt, die unter<br />
Erzwinge Verzeichnis-Modus markiert sind.<br />
In ähnlicher Weise werden die Sicherheits-Einstellungen auf bestehende Dateien und Verzeichnisse<br />
angewandt, deren Rechte unter Windows bearbeitet werden:<br />
Ausschließlich Rechte, die im Sicherheits-Modus bzw. Sicherheits-Verzeichnis-Modus markiert<br />
sind, können von Windows aus verändert werden. Anschließend werden die Rechte, die unter Er-<br />
zwinge Sicherheits-Modus bzw. Erzwinge Sicherheits-Verzeichnis-Modus markiert sind, auf je-<br />
den Fall gesetzt.<br />
Die Parameter Datei-Modus und Erzwinge Datei-Modus bzw. Verzeichnis-Modus und Erzwinge<br />
Verzeichnis-Modus finden also beim Anlegen einer Datei bzw. eines Verzeichnisses Anwendung, die<br />
Parameter Sicherheits-Modus und Erzwinge Sicherheits-Modus bzw. Sicherheits-Verzeichnis-<br />
Modus und Erzwinge Sicherheits-Verzeichnis-Modus beim Ändern der Rechte.<br />
Hinweis:<br />
Es ist zu beachten, dass sich die Sicherheitseinstellungen nur auf den Zugriff über Samba beziehen.<br />
Der Benutzer auf Windows-Seite erhält keinen Hinweis, dass die Datei- bzw. Verzeichnisrechte ge-<br />
gebenenfalls entsprechend den Samba-Einstellungen auf dieser Karteikarte verändert werden.<br />
Datei-Modus<br />
Die Rechte, die Samba beim Anlegen einer Datei übernehmen soll, sofern sie unter Windows gesetzt<br />
sind.<br />
Dieser Parameter ist standardmäßig auf 0744 gesetzt, d.h. der Besitzer kann alle Rechte erhalten,<br />
die Gruppe und Andere können Leserechte erhalten.<br />
Verzeichnis-Modus
4.5 <strong>Univention</strong> Directory Manager Module<br />
Die Rechte, die Samba beim Anlegen eines Verzeichnisses übernehmen soll, sofern sie unter Win-<br />
dows gesetzt sind.<br />
Dieser Parameter ist standardmäßig auf 0755 gesetzt, d.h. der Besitzer kann alle Rechte erhalten,<br />
die Gruppe und Andere können lediglich die Rechte, den Inhalt des Verzeichnisses aufzulisten und<br />
in das Verzeichnis zu wechseln, erhalten.<br />
Erzwinge Datei-Modus<br />
Die Rechte, die Samba beim Anlegen einer Datei auf jeden Fall setzen soll, also unabhängig davon,<br />
ob sie unter Windows gesetzt wurden oder nicht.<br />
Dieser Parameter ist standardmäßig auf 000 gesetzt, d.h. standardmäßig werden keine zusätzlichen<br />
Rechte gesetzt.<br />
Erzwinge Verzeichnis-Modus<br />
Die Rechte, die Samba beim Anlegen eines Verzeichnisses auf jeden Fall setzen soll, also unabhän-<br />
gig davon, ob sie unter Windows gesetzt wurden oder nicht.<br />
Dieser Parameter ist standardmäßig auf 0000 gesetzt, d.h. standardmäßig werden keine zusätzlichen<br />
Rechte gesetzt.<br />
Sicherheitsmodus<br />
Die Dateirechte, an denen Samba Änderungen von Windows-Seite aus zulassen soll.<br />
Dieser Parameter ist standardmäßig auf 0777 gesetzt, d.h. standardmäßig können alle Rechte ge-<br />
ändert werden.<br />
Verzeichnis-Sicherheitsmodus<br />
Die Verzeichnisrechte, an denen Samba Änderungen von Windows-Seite aus zulassen soll.<br />
Dieser Parameter ist standardmäßig auf 0777 gesetzt, d.h. standardmäßig können alle Rechte ge-<br />
ändert werden.<br />
Erzwinge Sicherheitsmodus<br />
Die Rechte, die Samba auf jeden Fall setzen soll (unabhängig davon, ob die Rechte unter Windows<br />
gesetzt wurden oder nicht), wenn die Rechte einer Datei von Windows-Seite aus geändert werden.<br />
Dieser Parameter ist standardmäßig auf 0000 gesetzt, d.h. bei Änderung werden keine Rechte zwin-<br />
gend gesetzt.<br />
Erzwinge Verzeichnis-Sicherheitsmodus<br />
89
4 <strong>Univention</strong> Directory Manager<br />
90<br />
Die Rechte, die Samba auf jeden Fall setzen soll, wenn die Rechte eines Verzeichnisses von<br />
Windows-Seite aus geändert werden (unabhängig davon, ob die Rechte unter Windows gesetzt wur-<br />
den oder nicht).<br />
Dieser Parameter ist standardmäßig auf 0000 gesetzt, d.h. bei Änderung werden keine Rechte zwin-<br />
gend gesetzt.<br />
Karteikarte ’Samba-Performance’<br />
Locking<br />
Unter Locking versteht man das Sperren konkurrierender Zugriffe auf eine Ressource, so dass ein<br />
exklusiver Zugriff ermöglicht wird.<br />
Bei Aktivierung dieses Auswahlkästchens sperrt Samba auf Client-Anfrage den Zugriff auf Dateien.<br />
Ist Locking deaktiviert, werden Lock- und Unlock-Wünsche nur scheinbar ausgeführt. Alle Lock-<br />
Anfragen werden mit der Behauptung beantwortet, die angefragte Datei könne gelockt werden.<br />
Diese Option kann nützlich sein, um die Performance zu erhöhen, sollte jedoch auf Freigaben mit<br />
Schreibzugriff grundsätzlich nicht gesetzt werden, weil Dateien bei konkurrierenden Schreibzugriffen<br />
ohne Locking korrumpiert werden können.<br />
Blocking Locks<br />
Clients können einen Lock-Request mit einem Zeitlimit für einen Bereich einer geöffneten Datei sen-<br />
den.<br />
Kann Samba einem Lock-Request nicht entsprechen und ist diese Option aktiviert, so versucht Sam-<br />
ba bis zum Ablauf des Zeitlimits periodisch den angefragten Dateibereich zu sperren. Ist die Option<br />
deaktiviert, wird kein weiterer Versuch unternommen.<br />
Strict Locking<br />
Ist diese Option aktiviert, prüft Samba bei jedem Lese- und Schreibzugriff, ob die Datei gesperrt ist<br />
und verweigert ggf. den Zugriff. Auf einigen Systemen kann dies lange dauern.<br />
Ist die Option deaktiviert, prüft Samba nur auf Client-Anfrage, ob eine Datei gesperrt ist. Gut konfigu-<br />
rierte Clients bitten in allen wichtigen Fällen um eine Prüfung, so dass diese Option im Regelfall nicht<br />
notwendig ist.<br />
Oplocks<br />
Wird diese Option aktiviert, verwendet Samba so genannte opportunistic locks. Dies kann die Zu-<br />
griffsgeschwindigkeit auf Dateien deutlich erhöhen. Allerdings erlaubt die Option Clients Dateien in<br />
großem Umfang lokal zwischenzuspeichern. Deswegen kann es in unzuverlässigen Netzwerken nö-
tig sein, auf Oplocks zu verzichten.<br />
Level 2 Oplocks<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Bei Aktivierung dieser Option unterstützt Samba eine erweiterte Form der Oplocks, sogenannte<br />
opportunistic read-only locks oder auch Level-2-Oplocks. Windows-Clients, die ein Read-write-<br />
Oplock auf eine Datei halten, können dieses Oplock dann zu einem Read-only-Oplock herunterstu-<br />
fen anstatt das Oplock ganz aufgeben zu müssen, sobald ein zweiter Client die Datei öffnet. Alle<br />
Clients, die Level-2-Oplocks unterstützen, speichern dann nur Lesezugriffe auf die Datei zwischen.<br />
Wenn einer der Clients in die Datei schreibt, werden alle anderen Clients benachrichtigt, ihre Oplocks<br />
aufzugeben und ihre Zwischenspeicher zu löschen.<br />
Es wird empfohlen, diese Option zu aktivieren, um den Zugriff auf Dateien, die normalerweise nicht<br />
geschrieben werden (z.B. Programme/ausführbare Dateien) zu beschleunigen.<br />
Hinweis:<br />
Wenn Kernel-Oplocks unterstützt werden, werden Level-2-Oplocks nicht bewilligt, selbst wenn die<br />
Option aktiviert ist. Die Option ist nur wirksam, wenn das Auswahlkästchen Oplocks ebenfalls markiert<br />
ist.<br />
Fake Oplocks<br />
Bei Aktivierung dieser Optionen bewilligt Samba alle Oplock-Anfragen unabhängig von der Anzahl<br />
auf eine Datei zugreifender Clients. Dies verbessert die Performance deutlich und ist sinnvoll bei<br />
Freigaben, auf die nur lesend zugegriffen werden kann (z.B. CD-ROMs) oder bei denen sichergestellt<br />
ist, dass niemals mehrere Clients gleichzeitig auf sie zugreifen können.<br />
Wenn nicht ausgeschlossen werden kann, dass mehrere Clients lesend und schreibend auf eine<br />
Datei zugreifen, sollte die Option nicht aktiviert werden, weil es sonst zu Datenverlusten kommen<br />
kann.<br />
Block Größe<br />
Die Blockgröße, in der freier Festplattenplatz an Clients gemeldet werden soll. Standardmäßig beträgt<br />
sie 1024 Byte.<br />
Richtlinie für das Caching beim Client<br />
Konfiguriert, auf welche Weise Clients Dateien aus dieser Freigabe offline zwischenspeichern sollen.<br />
Zur Wahl stehen manuell, Dokumente, Programme und deaktiviert.<br />
Karteikarte (Optionen)<br />
Für Samba-Clients exportieren<br />
Diese Option legt fest, ob die Freigabe für Samba-Clients exportiert werden soll.<br />
91
4 <strong>Univention</strong> Directory Manager<br />
92<br />
Für NFS-Clients exportieren<br />
Diese Option legt fest, ob die Freigabe für NFS-Clients exportiert werden soll.<br />
Für Web-Clients exportieren<br />
Diese Option legt fest, ob die Freigabe für den Zugriff aus dem Webbrowser durch den Horde-Client<br />
exportiert werden soll.<br />
Karteikarte ’NFS Allgemein’<br />
NFS-Schreibzugriff<br />
Erlaubt schreibenden NFS-Zugriff auf diese Freigabe.<br />
NFS-Synchronisation<br />
Der Synchronisations-Modus für die Freigabe. Die Einstellung sync veranlasst die sofortige Syn-<br />
chronisation der Daten, async veranlasst die Synchronisation, wenn die Arbeitslast des Servers es<br />
zulässt. Diese Synchronisation läuft dann im Hintergrund ab.<br />
Root-Zugriff umlenken<br />
Die Identifikation von Nutzern im NFS-Standardverfahren erfolgt über User-IDs. Um zu verhindern,<br />
dass ein lokaler root-Nutzer auf fremden Freigaben ebenfalls mit root-Rechten arbeitet, kann der<br />
Root-Zugriff umgelenkt werden. Ist diese Option aktiviert, erfolgen Zugriffe als Benutzer nobody.<br />
Achtung:<br />
Die standardmäßig leere lokale Gruppe staff verfügt über Privilegien, die root-Rechten recht nahe<br />
kommen, wird aber vom Umlenkungs-Mechanismus nicht berücksichtigt. Dies sollte bei der Aufnah-<br />
me von Nutzern in diese Gruppe berücksichtigt werden.<br />
Subtree Überprüfung<br />
Wird nur ein Unterverzeichnis eines Dateisystems exportiert, muss der NFS-Server bei jedem Zugriff<br />
überprüfen, ob die zugriffene Datei auf dem exportierten Dateisystem und in dem exportierten Pfad<br />
liegt. Für diese Prüfung werden Pfad-Informationen an den Client übergeben. Die Aktivierung dieser<br />
Funktion kann zu Problemen führen, wenn eine auf dem Client geöffnete Datei umbenannt wird.<br />
Zugelassene Rechner<br />
Standardmäßig wird allen Rechnern der Zugriff auf eine Freigabe erlaubt. In die Auswahlliste können<br />
Rechnernamen und IP-Adressen aufgenommen werden, auf die dann der Zugriff auf die Freigabe<br />
beschränkt wird. Hier liesse sich etwa der Zugriff auf eine Freigabe mit Maildaten auf den Mailserver<br />
der Domäne einschränken.
4.5.6 Samba<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Samba bildet mit seinen umfangreichen Funktionen das Bindeglied zwischen einer <strong>UCS</strong>-Domäne und<br />
Windows-Rechnern. In <strong>Univention</strong> Directory Manager können einige Einstellungen zu Samba vorgenom-<br />
men werden. So ist es beispielsweise möglich, Einstellungen für Passwörter und RIDs zu verwalten.<br />
4.5.6.1 Einstellungen: Samba-Domäne<br />
Über das Objekt Einstellungen: Samba-Domäne kann die Vergabe von RIDs für Benutzer, Gruppen und<br />
andere Objekte gesteuert werden, sowie passwortrelevante Einstellungen vorgenommen werden. Es wird<br />
typischerweise in der LDAP-Navigation im Container samba angelegt.<br />
Karteikarte ’Allgemein’<br />
Samba-Domänenname (*)<br />
Der hier angegebene Samba-Domänenname wird der Samba-Sicherheits-ID (SID) zugeordnet. Der<br />
Samba-Domänenname kann auch nach dem Anlegen des Objektes modifiziert werden.<br />
Bei Änderungen sollte lokal auf den Samba-Servern die <strong>Univention</strong> Configuration Registry-Variable<br />
windows/domain auf den jeweils verwendeten Domänennamen gesetzt werden (siehe dazu auch<br />
Kapitel 8.4.6).<br />
Samba SID<br />
Die Samba-Sicherheits-ID kann nur während des Anlegens des Objektes angegeben bzw. modifiziert<br />
werden. Spätere Änderungen sind nicht möglich. Das Feld ist in diesem Fall ausgegraut.<br />
nächste Samba-Benutzer-RID<br />
Die hier angegebene Zahl wird als nächste Samba-Benutzer-RID vergeben. Wird keine manuelle<br />
Einstellung vorgenommen, verwaltet Samba die RIDs selbständig.<br />
nächste Samba-Gruppen-RID<br />
Die hier angegebene Zahl wird als nächste Samba-Gruppen-RID vergeben. Wird keine manuelle<br />
Einstellung vorgenommen, verwaltet Samba die RIDs selbständig.<br />
nächste RID<br />
Die hier angegebene Zahl wird als nächste RID für Objekte vergeben, die keine Benutzer oder Grup-<br />
pen sind.<br />
Passwort-Länge<br />
Gibt die Mindestlänge von Passwörtern vor. Kürzere Passwörter können vom Benutzer nicht gesetzt<br />
werden.<br />
Passwort-History<br />
93
4 <strong>Univention</strong> Directory Manager<br />
94<br />
Um unterschiedliche Passwörter vom Benutzer zu erzwingen, werden die zuletzt verwendeten Pass-<br />
wörter gespeichert. Wird beim Setzen eines neuen Passwortes ein bereits bekanntes Passwort ver-<br />
wendet, wird dieses abgelehnt. In diesem Eingabefeld kann die Anzahl der gespeicherten Passwörter<br />
angegeben werden.<br />
Minimales Passwortalter<br />
Wird ein minimales Passwortalter angegeben, kann ein Benutzer erst nach Ablauf des hier angege-<br />
benen Zeitraums sein Passwort erneut wechseln. Die Angabe kann in Sekunden, Minuten, Stunden<br />
oder Tagen erfolgen.<br />
Maximales Passwortalter<br />
Wird ein maximales Passwortalter angegeben, wird ein Benutzer zum Passwortwechsel aufgefordert,<br />
wenn seit dem letzten Passwortwechsel die hier angegebene Zeit verstrichen ist. Die Angabe kann<br />
in Sekunden, Minuten, Stunden oder Tagen erfolgen.<br />
Fehlgeschlagene Anmeldeversuche vor Aussperrung<br />
Um das ungehinderte Ausprobieren von Passwörtern zu unterbinden bzw. zu verlangsamen, kann ein<br />
Benutzer nach einer hier angegebenen Anzahl an fehlgeschlagenen Anmeldeversuchen automatisch<br />
gesperrt werden.<br />
Dauer der Aussperrung<br />
Ein Benutzer, der durch zu viele fehlgeschlagene Anmeldeversuche gesperrt wurde, wird nach Ab-<br />
lauf des hier angegebenen Zeitraums automatisch wieder entsperrt. Die Angabe kann in Sekunden,<br />
Minuten, Stunden oder Tagen erfolgen.<br />
Fehlgeschlagene Anmeldeversuche zurücksetzen nach<br />
Der Zähler für fehlgeschlagene Anmeldeversuche wird nach Ablauf des hier angegebenen Zeitraums<br />
automatisch zurückgesetzt. Die Angabe des Zeitraums erfolgt in Minuten.<br />
Änderung des Passwortes erfordert Anmeldung<br />
Mit der Aktivierung dieses Auswahlkästchens muss sich ein Benutzer anmelden, bevor er sein Pass-<br />
wort ändern kann. Ist das maximale Passwortalter bereits überschritten, kann der Benutzer sich nicht<br />
mehr einloggen und muss das Passwort durch einen Administrator zurücksetzen lassen. Ist das Aus-<br />
wahlkästchen nicht aktiviert, kann der Benutzer ein abgelaufenes Passwort während der Anmeldung<br />
ändern.<br />
Verbindung trennen nach<br />
Über dieses Eingabefeld kann bestimmt werden, nach welcher Zeit der Inaktivität die Verbindung zu<br />
einer Samba-Freigabe getrennt werden soll. Die Angabe kann in Sekunden, Minuten, Stunden oder<br />
Tagen erfolgen.
4.5.7 Druckerverwaltung<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
In der Druckerverwaltung können Druckerfreigaben hinzugefügt, gesucht, bearbeitet und entfernt werden.<br />
Beim Hinzufügen einer Druckerfreigabe wird der Drucker automatisch in CUPS eingerichtet. Alle in CUPS<br />
eingerichteten Drucker werden über Samba automatisch auch für Windows-Rechner bereitgestellt. Beim<br />
Entfernen einer Druckerfreigabe wird der Drucker ebenfalls automatisch aus der CUPS-Konfiguration und<br />
gegebenenfalls der Samba-Konfiguration entfernt.<br />
Hinweis:<br />
Netzwerkdrucker mit eigener Netzwerkkarte sollten als IP Managed Client über die Rechnerverwaltung<br />
eingetragen werden.<br />
Zusätzlich können Druckergruppen definiert werden, deren Mitglieder abwechselnd zur Bearbeitung von<br />
Druckaufträgen verwendet werden, was eine automatische Lastverteilung zwischen räumlich benachbart<br />
aufgestellten Druckern ermöglicht. Druckergruppen sind als Teil des gesamten <strong>UCS</strong> Drucksystems in Ka-<br />
pitel 13.3.4 beschrieben.<br />
Druck-Quota-Einstellungen können über eine Richtlinie auf die Druckerverwaltung angewendet bzw. ver-<br />
erbt werden (siehe Kapitel 4.5.11).<br />
4.5.7.1 Drucker<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Dieses Eingabefeld enthält den Namen der Druckerfreigabe, der von CUPS verwendet wird. Unter<br />
diesem Namen erscheint der Drucker unter Linux und Windows. Der Name darf alphanumerische<br />
Zeichen (also die Buchstaben a bis z in Groß- und Kleinschreibung und die Ziffern 0 bis 9) sowie<br />
Binde- und Unterstriche enthalten. Andere Zeichen (einschließlich Leerzeichen) sind nicht erlaubt.<br />
Server (*)<br />
Ein Druckserver (Spooler) verwaltet die Druckerqueue für den freizugebenden Drucker. Falls notwen-<br />
dig, wandelt er die Druckdaten in das passende Druckerformat um. Ist der Drucker nicht bereit, spei-<br />
chert der Druckserver die anstehenden Druckaufträge zwischen und sendet sie später zum Drucker.<br />
Werden mehrere Druckserver angegeben, wird der Druckauftrag vom Client zum ersten Druckserver<br />
gesendet, der erreichbar ist.<br />
Protokoll und Ziel (*)<br />
Diese beiden Eingabefelder bilden den URI (Universal Ressource Identifier). Über das Kommunika-<br />
tionsprotokoll (http://, ipp://, . . . ) und den Pfad kann eine Ressource (z.B. eine Queue) adressiert<br />
werden. Die folgende Tabelle beschreibt die Syntax der einzelnen Protokolle und gibt jeweils ein<br />
Beispiel an:<br />
Protokoll Ziel-Syntax Beispiele für Ziel<br />
file:/ /tmp/druck.datei<br />
95
4 <strong>Univention</strong> Directory Manager<br />
96<br />
http:// [:]/ 192.168.0.10:631/printers/remote_prn<br />
ipp:// /printers/ printer_01/printers/kopierer<br />
lpd:// / 10.200.18.30/bwdraft<br />
parallel:/ dev/lp0<br />
socket:// : printer_03:9100<br />
usb:/ dev/usb/lp0<br />
smb:// / prRaum104/schacht3<br />
cups-pdf:/
Drucker-Hersteller<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Nach dem Auswählen des gewünschten Drucker-Herstellers wird die Auswahlliste Drucker-Modell<br />
automatisch aktualisiert.<br />
Drucker-Modell (*)<br />
Diese Auswahlliste zeigt alle verfügbaren Drucker für den ausgewählten Drucker-Hersteller an.<br />
Wenn das gesuchte Drucker-Modell nicht vorhanden ist, kann ein ähnliches Modell ausgewählt wer-<br />
den und mit einem Drucktest die korrekte Funktion überprüft werden. In Kapitel 4.5.12.2 wird erläu-<br />
tert, wie die Liste der Drucker-Modelle erweitert werden kann.<br />
Hinweis:<br />
Über den “Drucker-Hersteller” misc stehen die “Drucker-Modelle” None und smb zur Verfügung.<br />
Wenn der Drucker PostScript-fähig ist und die druckenden Rechner Druckaufträge bereits im<br />
PostScript-Format senden, kann das Modell None ausgewählt werden. Dies ist auch der Fall, wenn<br />
die Rechner Druckaufträge bereits im Format des Druckers senden. Die Druckaufträge werden dann<br />
von CUPS gespoolt, aber nicht gefiltert.<br />
Das Modell smb eignet sich für Drucker, die über das smb-Protokoll angesprochen werden können.<br />
Dies ist bei Druckern, die an einem Windows-Rechner angeschlossen sind, in der Regel der Fall.<br />
Samba-Name<br />
Für einen Drucker kann ein zusätzlicher Name vergeben werden, unter dem er von Windows aus<br />
erreichbar sein soll. Im Gegensatz zum CUPS-Namen (siehe Name) darf der Samba-Name Leerzei-<br />
chen und Umlaute enthalten. Der Drucker steht für Windows dann sowohl unter dem CUPS-Namen<br />
als auch unter dem Samba-Namen zur Verfügung.<br />
Die Verwendung des Samba-Namens zusätzlich zum CUPS-Namen ist z.B. dann sinnvoll, wenn der<br />
Drucker schon früher unter Windows mit einem Namen verwendet wurde, der Leerzeichen oder<br />
Umlaute enthielt. Der Drucker kann dann weiterhin unter diesem Namen erreicht werden und die<br />
Windows-Rechner müssen nicht umkonfiguriert werden.<br />
Quota aktivieren<br />
Wurden Quota für den Drucker aktiviert, gelten die Quota-Einstellungen der Karteikarte [Druck-<br />
Quota].<br />
Hinweis:<br />
Für die Berechnung von Druck-Quota und -Kosten muss die Komponente ’Dienste/Druck-Quota’ bei<br />
der Installation ausgewählt worden sein oder durch Aufruf von univention-system-setup-software<br />
installiert werden.<br />
Preis pro Seite<br />
Dem Benutzer wird für jede gedruckte Seite der in diesem Eingabefeld angegebene Wert berech-<br />
97
4 <strong>Univention</strong> Directory Manager<br />
net. Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen<br />
Abrechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt.<br />
Preis pro Druckauftrag<br />
Dem Benutzer wird für jeden Druckauftrag der in diesem Eingabefeld angegebene Wert berechnet.<br />
Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen Ab-<br />
rechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt.<br />
Standort<br />
Diese Angabe wird von einigen Anwendungen bei der Druckerauswahl angezeigt. Sie kann mit belie-<br />
bigem Text gefüllt werden.<br />
Beschreibung<br />
Diese Angabe wird von einigen Anwendungen bei der Druckerauswahl angezeigt. Sie kann mit belie-<br />
bigem Text gefüllt werden.<br />
Karteikarte ’Zugriffskontrolle’<br />
Zugriffslisten<br />
Über diese Auswahl lassen sich Zugriffsrechte für den Drucker festlegen. Der Zugriff kann auf be-<br />
stimmte Gruppen oder Benutzer beschränkt werden oder er kann generell freigegeben und spezifisch<br />
für bestimmte Gruppen oder Benutzer gesperrt werden. Standardmäßig ist der Zugriff für alle Grup-<br />
pen und Benutzer zugelassen. Diese Rechte werden auch für die entsprechende Samba Druckerfrei-<br />
gabe übernommen, so dass beim Drucken über Samba die gleichen Zugriffsrechte gelten, wie beim<br />
Drucken direkt über CUPS.<br />
Zugelassene/abgewiesene Benutzer<br />
Diese Auswahl führt Einzelbenutzer auf, für die der Zugriff reguliert werden soll.<br />
Zugelassene/abgewiesene Gruppen<br />
Diese Auswahl führt Gruppen auf, für die der Zugriff reguliert werden soll.<br />
4.5.7.2 Druckergruppen<br />
98<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Dieses Eingabefeld enthält den Namen der Druckergruppenfreigabe, der von CUPS verwendet wird.<br />
Unter diesem Namen erscheint die Druckergruppe unter Linux und Windows. Der Name darf alpha-<br />
numerische Zeichen (also die Buchstaben a bis z in Groß- und Kleinschreibung und die Ziffern 0 bis<br />
9) sowie Binde- und Unterstriche enthalten. Andere Zeichen (einschließlich Leerzeichen) sind nicht
erlaubt.<br />
Server (*)<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Um die zur Auswahl stehende Liste der Drucker zu erweitern, kann hier eine Reihe von Druckservern<br />
(Spooler) angegeben werden. Drucker, die hier angegebenen Servern zugeordnet sind, können dann<br />
in der darunter angeordneten Auswahl in die Liste der Gruppenmitglieder aufgenommen werden.<br />
Samba-Name<br />
Für eine Druckergruppe kann ein zusätzlicher Name vergeben werden, unter dem sie von Windows<br />
aus erreichbar sein soll. Im Gegensatz zum CUPS-Namen (siehe Name) darf der Samba-Name<br />
Leerzeichen und Umlaute enthalten. Der Drucker steht für Windows dann sowohl unter dem CUPS-<br />
Namen als auch unter dem Samba-Namen zur Verfügung.<br />
Die Verwendung des Samba-Namens zusätzlich zum CUPS-Namen ist z.B. dann sinnvoll, wenn die<br />
Druckergruppe schon früher unter Windows mit einem Namen verwendet wurde, der Leerzeichen<br />
oder Umlaute enthielt. Die Druckergruppe kann dann weiterhin unter diesem Namen erreicht werden<br />
und die Windows-Rechner müssen nicht umkonfiguriert werden.<br />
Gruppenmitglieder<br />
Durch diese Liste werden Drucker der Druckergruppe zugeordnet.<br />
Quota aktivieren<br />
Wurden Quota für die Druckergruppe aktiviert, gelten die Quota-Einstellungen der Karteikarte<br />
[Druck-Quota].<br />
Hinweis:<br />
Für die Berechnung von Druck-Quota und -Kosten muss die Komponente ’Dienste/Druck-Quota’<br />
bei der Installation ausgewählt worden sein oder durch Aufruf von univention-system-setup-<br />
software installiert werden.<br />
Preis pro Seite<br />
Dem Benutzer wird für jede gedruckte Seite der in diesem Eingabefeld angegebene Wert berech-<br />
net. Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen<br />
Abrechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt.<br />
Preis pro Druckauftrag<br />
Dem Benutzer wird für jeden Druckauftrag der in diesem Eingabefeld angegebene Wert berechnet.<br />
Die anfallenden Kosten werden im Konto des Benutzers aufsummiert und dienen zur genauen Ab-<br />
rechnung von Druckkosten. Wird kein Wert angegeben, findet keine Druckkostenberechnung statt.<br />
99
4 <strong>Univention</strong> Directory Manager<br />
4.5.8 Container, Organisationseinheiten, Domänen<br />
4.5.8.1 Container und Organisationseinheiten hinzufügen<br />
Container und Organisationseinheiten dienen der Strukturierung der Daten im LDAP-Verzeichnis. Sie kön-<br />
nen an jeder beliebigen Position eingefügt werden. Organisationseinheiten sollen in der realen Welt exis-<br />
tierende Einheiten wie z.B. eine Abteilung einer Firma oder Behörde wiedergeben, während Container<br />
fiktive Einheiten wie z.B. alle Computer eines Unternehmens verkörpern sollten.<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Ein beliebiger Name für den Container / die Organisationseinheit.<br />
Beschreibung<br />
Ein beliebige Beschreibung für den Container / die Organisationseinheit.<br />
Karteikarte ’Container-Einstellungen’<br />
Zu Standard--Container hinzufügen<br />
Ist diese Option aktiviert, wird der Container/die Organisationseinheit als Standard-Container für<br />
einen bestimmten Objekttyp angesehen (siehe Kapitel 4.5.12.7).<br />
Karteikarte ’Richtlinien’<br />
Diese Karteikarte wird in Kapitel 4.5.11.3 beschrieben.<br />
4.5.8.2 Domäne bearbeiten<br />
Das Domänen-Objekt wird bei der Installation automatisch im LDAP-Verzeichnis angelegt, kann mit Uni-<br />
vention Directory Manager bearbeitet werden und stellt die Basis des LDAP-Verzeichnisses dar. Das Ver-<br />
zeichnis wird häufig als Verzeichnisbaum und das Domänen-Objekt als Wurzel bezeichnet.<br />
100<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name der Domäne. Er kann nach dem Anlegen nicht mehr verändert werden.
Karteikarte ’Domänen-Passwort’<br />
Diese Karteikarte findet im Ein-Domänen-Konzept keine Anwendung.<br />
Karteikarte ’DNS’<br />
Hier werden alle in der Domäne gespeicherten DNS-Zonen aufgeführt.<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
DNS-Zonen werden wie in Kapitel 4.5.9 beschrieben angelegt, bearbeitet und gelöscht; Änderun-<br />
gen werden dabei automatisch in die hier angezeigten Listen übernommen. Die Listen auf dieser<br />
Karteikarte können nicht von Hand verändert werden.<br />
Forward Lookup Zone<br />
Hier werden alle in der Domäne gespeicherten Forward Lookup Zonen aufgeführt.<br />
Reverse Lookup Zone<br />
Hier werden alle in der Domäne gespeicherten Reverse Lookup Zonen aufgeführt.<br />
Karteikarte ’Samba’<br />
Die Samba-Einstellungen werden hier nur dann vorgenommen, wenn die Installation mit einer <strong>UCS</strong><br />
Version bis 1.2-3 vorgenommen wurde. Seit <strong>UCS</strong> 1.2-4 werden die Samba-Einstellungen in eigenen<br />
Objekten verwaltet (siehe Kapitel 4.5.6).<br />
Samba-Domänenname (*)<br />
Hier können Namen für die Samba-Domäne hinzugefügt und entfernt werden. Die Samba-<br />
Domänennamen werden dabei lediglich der auf dieser Karteikarte sichtbaren Samba-Sicherheits-ID<br />
zugewiesen. Auf den Samba-Servern muss außerdem lokal die <strong>Univention</strong> Configuration Registry-<br />
Variable windows/domain auf den jeweils verwendeten Domänennamen gesetzt werden (siehe<br />
Kapitel 8.4.6.1).<br />
Samba-Sicherheits-ID (*)<br />
Hier wird die Samba-Sicherheits-ID angezeigt. Sie ist ausgegraut, da sie nicht verändert werden<br />
kann.<br />
Nächste Samba-User-Rid (*)<br />
Mit dieser Option kann konfiguriert werden, welche Zahl als nächste Samba-User-RID vergeben wer-<br />
den soll.<br />
Nächste Samba-Gruppen-Rid (*)<br />
Mit dieser Option kann konfiguriert werden, welche Zahl als nächste Samba-Group-RID vergeben<br />
werden soll.<br />
101
4 <strong>Univention</strong> Directory Manager<br />
Karteikarte ’Kerberos’<br />
Kerberos Realm (*)<br />
Der Name des Kerberos-Realm. Er ist ausgegraut, da er nicht verändert werden kann.<br />
Karteikarte ’Mail’<br />
Mail Relay<br />
Hier können Sie den FQDN von Rechnern eintragen, die als Relay-Host verwendet werden sollen<br />
(siehe Kapitel 12) .<br />
Karteikarte Richtlinien<br />
Die Karteikarte Richtlinien wird in Kapitel 4.5.11.3 beschrieben.<br />
4.5.9 DNS<br />
DNS-Daten werden standardmäßig im Container cn=dns, abgelegt. Forward- und Reverse-<br />
Lookup-Zonen werden direkt in dem Container abgelegt. In den jeweiligen Zonen können zusätzliche<br />
DNS-Objekte wie z.B. Pointer angelegt werden.<br />
In Eingabefeldern für Rechner sollte immer der relativen Domänennamen oder der FQDN (siehe Infobox<br />
Rechnernamen, Seite 75) und nicht die IP-Adresse des Rechners verwendet werden. Um zu verhindern,<br />
dass der Domänenname erneut angehängt wird, sollte ein FQDN immer mit einem Punkt abgeschlossen<br />
werden.<br />
4.5.9.1 Forward Lookup Zone<br />
Eine Forward Lookup Zone enthält Informationen, die zum Auflösen von DNS-Namen in IP-Adressen<br />
herangezogen werden.<br />
102<br />
Karteikarte ’Allgemein’<br />
Name der Zone (*)<br />
Der komplette Name der DNS-Domäne, für die die Zone zuständig sein soll.<br />
Achtung:<br />
In Zonennamen darf der Domänenname nicht mit einem Punkt abgeschlossen werden!<br />
Zone Time-to-Live (*)<br />
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert<br />
werden dürfen. Der Vorgabewert beträgt drei Stunden.
Karteikarte ’Start of Authority Eintrag’<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Jede DNS-Zone verfügt über mindestens einen autoritativen, primären Nameserver, dessen Informa-<br />
tionen für eine Zone massgeblich sind, untergeordnete Server synchronisieren sich mit dem auto-<br />
ritativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, wird im DNS-<br />
Sprachgebrauch ’SOA Record’ genannt.<br />
Verantwortliche Person (*)<br />
Die E-Mail-Adresse der für die Verwaltung der Zone verantwortlichen Person (mit abschließendem<br />
Punkt).<br />
Nameserver (*)<br />
Der FQDN mit abschließendem Punkt oder der relative Domänenname des primären Master-<br />
Nameservers.<br />
Hinweis:<br />
In dieses Feld sollte nur der primäre Master-Nameserver eingetragen werden. Weitere Nameserver<br />
können Sie auf der Karteikarte Nameserver angegeben werden.<br />
Seriennummer (*)<br />
Anhand der Seriennummer erkennen andere DNS-Server, ob sich Zonendaten geändert haben. Der<br />
Slave-Nameserver vergleicht die Seriennummer seiner Kopie mit der auf dem Master-Nameserver. Ist<br />
die Seriennummer auf dem Slave niedriger als auf dem Master, so kopiert der Slave die geänderten<br />
Daten.<br />
Es gibt zwei häufig verwendete Muster für die Seriennummer:<br />
• Beginn mit 1 unter Inkrementierung der Seriennummer bei jeder Änderung<br />
• Unter Einbeziehung des Datums kann die Zahl im Format JJJJMMTTNN eingegeben werden,<br />
wobei J für Jahr, M für Monat, T für Tag und N für die Nummer der Änderung an diesem Tag<br />
steht.<br />
Wird die Seriennummer nicht von Hand geändert, erhöht <strong>Univention</strong> Directory Manager den Wert<br />
automatisch um 1, wenn auf [OK] geklickt wurde. Wenn abgebrochen wurde, bleibt die Seriennummer<br />
unverändert.<br />
Aktualisierungsintervall (*)<br />
Die Zeitspanne, nach der der Slave-Nameserver überprüft, ob seine Kopie der Zonendaten noch ak-<br />
tuell ist. Übliche Werte liegen zwischen einer und 24 Stunden. Der Vorgabewert beträgt acht Stunden.<br />
Intervall für erneute Versuche (*)<br />
Die Zeitspanne, nach der der Slave-Nameserver nach einer fehlgeschlagenen Aktualisierungs-<br />
Anfrage erneut versucht, die Aktualität seiner Zonendaten-Kopie zu überprüfen. Üblicherweise wird<br />
103
4 <strong>Univention</strong> Directory Manager<br />
104<br />
diese Zeitspanne kürzer gewählt als das Aktualisierungsintervall, darf aber auch gleich lang sein. Der<br />
Vorgabewert beträgt zwei Stunden.<br />
Ablaufintervall (*)<br />
Die Zeitspanne, nach der die Zonendaten-Kopie auf dem Slave ungültig wird, wenn ihre Aktualität<br />
nicht überprüft werden konnte.<br />
Bei einem Ablaufintervall von einer Woche bedeutet dies beispielsweise, dass die Zonendaten-Kopie<br />
ungültig wird, wenn eine Woche lang alle Aktualisierungs-Anfragen fehlgeschlagen sind. In dem Fall<br />
wird davon ausgegangen, dass die Daten nach der Ablaufzeit zu veraltet sind, um weiter verwendet<br />
zu werden. Der Slave-Nameserver kann dann keine Namensauflösungs-Anfragen für diese Zone<br />
mehr beantworten.<br />
Übliche Werte liegen bei einer Woche. Bei problematischen Netz-Verbindungen zum Master-<br />
Nameserver können längere Ablaufzeiten gewählt werden. Der Vorgabewert beträgt eine Woche.<br />
Minimum Time-to-Live (*)<br />
Die Minimum Time-to-Live gibt an, wie lange andere Server No-such-Domain-Antworten (NXDO-<br />
MAIN) im Cache behalten dürfen. Der Wert darf nicht mehr als 3 Stunden betragen, der Vorgabewert<br />
beträgt 3 Stunden.<br />
Karteikarte ’Nameserver’<br />
Auf der Karteikarte Nameserver können einer Zone Nameserver zugewiesen werden (im DNS-<br />
Sprachgebrauch zumeist NS-Records genannt). Der auf der Karteikarte SOA Record eingetragene<br />
Nameserver erscheint automatisch im Listenfeld Einträge.<br />
Nameserver<br />
Der FQDN mit abschließendem Punkt oder der relative Domänenname des Nameservers.<br />
Achtung:<br />
Der Nameserver, der in der Liste an oberster Stelle steht, ist immer der Master, unabhängig davon,<br />
was auf der Karteikarte SOA Record in das Eingabefeld Nameserver eingetragen wurde.<br />
Karteikarte ’TXT Records’<br />
Hier lassen sich Text Records (im DNS-Sprachgebrauch TXT-Records) definieren. Diese enthalten<br />
menschenlesbaren Text und können beschreibende Information enthalten, die z.B. für einige Anti-<br />
Spam-Massnahmen verwendet werden.<br />
TXT Record<br />
Ein beschreibender Text zu dieser Zone. Text Records dürfen keine Umlaute oder sonstige Sonder-
zeichen enthalten.<br />
Karteikarte ’MX Records’<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Der Mail Exchanger-Eintrag einer Zone (im DNS-Sprachgebrauch auch MX-Record genannt) ist ei-<br />
ne für das E-Mail-Routing notwendige DNS-Information. Er verweist auf den Rechner, der für eine<br />
Domäne Mails entgegennimmt.<br />
Mail-Server (*)<br />
Der für diese Domäne zuständige Mail-Server als FQDN mit abschließendem Punkt. Hierbei dürfen<br />
nur kanonische Namen und keine Alias-Namen verwendet werden.<br />
Priorität (*)<br />
Ein Zahlenwert zwischen 0 und 65535. Stehen mehrere Mail-Server für den MX-Record zur Verfü-<br />
gung, wird zuerst versucht, den Server mit dem niedrigsten Prioritätswert in Anspruch zu nehmen.<br />
4.5.9.2 Alias Record<br />
Mit einem Alias Record (im DNS-Sprachgebrauch auch CNAME-Record genannt) kann ein Verweis auf<br />
einen vorhandenen, kanonischen DNS-Namen definiert werden. Zu einem kanonischen Namen können<br />
beliebig viele Alias Records definiert werden.<br />
Ein Alias Record muss immer einer Forward Lookup Zone zugeordnet sein und kann deshalb nur in einer<br />
Forward Lookup Zone oder einem untergeordneten Container hinzugefügt werden.<br />
Karteikarte ’Allgemein’<br />
Alias (*)<br />
Der Aliasname als FQDN mit abschließendem Punkt oder als relativer Domänenname, der auf den<br />
kanonischen Namen verweisen soll.<br />
Zone Time-to-Live<br />
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert<br />
werden dürfen. Der Vorgabewert beträgt drei Stunden.<br />
Karteikarte ’Alias’<br />
Kanonischer Name (*)<br />
Der kanonische Name des Rechners, auf den der Alias verweisen soll, angegeben als FQDN mit<br />
abschließendem Punkt oder als relativer Domänenname.<br />
105
4 <strong>Univention</strong> Directory Manager<br />
Der kanonische Name ist der Name, der beim Host Record in das Eingabefeld Rechnername (*)<br />
eingetragen wurde. Wurde der Host Record beim Hinzufügen des Rechners automatisch angelegt,<br />
entspricht der Wert dem dabei eingetragenen Rechnernamen.<br />
4.5.9.3 Host Record<br />
In einem Host Record können zusätzliche Informationen über einen Rechner und dessen Konfiguration<br />
definiert werden. Er muss immer einer Forward Lookup Zone zugeordnet sein und kann deshalb nur in<br />
einer Forward Lookup Zone oder einem untergeordneten Container hinzugefügt werden.<br />
Hinweis:<br />
Beim Hinzufügen oder Bearbeiten eines Rechners kann ein Host Record automatisch erstellt oder geän-<br />
dert werden.<br />
106<br />
Karteikarte ’Allgemein’<br />
Rechnername (*)<br />
Der FQDN mit abschließendem Punkt oder der relativen Domänenname des Rechners. Dabei sind<br />
die Hinweise in der Infobox Rechnernamen (Kapitel 4.5.4) zu beachten.<br />
IP-Adresse<br />
Ein Host Record weist einem DNS-Namen eine IPv4-Adresse zu. Dieser Eintrag erzeugt für den<br />
aktuellen Host einen solchen Record.<br />
Zone Time-to-Live<br />
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert<br />
werden dürfen. Der Vorgabewert beträgt drei Stunden.<br />
Karteikarte ’IP-Adressen’<br />
Hier können weitere IP-Adressen des Rechners (also weitere A-Records) eintragen und wieder ent-<br />
fernt werden.<br />
IP-Adresse<br />
Zusätzliche IP-Adressen, unter denen der Rechner zu erreichen ist.<br />
Hinweis:<br />
Bei dieser Variante sind alle IP-Adressen demselben kanonischen Namen zugeordnet. Soll jede IP-<br />
Adresse unter einem eigenen kanonischen Namen erreichbar sein, muss für jede IP-Adresse ein Host<br />
Record angelegt und dabei unterschiedliche Namen in das Eingabefeld Rechnername eingetragen<br />
werden.
4.5.9.4 Service Record<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Service Records (im DNS-Sprachgebrauch SRV-Record) bieten die Möglichkeit, im DNS Informationen<br />
über verfügbare Systemdienste zu hinterlegen. In <strong>UCS</strong> werden Service Records u.a. verwendet, um<br />
LDAP-Server oder den Domaincontroller Master domänenweit bekannt zu machen.<br />
Ein Service Record muss immer einer Forward Lookup Zone zugeordnet sein und kann deshalb nur in<br />
einer Forward Lookup Zone oder einem untergeordneten Container hinzugefügt werden.<br />
Karteikarte ’Allgemein’<br />
Dienst (*)<br />
Der Name, unter dem der Dienst erreichbar sein soll.<br />
Protokoll (*)<br />
Zur Wahl stehen TCP und UDP.<br />
Priorität (*)<br />
Eine ganze Zahl zwischen 0 und 65535. Stellen mehrere Server denselben Dienst zur Verfügung,<br />
wendet sich der Client zuerst an den Server mit dem niedrigeren Prioritätswert.<br />
Gewichtung (*)<br />
Eine ganze Zahl zwischen 0 und 65535. Die Gewichtung dient der Lastverteilung zwischen Servern<br />
mit gleicher Priorität. Wenn mehrere Server denselben Dienst zur Verfügung stellen und denselben<br />
Prioritätswert haben, wird die Last im Verhältnis der Gewichtungen auf die Server verteilt.<br />
Beispiel: Server1 hat eine Priorität von 1 und eine Gewichtung von 1, während Server2 ebenfalls eine<br />
Priorität von 1, aber eine Gewichtung von 3 hat. In diesem Fall wird Server2 dreimal so oft verwendet<br />
wie Server1. Die Belastung wird abhängig vom Dienst beispielsweise als Anzahl der Anfragen oder<br />
Verbindungen gemessen.<br />
Port (*)<br />
Der Port, über den der Dienst auf dem Server zu erreichen ist (gültige Werte liegen zwischen 1 und<br />
65535).<br />
Server (*)<br />
Der Name des Servers, auf dem der Dienst bereitgestellt wird, als FQDN mit abschließendem Punkt<br />
oder als relativer Domänenname.<br />
Zone Time-to-Live<br />
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert<br />
werden dürfen. Der Vorgabewert beträgt drei Stunden.<br />
Für jeden Dienst können über die Auswahlbox auch mehrere Server eingetragen werden.<br />
107
4 <strong>Univention</strong> Directory Manager<br />
4.5.9.5 Reverse Lookup Zone<br />
Eine Reverse Lookup Zone dient zur Umwandlung von IP-Adressen in Rechnernamen.<br />
108<br />
Karteikarte ’Allgemein’<br />
Subnetz (*)<br />
Die IP-Adresse des Netzwerkes, für das die Reverse Lookup Zone gültig sein soll. Wenn beispiels-<br />
weise das betreffende Netz aus den IP-Adressen 192.168.1.0 bis 192.168.1.255 besteht, wäre<br />
192.168.1 einzutragen.<br />
Zone Time-to-Live (*)<br />
Die Time-to-Live gibt an, wie lange diese Daten von anderen DNS-Servern im Cache gespeichert<br />
werden dürfen. Der Vorgabewert beträgt drei Stunden.<br />
Karteikarte ’Start of Authority Eintrag’<br />
Jede DNS-Zone verfügt über mindestens einen autoritativen, primären Nameserver, dessen Informa-<br />
tionen für eine Zone maßgeblich sind. Untergeordnete Server synchronisieren sich mit dem autori-<br />
tativen Server über Zonentransfers. Der Eintrag, der eine solche Zone auszeichnet, wird im DNS-<br />
Sprachgebrauch SOA Record genannt.<br />
Verantwortliche Person (*)<br />
Die E-Mail-Adresse der für die Verwaltung der Zone verantwortlichen Person (mit abschließendem<br />
Punkt).<br />
Nameserver (*)<br />
Der FQDN mit abschließendem Punkt oder der relative Domänenname des primären Master-<br />
Nameservers.<br />
Hinweis:<br />
In dieses Feld sollte nur der primäre Master-Nameserver eingetragen werden. Weitere Nameserver<br />
können auf der Karteikarte Nameserver angegeben werden.<br />
Seriennummer (*)<br />
Anhand der Seriennummer erkennen andere DNS-Server, ob sich Zonendaten geändert haben. Der<br />
Slave-Nameserver vergleicht die Seriennummer seiner Kopie mit der auf dem Master-Nameserver. Ist<br />
die Seriennummer auf dem Slave niedriger als auf dem Master, so kopiert der Slave die geänderten<br />
Daten.<br />
Es gibt zwei häufig verwendete Muster für die Seriennummer:<br />
• Beginn mit 1 unter Inkrementierung der Seriennummer bei jeder Änderung.
4.5 <strong>Univention</strong> Directory Manager Module<br />
• Unter Einbeziehung des Datums kann die Zahl im Format JJJJMMTTNN eingegeben werden,<br />
wobei J für Jahr, M für Monat, T für Tag und N für die Nummer der Änderung an diesem Tag<br />
steht.<br />
Wird die Seriennummer nicht von Hand geändert, erhöht <strong>Univention</strong> Directory Manager den Wert<br />
automatisch um 1, wenn auf [OK] geklickt wurde. Wenn abgebrochen wurde, bleibt die Seriennummer<br />
unverändert.<br />
Aktualisierungsintervall (*)<br />
Die Zeitspanne, nach der der Slave-Nameserver überprüft, ob seine Kopie der Zonendaten noch ak-<br />
tuell ist. Übliche Werte liegen zwischen einer und 24 Stunden. Der Vorgabewert beträgt acht Stunden.<br />
Intervall für erneute Versuche (*)<br />
Die Zeitspanne, nach der der Slave-Nameserver nach einer fehlgeschlagenen Aktualisierungs-<br />
Anfrage erneut versucht, die Aktualität seiner Zonendaten-Kopie zu überprüfen. Üblicherweise wird<br />
diese Zeitspanne kürzer gewählt als das Aktualisierungsintervall, darf aber auch gleich lang sein. Der<br />
Vorgabewert beträgt zwei Stunden.<br />
Ablaufintervall (*)<br />
Die Zeitspanne, nach der die Zonendaten-Kopie auf dem Slave-Nameserver ungültig wird, wenn ihre<br />
Aktualität nicht überprüft werden konnte.<br />
Bei einem Ablaufintervall von einer Woche bedeutet dies beispielsweise, dass die Zonendaten-Kopie<br />
ungültig wird, wenn eine Woche lang alle Aktualisierungs-Anfragen fehlgeschlagen sind. In dem Fall<br />
wird davon ausgegangen, dass die Daten nach der Ablaufzeit zu veraltet sind, um weiter verwendet<br />
zu werden. Der Slave-Nameserver kann dann keine Namensauflösungs-Anfragen für diese Zone<br />
mehr beantworten.<br />
Übliche Werte liegen bei einer Woche. Bei problematischen Netz-Verbindungen zum Master-<br />
Nameserver können längere Ablaufzeiten gewählt werden. Der Vorgabewert beträgt eine Woche.<br />
Minimum Time-to-Live (*)<br />
Die Minimum Time-to-Live gibt an, wie lange andere Server No-such-Domain-Antworten (NXDO-<br />
MAIN) im Cache behalten dürfen. Der Wert darf nicht mehr als 3 Stunden betragen, der Vorgabewert<br />
beträgt 3 Stunden.<br />
Karteikarte ’Nameserver’<br />
Auf der Karteikarte Nameserver können einer Zone Nameserver zugewiesen werden (im DNS-<br />
Sprachgebrauch zumeist NS-Records genannt). Der auf der Karteikarte SOA Record eingetragene<br />
Nameserver erscheint automatisch im Listenfeld Einträge.<br />
109
4 <strong>Univention</strong> Directory Manager<br />
Nameserver<br />
Der FQDN mit abschließendem Punkt oder der relative Domänenname des Nameservers.<br />
Achtung:<br />
Der Nameserver, der in der Liste an oberster Stelle steht, ist immer der Master, unabhängig davon,<br />
was auf der Karteikarte SOA Record in das Eingabefeld Nameserver eingetragen wurde.<br />
4.5.9.6 Pointer Record<br />
Ein Pointer Record (im DNS-Sprachgebrauch meist PTR-Record genannt) erlaubt die Auflösung einer IP-<br />
Adresse in einen Rechnernamen. Er stellt damit in einer Reverse Lookup Zone in etwa das Äquivalent<br />
zu einem Host Record in einer Forward Lookup Zone dar. Dieser Eintrag steht nur innerhalb von Reverse<br />
Lookup Zones zur Verfügung.<br />
Karteikarte ’Allgemein’<br />
Adresse (*)<br />
Die letzten Oktette der IP-Adresse des Rechners (abhängig vom Netz-Präfix — siehe unten).<br />
Pointer<br />
Der FQDN des Rechners mit abschließendem Punkt.<br />
Beispiel:<br />
In einem Netzwerk mit 24 Bit langem Netz-Präfix (Netzmaske 255.255.255.0) soll für den Rechner<br />
client001 mit der IP-Adresse 192.168.1.101 ein Pointer angelegt werden. In das Feld Adresse (*) ist<br />
dann 101 und in Pointer client001.firma.com. einzutragen.<br />
Bei einem Netzwerk mit 16 Bit langem Netz-Präfix (Netzmaske 255.255.0.0) müssten für diesen<br />
Rechner die letzten zwei Oktette in umgekehrter Reihenfolge (hier 101.1) eingetragen werden. In<br />
das Feld Pointer wäre auch hier client001.firma.com. einzutragen.<br />
4.5.10 DHCP<br />
Das Dynamic Host Configuration Protocol (DHCP) weist Rechnern eine IP-Adresse, die Subnetz-Maske<br />
und gegebenenfalls weitere Informationen wie Router oder NetBIOS-Server zu. Die IP-Adresse kann fest<br />
oder variabel sein. Sinn und Zweck des Verfahrens ist, IP-Adressen nicht lokal auf den Rechnern einzu-<br />
tragen, sondern zentral auf dem DHCP-Server (bzw. im LDAP-Verzeichnis), wo sie an einem Ort verwaltet<br />
werden können.<br />
Thin Clients sind sogar darauf angewiesen, eine IP-Adresse per DHCP zu erhalten, wenn sie keinen<br />
persistenten Speicher besitzen und deshalb keine Informationen dauerhaft lokal speichern können. Au-<br />
ßerdem erfahren sie vom DHCP-Service, mit welcher Boot-Datei sie von welchem Server booten sollen.<br />
110
4.5 <strong>Univention</strong> Directory Manager Module<br />
In einem DHCP-Service werden DHCP-Server mit einer gemeinsamen Konfiguration zusammengefasst.<br />
Globale Konfigurationsparameter werden beim DHCP-Service angegeben, spezifische Parameter in den<br />
Objekten darunter.<br />
Mehrere DHCP-Server innerhalb desselben DHCP-Service können dann verwendet werden, wenn aus-<br />
schließlich feste IP-Adressen vergeben werden. Werden auch variable IP-Adressen verteilt, können maxi-<br />
mal zwei DHCP-Server in Kombination mit dem DHCP-Failover-Mechanismus eingesetzt werden.<br />
Mit einem DHCP-Rechner-Eintrag wird ein Rechner dem DHCP-Service bekannt gemacht. Solche Rech-<br />
ner-Einträge lassen sich beim Hinzufügen oder Bearbeiten eines Rechners in der Rechnerverwaltung<br />
oder in der Navigation automatisch erzeugen. Für Rechner, die per DHCP eine feste IP-Adresse beziehen<br />
sollen, ist ein Rechner-Eintrag zwingend erforderlich.<br />
Für jedes Subnetz wird ein DHCP-Subnetz-Eintrag benötigt, unabhängig davon, ob variable IP-Adressen<br />
aus diesen Subnetzen vergeben werden sollen.<br />
Über die Einrichtung von DHCP-Pools innerhalb von Subnetzen können den verschiedenen IP-Adress-<br />
bereichen unterschiedliche Konfigurationsparameter zugeordnet werden. Auf diese Weise können unbe-<br />
kannte Rechner in einem IP-Adressbereich zugelassen und in einem anderen IP-Adressbereich aus-<br />
geschlossen werden. Auch DHCP-Failover kann bei DHCP:Pool-Objekten eingerichtet werden. DHCP-<br />
Pools können nur unterhalb von DHCP-Subnetz-Objekten angelegt werden.<br />
Falls mehrere Subnetze gemeinsam dasselbe physikalische Netzwerk verwenden, sollten diese als DHCP-<br />
Shared Subnet unterhalb eines DHCP-Shared Network eingetragen werden. DHCP-Shared Subnet-<br />
Objekte können nur unterhalb von DHCP- Shared Network-Objekten angelegt werden.<br />
Anstelle von DHCP-Group-Deklarationen können Container erstellt werden, die die zu gruppierenden<br />
Objekte aufnehmen. Die Parameter einer solchen Objektgruppe werden über eine Richtlinie, welche mit<br />
dem Container verbunden wird, festgelegt.<br />
Werte, die auf einer Ebene der DHCP-Konfiguration angegeben werden, gelten immer für diese und alle<br />
darunterliegenden Ebenen, sofern dort keine anderen Angaben gemacht werden. Ähnlich wie bei Richt-<br />
linien gilt immer der Wert, der dem Objekt am nächsten ist. Anders als bei generellen Richtlinien kann<br />
jedoch nicht vorgegeben werden, dass ein Wert von tiefer liegenden Ebenen nicht mehr verändert werden<br />
darf.<br />
Achtung:<br />
Dabei muss bedacht werden, dass Werte, die ein Objekt über eine Richtlinie erhält, an untergeordne-<br />
te Objekte vererbt werden. Wenn beispielsweise über eine Richtlinie bei einem DHCP:Service-Objekt<br />
der Domänenname firma.com gesetzt und in demselben DHCP:Service-Objekt ein DHCP:Rechner-<br />
Objekt angelegt wird, übernimmt das DHCP:Rechner-Objekt den Domänennamen automatisch durch<br />
die Vererbung der Richtlinien-Einstellungen. Erhält dieses DHCP:Rechner-Objekt nun eine IP-Adresse<br />
aus einem DHCP-Pool, bei dem der Domänenname vertrieb.firma.com eingetragen wurde, gilt für das<br />
DHCP:Rechner-Objekt weiterhin der Domänenname firma.com.<br />
Dies betrifft alle Einstellungen, die auf Karteikarten vorgenommen werden, deren Beschriftung auf dem<br />
Karteikartenreiter in eckige Klammern eingeschlossen ist. Die vererbten Werte werden auf den entspre-<br />
chenden Karteikarten der untergeordneten Objekte angezeigt und können dort verändert werden (siehe<br />
dazu auch Kapitel 4.5.11).<br />
Auf die nachfolgend beschriebenen DHCP-Objekte können die folgenden Richtlinien angewendet werden:<br />
111
4 <strong>Univention</strong> Directory Manager<br />
• Boot-Parameter<br />
• DHCP-Verschiedenes<br />
• DNS<br />
• DNS Aktualisierung<br />
• Erlauben/Verbieten<br />
• Lease-Zeit<br />
• NetBIOS<br />
• Routing<br />
Sie werden im Kapitel 4.5.11.5 näher erläutert.<br />
4.5.10.1 DHCP-Service<br />
Standardmäßig werden DHCP-Services in dem Container dhcp angelegt, der beim Erzeugen der Domäne<br />
automatisch erzeugt wird.<br />
Karteikarte ’Allgemein’<br />
Service-Name (*)<br />
In dieses Eingabefeld kann ein beliebiger eindeutiger Name für den DHCP-Service eingetragen wer-<br />
den.<br />
Beispiel:<br />
firma.com<br />
Auf dieser Ebene werden häufig folgende Parameter festgelegt, die dann für alle Rechner gültig sind, die<br />
von diesem DHCP-Service bedient werden (es sei denn, es werden auf tieferen Ebenen andere Angaben<br />
gemacht):<br />
• Domänenname und DNS-Nameserver auf der Karteikarte [DNS]<br />
• NetBIOS-Nameserver auf der Karteikarte [NetBIOS]<br />
Eine Beschreibung dieser und der anderen Eingabemöglichkeiten auf den richtlinien-basierten Karteikar-<br />
ten findet sich in Kapitel 4.5.11.5.<br />
4.5.10.2 DHCP-Server<br />
Jeder Server, der den DHCP-Dienst anbieten soll, benötigt zwingend einen DHCP:-Server-Eintrag im<br />
LDAP-Verzeichnis. Anderenfalls wird der DHCP-Dienst nicht gestartet.<br />
Um den DHCP-Server hinzuzufügen, muss zunächst das DHCP:Service-Objekt geöffnet werden. Das<br />
DHCP:Service-Objekt ist üblicherweise unter Navigation ➞ dhcp zu finden. Innerhalb des DHCP:Service-<br />
Objekts kann jetzt ein DHCP:Server-Objekt angelegt werden.<br />
112
Karteikarte ’Allgemein’<br />
Server-Name (*)<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
In diesem Eingabefeld ist der Rechnername, der den DHCP-Dienst anbieten soll, einzutragen.<br />
Beispiel:<br />
ucs-master<br />
Hinweis:<br />
Ein Server kann nicht gleichzeitig in mehreren DHCP-Services eingetragen sein.<br />
Hinweis:<br />
Wenn mehrere DHCP-Server in demselben DHCP-Service eingetragen werden, muss der DHCP-Failover-<br />
Mechanismus aktiviert werden, um variable IP-Adressen vergeben zu können.<br />
4.5.10.3 DHCP-Subnetz<br />
Achtung:<br />
Ein DHCP-Subnetz-Eintrag ist für jedes Subnetz, aus dem variable oder feste IP-Adressen vergeben wer-<br />
den sollen, zwingend erforderlich. Das Eintragen von IP-Adressbereichen ist nur notwendig, wenn variable<br />
IP-Adressen vergeben werden sollen.<br />
Um ein DHCP-Subnetz hinzuzufügen, muss zunächst unter Navigation der entsprechende DHCP-Service<br />
geöffnet werden, in dem das DHCP:Subnetz-Objekt angelegt werden soll.<br />
Falls DHCP:Shared Subnet-Objekte verwendet werden sollen, sollten die entsprechenden Subnetze<br />
unterhalb des dafür angelegten DHCP:Shared Network-Containers angelegt werden (siehe Kapitel<br />
4.5.10.7).<br />
Karteikarte ’Allgemein’<br />
Subnetz-Adresse (*)<br />
In diesem Eingabefeld ist die IP-Adresse des Subnetzes in Oktettschreibweise einzutragen.<br />
Beispiel:<br />
192.168.1.0<br />
Netzmaske (*)<br />
Die Netzmaske kann in diesem Eingabefeld wahlweise als Dezimalzahl des Netzpräfix oder in Ok-<br />
tettschreibweise eingetragen werden.<br />
Hinweis:<br />
Wenn die Netzmaske in Oktettschreibweise eingegeben wird, wird sie automatisch in den entspre-<br />
chenden Netzpräfix umgewandelt und später auch ausgegeben.<br />
Beispiel:<br />
Die Netzmaske 255.255.255.0 wird später als 24 angezeigt.<br />
113
4 <strong>Univention</strong> Directory Manager<br />
Broadcast-Adresse<br />
In diesem Eingabefeld kann die Broadcast-Adresse in Oktettschreibweise eingetragen werden.<br />
Beispiel:<br />
192.168.1.255<br />
Karteikarte ’Dynamische Adresszuweisung’<br />
Auf dieser Karteikarte können ein einzelner oder mehrere IP-Adressbereiche (englisch “range”) ein-<br />
gerichtet werden. Die IP-Adressen aus diesen Bereichen stehen dann zur dynamischen Vergabe zur<br />
Verfügung.<br />
Achtung:<br />
IP-Adressbereiche für ein Subnetz sind immer entweder ausschließlich im Subnetz-Eintrag oder aus-<br />
schließlich in einem oder mehreren gesonderten Pool-Einträgen anzugeben. Die IP-Adressbereich-<br />
Eintragstypen innerhalb eines Subnetzes dürfen nicht gemischt werden! Wenn in einem Subnetz ver-<br />
schiedene IP-Adressbereiche mit unterschiedlichen Konfigurationen eingesetzt werden sollen, müs-<br />
sen dafür Pool-Einträge angelegt werden. Um sofort oder später in einem Subnetz den DHCP-Fai-<br />
lover-Mechanismus einzusetzen, müssen ebenfalls Pool-Einträge verwendet werden.<br />
Erste Adresse<br />
Hier ist die niedrigste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben.<br />
Letzte Adresse<br />
Hier ist die höchste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben.<br />
Hinweis:<br />
Um eine einzelne IP-Adresse als Bereich einzugeben, muss diese IP-Adresse einfach in beide Felder<br />
eingetragen werden.<br />
Auf dieser Ebene wird häufig der folgende Parameter festgelegt, der dann für alle Rechner in diesem<br />
Subnetz gültig sind (es sei denn, es werden auf tieferen Ebenen andere Angaben gemacht):<br />
• Router auf der Karteikarte [Routing]<br />
Eine Beschreibung dieser und der anderen Eingabemöglichkeiten auf den richtlinien-basierten Karteikar-<br />
ten findet sich in Kapitel 4.5.11.5.<br />
4.5.10.4 DHCP-Pool<br />
Achtung:<br />
Wenn in einem Subnetz DHCP-Pools angelegt werden, sollten keine IP-Adressbereiche im Subnetz-Ein-<br />
trag definiert werden. Diese sind ausschließlich in den Pool-Einträgen anzulegen.<br />
Ein DHCP:Pool-Objekt muss immer unterhalb eines DHCP:Subnetz-Objektes angelegt werden.<br />
114
Karteikarte ’Allgemein’<br />
Name (*)<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
In dieses Eingabefeld kann ein beliebiger eindeutiger Name für den DHCP-Pool eingetragen werden.<br />
Beispiel:<br />
vertrieb.firma.com<br />
Erste Adresse<br />
Hier ist die niedrigste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben.<br />
Letzte Adresse<br />
Hier ist die höchste IP-Adresse des IP-Adressbereichs in Oktettschreibweise anzugeben.<br />
Hinweis:<br />
Um eine einzelne IP-Adresse als Bereich einzugeben, muss diese IP-Adresse einfach in beide Felder<br />
eingetragen werden.<br />
Karteikarte ’Fortgeschritten’<br />
Failover Peer<br />
Wenn der DHCP-Failover-Mechanismus eingesetzt werden soll, muss in diesem Eingabefeld der<br />
eindeutige Identifier des DHCP-Server-Paars angegeben werden, das für diesen Pool zuständig sein<br />
soll. Der hier eingetragene Identifier muss mit dem Identifier übereinstimmen, welcher auf den beiden<br />
beteiligten DHCP-Servern in der Datei /etc/dhcp3/dhcpd.conf eingetragen wurde.<br />
Da dynamisches BOOTP nicht mit dem DHCP-Failover-Mechanismus kompatibel ist, muss in der<br />
Auswahlliste Dynamische BOOTP-Clients erlauben der Eintrag deny ausgewählt werden. Es reicht<br />
nicht aus, beim DHCP-Service oder DHCP-Subnetz auf der Karteikarte [Erlauben/Verbieten] in der<br />
Auswahlliste BOOTP den Eintrag deny zu selektieren!<br />
Hinweis:<br />
Damit der DHCP-Failover-Mechanismus funktioniert, müssen die Server, die das Failover-Paar bil-<br />
den, entsprechend konfiguriert sein. Dazu werden die Konfigurationsdateien lokal auf den Servern<br />
angepasst und dementsprechend kann die Konfiguration nicht mit dem <strong>Univention</strong> Directory Manager<br />
vorgenommen werden.<br />
Erlaube bekannte Clients<br />
Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool an Cli-<br />
ents, die einen DHCP-Rechner-Eintrag unterhalb dieses DHCP-Services besitzen. Wird deny aus-<br />
gewählt, vergibt der DHCP-Service keine IP-Adressen aus diesem Pool an solche Clients (siehe<br />
Hinweis unten).<br />
115
4 <strong>Univention</strong> Directory Manager<br />
Erlaube unbekannte Clients<br />
Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool an Cli-<br />
ents, die keinen DHCP-Rechner-Eintrag unterhalb dieses DHCP-Service besitzen. Wird deny aus-<br />
gewählt, vergibt der DHCP-Service keine IP-Adressen aus diesem Pool an solche Clients (siehe<br />
Hinweis unten).<br />
Dynamische BOOTP-Clients erlauben<br />
Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool auch<br />
an Clients, die über das BOOTP-Protokoll eine Anfrage gestellt haben. Dynamische BOOTP-Clients<br />
erhalten keine IP-Adresse aus diesem Pool, wenn der Eintrag deny eingestellt wird (siehe Hinweis<br />
unten).<br />
Alle Clients<br />
Wird der Eintrag allow ausgewählt, vergibt der DHCP-Service IP-Adressen aus diesem Pool an be-<br />
liebige Clients, soweit sie nicht durch andere Einstellungen ausgeschlossen werden. Der DHCP-<br />
Service vergibt keine IP-Adressen aus diesem Pool, egal von welcher Art Client die Anfrage kommt,<br />
sofern der Eintrag deny selektiert wurde (siehe Hinweis unten).<br />
Bei einer Adressumstellung im Netzwerk kann diese Einstellung genutzt werden, um alle aktiven<br />
Clients dazu zu zwingen, sich beim Erneuern ihrer bisherigen IP-Adresse eine neue IP-Adresse<br />
zuweisen zu lassen.<br />
Hinweis:<br />
Wenn aus einer oder mehreren Auswahllisten allow ausgewählt wurde, muss ein Client mindestens<br />
eine dieser allow-Einstellungen erfüllen, um eine IP-Adresse zu erhalten. Trifft mindestens eine de-<br />
ny-Einstellung auf einen Client zu, wird dem Client keine IP-Adresse zugeteilt, auch wenn andere<br />
allow-Einstellungen dies erlauben würden.<br />
4.5.10.5 DHCP-Rechner<br />
Mit einem DHCP:Rechner-Eintrag wird der betreffende Rechner dem DHCP-Service bekannt gemacht.<br />
Abhängig davon, ob ein Rechner dem DHCP-Service bekannt ist, kann er von ihm unterschiedlich behan-<br />
delt werden. Weiterhin können ausschließlich bekannte Rechner feste IP-Adressen vom DHCP-Service<br />
bekommen. Unbekannte Rechner erhalten nur variable IP-Adressen.<br />
Üblicherweise werden beim Hinzufügen eines Rechners über die Rechnerverwaltung oder die Navigation<br />
automatisch DHCP:Rechner-Einträge erstellt. Unterhalb des DHCP:Service-Objektes gibt es die Mög-<br />
lichkeit, manuell DHCP:Rechner-Einträge hinzuzufügen oder bestehende Einträge, egal ob manuell oder<br />
automatisch erzeugt, zu bearbeiten.<br />
Ein DHCP:Rechner-Objekt muss unterhalb eines DHCP:Service-Objekts angelegt werden.<br />
116
Karteikarte ’Allgemein’<br />
Rechnername (*)<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
In diesem Eingabefeld ist ein Name für den Rechner einzugeben. In der Regel hat der Rechner auch<br />
einen Rechner-Eintrag in der Rechnerverwaltung. Es empfiehlt sich, in beiden Einträgen denselben<br />
Namen und dieselbe MAC-Adresse für den Rechner zu verwenden, um die Zuordnung zu erleichtern.<br />
Netzwerktyp (*)<br />
In dieser Auswahlliste ist der Typ des verwendeten Netzwerks auszuwählen.<br />
Hinweis:<br />
Der Netzwerktyp FDDI wird derzeit noch nicht von DHCP unterstützt.<br />
MAC-Adresse (*)<br />
In diesem Eingabefeld ist die MAC-Adresse der Netzwerkkarte einzutragen.<br />
Beispiel:<br />
2e:44:56:3f:12:32<br />
oder<br />
2e-44-56-3f-12-32<br />
Karteikarte ’Feste IP-Adressen’<br />
Feste IP-Adressen<br />
Hier können dem Rechner, falls gewünscht, eine oder mehrere feste IP-Adressen zugewiesen wer-<br />
den. Neben einer IP-Adresse kann auch ein FQDN angegeben werden, der vom DNS-Server in eine<br />
oder mehrere IP-Adressen aufgelöst wird.<br />
Auf dieser Ebene wird häufig der folgende Parameter festgelegt, der dann für diesen Rechner gültig ist:<br />
• Boot-Server auf der Karteikarte [Boot-Parameter]<br />
4.5.10.6 DHCP-Shared Network<br />
DHCP:Shared Network-Objekte nehmen Subnetze auf, die ein physikalisches Netzwerk gemeinsam nut-<br />
zen. Ein DHCP:Shared Network-Objekt muss unterhalb eines DHCP:Service-Objektes hinzugefügt wer-<br />
den.<br />
Achtung:<br />
In das Shared Network sollte unbedingt ein Shared Subnet eingetragen werden, da sich der DHCP-Service<br />
sonst beendet und neu gestartet werden muss, wenn er ein leeres Shared Network in seiner Konfiguration<br />
vorfindet.<br />
117
4 <strong>Univention</strong> Directory Manager<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
In dieses Eingabefeld ist ein Name für das Shared Network einzutragen. Der Name muss mit einem<br />
Buchstaben (a bis z) beginnen. Die restlichen Zeichen des Namens dürfen sich aus den Buchstaben<br />
a bis z, den Ziffern 0 bis 9, Punkt, Bindestrich und Unterstrich zusammensetzen.<br />
4.5.10.7 DHCP-Shared Subnet<br />
Als DHCP:Shared Subnet werden Subnetze deklariert, die gemeinsam dasselbe physikalische Netz-<br />
werk verwenden. Alle Subnetze, die dasselbe Netzwerk verwenden, sollten unterhalb desselben Shared<br />
Network-Containers angelegt werden. Für jedes Subnetz ist ein eigenes DHCP:Shared Subnet-Objekt<br />
anzulegen. DHCP:Shared Subnet-Objekte stehen ausschließlich unterhalb von DHCP:Shared Network-<br />
Objekten zur Verfügung.<br />
4.5.11 Richtlinien<br />
Richtlinien dienen der Vereinfachung der Administration, indem sie ihre Konfigurationseinstellungen an<br />
Objekte weitergeben, die mit der betreffenden Richtlinie verbunden sind oder anderen Objekten, die mit<br />
der Richtlinien verbunden sind, nachgeordnet sind.<br />
Wenn ein Objekt mit einer Richtlinie verbunden wird, werden die Angaben der Richtlinie auf das Objekt<br />
angewandt. So kann in einer Richtlinie z.B. die Konfiguration der graphischen Benutzeroberfläche für ein<br />
bestimmtes Client-Modell festgelegt und das Client-Objekt mit der Richtlinie verbunden werden. Die Werte<br />
aus der Richtlinie sind dann für den Client gültig.<br />
Die Werte, die über eine Richtlinie an einem übergeordneten Container gesetzt werden, haben ebenfalls<br />
für alle im Container enthaltenen Objekte Gültigkeit. Diesen Mechanismus nennt man Vererbung.<br />
Soll z.B. für alle Benutzer eines Standorts das gleiche Passwort-Intervall definiert werden, kann für diese<br />
Benutzer ein eigener Container angelegt werden. Nachdem die Benutzer-Objekte in den Container ver-<br />
schoben wurden, kann eine Passwort-Richtlinie mit dem Container verknüpft werden. Diese Richtlinie gilt<br />
für alle enthaltenen Benutzer-Objekte.<br />
Auf ein Objekt wird immer der Wert angewandt, der dem Objekt am nächsten liegt. Die Werte übergeord-<br />
neter Richtlinien können von denen nachgeordneter Richtlinien überschrieben werden. So kann für ein<br />
einzelnes Client-Objekt z.B. eine alternative Tastaturbelegung festgelegt werden, auch wenn die überge-<br />
ordnete Richtlinie eine Tastaturbelegung vorgibt.<br />
Eine Ausnahme bilden Werte, die in einer Richtlinie als festgelegte Attribute gesetzt wurden. Diese<br />
können von nachgeordneten Richtlinien nicht überschrieben werden.<br />
Die Mechanismen der Verknüpfung von Objekten mit Richtlinien, der Vererbung und der Festlegung von<br />
einzelnen Werten stellen ein weitreichendes und flexibles Mittel zur bequemen und zentralen Konfiguration<br />
und Administration einer <strong>UCS</strong>-Domäne dar.<br />
118
4.5 <strong>Univention</strong> Directory Manager Module<br />
Mit dem Kommandozeilenprogramm univention-policy-result kann detailliert angezeigt werden,<br />
welche Richtlinie auf ein Verzeichnisdienst-Objekt Einfluss hat.<br />
4.5.11.1 Richtlinie hinzufügen<br />
Mit <strong>Univention</strong> Directory Manager können Richtlinien direkt oder indirekt angelegt werden. Um eine Richtli-<br />
nie direkt anzulegen, kann über die Navigation an die gewünschte Stelle im LDAP-Verzeichnis gewechselt<br />
und dort über die Auswahlliste Neues Objekt an aktueller Position hinzufügen der gewünschte Richtli-<br />
nientyp selektiert werden.<br />
Alternativ können neue Richtlinien auch über den Richtlinien-Assistenten (Richtlinien ➞ Hinzufügen)<br />
direkt erstellt werden. Nach Auswahl des gewünschten Richtlinientyps und des Zielcontainers können die<br />
Werte der neuen Richtlinie ausgefüllt werden.<br />
Richtlinien werden von <strong>Univention</strong> Directory Manager aber auch indirekt erstellt, wenn bei einem belie-<br />
bigen Objekt eine Karteikarte ausgefüllt bzw. bearbeitet wird, bei der die Beschriftung des Karteikarten-<br />
reiters in eckige Klammern eingeschlossen ist und auf der die Auswahlliste Konfiguration auswählen<br />
zur Verfügung steht (siehe Kapitel 4.5.11.4). Die auf diesen Karteikarten angepassten Werte werden als<br />
Richtlinie gespeichert.<br />
Standardmäßig werden Richtlinien in dem Container policies gespeichert, der beim Anlegen einer Domä-<br />
ne automatisch erzeugt wird. Zur weiteren Strukturierung gibt es im Container policies für jeden Richtlini-<br />
entyp einen eigenen Container.<br />
Beim Hinzufügen und Bearbeiten von Objekten stehen die Richtlinien vom passenden Typ aus den einge-<br />
tragenen Richtlinien-Containern in der Auswahlliste Konfiguration auswählen auf der jeweiligen Kartei-<br />
karte zur Verfügung.<br />
Hinweis:<br />
Es muss gegebenenfalls geprüft werden, ob der Container, in dem eine Richtlinie angelegt wird, als<br />
Standard-Container für Richtlinien eingetragen ist (siehe Kapitel 4.5.12.7). Andernfalls wird die Richtli-<br />
nie nicht gefunden. Der automatisch erzeugte Container policies ist bereits als Standard-Container für<br />
Richtlinien eingetragen.<br />
Einstellungen, die bei den verschiedenen Richtlinientypen vorgenommen werden können, werden bei den<br />
Karteikarten der jeweiligen Objekte näher erläutert. Zusätzlich findet sich beim direkten Hinzufügen einer<br />
Richtlinie das Eingabefeld Name, in das ein beliebiger Name für die Richtlinie eingetragen werden kann.<br />
Weiterhin erscheint die Karteikarte Objekt nur beim direkten Hinzufügen oder Bearbeiten einer Richtlinie.<br />
Diese Karteikarte wird im Anschluss näher erläutert.<br />
Karteikarte ’Objekt’<br />
Diese Karteikarte steht bei jedem Richtlinien-Objekt zur Verfügung. Sie bietet die Möglichkeit, Ein-<br />
stellungen bezüglich Objektklassen und Attributen vorzunehmen.<br />
Benötigte Objektklassen<br />
Hier können Objektklassen angegeben werden, denen Objekte angehören müssen, die mit dieser<br />
119
4 <strong>Univention</strong> Directory Manager<br />
Richtlinie verbunden werden.<br />
Ausgeschlossene Objektklassen<br />
Hier können Objektklassen angegeben werden, denen Objekte nicht angehören dürfen, die mit dieser<br />
Richtlinie verbunden werden.<br />
Festgelegte Attribute<br />
Hier können Attribute ausgewählt werden, deren Werte von nachgeordneten Richtlinien nicht verän-<br />
dert werden dürfen.<br />
Leere Attribute<br />
Hier können Attribute ausgewählt werden, die in der Richtlinie leergesetzt, also ohne Wert gespei-<br />
chert werden sollen. Dadurch können Werte, die ein Objekt von einer übergeordneten Richtlinie er-<br />
erbt hat, entfernt werden. In nachgeordneten Richtlinien können den Attributen wieder Werte zuge-<br />
wiesen werden.<br />
Achtung:<br />
Wird in einer untergeordneten Richtlinie bei einem Eingabefeld kein Wert eingetragen, so bedeutet dies,<br />
dass der Wert der übergeordneten Richtlinie unverändert übernommen werden soll. Damit der Wert der<br />
übergeordneten Richtlinie in untergeordneten Objekten keine Gültigkeit besitzt, muss das entsprechende<br />
Eingabefeld in der Karteikarte Objekt unter Leere Attribute eingetragen werden.<br />
4.5.11.2 Richtlinien anwenden<br />
Richtlinien können mit Container-Objekten über die Karteikarte Richtlinien verbunden werden. Bei ande-<br />
ren Objekten stehen die passenden Richtlinientypen auf einzelnen Karteikarten zur Verfügung, über die<br />
eine vorhandene Richtlinie ausgewählt oder eine neue Richtlinie für das Objekt erstellt werden kann.<br />
Wenn ein Objekt mit einer Richtlinie verbunden ist oder Richtlinien-Einstellungen erbt, die auf das Objekt<br />
nicht angewandt werden können, bleiben die Einstellungen ohne Auswirkung für das Objekt. Dadurch ist<br />
es z.B. möglich, eine Richtlinie mit der Wurzel des LDAP-Verzeichnisses zu verbinden, die dann für alle<br />
Objekte der Domäne, die diese Richtlinie anwenden können, gültig ist. Objekte, die diese Richtlinie nicht<br />
anwenden können, werden nicht beeinflusst.<br />
Achtung:<br />
Für ein Objekt, das mit einer Richtlinie verbunden ist, gelten immer die aktuellen Einstellungen dieser<br />
Richtlinie. Beim Bearbeiten einer Richtlinie werden also die Einstellungen für alle Objekte, die mit dieser<br />
Richtlinie verbunden sind, verändert! Diese Werte aus der geänderten Richtlinie gelten also nicht nur<br />
für Objekte, die in der Zukunft hinzugefügt werden, sondern auch für diejenigen, die bereits im System<br />
eingetragen und mit der Richtlinie verbunden sind.<br />
Die Karteikarte Referenzierende Objekte der Richtlinien-Objekte zeigt eine Liste aller mit der Richtlinie<br />
verbundenen Objekte an.<br />
120
4.5.11.3 Richtlinien mit Containern verbinden<br />
Karteikarte ’Richtlinien’<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Diese Karteikarte steht bei Container, Organisationseinheiten und Domänen zur Verfügung. Sie zeigt<br />
die aktuell mit dem Objekt verbundenen Richtlinien an (siehe Abbildung 4.11). Auf der Karteikarte<br />
besteht die Möglichkeit, die Einstellungen aus einer Richtlinie zu bearbeiten und als neue Richtlinie<br />
mit dem Objekt zu verbinden. Außerdem können verbundene Richtlinien von dem Objekt getrennt<br />
werden.<br />
In der ersten Spalte werden alle verfügbaren Richtlinientypen aufgeführt. In der zweiten Spalte wird<br />
angegeben, welche konkrete Richtlinie des jeweiligen Richtlinientyps für das aktuelle Objekt gültig<br />
ist. Dabei bedeutet ererbt, dass das Objekt die Richtlinie übergeordneter Objekte erbt, falls sie dort<br />
gesetzt sind.<br />
Die Vererbung funktioniert über beliebig viele Ebenen. Das übergeordnete Objekt kann die Richtlinie<br />
also ebenfalls vom nächsthöheren Objekt ererbt haben. ererbt ist die Standardeinstellung. ererbt<br />
wird auch dann angezeigt, wenn keinem übergeordneten Objekt bis hin zur Wurzel des LDAP-Ver-<br />
zeichnisses eine Richtlinie zugeordnet ist. Dieser Sachverhalt wird auch aus der Abbildung 4.11<br />
deutlich, die die Karteikarte Richtlinien für die Domäne, also die Wurzel des LDAP-Verzeichnisses,<br />
bei einer typischen <strong>UCS</strong>-Installation zeigt.<br />
Die Vererbung kann nicht direkt abgeschaltet werden. Das Objekt kann aber mit einer neuen Richtlinie<br />
verbunden werden, bei der die Felder beliebig eingestellt, also auch als leer definiert werden können.<br />
Um das Objekt mit einer anderen oder neuen Richtlinie zu verbinden, muss auf der Karteikarte Richt-<br />
linien auf den betreffenden Richtlinientyp geklickt werden. Es erscheint anschließend eine Karteikar-<br />
te, auf der die Einstellungen für die Richtlinie vorgenommen werden können. Alternativ kann auf der<br />
Karteikarte in der Auswahlliste Konfiguration auswählen eine bestehende Richtlinie ausgewählt<br />
werden (siehe auch Kapitel 4.5.11.4).<br />
Nach einem Klick auf [OK] werden die neuen Einstellungen übernommen, wenn danach nicht die<br />
Bearbeitung des Objekts insgesamt abgebrochen wird. Eine neue oder veränderte Richtlinie wird<br />
unter einem eindeutigen Namen gespeichert, der sich aus dem Namen des Containers ergibt (siehe<br />
Kapitel 4.5.11.4). Die ursprünglichen Einstellungen bleiben unverändert erhalten, wenn [Abbrechen]<br />
ausgewählt wird.<br />
Um eine Richtlinie vom aktuellen Objekt zu trennen, ist das Auswahlkästchen rechts neben der Richt-<br />
linie zu markieren. Nach einem anschließenden Klick auf [Trennen] erscheint auf der Karteikarte<br />
ererbt anstelle der bisheringen Richtlinie. Damit die Richtlinie tatsächlich vom Objekt getrennt wird,<br />
muss die Änderung mit [OK] bestätigt werden.<br />
121
4 <strong>Univention</strong> Directory Manager<br />
4.5.11.4 Richtlinien mit anderen Objekten verbinden<br />
Eckige Klammern auf einem Karteikartenreiter zeigen an, dass auf dieser Karteikarte Einstellungen mit-<br />
hilfe von Richtlinie vorgenommen werden können.<br />
Über die Auswahlliste Konfiguration auswählen stehen existierende Richtlinien zur Verfügung, die an<br />
der aktuellen Position angewendet werden können. Voreingestellt ist die Konfiguration ererbt, bei der die<br />
Konfigurationsparameter des übergeordneten Containers für das aktuelle Objekt übernommen werden.<br />
Wenn eine Konfiguration ausgewählt wird, werden die Werte, die sich aus der Richtlinie ergeben, in den<br />
entsprechenden Feldern auf der Karteikarte angezeigt. Ausgegraute Werte können nicht verändert wer-<br />
den. Alle schwarz geschriebenen Werte und alle leeren Felder können beliebig angepasst werden.<br />
Aus den neuen Werten wird von <strong>Univention</strong> Directory Manager eine neue, eigene Richtlinie erzeugt. Im<br />
Container policies ist für jeden Richtlinientyp ein Container vorbereitet. In diesen Containern werden die<br />
von <strong>Univention</strong> Directory Manager erzeugten Richtlinien automatisch gespeichert.<br />
Eine von <strong>Univention</strong> Directory Manager erzeugte Richtlinie erhält den Namen des Objektes, für das sie<br />
erzeugt wurde. Existiert bereits eine Richtlinie mit diesem Namen, so wird zusätzlich _uv0 an den Namen<br />
angehängt. Weitere mit dem Namen im Konflikt stehende Richtlinien werden durchnummeriert und enden<br />
somit auf _uv1, _uv2 und so weiter.<br />
Unter diesem Namen kann die Richtlinie im Container für den entsprechenden Richtlinientyp gefunden<br />
werden. Wird eine der bereits existierenden Richtlinien verändert, wirkt sich dies auf alle Objekte aus, auf<br />
die diese Richtlinie angewandt wird.<br />
Wird dagegen über den Reiter Richtlinien ein Wert bei dem Objekt verändert, für das die Richtlinie erzeugt<br />
wurde, so wird automatisch eine neue Richtlinie mit den geänderten Werten angelegt und die ursprüng-<br />
liche Richtlinie bleibt unverändert erhalten. Die neuen Werte sind also nur für das aktuelle Objekt und<br />
gegebenenfalls für dem Objekt untergeordnete Objekte gültig.<br />
4.5.11.5 Richtlinien-basierte Karteikarten<br />
122<br />
Karteikarte ’[Autostart]’<br />
Diese Karteikarte ist nur auf Thin Client-, Managed Client- sowie Mobile Client-Systemen ver-<br />
fügbar.<br />
Thin Clients können ohne Login-Maske betrieben werden, um beispielsweise nach jedem Einschalten<br />
des Gerätes automatisch und ausschließlich einen Citrix-Client zu starten.<br />
Autostart Sitzung<br />
Hier ist der Name des Autostart-Skriptes einzutragen, das beim nächsten Start des Cli-<br />
ents gestartet werden soll. Ein Autostart-Skript ist ein Shell-Skript, in dem Programme<br />
eingetragen sind, die nach dem automatischen Anmelden durch den Benutzer ’autostart’<br />
gestartet werden. Dieses Skript muss auf dem Terminal-Server des Thin Clients unter
4.5 <strong>Univention</strong> Directory Manager Module<br />
/var/lib/univention-client-root/etc/gdm/Autostart/ abgelegt werden. Auf einem<br />
Managed oder Mobile Client-System ist es unter /etc/gdm/Autostart/ abzulegen.<br />
Beispiele für die Einbindung des Citrix-Clients, nxclient oder rdesktop in Autostart-Skripte finden<br />
sich auf einem <strong>UCS</strong>-Server mit installierter Thin Client-Infrastruktur (Paket univention-thin-client)<br />
unter /var/lib/univention-client-root/etc/gdm/Autostart/.<br />
123
4 <strong>Univention</strong> Directory Manager<br />
124<br />
Karteikarte ’[Benutzer-Quota-Richtlinie]’<br />
Ausführliche Informationen über Quota finden sich in der <strong>UCS</strong> Quota Dokumentation unter [9].<br />
Benutzer-Quota können anhand der Dateianzahl oder nach Dateiumfang festgelegt werden. Quota-<br />
Limits werden für Benutzer bei der Anmeldung gesetzt.<br />
Die folgenden Einstellungen gelten für alle Benutzer einer Verzeichnis-Freigabe; es ist nicht möglich<br />
an einer Freigabe für verschiedene Benutzer unterschiedliche Quota-Limitierungen festzulegen.<br />
Abbildung 4.12: 10 MB Soft-Limit und 20 MB Hard-Limit für alle Verzeichnisfreigaben<br />
im Container shares<br />
Änderungen der Quota-Limits wirken sich nur auf Benutzer aus, die sich nach der Änderung erstmals<br />
anmelden. Benutzer, für die bereits Quotas gesetzt sind, werden von den Änderungen nicht betroffen.<br />
Quotas für diese Benutzer können mit den Linux-Befehlen setquota und repquota bearbeitet und<br />
aufgelistet werden, weitere Informationen sind in der <strong>UCS</strong> Quota Dokumentation unter [9] zu finden.<br />
Eine Alternative ist die gruppenbasierte Zuweisung mittels univention-quota-group. Die Ver-<br />
wendung ist ebenfalls in der oben erwähnten Dokumentation beschrieben.
Soft-Limit (Anzahl Byte)<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Der Speicherplatz in Byte, bei dessen Überschreitung der Benutzer aufgefordert wird, Speicherplatz<br />
freizugeben (standardmäßig innerhalb von sieben Tagen).<br />
Hard-Limit (Anzahl Byte)<br />
Der Speicherplatz in Byte, den jeder Benutzer in dieser Freigabe maximal belegen darf.<br />
Soft-Limit (Anzahl Dateien)<br />
Die Anzahl an Dateien, bei dessen Überschreitung der Benutzer aufgefordert wird, Speicherplatz<br />
freizugeben (standardmäßig innerhalb von sieben Tagen).<br />
Hard-Limit (Anzahl Dateien)<br />
Die Anzahl an Dateien, die jeder Benutzer in dieser Freigabe maximal speichern darf.<br />
Karteikarte ’[Boot-Parameter]’<br />
Mit einer DHCP-Boot-Richtlinie werden Rechnern Konfigurationsparameter für das Booten von ei-<br />
nem Server zugewiesen. Geänderte Werte werden ab dem nächsten Start des jeweiligen Rechners<br />
angewendet.<br />
Hinweis:<br />
Da Thin Clients ohne diese Parameter nicht booten können, ist in <strong>Univention</strong> Corporate Server be-<br />
reits eine DHCP-Boot-Richtlinie vorangelegt. Da ein Boot-Server in dieser Richtlinie nicht gesetzt ist,<br />
verwendet der Client den DHCP-Server, von dem er seine IP-Adresse bezieht, als Boot-Server. Als<br />
Boot-Datei ist standardmäßig die Datei pxelinux.0 eingetragen. Die Richtlinie ist mit der Wurzel<br />
der Domäne verbunden, so dass sie automatisch für alle Thin Clients der Domäne gilt, solange nichts<br />
anderes näher am Client-Objekt definiert wird.<br />
Rechner, die nicht vom Server booten, sondern ein lokal installiertes Betriebssystem starten, benöti-<br />
gen diese Angaben nicht. Die Angaben werden von einem solchen Rechner ignoriert.<br />
Boot-Server<br />
In diesem Eingabefeld ist die IP-Adresse oder der FQDN des Boot-Servers einzutragen, von dem der<br />
Client die Boot-Datei laden soll. Wird in diesem Eingabefeld kein Wert eingetragen, bootet der Client<br />
von dem DHCP-Server, von dem er seine IP-Adresse bezieht.<br />
Boot-Dateiname<br />
Hier ist der Pfad zur Boot-Datei einzutragen. Der Pfad muss relativ zum Basisverzeichnis des TFTP-<br />
Dienstes angegeben werden.<br />
Ein Beispiel:<br />
Beim Start des tftp-Dienstes wird das freizugebende Verzeichnis als Parameter übergeben. In diesem<br />
125
4 <strong>Univention</strong> Directory Manager<br />
126<br />
Fall ist der Pfad zur Boot-Datei relativ zum Verzeichnis /var/lib/univention-client-boot<br />
anzugeben.<br />
Heißt die gewünschte Datei linux.0 und liegt im Verzeichnis<br />
/var/lib/univention-client-boot/kernel/, so ist im Eingabefeld Boot-Dateiname<br />
der Pfad kernel/linux.0 anzugeben.<br />
Karteikarte ’[Client-Peripherie]’<br />
Diese Karteikarte findet sich nur bei Rechnern vom Typ Thin Client.<br />
Zugriff auf Peripheriegeräte<br />
Mit dem Markieren dieses Auswahlkästchens wird der Zugriff auf Peripheriegeräte wie CD-ROM-<br />
und Disketten-Laufwerke, die an diesem Thin Client angeschlossen sind, von diesem Thin Client aus<br />
erlaubt.<br />
Karteikarte ’[<strong>Univention</strong> Configuration Registry]’<br />
Ausführliche Informationen zur richtlinienbasierten Vererbung von <strong>Univention</strong> Configuration Registry-<br />
Variablen finden sich in Kapitel 14.9.<br />
Karteikarte ’[DHCP Verschiedenes]’<br />
Autoritativ<br />
Diese Auswahl steuert das Versenden von DHCPNAK -Botschaften an falsch konfigurierte Clients.<br />
Achtung:<br />
Ein Einstellung Yes ist nur dann zu wählen, wenn die Konsequenzen dieser Einstellung eingeschätzt<br />
werden können und der DHCP-Service korrekt konfiguriert wurde!<br />
Ein Einstellung Yes veranlasst den DHCP-Service dazu, jedem falsch konfigurierten Client eine DH-<br />
CPNAK -Nachricht zu senden. Wird dies nicht gemacht, sind Clients nach einem Subnetz-Wechsel<br />
(z.B. Notebooks) nicht in der Lage, eine korrekte IP-Adresse zu erhalten, bis ihr altes Lease abgelau-<br />
fen ist. Dies kann einige Zeit in Anspruch nehmen.<br />
Wird nichts oder no ausgewählt, versendet der DHCP-Service keine DHCPNAK -Botschaften. Dies<br />
ist das Standard-Verhalten des DHCP-Service und soll Problemen bei einem unzureichend bzw.<br />
falsch konfigurierten DHCP-Service vorbeugen.<br />
Das Setzen dieser Einstellung ist nur für physikalische Netzsegmente sinnvoll. Die Einstellung sollte<br />
für ein DHCP-Shared Network oder ein DHCP-Subnetz vorgenommen werden. Für ein DHCP-
4.5 <strong>Univention</strong> Directory Manager Module<br />
Shared Subnet sowie DHCP:Pool- und DHCP:Rechner-Objekte sollte diese Einstellung vermieden<br />
werden!<br />
Booten unbekannter Clients<br />
Wenn in dieser Auswahlliste True gewählt wird, vergibt der DHCP-Service IP-Adressen auch an<br />
Clients, die keinen DHCP-Rechner-Eintrag besitzen. Voraussetzung ist, dass ein entsprechender<br />
Pool an IP-Adressen eingerichtet ist. Einschränkungen zur IP-Adress-Vergabe, die beim DHCP:Pool-<br />
Objekt gemacht werden, werden dabei berücksichtigt. Wird der Eintrag False gewählt, vergibt der<br />
DHCP-Service keine IP-Adressen an Clients, die keinen DHCP-Rechner-Eintrag besitzen.<br />
Diese Einstellung wird auf Pool-Ebene von den Einstellungen auf der Karteikarte Fortgeschritten<br />
überschrieben.<br />
Ping-Check<br />
Wenn in dieser Auswahlliste nichts oder True gewählt wird, prüft der DHCP-Server mit einem Ping,<br />
ob die IP-Adresse noch frei ist, bevor er sie dynamisch vergibt. Dadurch verzögert sich die Antwort<br />
an den Client um eine Sekunde. Wenn dies ein Problem für die anfragenden Clients darstellen kann,<br />
sollte hier die Einstellung No gewählt werden. Die Verfügbarkeitsüberprüfung mittels Ping wird dann<br />
nicht durchgeführt und der DHCP-Server antwortet sofort.<br />
Holen von Lease-Rechnernamen<br />
Wenn in dieser Auswahlliste True gewählt wird, löst der DHCP-Server alle IP-Adressen, für die diese<br />
Angabe gilt, in den zugehörigen Rechnernamen in der DNS-Domäne auf und verwendet ihn für die<br />
DHCP-hostname-Option. Wird nichts oder False gewählt, verwendet der DHCP-Server nicht die<br />
DNS-Domänennamen.<br />
Serverkennung<br />
Die IP-Adresse des Servers, über die Clients mit dem DHCP-Server kommunizieren sollen. Dieses<br />
Feld sollte nur in begründeten Ausnahmefällen ausgefüllt werden. Dabei muss darauf geachtet wer-<br />
den, dass der richtige DHCP-Server verwendet wird, wenn in einem DHCP-Service mehrere Server<br />
eingesetzt werden.<br />
Servername<br />
Dieser Name wird einem Client als Name des Servers, von dem er bootet, übergeben.<br />
Karteikarte ’[DNS]’<br />
Domänenname<br />
Name der Domäne, den der Client automatisch an Rechnernamen anhängt, die er zur Auflösung an<br />
den DNS-Server schickt und die keine FQDNs sind. Üblicherweise wird hier der Name der Domäne<br />
verwendet, der der Client angehört.<br />
127
4 <strong>Univention</strong> Directory Manager<br />
128<br />
DNS-Server<br />
Hier können IP-Adressen oder FQDNs für DNS-Server hinzugefügt werden. Bei der Verwendung von<br />
FQDNs ist darauf zu achten, dass der DHCP-Server die FQDNs in IP-Adressen auflösen kann. Die<br />
DNS-Server werden von den Clients entsprechend der hier angegebenen Reihenfolge kontaktiert.<br />
Die Umsortierung der angegebenen DNS-Server kann deshalb sinnvoll sein.<br />
Karteikarte ’[DNS Aktualisierung]’<br />
Auf dieser Karteikarte können Einstellungen zur dynamischen DNS-Aktualisierung vorgenommen<br />
werden. Diese können aus technischen Gründen bislang noch nicht gegen einen <strong>UCS</strong>-basierten<br />
DNS-Dienst durchgeführt werden, sondern nur gegen externe Server.<br />
DDNS Rechnername<br />
Standardmäßig verwendet der DHCP-Service den Rechnernamen, der vom Client geliefert wird, für<br />
DDNS-Aktualisierungen. Wird in dieses Eingabefeld eine Zeichenkette eingetragen, wird diese an-<br />
stelle des gelieferten Rechnernamens verwendet.<br />
DDNS Domänenname<br />
Der hier eingetragene Domänenname wird verwendet, um zusammen mit dem Rechnernamen des<br />
Clients einen FQDN zu bilden.<br />
DDNS Reverse Domänenname<br />
Der hier eingetragene Domänenname wird an die umdrehte IP-Adresse angehängt, um einen Namen<br />
für einen Pointer Record (PTR Record) zu bilden. Wird kein Domänenname eingetragen, wird der<br />
Standardwert in-addr.arpa. verwendet.<br />
DDNS Aktualisierungen<br />
Wird diese Einstellung auf on gesetzt, versucht der DHCP-Service eine DNS-Aktualisierung, wenn<br />
ein Lease bestätigt wurde. Wurde off ausgewählt, wird die Aktualisierung nicht durchgeführt. Die<br />
Standardeinstellung lautet on.<br />
DDNS Update Stil<br />
Es stehen derzeit zwei DNS-Update-Schemata zur Verfügung: der ad-hoc DNS update mode (ad-<br />
hoc) sowie der interim DHCP-DNS interaction draft update mode (interim). Der Modus ad-hoc ist<br />
mittlerweile veraltet und sollte nicht mehr genutzt werden.<br />
Hinweis:<br />
Diese Einstellung wird einmalig beim Einlesen der Konfiguration durch den DHCP-Service ausgewer-<br />
tet. Es kann somit nicht für jeden Client individuell der Update-Stil vorgegegeben werden.<br />
DDNS Forward Update durchführen<br />
Wird der Wert True ausgewählt, aktualisiert der DHCP-Service den DNS-Rechnereintrag (A Record),
4.5 <strong>Univention</strong> Directory Manager Module<br />
wenn ein DHCP-Client ein Lease anfordert oder erneuert. Bei der Einstellung false findet keine Ak-<br />
tualisierung statt. Diese Angabe findet nur Anwendung, wenn DNS-Updates aktiviert und der DDNS<br />
Update Stil auf interim gesetzt wurde. In der Standardeinstellung werden DDNS Forward Updates<br />
durchgeführt.<br />
Aktualisierung statischer Leases<br />
Wird der Wert True ausgewählt, führt der DHCP-Service DNS-Updates für DHCP-Clients durch,<br />
auch wenn diese eine statische IP-Adresse zugeordnet bekommen. Bei der Einstellung false findet<br />
keine Aktualisierung statt. Diese Angabe findet nur Anwendung, wenn DNS-Updates aktiviert und der<br />
DDNS Update Stil auf interim gesetzt wurde.<br />
Client Aktualisierungen<br />
Wird der Wert Allow ausgewählt, beachtet der DHCP-Service die Absicht des DHCP-Clients, seinen<br />
eigenen DNS-Rechnereintrag (A Record) selbst zu aktualisieren. Diese Angabe findet nur Anwen-<br />
dung, wenn DNS-Updates aktiviert und der DDNS Update Stil auf interim gesetzt wurde.<br />
Karteikarte ’[Desktop-Einstellungen]’<br />
Auf dieser Karteikarte kann das Erscheinungsbild der Linux-Oberfläche KDE für den Benutzer konfi-<br />
guriert werden.<br />
Desktop-Sprache<br />
Die KDE-Spracheinstellung des Benutzers.<br />
Hinweis:<br />
Damit die Auswahl wirksam wird, muss das entsprechende KDE-Sprachpaket auf dem Rechner - bei<br />
Thin Clients auf dem Terminal-Server - installiert sein.<br />
Desktop-Profil<br />
Ein Profil, das das Erscheinungsbild der Linux-Oberfläche KDE für den Benutzer bestimmt. Zur Wahl<br />
stehen die Profile, die im Container univention im Objekt default eingetragen sind (siehe Kapi-<br />
tel 4.5.12.6 und [10]).<br />
Login-Skripte<br />
Das hier eingetragene Skript wird beim KDE-Login des Benutzers ausgeführt.<br />
Hinweis:<br />
Damit die Auswahl wirksam wird, muss die entsprechende Datei auf dem Rechner - bei Thin Clients<br />
auf dem Terminal-Server - ausführbar installiert sein.<br />
Logout-Skripte<br />
129
4 <strong>Univention</strong> Directory Manager<br />
Das hier eingetragene Skript wird beim Abmelden des Benutzers von der KDE Sitzung ausgeführt.<br />
Hinweis:<br />
Damit die Auswahl wirksam wird, muss die entsprechende Datei auf dem Rechner - bei Thin Clients<br />
auf dem Terminal-Server - ausführbar installiert sein.<br />
Karteikarte ’[Display-Einstellungen]’<br />
Diese Karteikarte findet sich nur bei Rechnern vom Typ Managed Client, Mobile Client oder Thin<br />
Client. Auf dieser Karteikarte werden Grafikkarte, Bildschirm, Tastatur und Maus für den Rechner<br />
eingerichtet. Änderungen werden beim nächsten Rechnerstart, bei dem eine Verbindung zum LDAP-<br />
Verzeichnis besteht, wirksam.<br />
Automatische Erkennung<br />
Ist die Option aktiviert, wird der für die Grafikkarte benötigte Treiber automatisch erkannt. Sollte für<br />
die Karte kein passender Treiber verfügbar sein, wird der VESA-Treiber verwendet. Auch die für den<br />
angeschlossenen Monitor geeignete Bildschirmauflösung wird erkannt und aktiviert.<br />
Grafikkarten-Treiber<br />
Aus dieser Auswahlliste kann ein passender Grafikkarten-Treiber ausgewählt werden.<br />
Auflösung des primären Monitors<br />
In diesem Eingabefeld ist die Bildschirmauflösung des Hauptmonitors einzutragen. Die Angabe von<br />
Breite und Höhe ist durch ein “x” zu trennen.<br />
Beispiel:<br />
1024x768<br />
Auflösung des sekundären Monitors<br />
Die Bildschirmauflösung eines eventuellen zweiten Monitors. Dieser bildet zusammen mit dem pri-<br />
mären Monitor eine gemeinsame Bildschirmfläche.<br />
Position des sekundären Monitors<br />
Diese Auswahl gibt die relative Position des sekundären Monitors gegenüber dem primären Monitor<br />
an.<br />
130<br />
Farbtiefe<br />
Die Farbtiefe ist in Bit pro Pixel anzugeben. Zulässige Werte sind 1, 2, 4, 8, 16 und 24.<br />
Maus-Protokoll<br />
Für die Verwendung einer Maus stehen eine Reihe unterschiedlicher Maus-Protokolle zur Verfügung:<br />
• Auto wählt in der Regel automatisch das passende Protokoll für die verwendete Maus aus.
• IMPS/2 wird für Mäuse mit Mausrad am PS/2-Anschluss verwendet.<br />
• PS/2 wird für einfache Mäuse am PS/2-Anschluss verwendet.<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
• Serial wird für Mäuse an der seriellen Schnittstelle (ttyS0 oder ttyS1 bzw. unter Windows/DOS<br />
COM1 oder COM2) genutzt.<br />
• USB wird für USB-Mäuse benötigt.<br />
Darüber hinaus stehen noch weitere spezielle Maus-Protokolle bereit:<br />
ExplorerPS/2, ThinkingMouse, ThinkingMousePS/2, NetScrollPS/2, Intellimouse, NetMousePS/2,<br />
GlidePoint, GlidePointPS/2 und MouseManPlusPS/2.<br />
Maus-Anschluss<br />
Es ist hier der Anschluss, über den die Maus mit dem Rechner verbunden ist, auszuwählen. Es<br />
stehen die Anschlüsse PS/2, Serial und USB zur Wahl.<br />
Tastaturbelegung<br />
Mit der Auswahl eines Landes wird die landesübliche Tastaturbelegung für diesen Rechner aktiviert.<br />
Darunter sind auch Germany für eine deutsche und United States für eine englische Tastaturbele-<br />
gung. Daneben besteht die Möglichkeit, keine Einstellung zur Tastaturbelegung vorzunehmen.<br />
Variante der Tastaturbelegung<br />
An dieser Stelle kann über die Angabe eines Schlüsselwortes die Variante der Tastaturbelegung<br />
ausgewählt werden. Bei deutscher Tastaturbelegung wird meist die Variante nodeadkeys (englisch<br />
für “keine toten Tasten”) verwendet. Sie bewirkt, dass bestimmte Sonderzeichen wie die Tilde “~”<br />
durch einfaches Betätigen der Taste eingegeben werden. Allerdings kann das Sonderzeichen dann<br />
nicht mehr über ein anderes Zeichen geschrieben werden. Bei der Variante basic muss zunächst<br />
die Taste für das Sonderzeichen und danach die Taste des Zeichens betätigt werden, über dem das<br />
Sonderzeichen erscheinen soll. Für das Schreiben des Wortes “Senor” mit dem Buchstaben “ñ” muss<br />
in diesem Fall zunächst die Tilde und anschließend das “n” gedrückt werden. Um eine Tilde allein zu<br />
erhalten, wird zuerst die Tilde-Taste gedrückt und dann die Leertaste.<br />
Erlaube VNC-Display-Freigabe<br />
Diese Option ermöglicht Administratoren, auf die grafische Oberfläche des Rechners zuzugreifen und<br />
die Kontrolle über Maus und Tastatur zu übernehmen, wenn der Benutzer dies nach einer Sicherheits-<br />
abfrage erlaubt. Diese Option dient z.B. der Fehlerbehebung, falls ein Anwender sich in einer für ihn<br />
unlösbaren oder unverständlichen Situation befindet. Diese Option ist standardmäßig deaktiviert.<br />
Diese Richtlinie wird nur bei Thin Clients ausgewertet.<br />
VNC-Display-Freigabe, nur Anzeigen<br />
Diese Option erlaubt Administratoren, sich den Desktop eines Anwenders anzuschauen, ohne dass<br />
131
4 <strong>Univention</strong> Directory Manager<br />
132<br />
der Administrator durch Tastatureingaben oder Mausbewegungen etwas verändern kann. Es wird<br />
eine Sicherheitsabfrage angezeigt, die der Anwender bestätigen muss, damit die Administratoren<br />
Zugang erhalten. Diese Option ist standardmäßig aktiviert.<br />
Diese Richtlinie wird nur bei Thin Clients ausgewertet.<br />
RAM auf der Grafikkarte in kB<br />
Sollte der Grafikkarten-Treiber den verfügbaren Grafikspeicher nicht vollständig erkennen, kann in<br />
diesem Eingabefeld die korrekte Größe des RAMs auf der Grafikkarte eingetragen werden. Die An-<br />
gabe erfolgt in Kilobytes.<br />
Größe des virtuellen Desktops im Zwei-Monitor-Betrieb<br />
Die grafische Oberfläche kann auch durch zwei Monitore dargestellt werden. Die dabei erzielte Dar-<br />
stellungsgröße des virtuellen Desktops muss vorgegeben werden. Die Bildschirmdimensionen wer-<br />
den dazu addiert; wenn beispielsweise zwei Monitore mit einer Auflösung von je 1024x768 Pixeln<br />
nebeneinander betrieben werden, beträgt die Größe des virtuellen Desktops 2048x768. Die Einstel-<br />
lung muss im Format x y, d.h. mit einem Leerzeichen als Trenner angegeben werden, z.B. 2048 768.<br />
Diese Einstellung braucht in der Regel nicht angegeben werden, sondern wird aus den Einstellungen<br />
für Auflösung des primären Monitors und Auflösung des sekundären Monitors errechnet.<br />
Name des primären Monitors<br />
Der X11-interne Bezeichner für den primären Monitor, z.B. LVDS oder VGA. Der Gerätename<br />
schwankt je nach Modell der Grafikkarte und kann ermittelt werden, in dem der xrandr-Befehl auf-<br />
gerufen wird. Wird hier kein Bezeichner angegeben, wird der Bezeicher im GDM-Init-Skript ermittelt.<br />
Display-Grösse (mm) des primären Monitors<br />
Wird die gemessene Länge der Displaydiagonale eingetragen, kann die Displayauflösung (dpi) auto-<br />
matisch bestimmt werden. Die Angabe erfolgt im Format XxY in Millimetern.<br />
Diese Einstellung greift nur, wenn der Name des primären Monitors gesetzt wurde.<br />
Horizontale Synchronisation des primären Monitors<br />
Die horizontale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit<br />
kHz anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt.<br />
Beispiel:<br />
30-70<br />
Diese Einstellung greift nur, wenn der Name des primären Monitors gesetzt wurde.<br />
Vertikale Wiederholfrequenz des sekundären Monitors<br />
Die vertikale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit Hz
4.5 <strong>Univention</strong> Directory Manager Module<br />
anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt.<br />
Beispiel:<br />
50-90<br />
Diese Einstellung greift nur, wenn der Name des primären Monitors gesetzt wurde.<br />
Name des sekundären Monitors<br />
Der X11-interne Bezeichner für den sekundären Monitor, z.B. LVDS oder VGA. Der Gerätename<br />
schwankt je nach Modell der Grafikkarte und kann ermittelt werden, in dem der xrandr-Befehl auf-<br />
gerufen wird. Wird hier kein Bezeichner angegeben, wird der Bezeicher im GDM-Init-Skript ermittelt.<br />
Display-Grösse (mm) des sekundären Monitors<br />
Wird die gemessene Länge der Displaydiagonale eingetragen, kann die Displayauflösung (dpi) auto-<br />
matisch bestimmt werden. Die Angabe erfolgt im Format XxY in Millimetern.<br />
Diese Einstellung greift nur, wenn der Name des sekundären Monitors gesetzt wurde.<br />
Horizontale Synchronisation des sekundären Monitors<br />
Die horizontale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit<br />
kHz anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt.<br />
Beispiel:<br />
30-70<br />
Diese Einstellung greift nur, wenn der Name des sekundären Monitors gesetzt wurde.<br />
Vertikale Wiederholfrequenz des sekundären Monitors<br />
Die vertikale Zeilenfrequenz des Bildschirms ist als einzelne Zahl oder als Bereich in der Einheit Hz<br />
anzugeben. Bei einer Bereichsangabe werden die zwei Werte durch ein Minuszeichen getrennt.<br />
Beispiel:<br />
50-90<br />
Diese Einstellung greift nur, wenn der Name des sekundären Monitors gesetzt wurde.<br />
Karteikarte ’[Druck-Quota]’<br />
Hinweis:<br />
Für die Berechnung von Druck-Quota und -Kosten muss die Komponente ’Dienste/Druck-Quota’ bei<br />
der Installation ausgewählt worden sein oder durch Aufruf von univention-system-setup-software<br />
installiert werden.<br />
Druck-Quota für Benutzer<br />
Für die hier ausgewählten Benutzer wird eine Druck-Quota erstellt.<br />
133
4 <strong>Univention</strong> Directory Manager<br />
134<br />
Soft Limit<br />
Erreicht ein Benutzer die hier eingetragene Anzahl an Seiten, die er drucken darf, erhält er eine<br />
Warnmeldung per Mail, dass sein Druck-Kontingent annähernd erschöpft ist. Durch Angabe von 0<br />
wird die Limitierung aufgehoben. Weiterführende Hinweise finden sich in Kapitel 13.5.2.<br />
Hard Limit<br />
Erreicht ein Benutzer die hier eingetragene Anzahl an Seiten, werden weitere Druckaufträge von die-<br />
sem Benutzer abgelehnt. Nur ein Administrator kann das Kontingent des Benutzers erneut aktivieren.<br />
Durch Angabe von 0 wird die Limitierung aufgehoben. Weiterführende Hinweise finden sich in Kapitel<br />
13.5.2.<br />
Druck-Quota für Gruppen pro Benutzer<br />
Für jeden Benutzer der hier angegebenen Gruppe werden Soft Limit und Hard Limit gesetzt. Die<br />
Quotas werden für jeden Benutzer einzeln ausgewertet.<br />
Druck-Quota für Gruppen<br />
Die hier angegebene Gruppe erhält ein gemeinsames Kontingent zugewiesen. Alle Benutzer, die zu<br />
der Gruppe gehören, können dieses Kontingent nutzen.<br />
Wenn mehr als 200 Benutzer oder Gruppen gefunden werden oder die Suche im LDAP-Verzeichnis<br />
länger als zehn Sekunden dauert, wird anstelle der Auswahlliste ein Eingabefeld angezeigt, in das<br />
der Benutzer-/Gruppenname einzutragen sind.<br />
Karteikarte ’[Druckerserver]’<br />
Drucker-Server<br />
An dieser Stelle kann der Name des Druckerservers ausgewählt werden, dessen Drucker der Rech-<br />
ner verwenden soll.<br />
Karteikarte ’[Erlauben/Verbieten]’<br />
Hinweis:<br />
Das in dieser Karteikarte verwendete Schlüsselwort ignore unterscheidet sich von deny nur dadurch,<br />
dass es das Protokollieren abgelehnter Anfragen in einer Log-Datei verhindert.<br />
Unbekannte Clients<br />
Wenn in dieser Auswahlliste allow gewählt wird, vergibt der DHCP-Service IP-Adressen auch an<br />
Clients, die keinen DHCP-Rechner-Eintrag besitzen. Wird dagegen nichts, deny oder ignore ausge-<br />
wählt, vergibt der DHCP-Service keine IP-Adressen an unbekannte Clients.<br />
Es wird empfohlen, diese Einstellung nicht global oder auf der Subnetz-Ebene sondern auf der Pool-<br />
Ebene vorzunehmen (siehe Karteikarte Fortgeschritten bei DHCP:Pool-Objekten auf Seite 115).
BOOTP<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Wenn in dieser Auswahlliste nichts oder allow gewählt wird, antwortet der DHCP-Service auf<br />
BOOTP-Anfragen, anderenfalls reagiert er auf diese Anfragen nicht.<br />
Booten<br />
Diese Angabe legt fest, ob der DHCP-Service auf Anfragen (eines bestimmten Clients) antwortet<br />
(keine Auswahl oder allow) oder nicht (Auswahl deny oder ignore). Antwortet der DHCP-Service<br />
nicht, erhält der Client keine IP-Adresse zugeteilt. Die Einstellung wird in der Regel nur direkt für ein<br />
DHCP:Rechner-Objekt vorgenommen.<br />
Duplikate<br />
Wenn in dieser Auswahlliste nichts oder allow gewählt wird, lässt der DHCP-Service es zu, dass<br />
ein Client einen neuen Lease erhält und bereits bestehende Leases, die zu derselben MAC-Adresse<br />
gehören, erhalten bleiben.<br />
Wird der Eintrag deny verwendet und die MAC-Adresse des anfragenden Clients passt zu einem<br />
DHCP-Rechner-Eintrag, verwirft der DHCP-Service alle Leases, die zu derselben MAC-Adresse pas-<br />
sen. Dieses Verhalten ist eine Verletzung des DHCP-Protokolls, kann aber verhindern, dass Clients<br />
mit häufig wechselndem Client Identifier viele Leases gleichzeitig halten.<br />
Ablehnungen<br />
Wenn in dieser Auswahlliste nichts oder allow gewählt wird, akzeptiert der DHCP-Service DHCP-<br />
DECLINE-Botschaften vom Client. Der Client sendet eine solche Botschaft, wenn er die angebotene<br />
IP-Adresse für ungültig hält. Der DHCP-Service gibt dieser IP-Adresse dann den Status abandoned<br />
und verwendet sie eine Zeit lang nicht mehr. Ein defekter oder bösartiger Client kann durch übermä-<br />
ßiges Versenden von DHCPDECLINE-Botschaften den Pool freier Adressen erschöpfen.<br />
Wird deny oder ignore gewählt, ignoriert der DHCP-Service diese Botschaften.<br />
Karteikarte ’[LDAP-Server]’<br />
LDAP-Server<br />
Der Rechner verwendet die hier angegebenen LDAP-Server für Anfragen an das LDAP-Verzeichnis.<br />
Die Reihenfolge der Server bestimmt die Reihenfolge der Anfragen des Rechners an die Server, falls<br />
ein LDAP-Server nicht erreichbar sein sollte.<br />
Karteikarte ’[Lease-Zeit]’<br />
Standard Lease-Zeit<br />
Wenn der Client nicht um eine bestimmte Lease-Zeit bittet, so wird ihm die Standard-Lease-Zeit<br />
zugewiesen. Bleibt das Eingabefeld leer, wird der Vorgabewert des DHCP-Servers verwendet. Er<br />
beträgt 43200 Sekunden, was zwölf Stunden entspricht.<br />
135
4 <strong>Univention</strong> Directory Manager<br />
136<br />
Maximale Lease-Zeit<br />
Die Maximale Lease-Zeit gibt die längste Zeitspanne an, die für einen Lease vergeben werden<br />
kann. Bleibt das Eingabefeld leer, wird der Vorgabewert des DHCP-Servers verwendet. Er beträgt<br />
86400 Sekunden, was 24 Stunden entspricht.<br />
Minimale Lease-Zeit<br />
Die Minimale Lease-Zeit gibt die kürzeste Zeitspanne an, die ein Lease gültig sein soll. Bleibt das<br />
Eingabefeld leer, wird der Vorgabewert des DHCP-Servers verwendet. Er beträgt eine Sekunde.<br />
Karteikarte ’[Mail-Quota]’<br />
Quota-Limit (MB)<br />
Die maximale Größe des Postfachs eines Nutzers in Megabyte. Wird die Grenze erreicht, werden<br />
keine weiteren Mails zugestellt, bis der Benutzer alte Mails aus seinem Konto entfernt hat.<br />
Karteikarte ’[NetBIOS]’<br />
NetBIOS-Nameserver<br />
Auch NBNS- oder WINS-Server genannt. Hier sind die Namen oder IP-Adressen der NetBIOS-Name-<br />
server einzutragen. Dabei ist darauf zu achten, dass der DHCP-Server diese Namen in IP-Adressen<br />
auflösen kann. Die angegebenen Server werden vom Client in der Reihenfolge angesprochen, in der<br />
sie in der Auswahlliste erscheinen.<br />
NetBIOS Scope<br />
Der NetBIOS over TCP/IP-Scope für den Client nach der Spezifikation in RFC1001 und RFC1002.<br />
Achtung:<br />
Bei der Angabe des NetBIOS Scopes ist die Groß- und Kleinschreibung zu beachten. Weitere Hin-<br />
weise zum einsetzbaren Zeichensatz finden sich in RFC1035.<br />
NetBIOS Node Type<br />
Dieses Auswahlfeld legt den Node Type eines Clients fest. Mögliche Werte sind:<br />
• 1 B-node (Broadcast: kein WINS)<br />
• 2 P-node (Peer: ausschließlich WINS)<br />
• 4 M-node (Mixed: erst Broadcast, dann WINS)<br />
• 8 H-node (Hybrid: erst WINS, dann Broadcast)
Karteikarte ’[NFS-Richtlinien]’<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Mit dieser Richtlinie können NFS-Freigaben konfiguriert werden, die auf dem Server oder Client ge-<br />
mountet werden. Zur Auswahl steht eine NFS-Freigabe, die unter dem in Mount point angegebenen<br />
Dateipfad eingehängt wird.<br />
Karteikarte ’[Pakete . . . ]’<br />
Diese Karteikarte ist für jeden <strong>UCS</strong>-Systemtyp bis auf den Thin Client verfügbar.<br />
Zur einfachen Pflege von installierten Software-Paketen kann mit dieser Option eine Liste für zu in-<br />
stallierende bzw. deinstallierende Pakete erstellt werden. Diese Listen werden beim nächsten De-<br />
/Installationszeitpunkt vom betreffenden System (Managed Client, Mobile Client, Member-Server<br />
oder Domaincontroller) abgearbeitet.<br />
Diese Karteikarte steht in direkter Verbindung mit der Karteikarte Paketpflege, auf der der De-<br />
/Installationszeitpunkt festgelegt werden kann.<br />
Paket-Liste<br />
An dieser Stelle ist die Paketliste auszuwählen, in der das gewünschte Paket enthalten ist. Paket-<br />
listen können können über ein Einstellungen: Paketlisten-Objekt verwaltet werden (siehe Kapi-<br />
tel 4.5.12.9).<br />
[. . . ] Pakete Installationsliste<br />
Nach der Auswahl des gewünschten Paketes kann es der Installationsliste hinzugefügt werden. Auf<br />
diese Weise können beliebig viele Pakete nachinstalliert werden.<br />
[. . . ] Pakete Deinstallationsliste<br />
Hier sind die zu deinstallierenden Pakete auszuwählen.<br />
Karteikarte ’[Paketpflege]’<br />
Mit dieser Option kann der Zeitpunkt der De-/Installation von Paketen bzw. System-Updates gesteuert<br />
werden.<br />
Systemstart<br />
Falls diese Option aktiviert ist, werden die auf der Karteikarte Pakete [. . . ] ausgewählten Pakete<br />
während des Startvorgangs des Rechners de-/installiert.<br />
System herunterfahren<br />
Falls diese Option aktiviert ist, werden die auf der Karteikarte Pakete [. . . ] ausgewählten Pakete<br />
während des Herunterfahrens des Rechners de-/installiert.<br />
137
4 <strong>Univention</strong> Directory Manager<br />
138<br />
Nach Paketpflege neu starten<br />
Diese Option ermöglicht es, nach einem <strong>UCS</strong>-Update einen automatischen Neustart des Systems<br />
durchzuführen. Zur Auswahl stehen folgende Werte:<br />
• Nicht neu starten: nach dem Update wird der Bootvorgang wie gewohnt fortgeführt. Der Neu-<br />
start muss ggf. manuell durchgeführt werden.<br />
• sofort: der Neustart des Systems wird direkt nach dem Update durchgeführt<br />
• die Zeitangabe zwischen 15 Minuten (00:15) und 23 Stunden und 45 Minuten (23:45) gibt die<br />
Achtung:<br />
Verzögerung zwischen Update und automatischem Neustart des Systems an.<br />
Sofern ein Neustart des Systems aktiviert wurde, erfolgt der Neustart ausschließlich nach einem<br />
<strong>UCS</strong>-Update auf eine höhere Versionsnummer. Nach der De-/Installation einzelner Pakete wird kein<br />
Neustart ausgelöst!<br />
Cron Einstellung benutzen<br />
Wird dieses Feld aktiviert, kann über die Felder Monat, Wochentag, Tag, Stunde und Minute ein<br />
genauer Zeitpunkt angegeben werden, an dem neue Paket de-/installiert werden sollen.<br />
Karteikarte ’[Passwort-Richtlinie]’<br />
Auf dieser Karteikarte können Passwortwechsel und -ablauf-Intervalle festgelegt werden.<br />
History-Länge<br />
Die Anzahl der für den Benutzer gespeicherten Passwörter. Diese darf der Benutzer nicht als neues<br />
Passwort wählen. Wird beispielsweise die Zahl 3 eingetragen, werden bei einer Passwort-Änderung<br />
die letzten drei Passwörter nicht als neues Passwort akzeptiert.<br />
Achtung:<br />
Die Passwörter werden nicht rückwirkend gespeichert. Wenn beispielsweise ursprünglich zehn Pass-<br />
wörter gespeichert wurden und der Wert auf drei herabgesetzt wird, werden die älteren sieben Pass-<br />
wörter bei der nächsten Passwort-Änderung aus der Historie entfernt. Wird danach die History-Länge<br />
wieder erhöht, müssen erst wieder Passwörter ’angesammelt’ werden.<br />
Passwort-Ablaufintervall<br />
Das Intervall in Tagen, nach dem der Benutzer sein Passwort ändern muss.<br />
Passwort-Qualitätsprüfung<br />
Ist diese Option aktiviert, werden für Passwortänderungen in Samba, <strong>Univention</strong> Directory Manager<br />
und Kerberos zusätzliche Prüfungen vorgenommen, die auch eine Wörterbuchprüfung beinhalten.
4.5 <strong>Univention</strong> Directory Manager Module<br />
Die Konfiguration erfolgt über <strong>Univention</strong> Configuration Registry und sollte auf allen Anmeldeservern<br />
erfolgen. Folgende Prüfungen können erzwungen werden:<br />
• Die Mindestanzahl von Zahlen in dem neuen Passwort (password/quality/credit/digits).<br />
• Die Mindestanzahl von Grossbuchstaben in dem neuen Passwort<br />
(password/quality/credit/upper).<br />
• Die Mindestanzahl von Kleinbuchstaben in dem neuen Passwort<br />
(password/quality/credit/lower).<br />
• Die Mindestanzahl von Zeichen in dem neuen Passwort, die keine Buchstaben oder Ziffern sind<br />
(password/quality/credit/other).<br />
• Einzelne Zeichen/Ziffern können ausgeschlossen werden (password/quality/forbidden/chars).<br />
• Einzelne Zeichen/Ziffern können erzwungen werden (password/quality/required/chars).<br />
Passwort-Länge<br />
Die Mindestlänge an Zeichen, die ein Nutzer-Passwort mindestens enthalten muss. Wird nichts ein-<br />
tragen, beträgt die Mindestlänge acht Zeichen.<br />
Hinweis:<br />
Der Vorgabewert von acht Zeichen für die Passwort-Länge ist in <strong>Univention</strong> Directory Manager fest<br />
vorgegeben. Er gilt deswegen immer, wenn keine Richtlinie gesetzt ist und das Auswahlkästchen<br />
Passwort-Länge ignorieren nicht markiert ist, also auch, wenn die Passwort-Richtlinie default-<br />
settings gelöscht wurde.<br />
Karteikarte ’[Release]’<br />
Aktiviere die Richtlinie<br />
Ist das Auswahlfeld aktiviert, führt der Rechner ein automatisches Update des Systems durch. Bis<br />
zu welcher Versionsnummer aktualisiert wird, kann über Release-Version bestimmt werden. Wurde<br />
das Auswahlfeld nicht aktiviert, findet keine automatische Aktualisierung des Systems statt.<br />
Release-Version<br />
Dieses Eingabefeld enthält die Versionsnummer, auf dessen Stand das System bleiben soll. Das<br />
System bleibt auf der dort angegebenen Versionsnummer und spielt Updates mit höherer Versions-<br />
nummer nicht automatisch ein. Wird keine Angabe gemacht, aktualisiert sich das System bis zur<br />
höchsten verfügbaren Versionsnummer.<br />
139
4 <strong>Univention</strong> Directory Manager<br />
140<br />
Karteikarte ’[Repository-Server]’<br />
Repository-Server<br />
Der Rechner bezieht seine Installationspakete von dem in diesem Eingabe-<br />
feld eingetragenen Repository-Server. Hier werden alle <strong>UCS</strong>-Server-Systeme an-<br />
gezeigt, die im <strong>UCS</strong>-Verzeichnisdienst einen DNS-Eintrag haben. Zusätzlich wer-<br />
den die angegebenen Server aus der <strong>Univention</strong> Configuration Registry-Variable<br />
directory/manager/web/modules/policies/repositoryserver/additional zur<br />
Auswahl angeboten.<br />
Karteikarte ’[Repository-Synchronisation]’<br />
Diese Karteikarte ist nur bei <strong>UCS</strong>-Server-Systemen verfügbar.<br />
Repository-Synchronisationseinstellungen<br />
Über die Felder Monat, Wochentag, Tag, Stunde und Minute kann ein genauer Zeitpunkt angege-<br />
ben werden, an dem eine Repository-Synchronisation vorgenommen werden soll.<br />
Karteikarte ’[Routing]’<br />
Router<br />
Hier sind die Namen oder IP-Adressen der Router einzutragen. Dabei ist darauf zu achten, dass<br />
der DHCP-Server diese Namen in IP-Adressen auflösen kann. Die Router werden vom Client in der<br />
Reihenfolge angesprochen, in der sie in der Auswahlliste erscheinen.<br />
Hinweis:<br />
Router haben in der Regel mehrere Netzwerk-Schnittstellen mit jeweils einer eigenen IP-Adresse.<br />
Wenn nicht die IP-Adresse, sondern ein Name eines Routers eingetragen wird, muss sichergestellt<br />
sein, dass der Name tatsächlich auf die gewünschte Netzwerk-Schnittstelle/IP-Adresse des Routers<br />
verweist!<br />
Karteikarte ’[Sound-Einstellungen]’<br />
Auf dieser Karteikarte kann die Sound-Wiedergabe eingerichtet werden. Sie wird nur bei Rechnern<br />
vom Typ Thin Client angezeigt.<br />
Sound aktivieren<br />
Mit dem Markieren dieses Auswahlkästchens wird die Sound-Unterstützung aktiviert. In der Vorein-<br />
stellung ist die Sound-Unterstützung nicht aktiviert.<br />
Soundkarten-Treiber<br />
Normalerweise stellt die Einstellung auto detect automatisch ein passendes Treibermodul für die
4.5 <strong>Univention</strong> Directory Manager Module<br />
Sound-Unterstützung zur Verfügung. Alternativ kann manuell in der Auswahlliste ein Treibermodul für<br />
die Soundkarte bestimmt werden.<br />
Karteikarte ’[Thin-Client-Konfiguration]’<br />
Diese Karteikarte findet sich nur bei Rechnern vom Typ Thin Client. Geänderte Werte werden ab<br />
dem nächsten Booten vom Thin Client angewendet. Einige Eingabefelder erfordern die Angabe ei-<br />
nes Servers. Um Probleme bei der Namensauflösung zu vermeiden, sollte grundsätzlich der FQDN<br />
eingetragen werden. Weiterhin muss sichergestellt sein, dass sich der FQDN in eine IP-Adresse<br />
auflösen lässt.<br />
Authentifizierungs-Server<br />
Die Benutzer, die sich an diesem Thin Client anmelden, authentifizieren sich gegenüber den hier<br />
angegebenen Servern.<br />
Wird an dieser Stelle nichts eingetragen und ein Benutzer versucht, sich anzumelden, ermittelt das<br />
System über Service-Records im DNS alle Kerberos-Server. Anschließend versucht das System, den<br />
Benutzer über einen dieser Kerberos-Server zu authentifizieren.<br />
File-Server<br />
Hier kann der File-Server für den Thin Client eingetragen oder geändert werden. Von diesem Server<br />
wird das Verzeichnis /home auf dem Thin Client gemountet, wenn sich ein Benutzer anmeldet, für den<br />
keine einzubindende Freigabe (siehe auch Karteikarte POSIX (Linux/UNIX) in Kapitel 4.5.1 auf Seite<br />
63) definiert ist. Ist für den Benutzer eine einzubindende Freigabe eingetragen, wird diese Freigabe<br />
gemountet. Die Angabe des File-Servers ist überflüssig, wenn für alle Benutzer eine einzubindende<br />
Freigabe eingetragen wurde. Ohne ein gemountetes Heimatverzeichnis können Benutzer sich nicht<br />
anmelden.<br />
Achtung:<br />
Wenn die Daten des Benutzers vom Linux-Terminal-Server auf diesen File-Server gespeichert wer-<br />
den sollen, muss der File-Server von Hand auf dem Terminal-Server gemountet werden! Dies ist<br />
natürlich nicht notwendig, wenn es sich bei Terminal-Server und File-Server um den selben Rech-<br />
ner handelt. Windows-Terminal-Server erfahren vom Anmeldeserver, wo sich das Heimatverzeichnis<br />
eines Benutzers befindet.<br />
Wenn mehrere File-Server eingetragen werden, versucht der Thin Client zuerst, sich mit dem zu-<br />
oberst im Listenfeld Einträge stehenden File-Server zu verbinden. Schlägt dies fehl, probiert er den<br />
nächsten, usw.<br />
Linux-Terminal-Server<br />
Hier können für den Thin Client ein oder mehrere Linux-Terminal-Server eingetragen bzw. geändert<br />
werden.<br />
141
4 <strong>Univention</strong> Directory Manager<br />
142<br />
Ein Linux-Terminal-Server ist ein Server, der die Programme für den Linux-Arbeitsplatz zur Verfügung<br />
stellt, auf dem also die Komponente Terminal Services installiert ist.<br />
Die Entscheidung, welcher Server bei mehreren Einträgen verwendet wird, trifft <strong>UCS</strong> automatisch<br />
über einen Load-Balancing-Mechanismus.<br />
Windows-Terminal-Server<br />
Wenn den Benutzern an diesem Thin Client ein Windows-Arbeitsplatz zur Verfügung stehen soll,<br />
muss in diesem Eingabefeld der Server eingetragen werden, der die Windows-Oberfläche zur Verfü-<br />
gung stellt.<br />
Wenn mehrere Windows-Terminal-Server eingetragen sind, wird der zuoberst stehende verwendet.<br />
Windows-Domäne<br />
Wenn den Benutzern an diesem Thin Client ein Windows-Arbeitsplatz zur Verfügung stehen soll,<br />
ist der Name der Windows-Domäne, an der die Benutzer angemeldet werden, in diese Eingabefeld<br />
einzutragen.<br />
Hinweis:<br />
In der Standardeinstellung ist eine Richtlinie default-settings eingerichetet, die für die gesamte Do-<br />
mäne gültig ist. Rechner, auf denen die Komponente Terminal Services installiert ist, tragen sich<br />
beim Domänenbeitritt automatisch als Linux-Terminal-Server in die Richtlinie ein; Rechner, auf denen<br />
das Paket univention-nfs installiert ist, tragen sich als File-Server ein. Das Paket wird standardmäßig<br />
auf allen <strong>UCS</strong>-Servern, also DC Master/Backup/Slave und Member-Servern, installiert.<br />
Karteikarte ’[<strong>Univention</strong> Directory Manager Ansicht]’<br />
Diese Karteikarte wird in Kapitel 4.6 erläutert.<br />
Karteikarte ’[Windows Installation]’<br />
Diese Karteikarte findet sich nur bei Rechnern vom Typ Windows.<br />
Name der unattend-Datei<br />
Der in diesem Eingabefeld eingetragene Name der unattend.txt-Datei wird für die automatische<br />
Installation von Windows auf dem Rechner verwendet. Der Dateiname ist relativ zum Verzeichnis<br />
/var/lib/univention-windows-installer/install/policy anzugeben.
4.5.12 <strong>Univention</strong> Directory Manager Einstellungen<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Im <strong>Univention</strong>-Einstellungen-Container univention werden Konfigurations-Optionen definiert, die das Ver-<br />
halten von <strong>Univention</strong> Directory Manager festlegen.<br />
4.5.12.1 Lizenz<br />
Im Container univention ➞license werden Informationen über den Umfang der aktuell installierten Li-<br />
zenz gespeichert. Diese Informationen sind rein informativer Natur und lassen sich nicht über <strong>Univention</strong><br />
Directory Manager verändern. Hinweise zur Installation und Aktualisierung einer Lizenz finden sich in<br />
Kapitel 3.4.<br />
Karteikarte ’Lizenz’<br />
Name (*)<br />
Der Name des Lizenz-Objektes.<br />
Modul (*)<br />
Dieses Feld gibt das Modul an, für das die Lizenz ausgestellt wurde.<br />
Ablaufdatum (*)<br />
Der Zeitpunkt, an dem die Lizenz abläuft und ungültig wird.<br />
Basis-DN (*)<br />
Der Basis-DN, für den die Lizenz ausgestellt wurde. Basis-DN der Lizenz und des LDAP-Verzeich-<br />
nisses müssen übereinstimmen, damit die Lizenz verwendet wird.<br />
Max. Benutzerkonten<br />
Die maximale Anzahl an Benutzer-Konten, die von dieser Lizenz abgedeckt wird.<br />
Max. Groupware-Konten<br />
Die maximale Anzahl an Groupware-Konten, die von dieser Lizenz abgedeckt wird.<br />
Max. Clients<br />
Die maximale Anzahl an Clients, die von dieser Lizenz abgedeckt wird.<br />
Max. Desktops<br />
Die maximale Anzahl an Desktops, die von dieser Lizenz abgedeckt wird.<br />
Gültige Produkttypen<br />
Die Lizenz gilt für die hier eingetragenen Produkttypen. Nicht aufgelistete Produkttypen werden von<br />
dieser Lizenz nicht abgedeckt und werden z.B. von <strong>Univention</strong> Directory Manager nicht freigeschaltet.<br />
143
4 <strong>Univention</strong> Directory Manager<br />
Signatur (*)<br />
Die digitale Signatur der Lizenz.<br />
4.5.12.2 Druckertreiberlisten<br />
Druckertreiberlisten für die Druckerverwaltung werden standardmäßig im Container univention ➞cups<br />
gespeichert. Dort können neue Listen hingefügt und bestehende bearbeitet werden.<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name der Druckertreiberliste. Unter diesem Namen erscheint die Liste in der Auswahlliste<br />
Drucker-Hersteller auf der Karteikarte Allgemein der Druckerfreigaben.<br />
Treiber<br />
Der Pfad zur ppd-Datei, relativ zu dem Verzeichnis /usr/share/cups/model/. Soll beispielweise<br />
die Datei /usr/share/cups/model/laserjet.ppd verwendet werden, so ist hier laserjet.ppd<br />
einzutragen. Es können auch gzip-komprimierte Dateien angegeben werden.<br />
Achtung:<br />
Es muss sichergestellt werden, dass eingetragene Druckertreiber auf den jeweiligen Druck-Servern<br />
unterhalb des Verzeichnisses /usr/share/cups/model/ gespeichert sind.<br />
Beschreibung<br />
Eine Beschreibung des Druckertreibers, unter der er in der Auswahlliste Drucker-Modell auf der<br />
Karteikarte Allgemein der Druckerfreigaben erscheint.<br />
4.5.12.3 Drucker-URI-Listen<br />
Bei der Einrichtung eines Druckers über <strong>Univention</strong> Directory Manager (siehe Kapitel 4.5.7) müssen die<br />
Felder Protokoll und Ziel ausgefüllt werden. Sollte das benötigte Protokoll in der angezeigten Auswahlliste<br />
Protokoll nicht vorhanden sein, kann es über ein Drucker-URI-Liste-Objekt nachgepflegt werden.<br />
Drucker-URI-Listen werden standardmäßig im Container univention ➞cups gespeichert.<br />
144<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der frei wählbare Name der Drucker-URI-Liste.<br />
Drucker-URI<br />
In diesem Feld können ein oder mehrere Protokolle eingetragen werden, die beim Einrichten eines
Druckers im Auswahlfeld Protokoll angezeigt werden.<br />
Beispiel:<br />
ftp://<br />
4.5.12.4 Benutzervorlagen<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Mit einer Benutzervorlage kann durch ein Vorausfüllen von Werten das Anlegen eines Benutzers beschleu-<br />
nigt werden. Eingerichtete Benutzervorlagen stehen in der Benutzerverwaltung unter Hinzufügen in der<br />
Auswahlliste Vorlage zur Verfügung.<br />
Benutzervorlagen können ausschließlich unterhalb von cn=univention, angelegt werden<br />
und werden standardmäßig in cn=templates,cn=univention, gespeichert. Bei einer UGS-<br />
Installation stehen automatisch Benutzervorlagen für jeden Kolab Homeserver, benannt nach dem Muster<br />
. Groupware Account, zur Verfügung. Nähere Informationen dazu finden sich<br />
im <strong>Handbuch</strong> zu Kolab für <strong>UCS</strong>.<br />
In der Vorlage können Attribute in spitzen Klammern als Variablen eingesetzt werden. Eine Liste möglicher<br />
Attribute kann mit dem Befehl:<br />
univention-directory-manager users/user<br />
im Abschnitt users/user variables der Ausgabe ermittelt werden.<br />
So kann beispielsweise das UNIX-Heimatverzeichnis benutzerdefiniert als /home/<br />
- dies entspricht dem Standard, wenn keine Benutzervorlage verwendet wird - oder<br />
/home/. angelegt werden. Die E-Mail-Adresse könnte z.B. mit .@firma.com vordefiniert werden.<br />
Solche Ersetzungen sind grundsätzlich für beliebige Werte möglich, eine syntaktische oder semantische<br />
Überprüfung erfolgt jedoch nicht. Wird beispielsweise beim Anlegen des Benutzers kein Vorname ange-<br />
geben, würde die obige E-Mail-Adresse mit einem Punkt beginnen und wäre somit nach dem E-Mail-<br />
Standard ungültig. Ähnliche Fehlerquellen können auch im Umgang mit Dateipfaden etc. auftreten.<br />
Nicht auflösbare Attribute werden gelöscht. Befindet sich beispielsweise durch einen Tippfehler in<br />
der Benutzervorlage .@firma.com, so entspricht dies im Ergebnis .@firma.com.<br />
Wird nicht der komplette Attributwert, sondern nur ein einzelnes Zeichen des Attributs benötigt, kann in der<br />
Benutzervorlage nach dem Attributnamen der Index des benötigten Zeichens in eckigen Klammern ange-<br />
geben werden. Die Zählung der Zeichen des Attributs beginnt bei 0, so dass z.B. der Index 1 dem zweiten<br />
Zeichen des Attributwertes entspricht. Mit [0].@firma.com wird beispielsweise<br />
eine E-Mail-Adresse aus dem ersten Buchstaben des Vornamens sowie dem Nachnamen gebildet.<br />
Eine Teilzeichenkette des Attributwerts kann über die Angabe eine Bereiches in eckigen Klammern er-<br />
reicht werden. Dabei ist der Index des ersten benötigten Zeichens sowie der Index des letzten benötigten<br />
Zeichnis plus 1 anzugeben. Die Angabe [2:5] gibt z.B. das dritte bis fünfte Zeichen des Vor-<br />
namens zurück.<br />
145
4 <strong>Univention</strong> Directory Manager<br />
Das Anhängen von :lower oder :upper an den Attributnamen führt dazu, dass der Attributwert in Klein-<br />
oder Großbuchschreibung umgewandelt wird, z.B. .<br />
Achtung:<br />
Wird beim Hinzufügen eines Benutzers eine Benutzervorlage verwendet, überschreibt diese alle in der<br />
Vorlage vorkommenden Felder mit dem in der Vorlage gesetzten Wert. Dabei gilt ein leeres Feld ebenfalls<br />
als auf ”” gesetzt. Enthält die Vorlage z.B. als UNIX-Heimatverzeichnis ””, so ist dieses Feld beim Hinzu-<br />
fügen eines Benutzers mit dieser Vorlage zunächst leer und ein Wert kann manuell eingetragen werden.<br />
Wird das <strong>UCS</strong>-Standardverhalten gewünscht, so sind die in diesem Kapitel dokumentierten Standardwerte<br />
in die Vorlage einzutragen.<br />
Ausführliche Dokumentation zu den in einer Benutzervorlage definierbaren Attributen findet sich in Kapi-<br />
tel 4.5.1.<br />
4.5.12.5 Gesperrte Werte<br />
Die Daten im Container temporary werden ausschließlich programmintern erzeugt und eingesetzt.<br />
Die Werte einiger Attribute müssen eindeutig sein. Soll der Wert eines solchen Attributes gesetzt werden,<br />
so wird durch eine Suche im LDAP-Verzeichnis geprüft, ob der Wert bereits vergeben wurde.<br />
Um zu verhindern, dass gerade bearbeitete - und deshalb der Suche nicht zugängliche - Werte ein zwei-<br />
tes Mal verwendet werden, werden diese Werte während ihrer Bearbeitung gesperrt. Sie sind dann für<br />
den Bearbeitungsprozess reserviert und können von keinem anderen Prozess verwendet werden. Nach<br />
Abschluß wird die Sperre wieder aufgehoben.<br />
Im Fehlerfall kann es vorkommen, dass Sperren bestehen bleiben. Um einen fehlerfreien Betrieb zu ge-<br />
währleisten, gibt <strong>Univention</strong> Directory Manager gesperrte Werte nach der maximalen Sperrzeit (fünf Mi-<br />
nuten) automatisch wieder frei.<br />
Gesperrte Werte werden in den entsprechenden Containern unterhalb des Containers temporary gespei-<br />
chert und dort wie andere Objekte in <strong>Univention</strong> Directory Manager geprüft und gelöscht. Eine manuelle<br />
Löschung ist nur in folgenden Ausnahmefällen sinnvoll:<br />
146<br />
• Wenn die Sperre durch einen Fehler nicht aufgehoben wurde und der Wert erneut verwendet werden<br />
soll, bevor die Sperre nach Ablauf der maximalen Sperrzeit automatisch gelöscht wird. In diesem<br />
Fall muss sichergestellt werden, dass die Sperre tatsächlich durch einen Fehler besteht und nicht<br />
dadurch, dass inzwischen ein anderer Prozess auf den Wert zugreift.<br />
• Die Sperre wurde zwar aufgehoben, aber das Sperrobjekt nicht automatisch aus<br />
cn=,cn=temporary,cn=univention, entfernt. Solche Objekte<br />
stören den Programmablauf nicht und werden bei Bedarf von <strong>Univention</strong> Directory Manager<br />
überschrieben.<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name des Sperrobjekts. Der Name entspricht dem Wert, der dem Attribut gegeben werden soll.
Gesperrt bis<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Der Zeitpunkt in Sekunden seit dem 1. Januar 1970, an dem das Objekt nach Ablauf der maximalen<br />
Sperrzeit automatisch wieder freigegeben wird.<br />
4.5.12.6 Vorgabewerte<br />
Im Objekt default können einige Vorgabewerte gespeichert werden.<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name des Objekts. Er ist vom Programm vorgegeben, kann nicht geändert werden und deswe-<br />
gen ausgegraut.<br />
Karteikarte ’Primäre Gruppen’<br />
Auf dieser Karteikarte können Vorgabewerte für die primäre Gruppe verschiedener Objekttypen ein-<br />
gestellt werden.<br />
Standard Primärgruppe<br />
Ein Vorgabewert für die primäre Gruppe von Benutzern, die beim Hinzufügen eines Benutzer-Objekts<br />
als primäre Gruppe des Benutzers voreingetragen werden soll. Standardmäßig ist die Gruppe Do-<br />
main Users voreingestellt.<br />
Standard Rechnergruppe<br />
Der Vorgabewert für die primäre Gruppe für Windows-Rechner, die beim Hinzufügen eines Windows-<br />
Rechners auf der Karteikarte Rechner-Konto in der Auswahlliste Primäre Gruppe vorausgewählt<br />
werden soll. Standardmäßig ist die Gruppe Windows Hosts voreingestellt.<br />
Primäre Gruppe für DC Master- und DC Backup-Rechner<br />
Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Domänencontroller Master und Domä-<br />
nencontroller Backup. Standardmäßig ist die Gruppe DC Backup Hosts voreingestellt.<br />
Primäre Gruppe für DC Slave-Rechner<br />
Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Domänencontroller Slave. Standard-<br />
mäßig ist die Gruppe DC Slave Hosts voreingestellt.<br />
Primäre Gruppe für Member-Server<br />
Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Member-Server. Standardmäßig ist<br />
die Gruppe Computers voreingestellt.<br />
147
4 <strong>Univention</strong> Directory Manager<br />
Primäre Gruppe für Clients<br />
Der Vorgabewert für die primäre Gruppe für Rechner vom Typ Client. Standardmäßig ist die Gruppe<br />
Computers voreingestellt.<br />
Karteikarte ’KDE-Profile’<br />
KDE-Profil<br />
Absolute Pfade zu Einstellungsprofilen für die grafische Oberfläche KDE. Die Profile stehen dann<br />
beim Hinzufügen oder Bearbeiten eines Benutzers auf der Karteikarte [Desktop-Einstellungen] zur<br />
Verfügung.<br />
Standardmäßig werden KDE-Profile im Verzeichnis /usr/share/univention-kde-profiles/<br />
gespeichert. Mit dem Programm univention-kde-profile-builder können Pakete mit Profi-<br />
len erzeugt werden. Bei Installation dieser Pakete werden die enthaltenen Profile automatisch im<br />
Standardverzeichnis gespeichert. Weitere Informationen hierzu sind in Kapitel 9 bzw. [10] zu finden.<br />
4.5.12.7 Standard-Container<br />
Im Objekt default containers werden Distinguished Names (DN) gespeichert, die im System bekannt<br />
sein müssen. Das sind z.B. die DNs der Container, die die Suchfunktion zur Auswahl anbieten soll, um<br />
den Suchbereich einzuschränken. Ebenso zählen von <strong>Univention</strong> Directory Manager oder anderen Pro-<br />
grammen benötigte DNs dazu, beispielsweise der Speicherort von Lizenzen.<br />
Die DNs der standardmäßig vorangelegten Container sind hier bereits eingetragen.<br />
Um einen Container als Standard-Container einzutragen, muss über die Navigation im Container uni-<br />
vention das Objekt default containers geöffnet werden. Für jeden Standard-Container-Typ existiert an<br />
diesem Objekt eine Karteikarte, auf der die Liste der Standard-Container bearbeitet werden kann. Soll z.B.<br />
der DN von einem Standard-Container für Rechner hinzugefügt werden, so ist die Karteikarte Rechner<br />
auszuwählen und dort in das Eingabefeld Standard-Rechner-Container der DN des Containers, der zu<br />
einem Standard-Container für Rechner gemacht werden soll, einzutragen. Alternativ kann beim Hinzufü-<br />
gen oder Bearbeiten eines Containers oder einer Organisationseinheit der DN automatisch eingetragen<br />
werden (siehe Kapitel 4.5.8.1).<br />
148<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Dieses Feld gibt den Namen des Objektes an. Am Standard-Container-Objekt lautet dieser default<br />
containers und kann nicht verändert werden.
Karteikarte ’Benutzer’<br />
Benutzerverweis<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Benutzer-<br />
Objekte verwendet werden sollen.<br />
Karteikarte ’Gruppen’<br />
Gruppenverweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Gruppen-<br />
Objekte verwendet werden sollen.<br />
Karteikarte ’Rechner’<br />
Rechnererweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Rechner-<br />
Objekte verwendet werden sollen.<br />
Karteikarte ’Richtlinie’<br />
Richtlinienverweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Richtlinien-<br />
Objekte verwendet werden sollen.<br />
Karteikarte ’DNS’<br />
DNS-Verweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für DNS-Objekte<br />
verwendet werden sollen.<br />
Karteikarte ’DHCP’<br />
DHCP-Verweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für DHCP-Objekte<br />
verwendet werden sollen.<br />
149
4 <strong>Univention</strong> Directory Manager<br />
Karteikarte ’Netz’<br />
Netzverweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Netzwerk-<br />
Objekte verwendet werden sollen.<br />
Karteikarte ’Freigaben’<br />
Freigabenverweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Freigabe-<br />
Objekte verwendet werden sollen.<br />
Karteikarte ’Drucker’<br />
Druckerverweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Drucker-Ob-<br />
jekte verwendet werden sollen.<br />
Karteikarte ’Mail’<br />
Mailverweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Mail-Objekte<br />
verwendet werden sollen.<br />
Karteikarte ’Lizenz’<br />
Lizenzverweis<br />
In diesem Feld sind die DNs der Container anzugeben, die als Standard-Container für Lizenz-Objekte<br />
verwendet werden sollen.<br />
4.5.12.8 Verbotene Benutzernamen<br />
Durch Hinzufügen eines Einstellungen: Verbotene Benutzernamen-Objekts kann eine Liste von Be-<br />
nutzernamen definiert werden, die mit <strong>Univention</strong> Directory Manager nicht hinzugefügt werden dürfen.<br />
Dadurch kann z.B. verhindert werden, dass bereits in einer lokalen passwd-Datei vorkommende Benut-<br />
zernamen verwendet werden. Bei der Migration einer Windows-Domäne werden Benutzerkonten mit ver-<br />
botenen Benutzernamen nicht übernommen.<br />
150
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name des Objekts, das Benutzernamen verbietet.<br />
Verbotener Benutzername<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Eine Liste von Benutzernamen, deren Verwendung in <strong>Univention</strong> Directory Manager ausgeschlossen<br />
werden soll.<br />
4.5.12.9 Paketlisten<br />
In Einstellungen: Paketliste-Objekten können Softwarepakete für die Softwareverteilung zusammenge-<br />
fasst werden. Paketlisten werden im Container packages abgelegt. Nähere Informationen dazu finden<br />
sich in Kapitel 11.3.4.<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name der Paketliste.<br />
Paketliste<br />
In diesem Feld sind die Namen der Softwarepakete anzugeben, die über die Softwareverteilung in-<br />
stalliert bzw. deinstalliert werden sollen.<br />
4.5.12.10 Dienste<br />
Mit Einstellungen: Dienst-Objekten können Vorgabewerte definiert werden, ob ein <strong>UCS</strong>-System einen<br />
bestimmen System-Dienst anbietet.<br />
Die hier definierten Vorgabewerte können in der Rechnerverwaltung einzelnen Rechnern zugeordnet wer-<br />
den (siehe Karteikarte ’Dienste’ in Kapitel 4.5.4). Aktuell wird dies auf <strong>Univention</strong> Groupware Server-<br />
Systemen für den Kolab-Dienst sowie für den Scalix-Dienst unterstützt.<br />
Karteikarte ’Allgemein’<br />
Dienstname (*)<br />
Name des Dienstes, der von einem <strong>UCS</strong>-System angeboten wird.<br />
4.5.13 Benutzerdefinierte Attribute<br />
Eine Zielsetzung bei der Entwicklung von <strong>UCS</strong> ist die Erweiterbarkeit des Systems durch den Betreiber.<br />
Daher verwendet <strong>UCS</strong> einerseits offene Standards wie z.B. LDAP, andererseits sind selbst entwickel-<br />
151
4 <strong>Univention</strong> Directory Manager<br />
te Schnittstellen dokumentiert und auf Erweiterungen ausgelegt. In <strong>Univention</strong> Directory Manager steht<br />
durch benutzerdefinierte Attribute ein Mechanismus zur Verfügung, der eine Zuordnung von unbenutz-<br />
ten oder neu angelegten LDAP-Attributen zu frei konfigurierbaren Dialogmasken der in <strong>UCS</strong> verwalteten<br />
Objekte erlaubt. Weiterhin bieten benutzerdefinierte Attribute die Möglichkeit, bestehende Einstellungs-<br />
möglichkeiten anzupassen.<br />
Erstellen von benutzerdefinierten Attributen im Web-Frontend<br />
Benutzerdefinierte Attribute sind LDAP-Objekte vom Typ Einstellungen:Attribut und werden im LDAP-<br />
Verzeichnis unter univention ➞custom attributes abgelegt. Alle Einstellungen werden in Attributen des<br />
Objekts gespeichert.<br />
152<br />
Karteikarte ’Allgemein’<br />
Name (*)<br />
Der Name des LDAP-Objektes, als welches das benutzerdefinierte Attribut gespeichert wird. Inner-<br />
halb eines Containers muss der Name eindeutig sein. In <strong>Univention</strong> Directory Manager wird dieser<br />
Name ausschließlich für die Ausgabe über die Komandozeilen-Schnittstelle verwendet.<br />
Benötigtes Modul (*)<br />
Das <strong>Univention</strong> Directory Manager-Modul, welches durch das benutzerdefinierte Attribut erweitert<br />
werden soll. Über den Befehl univention-directory-manager modules kann auf der Kom-<br />
mandozeile die Liste aller Module angezeigt werden. Es können über die Schaltfläche Hinzufügen<br />
mehrere Module in die Liste aufgenommen werden. Um eine Gruppen-Eigenschaft zu erweitern,<br />
müsste hier beispielweise groups/group, für eine Benutzereigenschaft hingegen users/user einge-<br />
tragen werden.<br />
Die wichtigsten <strong>Univention</strong> Directory Manager-Module:<br />
Eigenschaft von <strong>Univention</strong> Directory Manager-Modul<br />
Benutzer users/user<br />
Gruppen groups/group<br />
Rechner computers/computer<br />
computers/domaincontroller_backup<br />
computers/domaincontroller_master<br />
computers/domaincontroller_slave<br />
computers/ipmanagedclient<br />
computers/macos<br />
computers/managedclient<br />
computers/memberserver<br />
computers/mobileclient<br />
computers/thinclient<br />
computers/windows
Name der Karteikarte<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Der Name der Karteikarte im <strong>Univention</strong> Directory Manager Web-Frontend. Es können auch Namen<br />
von Karteikarten angegeben werden, die zum Standardumfang von <strong>UCS</strong> gehören. Dabei ist zu be-<br />
achten, dass ausschließlich die benutzerdefinierten Attribute auf den Karteikarten angezeigt werden.<br />
So können die Einstellungsmöglichkeiten in <strong>Univention</strong> Directory Manager eingeschränkt oder erwei-<br />
tert werden. Einige Attribute wie Passwortablaufdatum oder Gruppenzugehörigkeit können nicht über<br />
benutzerdefinierte Attribute abgebildet werden.<br />
Nummer auf der Karteikarte<br />
Sollen mehrere benutzerdefinierte Attribute auf einer Karteikarte verwaltet werden, kann anhand die-<br />
ser Nummerierung die Positionierung der einzelnen Attribute beeinflusst werden. Es können beliebig<br />
viele Attribute auf einer Karteikarte dargestellt werden.<br />
Beschreibung<br />
Kurzbeschreibung (*)<br />
Wird als Überschrift des Eingabefelds im <strong>Univention</strong> Directory Manager Web-Frontend und beim Än-<br />
dern des Wertes über die <strong>Univention</strong> Directory Manager-Kommandozeilen-Schnittstelle verwendet.<br />
Für die Kurzbeschreibung dürfen keine Umlaute verwendet werden.<br />
Ausführliche Beschreibung<br />
Diese erweiterte Beschreibung wird in Eingabefeldern im <strong>Univention</strong> Directory Manager-Web-<br />
Frontend als Tooltip angezeigt.<br />
Objektklassen<br />
Objektklasse (*)<br />
Objektklasse, zu welcher das auf dem Reiter LDAP-Attribut eingetragene Attribut gehört. In Schema-<br />
Definitionen ist festgelegt, welche Attribute eine Objektklasse zur Verfügung stellt. Jedes LDAP-<br />
Objekt, das um ein Attribut erweitert werden soll, muss die Objektklasse umfassen, zu der das ge-<br />
wünschte Attribut gehört.<br />
Objektklasse löschen:<br />
Wird für ein benutzerdefiniertes Attribut in <strong>Univention</strong> Directory Manager der Wert gelöscht, wird das<br />
Attribut vom LDAP-Objekt entfernt. Werden an diesem LDAP-Objekt keine weiteren Attribute der als<br />
Objektklasse angegebenen Objektklasse verwendet, wird auch die Objektklasse vom LDAP-Objekt<br />
entfernt, wenn diese Option aktiviert ist.<br />
153
4 <strong>Univention</strong> Directory Manager<br />
Karteikarte ’LDAP-Abbildung’<br />
Syntax<br />
Der LDAP-Syntax-Datentyp in der Schema-Definition des für dieses Attribut zu verwaltenden Wertes.<br />
Neben Standard-Datentypen für Zeichenketten (string), Zahlen (integer) gibt es zwei Möglichkei-<br />
ten, um einen binären Zustand auszudrücken: TrueFalse wird intern durch die Zeichenketten true<br />
und false abgebildet, während TrueFalseUpper die OpenLDAP-Bool-Werte TRUE und FALSE re-<br />
ferenziert. Zusätzlich ist es möglich, hier den Namen einer <strong>Univention</strong> Directory Manager-Syntax-<br />
Definition anzugeben. Diese werden im anschließenden Abschnitt erläutert.<br />
LDAP-Abbildung (*)<br />
Der Name des Attributs, in dem die Werte am LDAP-Objekt gespeichert werden sollen. Das Attribut<br />
muss in der Schema-Definition der angegebenen Objektklasse enthalten sein.<br />
Mehrfachwert<br />
Legt fest, ob ein einzelner Wert oder mehrere Werte im Attribut gespeichert werden können. Zulässi-<br />
ge Werte für die Eingabe sind 1 für aktiviert und 0 (Vorgabe) für deaktiviert. In der Schema-Definition<br />
des LDAP-Attributes ist festgelegt, ob nur eine oder mehrere Instanzen des Attributs an einem LDAP-<br />
Objekt verwendet werden dürfen.<br />
Vorgabewert<br />
Ist hier ein Vorgabewert definiert, werden neu angelegte Objekte mit diesem Wert initialisiert. Bereits<br />
bestehende LDAP-Objekte werden nicht verändert.<br />
<strong>Univention</strong> Directory Manager Syntax-Definitionen<br />
Mit den erweiterten <strong>Univention</strong> Directory Manager Syntax-Definitionen ist es möglich, gültige Werte für<br />
ein Attribut über eine LDAP-Suche zu ermitteln. Außerdem können damit benutzerdefinierte Attribute an-<br />
gelegt werden, deren Werte zur Information als Liste an einem fremden Objekt angezeigt, jedoch nicht<br />
gespeichert werden. (Siehe z.B. die Karteikarte Referenzierende Objekte in Kapitel 4.5.11.2).<br />
Erstellt werden können die Syntax-Definitionen über das Navigations-Menü des <strong>Univention</strong> Directory Ma-<br />
nagers. Dabei ist zu beachten, dass das Erstellen lediglich unterhalb des Containers cn=univention mög-<br />
lich ist.<br />
Um eine neue Syntax-Definition zu erstellen, ist im gewünschen Container ein neues Objekt vom Typ<br />
Einstellungen: Syntax-Definition anzulegen. Im daraus resultierenden Dialog sind die folgenden Werte<br />
anzugeben:<br />
154<br />
Karteikarte ’Allgemein’<br />
Syntax-Name (*)<br />
Der eindeutige Name der Syntax-Definition.
Kurzbeschreibung<br />
Eine optionale Beschreibung der Syntax-Definition.<br />
LDAP Suchfilter (*)<br />
4.5 <strong>Univention</strong> Directory Manager Module<br />
Mittels dieses Suchfilters werden die Objekte selektiert, die die Menge der gültigen Werte bestimmen.<br />
Beispiel:<br />
(&(objectClass=univentionHost)(cn=a*))<br />
sucht alle Rechner-Objekte, deren Name mit ’a’ beginnt.<br />
Anzuzeigende Attribute<br />
Hier werden in zwei Auswahlfeldern das Objekt sowie das davon anzuzeigende Attribut ausgewählt.<br />
Bei der Verwendung der Syntax-Definition in einem benutzerdefinierten Attribut in <strong>Univention</strong> Direc-<br />
tory Manager wird nur das hier ausgewählte Attribut angezeigt. Es kann DN ausgewählt werden, um<br />
den LDAP-DN des Objekts anzuzeigen.<br />
Anzuzeigende LDAP-Attribute<br />
Anstatt in Anzuzeigende Attribut die Auswahl des zu anzuzeigenden Attributs über die <strong>Univention</strong><br />
Directory Manager-Module vorzunehmen, kann auch eine Liste von LDAP-Attributsnamen definiert<br />
werden.<br />
Zu speicherndes Attribut<br />
Mittels der zwei Auswahlfelder wird das Attribut ausgewählt, das bei Auswahl eines LDAP-Objekts<br />
gespeichert wird. Das zu speichernde Attribut kann von dem anzuzeigenden Attribut abweichen. So<br />
kann in <strong>Univention</strong> Directory Manager z.B. die Mitarbeiternummer der über den Suchfilter bestimmten<br />
Benutzer angezeigt werden, im LDAP-Verzeichnis wird jedoch die Pager-Rufnummer abgespeichert.<br />
Auch hier kann DN angegeben werden, um den LDAP-DN des Objektes zu speichern.<br />
Zu speicherndes LDAP-Attribut<br />
Anstatt in Zu speicherndes Attribut die Auswahl des zu speichernden Attributs über die <strong>Univention</strong><br />
Directory Manager-Module vorzunehmen, kann auch direkt der Name eines LDAP-Attributs definiert<br />
werden.<br />
LDAP Basis<br />
Der Basis-Eintrag im LDAP-Verzeichnisdienst, ab dem gesucht werden soll.<br />
Beispiel:<br />
cn=standort2,cn=users,dc=ucs,dc=local<br />
Nur Anzeigen<br />
Wird diese Option aktiviert, wird das Attribut lediglich als Liste am zugehörigen Objekt angezeigt. Die<br />
155
4 <strong>Univention</strong> Directory Manager<br />
Listenelemente sind dabei Verweise, die zur Ansicht dieser Objekte führen.<br />
Soll eine so angelegte Syntax-Definition in einem benutzerdefinierten Attribut verwendet werden, reicht es<br />
aus, in diesem den Syntax-Namen der Syntax-Definition im Feld Syntax des benutzerdefinierten Attributs<br />
anzugeben.<br />
4.5.14 Erweiterte Attribute<br />
Um die Zielsetzung der Erweiterbarkeit des <strong>UCS</strong>-Systems durch den Betreiber noch weiter auszubauen,<br />
wurde der Mechanismus der benutzerdefinierten Attribute weiterentwickelt und das Ergebnis als erweiter-<br />
te Attribute dem Benutzer bereitgestellt.<br />
Erweiterte Attribute umfassen den vollständigen Funktionsumfang der benutzerdefinierten Attribute und<br />
bieten zusätzliche, tiefergehende Möglichkeiten, den <strong>Univention</strong> Directory Manager um eigene Einstel-<br />
lungsmasken zu erweitern.<br />
Erstellen von erweiterten Attributen im Web-Frontend<br />
Erweiterte Attribute sind Objekte vom Typ Einstellungen: Erweitertes Attribut und werden in der Na-<br />
vigation (LDAP-Browser) unter univention ➞custom attributes abgelegt. Alle benötigten Einstellungen<br />
werden in Attributen des Objekts gespeichert.<br />
156<br />
Allgemein<br />
Name (*)<br />
Der Name des LDAP-Objektes, als welches das erweiterte Attribut gespeichert wird. Innerhalb eines<br />
Containers muss der Name eindeutig sein.<br />
Standard-Kurzbeschreibung (*)<br />
Wird als Überschrift des Eingabefelds im <strong>Univention</strong> Directory Manager-Web-Frontend bzw. als Attri-<br />
but-Beschreibung in der <strong>Univention</strong> Directory Manager-Kommandozeilenschnittstelle verwendet. Die<br />
Standard-Kurzbeschreibung sollte in Englisch verfasst werden, da dies der Standardsprache des<br />
<strong>Univention</strong> Directory Manager entspricht.<br />
Ausführliche Standardbeschreibung<br />
Diese erweiterte Beschreibung wird in Eingabefeldern im <strong>Univention</strong> Directory Manager-Web-Fron-<br />
tend als Tooltip angezeigt. Die ausführliche Standardbeschreibung sollte in Englisch verfasst werden,<br />
da dies der Standardsprache des <strong>Univention</strong> Directory Manager entspricht.<br />
Übersetzte Kurzbeschreibung<br />
Damit der Titel von erweiterten Attributen auch mit anderen Spracheinstellungen in der jeweiligen<br />
Landessprache ausgegeben wird, können übersetzte Kurzbeschreibungen für mehrere Sprachen
4.5 <strong>Univention</strong> Directory Manager Module<br />
hinterlegt werden. Dazu kann in diesem Eingabefeld einem Sprachcode (z.B. de_DE oder fr_FR)<br />
die entsprechend übersetzte Kurzbeschreibung zugeordnet werden.<br />
Übersetzte Langbeschreibung<br />
Zusätzliche Hinweise, die im Tooltip für ein erweitertes Attribut angezeigt werden, können ebenfalls<br />
für mehrere Sprachen hinterlegt werden. Dazu kann in diesem Eingabefeld einem Sprachcode (z.B.<br />
de_DE oder fr_FR) die entsprechend übersetzte Langbeschreibung zugeordnet werden.<br />
UDM Web<br />
Name der Karteikarte<br />
Der Name der Karteikarte im <strong>Univention</strong> Directory Manager-Web-Frontend auf der das erweiterte<br />
Attribut angezeigt werden soll. Existiert die Karteikarte noch nicht, wird sie automatisch angelegt.<br />
Es können auch Namen von Karteikarten angegeben werden, die zum Standardumfang von <strong>UCS</strong><br />
gehören. Der Name der Karteikarte sollte in Englisch verfasst werden, da dies der Standard-Sprache<br />
des <strong>Univention</strong> Directory Manager entspricht. Wird kein Karteikartenname angegeben, wird “Benut-<br />
zerdefiniert” verwendet.<br />
Übersetzter Karteikartenname<br />
Meldet sich ein Benutzer mit veränderten Spracheinstellungen am <strong>Univention</strong> Directory Manager an,<br />
werden auch die Namen der Karteikarten entsprechend übersetzt. Damit erweiterte Attribute auch<br />
bei der Verwendung einer anderen Sprache auf der richtige Karteikarte angezeigt werden, können<br />
in diesem Eingabefeld übersetzte Karteikartennamen zum entsprechenden Sprachcode (z.B. de_DE<br />
oder fr_FR) hinterlegt werden.<br />
Beide Spalten umfassen<br />
Alle Eingabefelder werden standardmäßig in zwei Spalten gruppiert. Diese Option kann für überlange<br />
Eingabefelder verwendet werden, die sich über die komplette Breite des Reiters erstrecken sollen.<br />
Positionsnummer auf der Karteikarte<br />
Sollen mehrere erweiterte Attribute auf einer Karteikarte verwaltet werden, kann anhand dieser Posi-<br />
tionsnummer die Reihenfolge der einzelnen Attribute beeinflusst werden. Sie werden in aufsteigender<br />
Reihenfolge ihrer Positionsnummern an das Ende der betreffenden Karteikarte angehängt.<br />
Weisen erweiterte Attribute die gleiche Positionsnummer auf, werden diese in zufälliger Reihenfolge<br />
einsortiert. Ist die Differenz zweier aufeinanderfolgender Positionsnummern größer als 1 und das<br />
erste Attribut wird in der linken Spalte dargestellt, so wird das zweite Attribut in der nächsten Zeile<br />
dargestellt.<br />
Ist die Option Existierendes Eingabefeld überschreiben aktiviert, wird die Positionsnummern ver-<br />
wendet, um ein bestehendes Eingabefeld zu überschreiben. Die Zählung der Eingabefelder beginnt<br />
auf der Karteikarte oben links mit “1”.<br />
157
4 <strong>Univention</strong> Directory Manager<br />
158<br />
Existierendes Eingabefeld überschreiben<br />
In einigen Fällen ist es sinnvoll, vorgegebene Eingabefelder mit erweiterten Attributen zu überschrei-<br />
ben. Wird diese Option aktiviert, wird das an der angegebenen Positionsnummer befindliche Ein-<br />
gabefeld mit diesem erweiterten Attribut überschrieben. Es ist zu beachten, daß diese Option bei<br />
Pflichtfeldern zu Problemen führen kann.<br />
Existierende Karteikarte überschreiben<br />
Ist diese Option aktiviert, wird die betreffende Karteikarte überschrieben, bevor die erweiterten Attri-<br />
bute darauf platziert werden. Mit Hilfe dieser Option können die vorhandenen Eingabefelder auf einer<br />
vorgegebenen Karteikarte ausgeblendet werden. Es ist zu beachten, daß diese Option bei Pflichtfel-<br />
dern zu Problemen führen kann.<br />
Karteikarte mit erweiterten Einstellungen<br />
Einstellungsmöglichkeiten, die nicht häufig verwendet werden, können auf Karteikarten mit erweiter-<br />
ten Einstellungen platziert werden. Diese Karteikarten werden erst mit dem Aktivieren der Option<br />
Zeige die erweiterten Einstellungen eingeblendet. Befindet sich auf der angegebenen Karteikarte<br />
ein erweitertes Attribut für das die Option Karteikarte mit erweiterten Einstellungen nicht aktiviert<br />
ist, findet diese Option keine Anwendung.<br />
Einen leeren Wert zur Auswahlliste hinzufügen<br />
Wenn die Syntax des Attributs eine Auswahlliste bereitstellt - z.B. eine Liste aller Rechner - kann mit<br />
dieser Option als zusätzliche Auswahl ein leerer Wert hinzugefügt werden.<br />
UDM Allgemein<br />
UDM-CLI Attributname (*)<br />
Der angegebene Attributname ist bei der Verwendung der <strong>Univention</strong> Directory Manager-Komman-<br />
dozeilenschnittstelle zu verwenden. Beim Anlegen des erweiterten Attributs wird hier automatisch<br />
Name von der Karteikarte Allgemein übernommen und kann nachträglich modifziert werden.<br />
Optionen<br />
Einige erweiterte Attribute können nur sinnvoll verwendet werden, wenn auf der Karteikarte (Optio-<br />
nen) bestimmte Optionen aktiviert sind. In diesem Eingabefeld können optional eine oder mehrere<br />
Optionen hinterlegt werden, die am betreffenden Objekt aktiviert sein müssen, damit dieses erwei-<br />
terte Attribut angezeigt bzw. editierbar ist. Es kann hier nur auf vorhandene Optionen zurückgegriffen<br />
werden — neue Optionen können nicht definiert werden.<br />
Hook<br />
Die Funktionen der hier angegebenen Hook-Klasse werden während des Anlegens, Modifizierens<br />
und Löschens von Objekten mit erweitertem Attribut aufgerufen.<br />
Benötigtes Modul (*)
4.5 <strong>Univention</strong> Directory Manager Module<br />
Das <strong>Univention</strong> Directory Manager-Modul, welches durch das erweiterte Attribut ergänzt werden soll.<br />
Über den Befehl univention-directory-manager modules kann auf der Kommandozeile die<br />
Liste aller Module abgefragt werden. Es können über die Schaltfläche Hinzufügen mehrere Module<br />
in die Liste aufgenommen werden. Um eine Benutzereigenschaft zu hinzuzufügen, muss hier bei-<br />
spielsweise das Modul users/user eingetragen werden.<br />
Die wichtigsten <strong>Univention</strong> Directory Manager-Module:<br />
Datentyp<br />
Syntax<br />
Eigenschaften von <strong>Univention</strong> Directory Manager-Modul<br />
Benutzern users/user<br />
Gruppen groups/group<br />
Rechnern computers/computer<br />
computers/domaincontroller_backup<br />
computers/domaincontroller_master<br />
computers/domaincontroller_slave<br />
computers/ipmanagedclient<br />
computers/macos<br />
computers/managedclient<br />
computers/memberserver<br />
computers/mobileclient<br />
computers/thinclient<br />
computers/windows<br />
Bei der Eingabe von Werten nimmt der <strong>Univention</strong> Directory Manager eine Syntaxprüfung vor, damit<br />
es beim anschließenden Speichern des Wertes nicht zu LDAP-Fehlermeldungen kommt. Die zu ver-<br />
wendende Syntax ist abhängig vom verwendeten LDAP-Schema und dem beabsichtigten Verwen-<br />
dungszweck. Neben Standard-Syntaxdefinitionen für Zeichenketten (string), Zahlen (integer) gibt<br />
es drei Möglichkeiten einen binären Zustand auszudrücken: die Syntax TrueFalse wird auf LDAP-<br />
Ebene durch die Zeichenketten true und false abgebildet, die Syntax TrueFalseUpper referenziert<br />
die OpenLDAP-Bool-Werte TRUE und FALSE und die Syntax boolean speichert keinen Wert oder<br />
die Zeichenkette 1.<br />
Wird keine Syntax angegeben, wird automatisch die Syntax string verwendet. Erweiterte Syntaxde-<br />
finitionen, die an dieser Stelle auch verwendet werden können, werden bei den benutzerdefinierten<br />
Attributen in Abschnitt 4.5.13 beschrieben.<br />
Vorgabewert<br />
Ist hier ein Vorgabewert definiert, werden anzulegende Objekte mit diesem Wert initialisiert. Der Wert<br />
159
4 <strong>Univention</strong> Directory Manager<br />
160<br />
kann während des Anlegens noch manuell bearbeitet werden. Bereits bestehende Objekte werden<br />
nicht verändert.<br />
Mehrfachwert<br />
Diese Option legt fest, ob ein einzelner Wert oder mehrere Werte in der Eingabemaske eingetra-<br />
gen werden können. In der Schema-Definition des LDAP-Attributes ist festgelegt, ob nur eine oder<br />
mehrere Instanzen des Attributs an einem LDAP-Objekt verwendet werden dürfen.<br />
Nachträglich modifizierbar<br />
Diese Option legt fest, ob der im erweiterten Attribut gespeicherte Wert nur während des Anlegens<br />
eines Objektes oder auch nachträglich modifiziert werden kann.<br />
Wert wird benötigt<br />
Ist diese Option aktiv, muss ein gültiger Wert für das erweiterte Attribut eingetragen sein, um das<br />
betreffende Objekt anzulegen oder zu speichern.<br />
Nicht durchsuchbar<br />
Soll im Suchdialog eines Assistenten nicht nach einem erweiterten Attribut gesucht werden kön-<br />
nen, kann diese Option aktiviert werden, um das erweiterte Attribut aus der Liste der möglichen<br />
Sucheigenschaften zu entfernen. Dies kann z.B. bei der Verwendung von eigenen, sehr speziellen<br />
Syntaxdefinitionen der Fall sein.<br />
Wert ist nicht änderbar<br />
Ist diese Option aktiviert, kann das Attribut nicht durch den Administrator gesetzt werden, weder beim<br />
Anlegen des Objekts, noch nachträglich. Dies ist sinnvoll für automatisch generierte interne Zustände,<br />
die über Hook-Funktionen oder intern in einem <strong>Univention</strong> Directory Manager-Modul gepflegt werden.<br />
LDAP<br />
Objektklasse (*)<br />
Objektklasse, zu welcher das unter LDAP-Attribut eingetragene Attribut gehört. In LDAP-Schema-<br />
Definitionen ist festgelegt, welche LDAP-Attribute eine LDAP-Objektklasse zur Verfügung stellt. Jedes<br />
LDAP-Objekt, das um ein Attribut erweitert werden soll, wird automatisch um die hier angegebene<br />
LDAP-Objektklasse erweitert, wenn vom Benutzer ein Wert für das erweiterte Attribut angegeben<br />
wurde.<br />
LDAP-Abbildung (*)<br />
Der Name des LDAP-Attributs, in dem die Werte am LDAP-Objekt gespeichert werden sollen. Das<br />
LDAP-Attribut muss in der angegebenen Objektklasse enthalten sein.<br />
Objektklasse löschen<br />
Wird für ein erweitertes Attribut im <strong>Univention</strong> Directory Manager der Wert gelöscht, wird das Attribut
4.6 Richtlinien gesteuerte Ansichten des <strong>Univention</strong> Directory Manager Web-Frontends<br />
vom LDAP-Objekt entfernt. Werden an diesem LDAP-Objekt keine weiteren Attribute der angegebe-<br />
nen Objektklasse verwendet, wird auch die Objektklasse vom LDAP-Objekt entfernt, sofern diese<br />
Option aktiviert ist.<br />
<strong>UCS</strong>-LDAP-Schema für Kunden-Erweiterungen<br />
Um den Aufwand für kleine Erweiterungen im LDAP möglichst gering zu halten, bringt Univenti-<br />
on Corporate Server ein eigenes LDAP-Schema für Kundenerweiterungen mit. Die LDAP-Objektklas-<br />
se univentionFreeAttributes kann ohne Einschränkungen für benutzerdefinierte Attribute bzw. er-<br />
weiterte Attribute verwendet werden. Die LDAP-Objektklasse bringt 20 frei zu verwendende Attribute<br />
(univentionFreeAttribute1 bis univentionFreeAttribute20) mit und kann in Verbindung mit jedem be-<br />
liebigen LDAP-Objekt (z.B. einem Benutzerobjekt) verwendet werden.<br />
4.6 Richtlinien gesteuerte Ansichten des <strong>Univention</strong> Directory Manager<br />
Web-Frontends<br />
Um Benutzern differenzierten Zugriff auf die Funktionen des <strong>Univention</strong> Directory Manager zu gewähren,<br />
kann die Ansicht von <strong>Univention</strong> Directory Manager über Richtlinien modifiziert werden. Der Richtlinien-<br />
Typ ’<strong>Univention</strong> Directory Manager Ansicht’ bietet die Möglichkeit, Benutzern die verfügbaren <strong>Univention</strong><br />
Directory Manager-Module vorzugeben. Verfügbare <strong>Univention</strong> Directory Manager-Module sind:<br />
• Über<br />
Zeigt Informationen über die installierte <strong>UCS</strong>-Version, den Gültigkeitszeitraum des <strong>UCS</strong> Root-Zerti-<br />
fikats der Domäne sowie eingespielte Lizenzen an.<br />
• Navigation<br />
Mit der Aktivierung von ’Navigation’ wird dem Benutzer der Direktzugriff auf das LDAP ermöglicht<br />
(siehe auch unten unter ’LDAP Basis DN’).<br />
• Persönliche Einstellungen<br />
Ermöglicht dem Benutzer, selbständig Einstellungen an seinem Benutzer-Objekt vorzunehmen (sie-<br />
he auch unten unter ’Sichtbare Karteikarten’).<br />
• Assistenten<br />
Neben den Menüeinträgen ’Über’, ’Navigation’ und den persönlichen Einstellungen können die ver-<br />
fügbaren Assistenten zur einfachen Modifikation des LDAP-Verzeichnisses vorgegeben werden (sie-<br />
he auch unten unter ’Web-Directory Manager Assistenten’).<br />
Neben der Konfiguration der Menüeinträge von <strong>Univention</strong> Directory Manager können auch Vorgaben<br />
für die LDAP-Navigation festgelegt werden. Die in dem Feld Zeige diese Attribute in der Navigation<br />
festgelegten Attribute werden als zusätzliche Spalten in der Ansicht angezeigt (siehe ➊ in Abbildung 4.13).<br />
Sind die Attributwerte der betreffende Objekte nicht gesetzt, bleibt das entsprechende Feld der Spalte leer.<br />
Bei der Verwendung der Suchfunktion eines Assistenten ist es oft hilfreich, zusätzlich Attributwerte der<br />
gefundenen Objekte auszugeben. Ähnlich wie in der LDAP-Navigation werden die Attributwerte in zusätz-<br />
161
4 <strong>Univention</strong> Directory Manager<br />
lichen Spalten ➋ angezeigt (siehe Abbildung 4.14). Die angezeigten Attribut-Spalten richten sich jeweils<br />
nach dem gesuchten Objekt-Typ ➌.<br />
In der Standardeinstellung werden die Ansichten von den zwei Richtlinien default-admins und default-<br />
users festgelegt, die die Ansicht von Administratoren und die Ansicht der übrigen Benutzer festlegen. Die<br />
beiden Richtlinien befinden sich in dem Container Navigation ➞ policies ➞ users ➞ admin-settings.<br />
Nachfolgend werden die Einstellungen des Richtlinien-Typs ’<strong>Univention</strong> Directory Manager Ansicht’ erläu-<br />
tert.<br />
162<br />
Allgemein<br />
Name<br />
Name der Richtlinie<br />
LDAP Basis DN<br />
Wurde in Sichtbare <strong>Univention</strong> Directory Manager Module das Modul Navigation ausgewählt,<br />
kann hier ein LDAP Basis DN angegeben werden, um den Zugriff auf die LDAP-Navigation einzu-<br />
schränken. Der Benutzer kann nach dem Setzen nur noch auf den angegebenen Basis-DN sowie<br />
Kind-Objekte zugreifen.<br />
Sichtbare Admin Module<br />
Die in diesem Feld ausgewählten <strong>Univention</strong> Directory Manager-Module werden dem Benutzer im<br />
Hauptmenü von <strong>Univention</strong> Directory Manager zur Verfügung gestellt. Wurde das Modul Assisten-<br />
ten ausgewählt, besteht die Möglichkeit über Sichtbare Web-Directory Manager Assistenten zu<br />
definieren, welche Assistenten angezeigt werden.<br />
Sichtbare Web-Directory Manager Assistenten<br />
Im Menü von <strong>Univention</strong> Directory Manager werden die ausgewählten Assistenten angezeigt.<br />
Hinweis:<br />
Werden hier keine Einträge vorgenommen, werden alle Assistenten angezeigt. Erst die Auswahl Kei-<br />
ne unterbindet die Anzeige aller Assistenten.<br />
Sichtbare Karteikarten<br />
Wurde das Modul Persönliche Einstellungen aktiviert, können in Sichtbare Karteikarten Elemente<br />
des Benutzer-Objektes selektiert werden, die dem Benutzer angezeigt werden und von ihm editierbar<br />
sind. Beispielsweise kann ein Benutzer auf diese Weise selbständig Email-Weiterleitungen für sein<br />
Konto konfigurieren.<br />
Zeige diese Attribute in den Suchergebnissen<br />
Wird in einem Assistenten eine Suche durchgeführt, können in der Ergebnistabelle neben Objekt-<br />
Name und Ort des Objektes noch zusätzliche Attribute angezeigt werden. Die in Zeige diese Attri-<br />
bute in den Suchergebnissen angegebenen Attribute werden in der Ergebnistabelle als zusätzliche<br />
Spalte angezeigt. Ist ein Attributwert eines Objektes nicht gesetzt, bleibt das entsprechende Feld der
Ergebnistabelle leer.<br />
4.6 Richtlinien gesteuerte Ansichten des <strong>Univention</strong> Directory Manager Web-Frontends<br />
Zeige diese Attribute in der Navigation<br />
Die Ausgabe der LDAP-Navigation kann um zusätzliche Spalten erweitert werden, die Attributwerte<br />
der betreffende Objekte anzeigen. Die in Zeige diese Attribute in der Navigation aufgeführten<br />
Attribute werden als zusätzliche Spalten in der LDAP-Navigation angezeigt. Weist ein Objekt das<br />
angegebene Attribut nicht auf, bleibt das entsprechende Feld in der Anzeige leer.<br />
Erlaube persönliche <strong>Univention</strong> Directory Manager Einstellungen<br />
Mit der Aktivierung dieser Einstellung kann ein Benutzer selbständig für sein Konto die Einstellungen<br />
der Admin-Ansicht modifizieren. Vom Benutzer vorgenommene Einstellungen der <strong>Univention</strong> Direc-<br />
tory Manager-Ansicht haben Vorrang vor den Vorgaben einer entsprechenden Richtlinie.<br />
Achtung:<br />
Wird die Option Erlaube persönliche <strong>Univention</strong> Directory Manager Einstellungen aktiviert, kann<br />
ein Benutzer für sein Konto alle verfügbaren Assistenten aktivieren und erhält dadurch lesenden<br />
Zugriff auf die im LDAP-Verzeichnis enthaltenen Daten, sofern LDAP-ACL’s dies nicht einschränken.<br />
163
4 <strong>Univention</strong> Directory Manager<br />
164<br />
Abbildung 4.11: Karteikarte ’Richtlinien’
4.6 Richtlinien gesteuerte Ansichten des <strong>Univention</strong> Directory Manager Web-Frontends<br />
Abbildung 4.13: Angepasste Ansicht der LDAP-Navigation<br />
Abbildung 4.14: Angepasste Suche nach Objekten<br />
165
4 <strong>Univention</strong> Directory Manager<br />
166
5 <strong>Univention</strong> Management Console<br />
Inhaltsverzeichnis<br />
5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167<br />
5.2 Aufbau der Web-Oberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168<br />
5.2.1 Anmeldemaske . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168<br />
5.2.2 Überblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169<br />
5.3 Standard-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170<br />
5.3.1 System Statistiken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170<br />
5.3.2 Kernel Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171<br />
5.3.3 VNC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171<br />
5.3.4 Systeminformation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172<br />
5.3.5 <strong>Univention</strong> Configuration Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172<br />
5.3.6 Drucker Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173<br />
5.3.7 Prozessübersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174<br />
5.3.8 Dateisystem-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174<br />
5.3.9 System-Dienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176<br />
5.3.10 Domänenbeitritt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178<br />
5.3.11 Software Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178<br />
5.3.12 Neustarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179<br />
5.3.13 Online-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179<br />
5.4 Wizards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182<br />
5.1 Einführung<br />
5.4.1 Basis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182<br />
5.4.2 Nagios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182<br />
5.4.3 Mail-Server Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183<br />
<strong>Univention</strong> Management Console ist eine modular aufgebaute, webbasierte Applikation zur Systemadmi-<br />
nistration einzelner <strong>Univention</strong> Corporate Server-Systeme. Mit Hilfe von <strong>Univention</strong> Management Console<br />
können bspw. Dienste kontrolliert, Systemauslastungen geprüft oder und Konfigurationsparameter geprüft<br />
und geändert werden.<br />
Die Web-Oberfläche von <strong>Univention</strong> Management Console kann von jedem beliebigen Rechner genutzt<br />
werden. Mit einem richtlinienbasierten Berechtigungskonzept bietet <strong>Univention</strong> Management Console die<br />
Möglichkeit für jeden Benutzer, aber auch für Gruppen, genau zu definieren, welche Dienste auf welchen<br />
Servern und in welchem Umfang beeinflusst werden dürfen. So kann beispielsweise an einige Personen<br />
die Berechtigung vergeben werden den Druckdienst eines oder mehrerer Server zu administrieren, wäh-<br />
rend eine andere Gruppe nur die Kontingentverwaltung nutzen kann. Einer anderen Gruppe wiederum<br />
167
5 <strong>Univention</strong> Management Console<br />
könnte nur die Berechtigung eingeräumt werden Druckaufträge zu löschen, nicht aber angehaltene Dru-<br />
cker neu zu starten. So kann gezielt die benötigte Funktionalität freigeschaltet werden, ohne den Benutzer<br />
durch überflüssige Optionen zu verwirren.<br />
In der Standardeinstellung haben die Mitglieder der Gruppe Domain Admins die Berechtigung alle Mo-<br />
dule und Funktionen von <strong>Univention</strong> Management Console zu nutzen.<br />
In den folgenden Kapiteln wird die Verwendung von <strong>Univention</strong> Management Console im Detail beschrie-<br />
ben. Beginnend mit einer Anleitung zur Handhabung von <strong>Univention</strong> Management Console, in der die ver-<br />
schiedenen Steuerelemente und Strukturen erklärt werden, werden anschließend einzelne Module und<br />
ihre Funktionen näher erläutert.<br />
5.2 Aufbau der Web-Oberfläche<br />
<strong>Univention</strong> Management Console bietet über eine Web-Oberfläche eine einfach zu bedienende Möglich-<br />
keit, von einem beliebigen Rechner administrative Aufgaben durchzuführen. Die Möglichkeiten, die sich<br />
dem jeweiligen Benutzer bieten, hängen dabei von seinen zentral definierten Berechtigungen ab.<br />
Im Folgenden soll der allgemeine Aufbau der Oberfläche und die Bedienung anhand von Abbildungen<br />
beschrieben werden. Auf die Details zu den Funktionalitäten der einzelnen Module wird in den darauf<br />
folgenden Kapiteln näher eingegangen.<br />
5.2.1 Anmeldemaske<br />
Um auf <strong>Univention</strong> Management Console zuzugreifen kann in einem beliebigen Web-<br />
Browser folgende URL angegeben werden: https:///umc/. Anstelle von<br />
ist der Rechnername oder die IP-Adresse des <strong>UCS</strong>-Systems einzutragen, z.B.<br />
https://ucs-master.univention.local/umc/.<br />
Unter besonderen Umständen kann es nötig sein, auf <strong>Univention</strong> Management Console über eine un-<br />
gesicherte Verbindung zuzugreifen. Dies ist zum Beispiel dann der Fall, wenn für das System noch<br />
keine SSL-Zertifikate erstellt worden sind. Der ungesicherte Zugriff erfolgt über die http-Adresse, bspw.<br />
http://ucs-master.univention.local/umc/.<br />
Achtung:<br />
Passwörter werden in diesem Fall im Klartext über das Netzwerk gesendet.<br />
Als Startseite wird dem Benutzer eine Anmeldemaske angezeigt (siehe Abbildung 5.1). Hier kann er sich<br />
mit seinem Benutzernamen aus der <strong>UCS</strong>-Domäne und dem zugehörigen Passwort anmelden. Je nach<br />
vergebenen Berechtigungen können sich die folgenden Screenshots von der im Web-Browser angezeig-<br />
ten Seite etwas unterscheiden. Für administrative Zugriffe wird in der Regel das Administrator-Konto<br />
verwendet.<br />
In der Anmeldemaske kann außerdem die Sprache für die Benutzeroberfläche ausgewählt werden.<br />
168
5.2.2 Überblick<br />
Abbildung 5.1: Anmeldemaske von <strong>Univention</strong> Management Console<br />
5.2 Aufbau der Web-Oberfläche<br />
Ist die Anmeldung erfolgreich durchgeführt worden und wurden für den Benutzer ausreichend Rechte<br />
definiert, wird eine Übersicht der verfügbaren Module wie in Abbildung 5.2 angezeigt. Hier werden aus-<br />
schließlich die Module angezeigt auf die der momentan angemeldete Benutzer zugriffsberechtigt ist. Hat<br />
ein Benutzer beispielsweise keine Berechtigungen für die Drucker-Administration, so wird das zugehörige<br />
Modul unter Überblick nicht angezeigt.<br />
Der Startpunkt ist immer der Reiter Überblick. Die Unterteilung in Reiter wurde in Anlehnung an den<br />
<strong>Univention</strong> Directory Manager übernommen. Zusätzlich gibt es in <strong>Univention</strong> Management Console so<br />
genannte Kategorien, die im oberen Bereich auf einem Reiter angezeigt werden. Im Beispiel des Reiter<br />
Überblick aus der Abbildung 5.2 sind die Kategorien Alle Module, System und Wizards zu sehen. In<br />
den Voreinstellungen wird hier zu Beginn immer die Kategorie Alle Module angezeigt.<br />
Von dem Reiter Überblick kann über die angezeigten Icons zu den einzelnen Modulen gewechselt wer-<br />
den. Wurde das ausgewählte Modul während der aktuellen Sitzung noch nicht aktiviert, dann wird auto-<br />
matisch ein neuer Reiter für das Modul geöffnet und angezeigt. Wurde das Modul bereits zuvor genutzt,<br />
wird der vorhandene Reiter in den Vordergrund geholt. So können mehrere Module aktiv sein und über<br />
den Überblick zu einem anderen Modul zurückgekehrt werden. Wird beispielsweise in einem Modul eine<br />
langwierige Aufgabe ausgeführt, muss der Benutzer nicht auf die Beendigung warten, sondern kann in an-<br />
deren Modulen weitere Aufgaben durchführen. Er kann später zu dem vorherigen Modul zurückkehren und<br />
sich den Ergebnis bzw. Status der Bearbeitung anschauen oder die Aufgabe abbrechen. Ein Reiter kann<br />
über den Schließen Button geschlossen werden. Allerdings wird damit nur die Darstellung unterbrochen,<br />
das Modul läuft bis zu seiner Fertigstellung im Hintergrund weiter.<br />
Zusätzlich zu dem Reiter Überblick gibt es noch den Reiter Über. Dort sind Informationen zur installierten<br />
Programmversion zu finden.<br />
169
5 <strong>Univention</strong> Management Console<br />
5.3 Standard-Module<br />
Abbildung 5.2: Übersichtsseite von <strong>Univention</strong> Management Console<br />
Nachdem im vorangegangenen Kapitel der Aufbau und die Navigation innerhalb von <strong>Univention</strong> Mana-<br />
gement Console beschrieben wurde, wird in diesem Kapitel auf die einzelnen Funktionen der Standard-<br />
Module näher eingegangen. Einige Softwarepakete bringen weitere UMC-Module mit, die Dokumentation<br />
zu den Modulen ist in den jeweiligen Kapiteln bzw. Dokumentationen zu finden.<br />
5.3.1 System Statistiken<br />
Die Auslastungsstatistik zeigt die Auslastung des Systems an. Dabei wird jeweils eine Grafik für die unter-<br />
schiedlichen Zeiträume angezeigt:<br />
• Die letzten 24 Stunden<br />
• Die vergangene Woche<br />
• Der vergangene Monat<br />
• Das vergangene Jahr<br />
Folgende Systeminformationen werden protokolliert:<br />
170<br />
• Die Auslastung des Hauptspeichers in Prozent<br />
• Die Prozessor-Auslastung des Systems<br />
• Die Anzahl der jeweils aktiven Terminalserver-Sitzungen<br />
• Die Auslastung der Auslagerungsdatei (Swap)
5.3 Standard-Module<br />
Das Modul setzt voraus, dass das Paket univention-maintenance installiert ist. Falls das Paket nicht<br />
installiert ist, wird eine entsprechende Meldung angezeigt.<br />
5.3.2 Kernel Module<br />
Das Modul Kernel Module bietet die Möglichkeit vorhandene Kernel Module zu laden bzw. zu entladen.<br />
Auf der Startseite befindet sich eine Suchmaske, mit der Kernel Module gesucht werden können. Neben<br />
der Modul-Kategorie, bspw. drivers/video oder drivers/usb und dem Namen kann ausgewählt werden,<br />
ob nur geladene Module angezeigt werden soll.<br />
In der Suchliste wird jedes gefundene Modul angezeigt und kann nach Bestätigung einer Abfrage geladen<br />
bzw. entladen werden.<br />
5.3.3 VNC<br />
Durch das VNC-Protokoll (Virtual Network Computing) können grafische Bildschirmausgaben von einem<br />
entfernten Rechner auf einem lokalen Rechner dargestellt werden. Dieses Modul ermöglicht die Anzeige<br />
der grafischen Oberfläche im Webbrowser, siehe Abbildung 5.3.<br />
Abbildung 5.3: Desktop im Webbrowser<br />
Nachdem das Modul geladen wurde, muss ein Passwort gesetzt werden, mit dem später die VNC Sitzung<br />
gestartet werden kann. Das Passwort wird verschlüsselt in der Datei .vnc/passwd im Heimatverzeichnis<br />
des Benutzer gespeichert. Wenn die Datei gelöscht wurde, wird diese Abfrage erneut angezeigt.<br />
Anschließend wird geprüft, ob bereits ein VNC-Server läuft. Wenn noch kein VNC-Server läuft, so kann<br />
durch den Link Starten ein VNC-Server gestartet werden. Sobald ein VNC-Server läuft, kann dieser durch<br />
den Link Stoppen des VNC-Server wieder beendet werden oder es kann eine Verbindung zum VNC-<br />
171
5 <strong>Univention</strong> Management Console<br />
Server hergestellt werden. Dazu wird ein Java Applet im Webbrowser geladen und das <strong>UCS</strong> System kann<br />
grafisch im Webbrowser bedient werden.<br />
5.3.4 Systeminformation<br />
Das Systeminformations-Modul erfasst Informationen zu der Hardware des aktuellen Systems. Diese kön-<br />
nen beispielsweise in einem Supportfall angefragt werden. Durch die Übersendung dieser Informationen<br />
wird auch eine breitere Datenbasis über die von <strong>UCS</strong> unterstützte Hardware erstellt.<br />
Alle Daten werden anonymisiert an <strong>Univention</strong> weitergeleitet und erst nach Benutzereinwilligung übermit-<br />
telt.<br />
Im Start-Dialog finden sich die Eingabefelder Hersteller und Modell, die mit aus den DMI-Informationen<br />
der Hardware ermittelten Werten vorausgefüllt sind. Die Felder können auch angepasst und ein zusätzli-<br />
cher Kommentar angegeben werden.<br />
Wenn die Übermittlung der Systeminformationen im Rahmen einer Support-Anfrage erfolgt, sollte die Op-<br />
tion Dies bezieht sich auf einen Supportfall aktiviert werden. Im folgenden Feld kann dann eine Ticket-<br />
nummer angegeben werden, die die Zuordnung vereinfacht und eine schnellere Bearbeitung ermöglicht.<br />
Nach einem Klick auf Weiter wird eine Übersicht der ermittelten Systeminformationen ausgegeben.<br />
Ausserdem wird ein komprimiertes Tar-Archiv erstellt, das eine Liste mit den im System verwendeten<br />
Hardware-Komponenten enthält und über Archiv mit den Systeminformationen heruntergeladen wer-<br />
den kann.<br />
Nach einem erneuten Klick auf Weiter kann der Übermittlungsweg der Daten an <strong>Univention</strong> ausgewählt<br />
werden. Hochladen überträgt die Daten per HTTPS, Mail senden (optional) führt zu einem Dialog, über<br />
den ein Email-Versand initiiert werden kann.<br />
5.3.5 <strong>Univention</strong> Configuration Registry<br />
Mit dem <strong>Univention</strong> Configuration Registry-Modul können <strong>Univention</strong> Configuration Registry-Variablen an-<br />
gezeigt und verändert werden. Es besteht auch die Möglichkeit neue <strong>Univention</strong> Configuration Registry-<br />
Variablen zu registrieren. Weitere Hinweise zu <strong>Univention</strong> Configuration Registry sind im Kapitel 14 zu<br />
finden.<br />
Auf der Startseite wird eine Suchmaske angezeigt. Neben der Kategorie können auch Suchfilter für den<br />
Variablennamen, für den Wert oder für die Beschreibung ausgewählt werden. Nach erfolgreicher Suche<br />
werden die gefundenen Variablen in einer Tabelle angezeigt, dabei wird der Variablenname, der Wert, die<br />
Beschreibung und die Kategorie angezeigt, siehe Abbildung 5.4.<br />
Mit einem Klick auf den Variablennamen wird die Bearbeitungsmaske für eine Variable angezeigt. Dort<br />
können die folgenden Einstellungen vorgenommen werden:<br />
172<br />
• der Wert<br />
• die Kategorie (bspw. Desktop oder Mail)<br />
• der Typ (bspw. Zeichenkette)<br />
• die Beschreibung in unterschiedlichen Sprachen
Abbildung 5.4: <strong>Univention</strong> Configuration Registry-Suchmaske<br />
5.3 Standard-Module<br />
Nachdem Änderungen durchgeführt wurden, kann die Aktion mit dem Button Setzen abgeschlossen oder<br />
mit dem Button Abbrechen abgebrochen werden. Danach wird die letzte Suche wieder angezeigt.<br />
In der Unterkategorie Hinzufügen können neue <strong>Univention</strong> Configuration Registry-Variablen hinzugefügt<br />
werden. Im Gegensatz zu der Bearbeitungsmaske kann hier auch der Name der Variable angegeben<br />
werden, ansonsten ist die Seite identisch strukturiert.<br />
5.3.6 Drucker Administration<br />
Dieses Modul bietet die Möglichkeit den Status einzelner Drucker zu prüfen, angehaltene Drucker neu zu<br />
starten oder Druckaufträge aus den Warteschlagen zu entfernen.<br />
Auf der Startseite des Moduls befindet sich eine Suchmaske, mit der die vorhandenen Drucker ausgewählt<br />
werden können. In der Ergebnisliste wird zu dem jeweiligen Drucker der Server, der Name, der Status, die<br />
Druck-Quota-Eigenschaften, der Standort und die Beschreibung angezeigt. Durch Markieren der Drucker<br />
und Ausführen einer der beiden Aktionen deaktivieren bzw. aktivieren, kann der Status mehrerer Drucker<br />
gleichzeitig geändert werden.<br />
Durch den Klick auf einen Druckernamen können Details zu dem ausgewählten Drucker angezeigt werden.<br />
Zu den angezeigten Informationen gehört auch eine Liste der aktuell existierenden Druckaufträge, die<br />
noch in der Warteschlange des Druckers sind. Durch Markieren der Druckaufträge und Auswahl der Aktion<br />
[Löschen] können Druckaufträge aus der Warteschlange entfernt werden.<br />
173
5 <strong>Univention</strong> Management Console<br />
5.3.7 Prozessübersicht<br />
Abbildung 5.5: Liste verfügbarer Drucker<br />
Das Modul Prozessübersicht zeigt eine Tabelle der aktuellen Prozesse an. Standardmäßig werden ma-<br />
ximal 50 Prozesse angezeigt, unter dem Menüpunkt Anzahl der Prozesse können aber auch 10, 20<br />
oder alle Prozesse zur Anzeige ausgewählt werden. Zusätzlich besteht die Möglichkeit die Sortierung der<br />
Prozesse nach den folgenden Eigenschaften durchzuführen:<br />
• CPU-Nutzung<br />
• Benutzername<br />
• Residente Größe des Arbeitsspeichers<br />
• Virtuelle Größe des Arbeitsspeichers<br />
• Prozess ID<br />
Nachdem die Auswahl geändert wurde, kann die Anzeige durch Aktualisieren übernommen werden.<br />
5.3.8 Dateisystem-Quota<br />
Das Modul zur Dateisystem-Quota-Verwaltung bietet die Möglichkeit den Festplattenplatz, den Benutzer<br />
für ihre Daten auf den Servern nutzen dürfen, einzuschränken oder zu erweitern. Hierbei kann der Platz<br />
für jede einzelne Partition auf einem Server individuell eingeschränkt werden.<br />
Wird in dem Reiter Übersicht das Modul Dateisystem Quota ausgewählt, wird zu Beginn eine Seite<br />
angezeigt, die der Abbildung 5.6 ähnelt. Hier wird eine Liste aller verfügbaren Partitionen eines Rechners<br />
angezeigt. Dabei werden zu den Partitionsnamen und dem Mount-Point noch Informationen wie die Größe<br />
und der freie Platz angezeigt. Eine weitere Information, die für die Quota-Verwaltung wichtig ist, befindet<br />
174
Abbildung 5.6: Liste der Partitionen<br />
5.3 Standard-Module<br />
sich in der Spalte Quota: Der Status deaktiviert bedeutet, dass auf der Partition momentan keine Quota-<br />
Einstellungen vorgenommen werden können. Dafür muss die Unterstützung erst aktiviert werden. Steht in<br />
der Spalte bei Partition hingegen der Status aktiviert, so wurde Quota bereits aktiviert.<br />
Um diese Unterstützung für eine oder mehrere Partitionen nachträglich zu aktivieren, müssen diese in der<br />
Tabelle ausgewählt und aktiviert werden.<br />
Ist die Quota-Verwaltung auf einer Partition aktiviert kann über den Partitionsnamen in der Tabelle auf<br />
die Kategorie Partitionsansicht gewechselt werden. In dieser Ansicht werden die Details zu den bereits<br />
existierenden Einstellungen für Quota auf der ausgewählten Partition dargestellt. In Abbildung 5.7 ist ein<br />
Beispiel dafür zu sehen.<br />
Von hier aus können die Quota-Einstellungen für einzelne Benutzer hinzugefügt, gelöscht oder verändert<br />
werden. Für alle diese Aufgaben gibt eine Eingabemaske, die dort einzugebenden Werte beschränken die<br />
Datenmenge für einen Benutzer auf der ausgewählten Partition. Generell werden solche Einschränkung<br />
durch zwei Werte definiert:<br />
Soft Limit Wird diese Grenze erreicht, so wird der Benutzer gewarnt, dass er seine Quota-Grenze erreicht<br />
hat. Dieser Wert sollte kleiner sein als das Hard Limit, so dass der Benutzer noch die Möglichkeit<br />
hat Daten zu löschen.<br />
Hard Limit Wird diese Grenze erreicht, kann der Benutzer nicht mehr auf die Festplatten-Partition schrei-<br />
ben. Handelt es sich beispielsweise um das Heimatverzeichnis des Benutzers, kann es dadurch zu<br />
Problemen bei der Anmeldung kommen.<br />
Diese beiden Grenzwerte können in zwei verschiedenen Einheiten angegeben werden:<br />
Dateien Das Soft- und Hard-Limit für Dateien schränkt die Menge der Daten eines Benutzers durch die<br />
Begrenzung der Anzahl der erstellten Dateien ein.<br />
Blöcke Die Begrenzung der Blöcke wirkt sich auf die Datenmenge in Hinsicht auf die Gesamtgröße aller<br />
Dateien des Benutzers in einer Partition aus.<br />
175
5 <strong>Univention</strong> Management Console<br />
Abbildung 5.7: Details zu einer Partition<br />
Die Differenz zwischen Soft- und Hard-Limit sollte groß genug gewählt werden, damit Benutzer noch aus-<br />
reichend Zeit haben die Daten aufzuräumen und zu sichern.<br />
Eine Alternative ist die gruppenbasierte Zuweisung mittels univention-quota-group. Die Verwendung<br />
ist unter [9] dokumentiert.<br />
5.3.9 System-Dienste<br />
Auf der System-Dienste Startseite werden in einer Tabelle die aktuellen Dienste angezeigt, wie in Ab-<br />
bildung 5.8 dargestellt. Dabei wird neben dem Namen des Dienstes der Status, in Form eines Icons, die<br />
Startart und die Beschreibung angezeigt.<br />
Am unteren Ende der Tabelle können in der Auswahlliste Ausgewählte Objekte ... Aktionen ausgeführt<br />
werden. Die Aktionen im Einzelnen:<br />
• Auswahl umkehren<br />
• Alle auswählen<br />
• Dienste starten<br />
• Dienste stoppen<br />
• Dienste automatisch starten<br />
• Dienste manuell starten<br />
• Dienste nie starten<br />
Die beiden Punkte Dienste automatisch und Dienste manuell starten beziehen sich auf den Startvor-<br />
gang des Systems.<br />
Die Einstellung Dienste nie starten verhindert auch den manuellen Start durch den Administrator.<br />
176
Abbildung 5.8: Übersicht der Systemdienste<br />
5.3 Standard-Module<br />
177
5 <strong>Univention</strong> Management Console<br />
5.3.10 Domänenbeitritt<br />
Das <strong>Univention</strong> Management Console-Modul für den Domänenbeitritt ist im Kapitel 2.4.1.2 beschrieben.<br />
5.3.11 Software Management<br />
Mit dem Software Management-Modul können Softwarepakete installiert und deinstalliert werden.<br />
Abbildung 5.9: Software Management Suchmaske<br />
Auf der Startseite wird eine Suchmaske angezeigt in der die Paketkategorie, ein Suchfilter (Name oder<br />
Beschreibung) und die Eigenschaft ob nur installierte Softwarepakete angezeigt werden sollen zur Aus-<br />
wahl stehen. Ein Beispieldialog findet sich in Abbildung 5.9. Die Ergebnisliste besteht aus einer Tabelle<br />
mit den folgenden Spalten:<br />
• Paketname<br />
• Bereich bzw. Kategorie<br />
• Installationsstatus<br />
• Beschreibung des Paketes<br />
Durch einen Klick auf den Softwarepaketnamen wird eine detailierte Informationsseite zu dem Softwarepa-<br />
ket angezeigt, u.a. eine ausführliche Beschreibung und die Priorität. Zusätzlich werden ein oder mehrere<br />
Buttons angezeigt: Installieren wird angezeigt, falls das Softwarepaket noch nicht installiert ist, Deinstal-<br />
lieren, falls das Paket installiert ist und Aktualisieren falls das Softwarepaket bereits installiert, aber nicht<br />
aktuell ist. Durch Abbrechen kann zu der vorherigen Suchabfrage zurückgekehrt werden.<br />
178
5.3.12 Neustarten<br />
Mit dem Neustarten-Modul kann der Computer neugestartet oder heruntergefahren werden.<br />
Abbildung 5.10: Neustarten Eingabemaske<br />
5.3 Standard-Module<br />
Auf der Neustarten-Modul Seite kann zwischen Herunterfahren und Neustarten gewählt werden, sowie<br />
eine Systemnachricht angegeben werden, welche in /var/log/syslog protokolliert wird.<br />
Nach der Bestätigung über den Ausführen-Button wird die Systemmeldung auf dem Bildschirm ausgege-<br />
ben und die Aktion direkt ausgeführt.<br />
5.3.13 Online-Updates<br />
Mit dem Online-Update-Modul können Versions- und Sicherheits-Updates installiert werden.<br />
In Abbildung 5.11 ist die Übersichtsseite des Moduls dargestellt. Im oberen Teil des Dialogs wird unter<br />
Releaseupdates der aktuelle Installationsstand angezeigt.<br />
Sollte eine neuere <strong>UCS</strong>-Version vorhanden sein, wird eine Auswahlliste präsentiert. Durch einen Klick<br />
auf Releaseupdates installieren wird ein Link auf die Release Notes angezeigt nach Bestätigung alle<br />
Updates bis zur jeweiligen Version eingespielt. Zuvor wird ein Hinweis auf mögliche Einschränkungen<br />
der Serverdienste während des Updates angezeigt. Eventuelle Zwischenversionen werden automatisch<br />
mitinstalliert.<br />
Durch einen Klick auf Securityupdates installieren werden alle für das aktuelle Release verfügbaren<br />
Security-Updates eingerichtet.<br />
Mit Paketupdates wird eine Aktualisierung der momentan eingetragenen Paketquellen aktiviert. Dies kann<br />
etwa verwendet werden, wenn für eine Komponente eine aktualisierte Version bereitgestellt wurde.<br />
Im Reiter Einstellungen können die folgenden Konfigurationsänderungen vorgenommen werden:<br />
Unter Release-Einstellungen kann der Repository Server und ggf. ein Repository Prefix angegeben<br />
werden, was in Abbildung 5.12 dargestellt ist. Ausserdem kann konfiguriert werden, welche Repository-<br />
Optionen verwendet werden sollen:<br />
179
5 <strong>Univention</strong> Management Console<br />
Abbildung 5.11: Online-Update<br />
Verwende Maintained Repositories Diese ist in der Voreinstellung aktiviert und bindet die Maintained<br />
Repositories auf dem System mit ein.<br />
Verwende Unmaintained Repositories Weitere Software zu den <strong>UCS</strong>-Versionen ist in den Unmaintai-<br />
ned Repositories zu finden, die mit dieser Option eingebunden werden können. In der Voreinstellung<br />
ist dies nicht aktiviert.<br />
Verwende Hotfix Repositories Um die <strong>Univention</strong> Hotfixes zu verwenden kann diese Option aktiviert<br />
werden. Weitere Details dazu sind im Abschnitt 11.2.1 zu finden.<br />
Unter Komponenten Einstellungen findet sich eine Übersicht von Software-Komponenten, die den Funk-<br />
tionsumfang von <strong>Univention</strong> Corporate Server erweitern.<br />
Über die Schaltfläche Eine neuen Komponente hinzufügen kann eine weitere Software-Komponente<br />
eingerichtet werden, ersichtlich in Abbildung 5.13. Name identifiziert die Komponente auf dem Download-<br />
Server. Unter Beschreibung kann ein frei wählbarer Text angegeben werden, der z.B. detaillierter auf die<br />
Funktion der Komponente eingeht. Der Rechnername des Download-Servers ist im Eingabefeld Serverna-<br />
me anzugeben und, sofern notwendig, unter Prefix ein eventueller zusätzlicher Dateipfad. Für Download-<br />
Server, die eine Authentifizierung benötigen, können Benutzername und Passwort konfiguriert werden.<br />
Eine Software-Komponente ist im <strong>Univention</strong> Management Console-Modul Software Management erst<br />
verfügbar, wenn sie Aktiviert wurde. Alle diese Einstellungen können durch einen Klick auf den Bearbei-<br />
ten-Button auch für bereits konfigurierten Komponenten nachträglich vorgenommen werden.<br />
Die Version legt fest, für welche <strong>UCS</strong>-Versionen eine Komponente installiert werden soll. Wird das Feld<br />
freigelassen, wird die Komponente für alle aktuell installierten Minor-Releases eingebunden, also z.B. bei<br />
einer Installation mit <strong>UCS</strong> 2.3 für <strong>UCS</strong> 2.0 bis 2.3. Wird in diesem Feld current eingetragen, werden<br />
ebenfalls alle Minor-Releases für diese Komponenten eingebunden, zusätzlich wird aber sichergestellt,<br />
180
Abbildung 5.12: Online-Update: Repository-Einstellungen<br />
5.3 Standard-Module<br />
dass ein Update auf ein neues Minor-Release nur stattfinden kann, wenn auch die Komponente für dieses<br />
Minor-Release verfügbar ist.<br />
Auch für Komponenten wird zwischen maintained und unmaintained-Komponenten unterschieden.<br />
181
5 <strong>Univention</strong> Management Console<br />
5.4 Wizards<br />
Abbildung 5.13: Online-Update: Component-Einstellungen<br />
<strong>Univention</strong> Management Console bietet mehrere Wizards an, welche Standard-Vorgänge beim Einrichten<br />
von Diensten vornehmen. Sie fassen die Grundeinstellungen zu einzelnen <strong>UCS</strong>-Komponenten zusammen<br />
und unterstützen besonders bei der Ersteinrichtung.<br />
5.4.1 Basis<br />
In dem Basis-Wizard können Grundeinstellungen des <strong>UCS</strong>-System durchgeführt werden, dazu gehören<br />
die folgenden Werte:<br />
• Rechnername<br />
• DNS-Domänenname<br />
• LDAP-Basis<br />
• Windows-Domänenname<br />
Betroffene Systemdienste werden während der Änderung neu gestartet. Da es hierbei um grundlegende<br />
Einstellung geht, sollte dennoch das System nach den Änderungen neu gestartet und ggf. auch neu gejoint<br />
werden.<br />
Weitere Hinweise dazu sind im Kapitel Domänenbeitritt 2.4 zu finden.<br />
5.4.2 Nagios<br />
Für Nagios kann hier eine Telefonnummer angegeben werden. Damit schickt Nagios die Events nicht nur<br />
an eine E-Mail Adresse, sondern ebenfalls als SMS an ein Mobiltelefon. Weitere Hinweise dazu sind in<br />
182
der Nagios Dokumentation [11] zu finden.<br />
5.4.3 Mail-Server Konfiguration<br />
5.4 Wizards<br />
Im Mail-Server Wizard können grundlegende Einstellungen für den Mailserver vorgenommen werden.<br />
• SPAM-Filterung<br />
Über diese Checkbox kann die SPAM Filterung aktiviert bzw. deaktiviert werden. Weitere Hinweise<br />
und Beschreibungen dazu sind im Kapitel 12.4 zu finden.<br />
• Viren-Erkennung<br />
Über diese Checkbox kann die Viren Filterung aktiviert bzw. deaktiviert werden. Weitere Hinweise<br />
und Beschreibungen dazu sind im Kapitel 12.5 zu finden.<br />
• IMAP-Zugriff<br />
Hier kann der IMAP-Zugriff auf Postfächer an- bzw. abgeschaltet werden.<br />
• IMAP Quota Unterstützung<br />
Durch diese Option kann eine Überprüfung der Größe der Postfächer beim Zugriff auf IMAP-<br />
Postfächer eingestellt werden.<br />
• POP3-Zugriff<br />
Hier kann der POP3-Zugriff auf Postfächer an- bzw. abgeschaltet werden.<br />
• Maximale Nachrichtengröße<br />
Die maximale Größe in Bytes der angenommenen E-Mails kann hier konfiguriert werden.<br />
• Alternative E-Mail Adresse für root<br />
Viele Systemdienste schicken Status-E-Mails an den Benutzer root. Hier kann ein alternativer Emp-<br />
fänger für den Benutzer root angegeben werden.<br />
183
5 <strong>Univention</strong> Management Console<br />
184
6 <strong>Univention</strong> Virtual Machine Manager (UVMM)<br />
Inhaltsverzeichnis<br />
6.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185<br />
6.1.1 Paravirtualisierung / virtIO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185<br />
6.2 Installation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186<br />
6.3 Verwaltung virtueller Maschinen mit UVMM . . . . . . . . . . . . . . . . . . . . . . . . . . . 187<br />
6.1 Einführung<br />
6.3.1 Erstellen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187<br />
6.3.2 Bearbeiten der Einstellungen einer virtuellen Instanz . . . . . . . . . . . . . . . . . . 188<br />
<strong>Univention</strong> Virtual Machine Manager (UVMM) ist ein Managementsystem für Virtualisierungsserver und<br />
virtuelle Maschinen. Es bietet die Möglichkeit alle in der <strong>UCS</strong>-Domäne registrierten Virtualisierungsserver<br />
(auf Basis von Xen oder KVM) und die darauf betriebenen virtuellen Instanzen zentral zu überwachen und<br />
zu administrieren.<br />
Die Managementoberfläche wird durch ein <strong>Univention</strong> Management Console-Modul bereitgestellt; es kann<br />
auf jedem System der <strong>UCS</strong>-Domäne installiert werden (die Installation auf einem Domänencontroller wird<br />
empfohlen). Dort können alle Virtualisierungsserver zentral administriert werden.<br />
Abschnitt 6.2 beschreibt die Installation des Managementsystems und der Virtualisierungsserver und die<br />
Funktionen des <strong>Univention</strong> Management Console-Moduls.<br />
Im <strong>Univention</strong> Wiki (http://wiki.univention.de) findet sich eine Schritt-für-Schritt-Kurzanleitung<br />
[12] und weiterführende technische Dokumentation und HOWTOs [13].<br />
6.1.1 Paravirtualisierung / virtIO<br />
Die virtualisierten Systeme können im Prinzip jedes beliebige Betriebssystem verwenden. Dabei werden<br />
die Systeme als so genannte vollvirtualisierte Systeme betrieben.<br />
KVM und Xen stellen jeweils Schnittstellen bereit, mit denen die virtualisierten Systeme einen direkten<br />
Zugriff auf die Ressourcen des Virtualisierungsservers erhalten können. Dies verbessert die Performance<br />
erheblich.<br />
Bei Xen wird diese Technik als Paravirtualisierung bezeichnet. Aktuelle Linux-Systeme unterstüt-<br />
zen standardmässig Paravirtualisierung, bei Microsoft Windows-Systemen müssen Unterstützungstreiber<br />
nachinstalliert werden, siehe [13].<br />
185
6 <strong>Univention</strong> Virtual Machine Manager (UVMM)<br />
KVM stellt die virtIO-Schnittstelle bereit. Sie ermöglicht für Netzwerk- und Storagegeräte eine direkte An-<br />
bindung an die KVM-Ressourcenverwaltung. Diese Technik ist mit Paravirtualisierung vergleichbar. Wenn<br />
Menüpunkte in UVMM sich auf Paravirtualisierung beziehen, schliesst dies virtIO mit ein.<br />
UVMM unterstützt für virtualisierte Systeme Vollvirtualisierung und Paravirtualisierung. Die Verwendung<br />
von Paravirtualisierung/virtIO wird empfohlen.<br />
6.2 Installation<br />
<strong>Univention</strong> Virtual Machine Manager besteht aus drei Komponenten. Alle können direkt bei der Installation<br />
des <strong>UCS</strong>-Systems ausgewählt oder alternativ über die <strong>Univention</strong> Management Console nachinstalliert<br />
werden.<br />
Virtual Machine Manager (UVMM) (Paket: univention-virtual-machine-manager-daemon) Dieses<br />
Paket muss auf dem Managementsystem installiert werden. Dabei wird ein zusätzlicher Dienst sowie<br />
das <strong>Univention</strong> Management Console-Modul eingerichtet. Dieses Paket sollte auf einem Domänen-<br />
controller installiert werden. Die Installation auf Memberservern erfordert weitere Anpassungen und<br />
ist unter [13] dokumentiert. Wird UVMM auf einem Domänencontroller Slave oder Domänencontrol-<br />
ler Backup installiert, muss vorher das Paket univention-virtual-machine-manager-schema auf<br />
dem Domänencontroller Master installiert werden.<br />
Xen-Virtualisierungsserver (Paket: univention-virtual-machine-manager-node-xen) Auf jedem Sys-<br />
tem, das als Virtualisierungsserver auf Basis von Xen verwendet werden soll, muss dieses Paket<br />
installiert werden.<br />
KVM-Virtualisierungsserver (Paket: univention-virtual-machine-manager-node-kvm) Soll KVM für<br />
die Virtualisierung genutzt werden, ist dieses Paket auf den Virtualisierungsservern zu installieren.<br />
Die beiden Pakete für die Virtualisierungsserver registrieren den Dienst im LDAP-Verzeichnis. Auf Xen-<br />
Systemen wird zusätzlich ein besonderer Kernel installiert, der notwendig ist, damit Xen eingesetzt werden<br />
kann.<br />
Bei der Installation der Virtualisierungsserver sollte pro Server ausschließlich eine Virtualisierungstech-<br />
nik eingesetzt werden. Xen und KVM werden von <strong>Univention</strong> Virtual Machine Manager gleichermaßen<br />
unterstützt. Allerdings gibt es bei den Techniken in Abhängigkeit von den Gastsystemen und der ein-<br />
gesetzten Hardware unterschiedliche Vor- und Nachteile. KVM beispielsweise benötigt zwingend CPU-<br />
Virtualisierungunterstützung während Xen auch (eingeschränkt) Systeme ohne Unterstützung durch die<br />
Hardware virtualisieren kann. Zu Details können die Webseiten der beiden Projekte konsultiert werden:<br />
http://www.linux-kvm.org/ und http://www.xen.org/.<br />
Zusätzlich sollte bei der Installation der Virtualisierungsserver die Architektur beachtet werden. Nur auf<br />
<strong>UCS</strong>-Systemen, die mit der amd64-Architektur installiert sind, können auch 64 Bit-Systeme virtualisiert<br />
werden.<br />
Für den Einsatz als Virtualisierungsserver wird die Verwendung eines 64 Bit-Systems (amd64) empfohlen.<br />
186
6.3 Verwaltung virtueller Maschinen mit UVMM<br />
6.3 Verwaltung virtueller Maschinen mit UVMM<br />
Die Verwaltung virtueller Maschinen im <strong>Univention</strong> Virtual Machine Manager erfolgt über die <strong>Univention</strong><br />
Management Console.<br />
Das <strong>Univention</strong> Management Console-Modul Virtuelle Maschinen (UVMM) bietet die Möglichkeit virtuelle<br />
Instanzen anzulegen, zu bearbeiten, zu löschen und den Status zu ändern. Diese Funktionen sind prinzi-<br />
piell unabhängig von der eingesetzten Virtualisierungstechnik (Xen oder KVM), können sich aber im Detail<br />
unterscheiden. Was dabei zu beachten ist, wird in den folgenden Abschnitten zu den Beschreibungen der<br />
Funktionen erläutert.<br />
Nach dem Öffnen des Moduls wird auf der linken Seite eine Baumstruktur angezeigt, die einen Überblick<br />
über die vorhandenen Virtualisierungsserver und der dort definierten virtuellen Instanzen anzeigt.<br />
Auch alle anderen Einträge in der Baumstruktur können ausgewählt werden. Ist ein Virtualisierungsserver<br />
ausgewählt, wird eine Übersicht zum Status des Servers selbst und der vorhandenen virtuellen Instanzen<br />
mit CPU-Auslastung und Speicherbedarf aufgelistet. Eine solche Übersicht ist in Abbildung 6.1 zu se-<br />
hen. Über die Schaltfläche Aktualisieren, die oben rechts zu sehen ist, können die Informationen erneut<br />
abgefragt werden.<br />
Abbildung 6.1: Übersicht eines Virtualisierungsservers<br />
Bei der Auswahl einer virtuellen Instanz kann anhand des Symbols in der Baumstruktur erkannt werden in<br />
welchem Status sich diese befindet, d.h. ob sie läuft, pausiert oder angehalten ist. Wie in Abbildung 6.2 zu<br />
sehen, wird bei der Auswahl einer virtuellen Instanz zu den Statistiken auch die Konfiguration angezeigt.<br />
Hier können alle Einstellungen der Instanz verändert und gespeichert werden.<br />
6.3.1 Erstellen einer virtuellen Instanz<br />
Virtuelle Maschinen können in UVMM mit einem Assistenten in wenigen Schritten erstellt werden. Im<br />
ersten Schritt wird ein Profil ausgewählt (siehe Abbildung 6.3) über das einige grundlegende Einstellungen<br />
für die virtuelle Instanz vorgegeben werden (z.B. einen Namenspräfix, Anzahl der CPUs, Arbeitspeicher<br />
und ob ein Direktzugriff per VNC aktiviert werden soll).<br />
187
6 <strong>Univention</strong> Virtual Machine Manager (UVMM)<br />
Abbildung 6.2: Übersicht einer virtuellen Instanz<br />
Die UVMM-Profile werden aus dem LDAP-Verzeichnis gelesen und können dort auch angepasst wer-<br />
den. Zu finden sind die Profile in der Navigation des <strong>Univention</strong> Directory Manager im Container<br />
cn=Profiles,cn=Virtual Machine Manager. Dort können auch weitere Profile hinzugefügt werden.<br />
Die virtuelle Maschine wird nun mit einem Namen (maximal 25 Zeichen) und einer Beschreibung ver-<br />
sehen und Arbeitsspeicher und CPUs zugewiesen. Die Option Direktzugriff aktivieren legt fest, ob auf<br />
die Maschine über das VNC-Protokoll zugegriffen werden kann. Dies ist im Regelfall erforderlich für die<br />
initiale Betriebssysteminstallation.<br />
Nun werden die Laufwerke der virtuellen Maschine konfiguriert. Das Anlegen der Laufwerke ist in Kapitel<br />
6.3.2.3 dokumentiert.<br />
Ein Klick auf Fertigstellen schließt das Anlegen der virtuellen Maschine ab.<br />
6.3.2 Bearbeiten der Einstellungen einer virtuellen Instanz<br />
Die Übersichtsseite einer virtuellen Instanz ist in mehrere Bereiche aufgeteilt: (Abbildung 6.4):<br />
188
6.3.2.1 Sicherungspunkte<br />
Abbildung 6.3: Anlegen einer virtuellen Instanz<br />
6.3 Verwaltung virtueller Maschinen mit UVMM<br />
UVMM bietet die Möglichkeit, den Inhalt von Arbeits- und Festplattenspeicher einer virtuellen Maschine in<br />
Sicherungspunkten zu speichern. Zu diesen kann später wieder zurückgewechselt werden, was gerade<br />
bei Software-Updates ein nützliches “Sicherungsnetz” darstellt.<br />
Sicherungspunkte können nur auf KVM-Instanzen verwendet werden, deren Festplatten-Images aus-<br />
schließlich das Qcow2-Format verwenden. Alle Sicherungspunkte werden dabei im Copy-on-write-<br />
Verfahren (siehe 6.3.1) direkt in den Festplatten-Image-Dateien gespeichert.<br />
Mit Neuen Sicherungspunkt erstellen kann ein Sicherungspunkt unter einem frei wählbaren Namen er-<br />
stellt werden, z.B. DC Master vor Update auf <strong>UCS</strong> 2.4-2. Zusätzlich wird der Zeitpunkt abgespeichert, zu<br />
dem der Sicherungspunkt erstellt wird. In der nachfolgenden Liste werden alle vorhandenen Sicherungs-<br />
punkte in chronologisch-umgekehrter Reihenfolge aufgeführt. Mit Wiederherstellen kann die Maschine<br />
auf einen früheren Sicherungspunkt zurückgesetzt werden und mit Löschen kann ein Sicherungspunkt<br />
entfernt werden.<br />
6.3.2.2 Operationen (Starten/Stoppen/Pausieren/Löschen/Migrieren von virtuellen Instanzen)<br />
Über UVMM angelegte Instanzen sind im initialen Zustand ausgeschaltet. Dieser Status kann in der Über-<br />
sicht des jeweiligen Virtualisierungsservers in dem jeweiligen Listeneintrag oder in der Übersicht der virtu-<br />
ellen Instanz selbst verändert werden. In letzterem Fall gibt es einen Abschnitt Operationen, in dem der<br />
Status gesetzt werden kann. Dabei bestehen folgende Möglichkeiten:<br />
Starten fährt die virtuelle Instanz hoch.<br />
189
6 <strong>Univention</strong> Virtual Machine Manager (UVMM)<br />
Abbildung 6.4: Einstellungen einer virtuelle Instanz<br />
Beenden schaltet die Instanz aus. Dabei ist zu beachten, dass dabei das Betriebssystem vorher nicht<br />
runtergefahren wird, d.h. es mit dem Ausschalten eines Rechners zu vergleichen.<br />
Pausieren weist der Instanz keine weitere CPU-Zeit zu. Dadurch wird weiterhin der Arbeitsspeicher auf<br />
dem physikalischen Rechner belegt, die Instanz an sich aber angehalten.<br />
Speichern und beenden sichert den Inhalt des Arbeitsspeichers der Maschine auf Festplattenspeicher<br />
und weist der Maschine keine weitere CPU-Zeit zu, d.h. gegenüber Pausieren wird außerdem noch<br />
der Arbeitsspeicher freigegeben. Gespeicherte Maschinen können mit Starten wieder in Betrieb<br />
genommen werden. Diese Funktion ist nur bei Virtualisierungsservern auf Basis von KVM verfügbar.<br />
Fortfahren teilt der Instanz wieder CPU-Zeit zu, so dass sie in dem Zustand vor dem Pausieren wieder<br />
weiterläuft.<br />
Löschen Nicht mehr benötigte virtuelle Instanzen können mitsamt ihrer Festplatten und ISO-Images ge-<br />
190<br />
löscht werden. Die zu löschenden Images können dabei in einer Liste ausgewählt werden. Es ist zu<br />
beachten, dass ISO-Images und möglicherweise auch Festplatten-Images ggf. noch von anderen<br />
Instanzen verwendet werden.
6.3 Verwaltung virtueller Maschinen mit UVMM<br />
Eine weitere Funktion, die in dem Bereich Operationen in der Übersicht einer virtuellen Instanz zu finden<br />
ist, ist die Möglichkeit eine virtuelle Instanz auf einen anderen physikalischen Server zu migrieren. Dies<br />
funktioniert sowohl mit angehaltenen wie mit laufenden Instanzen (Live-Migration). Die Option wird nur<br />
angezeigt, wenn sich min. zwei kompatible Virtualisierungsserver in der Domäne befinden.<br />
Bei der Migration ist zu beachten, dass die Images der eingebundenen Festplatten und CDROM-Laufwerk<br />
von beiden Virtualisierungsservern zugreifbar sein müssen. Dies kann beispielsweise dadurch realisiert<br />
werden, dass die Images auf einem zentralen Storage abgelegt werden. Hinweise zur Einrichtung einer<br />
solchen Umgebung finden sich unter [13].<br />
6.3.2.3 Laufwerke (Festplatten/CD-ROM/DVD-ROM/Diskette)<br />
Im Laufwerke-Menü ist eine Liste der definierten Laufwerke mit Typ, Image-Datei und Größe sowie dem<br />
zugewiesenen Speicherbereich zu sehen. Am Ende jeder Zeile befindet sich eine Schaltfläche Löschen<br />
über die das Laufwerk ausgehängt werden kann (Die Image-Datei kann optional mitgelöscht werden).<br />
Hinzufügen eines Laufwerks Werden virtuelle Festplatten hinzugefügt, werden im Regelfall für die Da-<br />
tenhaltung Image-Dateien verwendet. Eine Image-Datei kann entweder neu erzeugt werden oder einer<br />
virtuellen Maschine eine bereits vorhandene Image-Datei zugewiesen werden. Alternativ kann einer vir-<br />
tuellen Maschine über die Option Auswahl eines vorhandenen Gerätes auch eine Festplattenpartition<br />
zugewiesen werden.<br />
Image-Dateien können auf KVM-Systemen in zwei Formaten verwaltet werden: Standardmässig werden<br />
sie im Erweiterten Format (qcow2) angelegt. Dieses unterstützt Copy-on-write, was bedeutet, dass eine<br />
Änderung nicht das Original überschreibt, sondern die neue Version stattdessen an einer anderen Position<br />
abgelegt wird. Die interne Referenzierung wird dann so aktualisiert, daß wahlweise sowohl die Original-<br />
version als auch die neue Version zugreifbar sind. Diese Technik ist Voraussetzung für das Erstellen von<br />
Sicherungspunkten/Snapshots von virtuellen Maschinen. Nur bei Verwendung von Festplatten-Images im<br />
Erweiterten Format können Sicherungspunkte erstellt werden. Alternativ kann auch im Einfachen For-<br />
mat (raw) auf ein Festplatten-Image zugegriffen werden.<br />
Auf Xen-Systemen steht nur das Einfache Format zur Verfügung.<br />
Image-Dateien werden in sogenannten Speicherbereichen abgelegt. Jeder Virtualisierungsserver stellt in<br />
der Voreinstellung einen Speicherbereich mit dem Namen Lokales Verzeichnis zur Verfügung. Dieser<br />
liegt auf den Virtualisierungsservern unterhalb des Verzeichnisses /var/lib/libvirt/images/.<br />
Wenn eine Live-Migration virtueller Maschinen zwischen verschiedenen Virtualisierungsservern erfolgen<br />
soll, muss der Speicherbereich auf einem System abgelegt werden, auf das alle Virtualisierungsserver<br />
zugreifen können (z.B. eine NFS-Freigabe oder ein iSCSI-Target). Dies wird in [13] beschrieben.<br />
Festplatten-Images werden mit der angegebenen Größe als Sparse-Datei angelegt, d.h. diese Dateien<br />
wachsen erst bei der Verwendung bis zur maximal angegebenen Größe und benötigen initial nur geringen<br />
Speicherplatz.<br />
CD-ROM/DVD-ROM-Laufwerke können auf zwei Arten eingebunden werden: Über die Option Auswahl<br />
einer bestehenden Image-Datei kann ein ISO-Image aus dem verwendeten Speicherbereich zugewie-<br />
191
6 <strong>Univention</strong> Virtual Machine Manager (UVMM)<br />
sen werden. Alternativ kann über Verwenden eines lokalen Geräts auch ein physisches Laufwerk des<br />
Virtualisierungsservers mit der virtuellen Maschine verbunden werden.<br />
Ein Diskettenlaufwerk kann einer virtuellen Maschine ebenfalls über ein Image (im VFD-Format) oder die<br />
Durchreichung eines physischen Laufwerks bereitgestellt werden.<br />
Werden Laufwerke für eine neu zu installierende Instanz definiert, muss sichergestellt werden, dass von<br />
dem CDROM-Laufwerk gebootet wird. Das UVMM-Profil gibt die Bootreihenfolge für vollvirtualisierte In-<br />
stanzen bereits vor. Bei paravirtualisierten Instanzen wird es durch die Reihenfolge bei der Definition der<br />
Laufwerke festgelegt und kann auch nachträglich in den Einstellungen angepasst werden.<br />
Festplatten-Images sollten nach Möglichkeit paravirtualisiert angesprochen werden:<br />
• Bei <strong>UCS</strong>-Systemen, die unter Xen oder KVM installiert werden, wird über das Profil automatisch ein<br />
paravirtualisierter Zugriff aktiviert.<br />
• Bei Windows-Systemen, die unter Xen installiert werden sind keine Anpassungen der UVMM-<br />
Konfiguration nötig, hier müssen lediglich Windows-Treiber in der Maschine nachinstalliert werden<br />
(siehe [13])<br />
• Bei Windows-Systemen, die unter KVM installiert werden muss vor Beginn der Windows-Installation<br />
Paravirtualisierung aktiviert werden, siehe [13] und Kapitel 6.3.2.3.<br />
Bearbeiten eines Laufwerks In den Einstellungen eines Laufwerks lässt sich über Paravirtualisiertes<br />
Laufwerk festlegen, ob der Zugriff auf das Laufwerk paravirtualisiert erfolgen soll. Diese Einstellung sollte<br />
für eine virtuelle Maschine mit bereits installiertem Betriebssystem nach Möglichkeit nicht mehr verändert<br />
werden, da dann ggf. Partitionen nicht mehr angesprochen werden können.<br />
Werden zu einer existierenden Instanz weitere Laufwerke oder Netzwerkkarten hinzugefügt, wird die Ver-<br />
wendung von Paravirtualisierung anhand der Eigenschaften der virtuellen Maschine über Heuristiken er-<br />
mittelt.<br />
Soll ein Windows-System auf Basis von KVM mit den virtIO-Treiber installiert werden, muss die Einstellung<br />
vor Beginn der Windows-Installation aktiviert werden. Weitere Hinweise finden sich unter [13].<br />
6.3.2.4 Netzwerkschnittstellen<br />
Beim Anlegen einer virtuellen Instanz wird dieser automatisch eine Netzwerkkarte mit zufällig erstellter<br />
MAC-Adresse zugewiesen.<br />
In diesem Menü findet sich eine Liste aller Netzwerkkarten; außerdem können neue hinzugefügt oder<br />
existierende bearbeitet werden.<br />
Der Typ legt die Netzwerkverbindung fest. In der Grundeinstellung wird mit einer Bridge auf dem Vir-<br />
tualisierungsserver direkt auf das Netz zugegriffen. Die virtuelle Instanz verwendet dabei ihre eigene IP-<br />
Adresse. Netzwerkkarten vom Typ NAT werden in einem privaten Netz auf dem Virtualisierungsserver<br />
definiert. Dabei muss der virtuellen Maschine eine IP-Adresse aus dem Netz 192.168.122.0/24 gegeben<br />
werden. Über NAT wird dieser virtuellen Instanz der Zugang zum externen Netz erteilt, so dass der Zugriff<br />
über die IP-Adresse des Virtualisierungsservers erfolgt.<br />
192
6.3 Verwaltung virtueller Maschinen mit UVMM<br />
Für Netzwerkkarten von beiden Typen sind die UVMM-Server bereits vorkonfiguriert. Allerdings gibt es<br />
Einschränkungen für Netzwerkkarten vom Typ Bridge. Auf den UVMM-Servern wird in der Vorgabe die<br />
physikalische Netzwerkkarte, auf die Standardroute gesetzt ist, zu einer Bridge umfunktioniert. Sind in<br />
dem Server weitere Netzwerkkarten eingebaut, so werden diese nicht automatisch angepasst. Werden<br />
in einer virtuellen Instanz mehrere Netzwerkkarten vom Typ Bridge benötigt, so muss zuvor eine weitere<br />
Netzwerkkarte auf dem Server als Bridge konfiguriert werden. Wenn eine Bridge verwendet wird, kann<br />
über Quelle das verwendete Netzwerkinterface ausgewählt werden.<br />
Netzwerkkarten vom Typ NAT sind nur durch die im Netz 192.168.122.0/24 verfügbaren IP-Adressen be-<br />
grenzt.<br />
Über den Treiber kann ausgewählt werden, welche Art von Karte bereitgestellt wird. Die Realteak RTL-<br />
8139 wird von nahezu jedem Betriebssystem unterstützt, die Intel Pro-1000 bietet erweiterte Fähigkeiten<br />
und ein Paravirtualisiertes Gerät die beste Performance.<br />
Die MAC-Adresse wird automatisch generiert, kann aber ggf. auch nachträglich verändert werden.<br />
6.3.2.5 Einstellungen<br />
Die Grundeinstellungen einer virtuellen Maschine können nur verändert werden, wenn sie ausgeschaltet<br />
ist.<br />
Name definiert den Namen der virtuellen Instanz. Dieser muss nicht mit dem Namen des Rechners im<br />
LDAP-Verzeichnis übereinstimmen.<br />
Betriebssystem kann für eine Beschreibung der Instanz bzw. des installierten Betriebssystems genutzt<br />
werden.<br />
Kontakt definiert den Ansprechpartner für die virtuelle Maschine, z.B. in Form einer E-Mail-Adresse.<br />
Beschreibung kann z.B. die Funktion weitergehend beschreiben, z.B. Mailserver.<br />
Architektur legt die Architektur der emulierten Hardware fest. Dabei ist zu beachten, dass nur auf Vir-<br />
tualisierungsservern der Architektur amd64 virtuelle 64 Bit-Instanzen angelegt werden können. Dies<br />
wird vom UMC-Modul auf i386-Systemen auch unterbunden.<br />
Anzahl der CPUs definiert wieviele virtuelle CPUs der virtuellen Instanz zugeteilt werden.<br />
Speicher legt die Größe des Arbeitsspeichers fest.<br />
6.3.2.6 Erweiterte Einstellungen<br />
Die erweiterten Einstellungen einer virtuellen Maschine können nur verändert werden, wenn sie ausge-<br />
schaltet ist.<br />
Virtualisierungstechnik zeigt die eingesetzte Technik zur Virtualisierung an. Diese Einstellung kann nur<br />
bei der Erzeugung einer virtuellen Instanz festgelegt werden.<br />
Bootreihenfolge legt die Reihenfolge fest, in der das emulierte BIOS der virtuellen Instanz die Lauf-<br />
werke nach bootbaren Medien durchsucht. Diese Einstellung ist nur bei vollvirtualisierten Instanzen<br />
vorhanden. Bei paravirtualisierten Instanzen kann in den Laufwerkseinstellungen die Option Als<br />
Boot-Medium setzen verwendet werden.<br />
193
6 <strong>Univention</strong> Virtual Machine Manager (UVMM)<br />
Direktzugriff definiert, ob der Zugang per VNC zur virtuellen Instanz aktiviert werden soll. Ist die Option<br />
aktiv, kann über das UMC-Modul direkt ein VNC-Programm gestartet werden. Die VNC-URL wird in<br />
einem Tooltip angezeigt. In der Voreinstellung wird hierfür ein Java-VNC-Programm verwendet. Über<br />
die <strong>Univention</strong> Configuration Registry-Variable uvmm/umc/vnc kann mit dem Wert external festge-<br />
legt werden, das ein externes Programm verwendet werden soll. Dies muss auf dem Arbeitsplatz-<br />
Rechner installiert und mit dem URI-Schema vnc:// verknüpft sein.<br />
Global verfügbar definiert, ob der VNC-Direktzugriff auch von anderen Systemen möglich ist. Ist die<br />
Option nicht aktiviert, kann nur von dem Virtualisierungsserver auf die VNC-Sitzung zugegriffen<br />
werden.<br />
Passwort setzt ein Passwort für die VNC-Verbindung.<br />
Tastaturlayout legt das Layout für die Tastatur in der VNC-Sitzung fest.<br />
194
7 <strong>UCS</strong> Verzeichnisdienst<br />
Inhaltsverzeichnis<br />
7.1 Übersicht<br />
7.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
7.2 Protokollierung von LDAP-Änderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
7.2.1 Installation und Einrichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195<br />
7.2.2 Format der Log-Datei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196<br />
7.3 Timeout für inaktive LDAP-Verbindungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
7.4 Konfiguration von LDAP-ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
7.4.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197<br />
7.4.2 Definition der Objekte, auf die eine Regel gilt (access to) . . . . . . . . . . . . . . . 198<br />
7.4.3 Definition der Zugriffsberechtigten auf die Objekte . . . . . . . . . . . . . . . . . . . 198<br />
7.4.4 Definition der Berechtigung auf die Objekte . . . . . . . . . . . . . . . . . . . . . . . 199<br />
7.4.5 Definition der Verarbeitung weiterer Regeln bei angewendeten Regeln . . . . . . . . 200<br />
7.4.6 Delegation des Zurücksetzens von Benutzerpasswörtern . . . . . . . . . . . . . . . 200<br />
<strong>Univention</strong> Corporate Server speichert domänenweit vorgehaltene Daten in einem LDAP-<br />
Verzeichnisdienst auf Basis von OpenLDAP. Dieses Kapitel beschreibt die weitergehende Konfiguration<br />
und Anpassung von OpenLDAP. Neben der Protokollierung von Schreibvorgängen besteht auch die<br />
Möglichkeit, die Zugriffsberechtigungen auf den Verzeichnisdienst anzupassen.<br />
7.2 Protokollierung von LDAP-Änderungen<br />
Das Paket univention-directory-logger ermöglicht die Protokollierung von Änderungen im LDAP-<br />
Verzeichnisdienst. Eine integrierte Hash-Summe stellt zusätzlich sicher, dass keine Änderungen aus der<br />
Logdatei entfernt werden.<br />
7.2.1 Installation und Einrichtung<br />
Die Protokollierung ist nach Installation des Pakets standardmässig aktiviert und kann durch die <strong>Univention</strong><br />
Configuration Registry-Variable ldap/logging (yes/no) deaktiviert werden.<br />
Einzelne Teilbereiche des Verzeichnisdienstes können von der Protokollierung ausgenommen werden.<br />
Diese Zweige können durch die <strong>Univention</strong> Configuration Registry-Variablen ldap/logging/exclude1,<br />
ldap/logging/exclude2 etc. konfiguriert werden. Standardmässig ist der Container exkludiert, in dem<br />
die temporären Objekte gespeichert werden (cn=temporary,cn=univention,Basis-DN).<br />
195
7 <strong>UCS</strong> Verzeichnisdienst<br />
Die Protokollierung der LDAP-Änderungen erfolgt durch ein <strong>Univention</strong> Directory Listener-Modul, nach Än-<br />
derungen in <strong>Univention</strong> Configuration Registry sollte der univention-directory-listener-Dienst neu gest-<br />
artet werden.<br />
7.2.2 Format der Log-Datei<br />
Änderungen am Verzeichnisdienst werden in der Datei /var/log/univention/directory-logger.log<br />
als eine Serie von Datensätzen folgenden Formats protokolliert:<br />
START<br />
Old Hash: <br />
DN: <br />
ID: <br />
Modifier: <br />
Timestamp: <br />
Action: <br />
Old Values:<br />
<br />
New Values:<br />
<br />
END<br />
Drei Änderungsarten sind zu unterscheiden:<br />
• Bei hinzufügten Einträgen (add) erscheint nur der New Values Abschnitt.<br />
• Bei veränderten Einträgen (modify) erscheint sowohl der New Values Abschnitt, als auch der Old<br />
Values Abschnitt.<br />
• Bei entfernten Einträgen (delete) erscheint nur der Old Values Abschnitt.<br />
Für jeden protokollierten Datensatz wird eine Hashsumme berechnet und als eine Zeile in folgendem<br />
Format in die Sektion daemon.info des Syslog-Dienstes protokolliert:<br />
directory_logger:<br />
DN=<br />
ID=<br />
Modifier=<br />
Timestamp=<br />
New Hash=<br />
Die neue Hashsumme wird zusätzlich in der Datei /var/lib/univention-directory-logger/cache<br />
gespeichert, um weiterhin eine Rotation der directory-logger.log durch Logrotate zu erlauben. Bei-<br />
de Dateien werden so angelegt, daß der Lesezugriff auf den Posix-Benutzer root und die Posix-Gruppe<br />
adm beschränkt ist.<br />
Da jeder Datensatz den Hash-Wert des alten Datensatzes enthält, können Manipulationen an der Logdatei<br />
- etwa entfernte Einträge - aufgedeckt werden.<br />
196
7.3 Timeout für inaktive LDAP-Verbindungen<br />
7.3 Timeout für inaktive LDAP-Verbindungen<br />
Der LDAP-Server nimmt standardmäßig nur 1024 Verbindungen entgegen. Wenn viele Clients eine Ver-<br />
bindung aufbauen, diese aber nur sporadisch nutzen, kann es vorkommen, dass der LDAP-Server keine<br />
weiteren Verbindungen mehr annehmen kann.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable ldap/idletimeout kann ein Zeitraum in Sekunden<br />
konfiguriert werden, nach dessen Ablauf eine Verbindung serverseitig geschlossen wird. Wenn der Wert<br />
auf 0 gesetzt wird, wird kein Ablaufzeitraum angewendet.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable libnss/idle/timelimit kann der Timeout der<br />
NSS-LDAP-Schnittstelle gesetzt werden, nach dessen Ablauf libnss-ldap die Verbindung zum LDAP-<br />
Server selbsttätig schließt und bei der nächsten Anfrage wieder neu aufbaut.<br />
Wenn ein Wert für ldap/idletimeout gesetzt wird, so sollte ein kleinerer Wert für<br />
libnss/idle/timelimit gewählt werden.<br />
7.4 Konfiguration von LDAP-ACLs<br />
7.4.1 Einführung<br />
Der Zugriff auf die Informationen im LDAP-Verzeichnis wird serverseitig durch durch Ac-<br />
cess Control Lists (ACLs) geregelt. Die ACLs werden in der zentralen Konfigurations-Datei<br />
/etc/ldap/slapd.conf definiert und über <strong>Univention</strong> Configuration Registry verwaltet. Die<br />
slapd.conf wird dabei durch ein Multifile-Template verwaltet; weitere ACL-Elemente kön-<br />
nen unterhalb von /etc/univention/templates/files/etc/ldap/slapd.conf.d/<br />
zwischen den Dateien 60univention-ldap-server_acl-master und<br />
70univention-ldap-server_acl-master-end eingefügt werden oder die bestehenden Tem-<br />
plates erweitert werden.<br />
Die Standardberechtigung des LDAP-Servers erlaubt das Auslesen aller Attribute durch jeden Benutzer<br />
und Änderungen nur durch einen gesonderten Account, den Root-DN.<br />
Unter <strong>UCS</strong> gibt es darüberhinaus einige standardmässig installierte ACLs, die den Zugriff auf sensitive<br />
Daten unterbinden (z.B. auf das Benutzerpasswort) und für den Betrieb notwendige Regeln setzen (etwa<br />
nötige Zugriffe auf Rechnerkonten für Anmeldungen). Der lesende und schreibende Zugriff auf diese sensi-<br />
tiven Daten ist nur für die Mitglieder der Gruppe Domain Admins vorgesehen. Dabei werden auch enthal-<br />
tene Gruppen unterstützt. Mit der <strong>Univention</strong> Configuration Registry-Variable ldap/acl/nestedgroups<br />
kann diese Gruppen-in-Gruppen-Funktionalität für die LDAP-ACLs deaktiviert werden, wodurch eine Ge-<br />
schwindigkeitssteigerung bei den Verzeichnisdienst-Anfragen zu erwarten ist.<br />
Jede Regel besteht aus bis zu vier Elementen:<br />
• Auf welche Objekte im LDAP wird die Regel angewendet?<br />
• Für welche Benutzer wird eine Berechtigung zugewiesen?<br />
• Welche Berechtigung wird zugewiesen?<br />
• Wie sollen weitere Regeln verarbeitet werden?<br />
197
7 <strong>UCS</strong> Verzeichnisdienst<br />
Wenn Fehler bei der ACL-Verarbeitung untersucht werden sollen, empfieht es sich den Loglevel des LDAP-<br />
Servers durch die <strong>Univention</strong> Configuration Registry-Variable ldap/debug/level auf 129 zu setzen und<br />
den LDAP-Server neu zu starten. In /var/log/syslog finden sich dann die Debug-Ausgaben.<br />
ACL-Erweiterungen sollten nach Möglichkeit im Debian-Paketformat paketiert werden, damit die ange-<br />
passten ACLs einfach auf Domänencontroller Backup-Systemen bereitgestellt werden können.<br />
Werden ACL-Einstellungen nachträglich gelockert, kann es zu Replikationsproblemen kommen, wenn Än-<br />
derungstransaktionen für ein Objekt eintreffen, das vorher durch die strikteren ACLs unterbunden wurden.<br />
Es wird empfohlen in diesem Fall auf Domänencontroller Slave und Backup-Systemen mit dem Befehl<br />
univention-directory-listener-ctrl resync replication eine Neureplikation zu starten.<br />
7.4.2 Definition der Objekte, auf die eine Regel gilt (access to)<br />
Zugriffsregeln werden durch access to-Zugriffs-Direktiven eingeleitet. Regeln können auf drei verschie-<br />
dene Klassen von Objekten definiert werden. Diese lassen sich beliebig kombinieren:<br />
• Die Direktive kann auf eine DN, also eine eindeutige Position im LDAP zugewiesen werden. Bei-<br />
spielsweise würde der identifizierende Teil der Direktive, der den Zugriff auf einen Datenbank-<br />
Administrations-Account ermöglicht, folgendermassen aussehen:<br />
access to dn="uid=databaseadmin,cn=users,dc=firma,dc=de"<br />
Die DNs können auch durch einen regulären Ausdruck definiert werden. Die regulären Ausdrücke<br />
werden hier im POSIX-Standard angegeben:<br />
access to dn.regex="cn=.*,cn=dc,cn=computers,dc=firma,dc=de"<br />
• Die Direktive kann anhand eines LDAP-Filters spezifiziert werden. So kann beispielsweise der Zugriff<br />
anhand einer Objektklasse auf MAC-Adressen eingeschränkt werden:<br />
access to filter="(objectClass=macAddress)"<br />
• Die von der Direktive betroffenen Attribute können durch attrs definiert werden, hier beispielsweise<br />
auf die Benutzer- und Gruppen-IDs:<br />
access to attrs=uidNumber,gidNumber<br />
7.4.3 Definition der Zugriffsberechtigten auf die Objekte<br />
Jede Berechtigungsdirektive wird mit dem by-Statement eingeleitet. Sie legt fest, welche Benutzer auf<br />
das in der access-Direktive festgelegte Objekt zugreifen dürfen: Hierbei stehen verschiedene Syntax-<br />
Möglichkeiten zur Verfügung:<br />
Auf jede Definition von Zugriffsberechtigten folgt die vergebene Berechtigung und optional ein Option, die<br />
die weitere Regelabarbeitung kontrolliert, siehe dazu die folgenden Abschnitte.<br />
198<br />
• Durch * gilt die Regel für alle Benutzer.
7.4 Konfiguration von LDAP-ACLs<br />
• Nicht authentifizierte Endpunkte werden durch anonymous abgedeckt. Dies ermöglicht z.B. den<br />
Zugriff auf ein für eine Authentifizierung notwendiges Attribut nur für die Authenfizierungsphase zu<br />
erlauben, diese aber für angemeldete Benutzer zu verweigern.<br />
• Das Gegenstück zum oben erläuterten anonymous ist users.<br />
• Die Regel self definiert den Zugriff auf eigene Attribute des zugreifenden Objekts. So kann etwa ein<br />
Benutzer- oder Rechner-Objekt seine eigenen Attribute verändern.<br />
• Durch dn kann der Zugriff anhand der DN des zugreifenden Objektes festgelegt werden. Dies kann<br />
durch verschiedene Formen angegeben werden:<br />
– Anhand einer konkreten DN durch dn.base, z.B. durch<br />
by dn.base="uid=database-admin,cn=users,dc=firma,dc=de"<br />
– Anhand eines regelären Ausdrucks, z.B. durch<br />
by dn.regex="cn=.*,cn=dc,cn=computers,dc=firma,dc=de"<br />
• Durch group kann die Berechtigung auf die Mitglieder eine Gruppe festgelegt werden. Dabei muss<br />
zusätzlich die Objektklasse des Gruppenobjekts und das Attribut angegeben werden, dass ein Mit-<br />
glied identifiziert. Unter <strong>UCS</strong> sieht eine Gruppenberechtigung folgermassen aus:<br />
by group/univentionGroup/uniqueMember="cn=Domain Admins,cn=groups,dc=firma,dc=de"<br />
• Durch peername, sockname und domain lässt sich der Socketdateiname oder die Netzherkunft<br />
des zugreifenden Benutzers definieren. Einige Beispiele:<br />
by sockname="PATH=/var/run/slapd/ldapi"<br />
by peername.ip=127.0.0.1<br />
by domain.subtree=example.com<br />
7.4.4 Definition der Berechtigung auf die Objekte<br />
Jede by-Direktive wird durch die vergebene Berechtigung abgeschlossen. Die Regeln sind hierarchisch<br />
gegliedert, jede folgende Regel erhält dabei alle Privilegien der Vorangehenden.<br />
• none verweigert jeglichen Zugriff.<br />
• disclose verweigert den Zugriff, gibt dabei aber eine Fehlermeldung aus.<br />
• auth beschränkt den Zugriff auf Authentifizierungs- und Autorisierungsanfragen.<br />
• compare beschränkt den Zugriff auf Vergleichsoperationen.<br />
• search beschränkt den Zugriff auf Suchanfragen.<br />
• read erlaubt lesenden Zugriff.<br />
• write erlaubt schreibenden Zugriff.<br />
199
7 <strong>UCS</strong> Verzeichnisdienst<br />
7.4.5 Definition der Verarbeitung weiterer Regeln bei angewendeten Regeln<br />
Es gibt zu jeder by-Direktive drei Möglichkeiten die Abarbeitung weiterer Regeln zu steuern:<br />
• Standardmässig wird die Verarbeitung weiterer access-Regeln gestoppt, wenn eine Regel zutrifft.<br />
Dies kann auch noch einmal explizit durch eine stop-Direktive festgelegt werden.<br />
• Durch continue werden weitere Berechtigten-Regeln innerhalb der Zugriffsregel abgearbeitet.<br />
• Durch break werden weitere Zugriffsregeln geprüft, ob sie zutreffen.<br />
7.4.6 Delegation des Zurücksetzens von Benutzerpasswörtern<br />
Um einer Teilgruppe von Administratoren mit eingeschränkten Rechten, einem Helpdesk, das Zu-<br />
rücksetzen von Benutzerpasswörtern zu ermöglichen, kann das Paket univention-admingrp-user-<br />
passwordreset installiert werden. Es legt über ein Joinskript die Benutzergruppe User Password Ad-<br />
mins an, sofern diese noch nicht existiert.<br />
Mitglieder dieser Gruppe erhalten über zusätzliche LDAP-ACLs die Berechtigung, Passwörter von an-<br />
deren Benutzern zurückzusetzen. Diese LDAP-ACLs werden bei der Paketinstallation automatisch ak-<br />
tiviert. Um eine andere ggf. schon existierende Gruppe statt der Gruppe User Password Admins zu<br />
verwenden, kann der DN der zu verwendenden Gruppe in die <strong>Univention</strong> Configuration Registry-Variable<br />
ldap/acl/user/passwordreset/accesslist/groups/dn eingetragen werden.<br />
Das Zurücksetzen der Passwörter kann über den <strong>Univention</strong> Directory Manager erfolgen. In der Standar-<br />
deinstellung bietet <strong>Univention</strong> Directory Manager nur dem Benutzer Administrator den Benutzer-Assis-<br />
tenten an, über den neue Passwörter gesetzt werden können. Während der Installation wird automatisch<br />
eine neue Richtlinie default-user-password-admins erstellt, die mit den Mitgliedern der Gruppe User<br />
Password Admins bzw. mit einem entsprechenden Container im LDAP-Verzeichnis verknüpft werden<br />
kann.<br />
Die Richtlinie ermöglicht dabei die Suche nach Benutzern sowie die Ansicht aller Attribute eines Benutze-<br />
robjektes. Wird versucht, neben dem Passwort weitere Attribute zu modifizieren, für die keine ausreichen-<br />
den Zugriffsrechte auf das LDAP-Verzeichnis existieren, wird der Schreibzugriff vom <strong>Univention</strong> Directory<br />
Manager mit der Meldung Zugriff verweigert abgelehnt.<br />
Achtung:<br />
Das Paket ist auf dem Domaincontroller Master- sowie den Domaincontroller Backup-Systemen zu instal-<br />
lieren. Während der Installation wird der LDAP-Server neugestartet und ist kurzzeitig nicht erreichbar.<br />
Um das Zurücksetzen von Passwörtern für bestimmte Benutzer (z.B. Domänen-Administratoren) zu<br />
verhindern, können die UIDs der zu schützenden Benutzer in der <strong>Univention</strong> Configuration Registry-<br />
Variable ldap/acl/user/passwordreset/protected/uid kommasepariert angegeben werden.<br />
Nach einer Änderung der Variable ist es erforderlich, den LDAP-Verzeichnisdienst über den Befehl<br />
/etc/init.d/slapd restart neu zu starten, damit die geänderten LDAP-ACLs wirksam werden.<br />
In der Standardeinstellung wird der Benutzer Administrator vor Passwortänderungen durch die Gruppe<br />
User Password Admins geschützt.<br />
Sollte für die Änderung des Passworts der Zugriff auf zusätzliche LDAP-Attribute not-<br />
wendig sein, können die Attributnamen in der <strong>Univention</strong> Configuration Registry-Variable<br />
200
7.4 Konfiguration von LDAP-ACLs<br />
ldap/acl/user/passwordreset/attributes ergänzt werden. Nach der Änderung ist zur Übernah-<br />
me ein Neustart des LDAP-Verzeichnisdiensts notwendig. Für eine <strong>UCS</strong>-Standard-Installation ist diese<br />
Variable bereits passend gesetzt.<br />
201
7 <strong>UCS</strong> Verzeichnisdienst<br />
202
8 Services für Windows<br />
Inhaltsverzeichnis<br />
8.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203<br />
8.2 <strong>Univention</strong> Corporate Server und Samba . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203<br />
8.2.1 Authentifizierungsdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204<br />
8.2.2 Dateidienst (File-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204<br />
8.2.3 Druckdienst (Print-Server) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205<br />
8.2.4 NetBIOS-Netzwerkdienst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205<br />
8.3 Aufbau von Samba-Domänen mit <strong>UCS</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206<br />
8.4 Erweiterte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207<br />
8.1 Einführung<br />
8.4.1 Vertrauensstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207<br />
8.4.2 WINS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211<br />
8.4.3 NETLOGON-Freigabe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213<br />
8.4.4 Anlegen von Objekten im LDAP-Verzeichnis über Samba . . . . . . . . . . . . . . . 214<br />
8.4.5 Konfiguration von Windows-Benutzerkonten . . . . . . . . . . . . . . . . . . . . . . . 214<br />
8.4.6 Konfiguration von Samba-Servern . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218<br />
<strong>Univention</strong> Corporate Server kann aus Sicht von Windows-Systemen die Aufgaben von Windows-<br />
Serversystemen übernehmen. Diese Aufgaben umfassen unter anderem die Domänencontrollerfunktio-<br />
nalität, sowie Datei- und Authentifizierungsdienste in Samba-Domänen.<br />
Auch Druckdienste können durch Samba bereitgestellt werden. Zwischen Samba- und Windows-Domänen<br />
sind Vertrauensstellungen möglich.<br />
Neben den hier aufgeführten Kapiteln existiert weiterführende Dokumentation zu den Themen Windows-<br />
Domänenmigration mit <strong>UCS</strong> [14] und der automatischen Installation von Windows Clients mit <strong>UCS</strong> [4].<br />
8.2 <strong>Univention</strong> Corporate Server und Samba<br />
Als Samba-Domäne wird im Folgenden eine Domäne mit Domänencontrollern auf Basis von <strong>UCS</strong> mit<br />
der Komponente Samba bezeichnet, in der die Mitglieder unter anderem über das SMB/CIFS-Protokoll<br />
kommunizieren.<br />
Als Windows NT-Domäne wird im Folgenden eine Domäne mit Domänencontrollern auf Basis von Micro-<br />
soft Windows NT bezeichnet, in der die Mitglieder ebenfalls über das SMB/CIFS-Protokoll kommunizieren.<br />
Analog wird von Windows-2000-Domänen usw. gesprochen.<br />
203
8 Services für Windows<br />
Als Vermittlungsstelle zwischen den Windows-Clients und dem <strong>UCS</strong>-Server dient das Programm Samba.<br />
Mit diesem Programm kann ein <strong>UCS</strong>-Server sowohl die Rolle eines Mitgliedsservers als auch die Rolle<br />
eines primären Domänencontrollers (PDC) oder eines Backup-Domänencontrollers (BDC) in der Domäne<br />
übernehmen (Auf die Serverrollen wird in Kapitel 2.1 näher eingegangen).<br />
Insofern stellt die Kombination Samba/OpenLDAP eine Art Mischform zwischen Windows NT-Domänen<br />
und Active Directory dar. Aus Sicht von Windows-Clients handelt es sich um eine Windows NT-Domäne.<br />
Für die Anbindung eines Active Directory-Verzeichnisdienstes steht die Komponente <strong>Univention</strong> AD<br />
Connector zur Verfügung.<br />
Hinsichtlich der Administration von Benutzer-, Gruppen- und Rechner-Informationen handelt es sich je-<br />
doch um eine vollständig verzeichnisdienstbasierte Lösung mit allen daraus resultierenden Vorteilen.<br />
Ein Hinweis: Die Replikation zwischen Windows-basierten und Linux-basierten Domänencontrollern ist<br />
nicht standardisiert in Samba implementiert. <strong>Univention</strong> kann jedoch bei Bedarf für diesen Fall entwickelte<br />
Samba-BDC-Pakete für <strong>UCS</strong> zur Verfügung stellen, mit denen ein <strong>UCS</strong>-System als BDC (Backup Domain<br />
Controller) in einer Windows NT-Domäne unter einem Windows NT PDC (Primary Domain Controller)<br />
betrieben werden kann.<br />
Innerhalb einer Domäne können sonst nur Domänencontroller eingesetzt werden, die denselben Ver-<br />
zeichnisdienst verwenden, damit Änderungen vom veränderbaren Master-Verzeichnis auf die anderen<br />
Verzeichnisse repliziert werden können. Das bedeutet, dass ohne die oben genannte Erweiterung in einer<br />
Domäne, in der Samba-basierte Domänencontroller mit OpenLDAP eingesetzt werden, nicht gleichzeitig<br />
Windows-basierte Domänencontroller verwendet werden können.<br />
Hinweise zur Synchronisation von Verzeichnisdienstobjekten mit Windows 2000/2003/2008 mit Active Di-<br />
rectory finden sich in der Dokumentation des <strong>Univention</strong> Active Directory Connectors [15].<br />
Weiterführende Literatur zu Samba bietet die Website http://www.samba.org/.<br />
8.2.1 Authentifizierungsdienst<br />
Die Passwörter werden im LDAP-Verzeichnis gespeichert. Benutzer werden bei der Anmeldung an der<br />
Domäne mit Benutzernamen und Passwort gegen das LDAP-Verzeichnis authentifiziert und können dann<br />
auf alle freigegebenen Ressourcen der Domäne zugreifen ohne Benutzernamen und Passwort erneut<br />
eingeben zu müssen. Rechner mit jeglicher Art von Windows-Betriebssystem werden wie in Windows<br />
NT-Domänen über das NTLMv2-Protokoll authentifiziert.<br />
8.2.2 Dateidienst (File-Server)<br />
Benutzer können ihre Dateien auch von einem Windows-Client aus auf einem <strong>UCS</strong>-Server ablegen. Dies<br />
geschieht für die Benutzer transparent, denn sie speichern die Datei wie unter Windows gewohnt auf<br />
einem Laufwerk. Standardmäßig wird das Heimatverzeichnis jedes Benutzers durch Samba freigegeben<br />
und nach der Anmeldung unter Windows mit dem Laufwerk I: verbunden. Der Laufwerksbuchstabe kann<br />
mit <strong>Univention</strong> Directory Manager bequem für jeden Benutzer angepasst werden (siehe Kapitel 4.5.1,<br />
Karteikarte Windows).<br />
204
8.2 <strong>Univention</strong> Corporate Server und Samba<br />
Mit der Freigabenverwaltung des <strong>Univention</strong> Directory Manager lassen sich weitere Verzeichnisse des<br />
Linux-Dateisystems als Windows-Shares in der Domäne freigeben (siehe Kapitel 4.5.5).<br />
Als Dateisystem auf der Linux-Seite wird ext3 oder XFS empfohlen. Diese Dateisysteme erlauben die<br />
Verwendung von Access Control Lists (ACLs) und benutzer- bzw. gruppenspezifischen Speicherplatzbe-<br />
schränkungen (Quotas). Beides kann unter Windows konfiguriert werden.<br />
8.2.3 Druckdienst (Print-Server)<br />
Samba bietet die Möglichkeit, unter Linux eingerichtete Drucker als Netzwerkdrucker für Windows-Clients<br />
freizugeben. Unter <strong>UCS</strong> können Drucker in der Druckerverwaltung des <strong>Univention</strong> Directory Manager an-<br />
gelegt werden (siehe Kapitel 4.5.7). Dabei kann entweder ein für den betreffenden Drucker angepasster<br />
Druckertreiber auf dem Client verwendet werden oder für alle Drucker ein PostScript-Druckertreiber ein-<br />
gesetzt werden, wobei dann das Linux-Drucksystem die Übersetzung von PostScript in die geeignete<br />
Druckersprache übernimmt.<br />
Die zweite Lösung (PostScript) bietet den Vorteil, dass auf der Windows-Seite keine Administration von<br />
Druckertreibern mehr erforderlich ist. Auf der anderen Seite lassen sich über den PostScript-Druckertreiber<br />
nicht alle Eigenschaften bestimmter Druckermodelle ansprechen, so dass gelegentlich doch der Einsatz<br />
von Windows-Druckertreibern notwendig ist. Diese Treiber können zentral auf dem Samba-Server bereit-<br />
gestellt werden und stehen dann allen Windows-Clients zur Verfügung.<br />
Als Spoolsystem unter Linux setzt <strong>UCS</strong> standardmäßig das Common UNIX Printing System (CUPS)<br />
ein. CUPS zeichnet sich durch die Unterstützung sehr vieler Drucker und Druckprotokolle aus. Außer-<br />
dem wird CUPS mit einem Web-Interface geliefert, welches lokale Änderungen wie beispielsweise einen<br />
Druckerneustart erlaubt.<br />
8.2.4 NetBIOS-Netzwerkdienst<br />
NetBIOS ist ein auf Windows-Systemen verwendetes Netzwerkprotokoll zur Namensauflösung und Netz-<br />
werkkommunikation, welches in der Regel auf TCP/IP aufsetzt.<br />
Rechnernamen können in Windows-Netzwerken maximal 15 Zeichen lang, die Bekanntgabe an andere<br />
Systeme erfolgt über Broadcasts.<br />
Samba bildet NetBIOS-Funktionalität durch den Systemdienst nmbd ab und erlaubt so eine nahtlose<br />
Integration in <strong>Univention</strong> Corporate Server.<br />
Der NetBIOS-Name eines <strong>UCS</strong>-Systems entspricht standardmäßig dem Rechnernamen. In <strong>Univention</strong><br />
Management Console kann über die <strong>Univention</strong> Configuration Registry-Variable samba/netbios/name<br />
ein anderer NetBIOS-Name zugewiesen werden. Über die Variable samba/netbios/aliases können<br />
zusätzliche NetBIOS-Aliase für den Rechner eingerichtet werden. So können z.B. vor der Migration in<br />
einer Windows-Domäne verwendete Rechnernamen als NetBIOS-Namen oder NetBIOS-Aliase gesetzt<br />
werden. Nach Änderungen am NetBIOS-Dienst muss Samba neu gestartet werden.<br />
205
8 Services für Windows<br />
8.3 Aufbau von Samba-Domänen mit <strong>UCS</strong><br />
Zur Veranschaulichung wird in diesem Kapitel als Beispiel der Aufbau einer neuen Samba-Domäne mit<br />
<strong>UCS</strong> in einer Organisation mit einer Zentrale und zwei Filialen beschrieben.<br />
In der Zentrale wird ein PDC eingerichtet sowie ein BDC, der den PDC entlastet und bei Ausfall schnell<br />
ersetzen kann. Damit die Filialen auch dann arbeitsfähig sind, wenn es Netzwerkprobleme geben sollte,<br />
erhält jede Filiale ebenfalls einen BDC. Diese BDCs dienen lediglich als Authentifizierungsserver und sind<br />
nicht dafür vorgesehen, den PDC bei einem Ausfall zu ersetzen.<br />
Windows-basierte Clients können in die Samba-Domäne wie in eine Windows NT-Domäne integriert wer-<br />
den. Die Samba-Domäne erhält den ersten Teil der DNS-Domäne als Namen (siehe auch Kapitel 8.4.6.1).<br />
Ein DC Master mit Samba bietet automatisch PDC-Funktionalität. DC Backup und DC Slave-Server mit<br />
Samba können als BDCs eingesetzt werden, Memberserver mit Samba als sogenannte Mitgliedsserver.<br />
Mit dem Paket univention-samba-slave-pdc können auch nicht DC Master-Systeme (d.h. Domaincon-<br />
troller Backup, Domaincontroller Slave und Memberserver) als PDC eingesetzt werden. Generell ist zu<br />
beachten, daß nur ein PDC pro Netzwerk per Broadcast und WINS sichtbar installiert sein darf (siehe<br />
auch Kapitel 8.4.2).<br />
Der Aufbau der Samba-Domäne umfasst folgende Schritte:<br />
1. Standardmäßig befindet sich der PDC einer Samba-Domäne auf dem DC Master. Der DC Master<br />
muss also mit dem Paket Samba der Komponente Services for Windows installiert werden. Ein<br />
PDC muss eingerichtet sein, bevor Join-Skripte weiterer Samba-Systeme ausgeführt werden kön-<br />
nen.<br />
2. Durchführung des Domänenbeitritts der Windows-Clients.<br />
3. Installation des BDC in der Zentrale als DC Backup mit Samba. Domänenbeitritt und Replikation des<br />
LDAP-Verzeichnisses vom DC Master erfolgen automatisch.<br />
4. Installation der BDCs in den Filialen als DC Slave mit Samba. Domänenbeitritt und Replikation des<br />
LDAP-Verzeichnisses vom DC Master erfolgen wieder automatisch.<br />
5. Hinzufügen weiterer Objekte in das LDAP-Verzeichnis über <strong>Univention</strong> Directory Manager.<br />
Der Domänenbeitritt der Windows-Clients kann auch zum Schluss durchgeführt werden. Wichtig ist nur,<br />
dass der DC Master zuerst installiert wird. Änderungen im LDAP-Verzeichnis können ausschließlich auf<br />
dem DC Master vorgenommen werden und werden automatisch auf die Samba-Domänencontroller repli-<br />
ziert.<br />
Zur Erhöhung der Sicherheit kann der Replikationsbereich der Samba-Domänencontroller in den Filialen<br />
eingeschränkt werden. Dafür werden die LDAP-ACLs so angepasst, dass nur die Zweige des LDAP-<br />
Verzeichnisses, die in der Filiale tatsächlich benötigt werden, in die Filiale repliziert werden und auf andere<br />
Bereiche kein Zugriff besteht.<br />
Hinweise zum Domänenbeitrit von Windows-Systemen finden sich in Kapitel 2.4.2<br />
206
8.4 Erweiterte Konfiguration<br />
8.4.1 Vertrauensstellungen<br />
8.4 Erweiterte Konfiguration<br />
Vertrauensstellungen zwischen Domänen ermöglichen es den Benutzern einer Domäne, sich an Rechnern<br />
einer anderen Domäne anzumelden. Wenn eine Windows-Domäne einer Samba-Domäne vertraut, steht<br />
bei der Anmeldung an Rechnern der Windows-Domäne neben der Windows-Domäne auch die Samba-<br />
Domäne zur Auswahl. Benutzer aus der Samba-Domäne markieren diese bei der Anmeldung und werden<br />
gegen einen Domänencontroller der Samba-Domäne authentifiziert.<br />
Wenn eine Samba-Domäne einer Windows-Domäne vertraut, geben Benutzer aus der Windows-Domäne<br />
bei der Anmeldung an einen Linux-Rechner aus der Samba-Domäne als Benutzernamen + ein. Auf dieselbe Weise können sich die Benutzer auch an den<br />
Linux-Arbeitsplätzen der <strong>UCS</strong>-Domäne anmelden.<br />
Das Heimatverzeichnis des Benutzers wird auf dem PDC oder BDC, an dem der Benutzer authentifiziert<br />
wurde, unter /home/- erzeugt.<br />
Ein Benutzer schulze aus der Domäne WIN würde z.B. WIN+schulze zur Anmeldung eingeben. Sein<br />
Heimatverzeichnis hätte unter Linux den Pfad /home/WIN-schulze.<br />
Während der Einrichtung und Nutzung von Vertrauensstellungen müssen sich die Domänencontroller der<br />
beiden Domänen über das Netzwerk erreichen und per Broadcast oder WINS gegenseitig identifizieren<br />
können.<br />
8.4.1.1 Windows-Domäne vertraut Samba-Domäne<br />
1. In <strong>Univention</strong> Directory Manager ➞ Rechnerverwaltung muss ein Domain Trust Account an-<br />
gelegt werden - dessen Name dem NetBIOS-Namen der Windows-Domäne entspricht - und ein<br />
Passwort für das Konto vergeben werden. Die möglicherweise in der Windows-Domäne geltende<br />
Anforderungen an sichere Passwörter sind dabei zu beachten.<br />
2. Auf dem Windows-PDC muss eine Vertrauensstellung angelegt werden (siehe unten). Dazu wird der<br />
NetBIOS-Name der Samba-Domäne benötigt.<br />
3. Die Vertrauensstellung der Windows-Domäne zur Samba-Domäne kann durch Löschung der Ver-<br />
trauensstellung auf dem Windows-PDC und des Domain Trust Accounts in <strong>Univention</strong> Directory<br />
Manager wieder aufgehoben werden.<br />
Windows NT<br />
1. Auf dem Windows-PDC muss der Benutzer-Manager usrmgr.exe gestartet werden und im Menü<br />
Richtlinien ➞ Vertrauensstellungen... ➞ Vertraute Domänen ➞ [Hinzufügen...] ausgewählt wer-<br />
den.<br />
2. In das Eingabefeld Domäne ist der NetBIOS-Name der Samba-Domäne und in das Eingabefeld<br />
Kennwort das Passwort des Domain Trust Accounts einzutragen. Nach einem Klick auf [OK] er-<br />
scheint die Meldung “Die Vertrauensstellung mit wurde erfolg-<br />
reich eingerichtet”.<br />
207
8 Services für Windows<br />
Windows 2000<br />
1. Über Start ➞ Programme ➞ Verwaltung ➞ Active Directory-Domänen und -<br />
Vertrauensstellungen kann auf dem Windows-PDC das Menü für Vertrauensstellungen erreicht<br />
werden. Durch einen Klick mit der rechten Maustaste auf die eigene Domäne kann der Dialog<br />
Eigenschaften erreicht werden.<br />
2. Nach Auswahl von Vertrauensstellungen ➞ Domänen, denen diese Domäne vertraut ➞ [Hin-<br />
zufügen...] kann im Eingabefeld Vertraute Domäne der NetBIOS-Name der Samba-Domäne und<br />
in das Eingabefeld Kennwort das Passwort des Domain Trust Accounts eingegeben werden. Das<br />
Passwort muss im Eingabefeld Kennwortbestätigung wiederholt werden. Nach einem Klick auf<br />
[OK] wird die Vertrauensstellung eingerichtet. Wenn der Vorgang erfolgreich war, erscheint die Mel-<br />
dung “Die vertraute Domäne wurde hinzugefügt und die Vertrauensstellung bestätigt”. Sie<br />
kann mit [OK] bestätigt werden.<br />
Windows 2003<br />
Hinweis:<br />
Für die Dokumentation wurde die Version Windows Server 2003 Standard Edition zu Grunde gelegt.<br />
208<br />
1. Über Start ➞ Verwaltung ➞ Active Directory-Domänen und -Vertrauensstellungen kann auf<br />
dem Windows-PDC das Menü für Vertrauensstellungen erreicht werden. Durch einen Klick mit der<br />
rechten Maustaste auf die eigene Domäne kann der Dialog Eigenschaften erreicht werden.<br />
2. Nach Auswahl von Vertrauensstellungen ➞ [Neue Vertrauensstellung...] öffnet sich der Assis-<br />
tent für neue Vertrauensstellungen und muss mit [Weiter>] bestätigt werden.<br />
3. Nach Eintrag des NetBIOS-Namens der Samba-Domäne in das Eingabefeld Name muss ebenfalls<br />
mit [Weiter>] bestätigt werden.<br />
4. Als Richtung der Vertrauensstellung muss Unidirektional ausgehend ausgewählt werden und mit<br />
[Weiter>] bestätigt werden.<br />
Es stehen drei Funktionen zur Auswahl:<br />
Eine unidirektionale Vertrauensstellung ist eine zwischen zwei Domänen erstellte Verbindung zur<br />
Authentifizierung in eine Richtung. Dies bedeutet, dass bei einer unidirektionalen Vertrauensstellung<br />
zwischen Domäne A und Domäne B die Benutzer in Domäne A Zugriff auf Ressourcen in Domäne<br />
B haben. Die Benutzer in Domäne B können jedoch nicht auf Ressourcen in Domäne A zugreifen.<br />
Wenn Domäne A eine solche Vertrauensstellung eingerichtet werden soll, sollte die Funktion Unidi-<br />
rektional ausgehend ausgewählt werden. Soll Domäne B diese Rechte erhalten, muss auf Domä-<br />
ne A Unidirektional eingehend ausgewählt werden. Es gilt bei Unidirektionalen Verbindungen<br />
zu beachten, ob die Verbindung transitiv oder nicht transitiv sein soll.<br />
Die Transitivität bestimmt, ob eine Vertrauensstellung auf Domänen außerhalb der beiden Domänen,<br />
in denen diese erstellt wurde, erweitert werden kann. Mithilfe einer transitiven Vertrauensstellung<br />
können Vertrauensstellungen auf andere Domänen erweitert werden, während nicht transitive diese<br />
Erweiterung nicht ermöglichen.<br />
In einer bidirektionalen Vertrauensstellung vertraut Domäne A Domäne B, und Domäne B vertraut<br />
Domäne A. Dies bedeutet, dass Authentifizierungsanforderungen in beiden Richtungen zwischen<br />
den zwei Domänen ausgetauscht werden können.
8.4 Erweiterte Konfiguration<br />
5. Wenn Benutzer aus der Samba-Domäne Benutzern aus der Windows-Domäne in der Windows-<br />
Domäne gleichgestellt sein sollen, muss Domänenweite Authentifizierung aktiviert werden. Wenn<br />
Benutzern aus der Samba-Domäne in der Windows-Domäne nur ausgewählte Rechte gewährt wer-<br />
den sollen, reicht Ausgewählte Authentifizierung. Die Rechte können nach Fertigstellung der<br />
Vertrauensstellung unter Windows konfiguriert werden. Anschließend muss mit [Weiter>] auf den<br />
nächsten Dialog gewechselt werden.<br />
6. Nach Eingabe des Passworts des Domain Trust Account in die Eingabefelder Vertrauensstellungs-<br />
kennwort und Vertrauensstellungskennwort bestätigen muss mit [Weiter>] zur nächsten Einstel-<br />
lung gewechselt werden.<br />
7. Nach Prüfung der Einstellungen für die Vertrauensstellung können ggf. nötige Änderungen vorge-<br />
nommen werden. Nach einem Klick auf [Weiter>] wird die Vertrauensstellung erstellt.<br />
8. In diesem Schritt werden lediglich die vorgenommenen Änderungen angezeigt. Mit [Weiter>] kann<br />
zum nächsten Schritt gewechselt werden.<br />
9. Wenn sichergestellt wurde, dass ein Domain Trust Account angelegt wurde und eine Verbindung<br />
zum Samba-PDC aufgebaut werden kann, muss Ja, ausgehende Vertrauensstellung bestätigen<br />
aktiviert werden und [Weiter>] ausgewählt werden.<br />
10. Nun sollte der Änderungsstatus “Die Vertrauensstellung wurde erfolgreich hergestellt und be-<br />
stätigt” angezeigt werden und dieser Schritt mit [Fertig stellen] bestätigt werden.<br />
11. Die Vertrauensstellung wird unter Domänen, denen diese Domäne vertraut (ausgehende Ver-<br />
trauensstellung) angezeigt.<br />
8.4.1.2 Samba-Domäne vertraut Windows-Domäne<br />
1. Das Paket winbind muss auf dem Samba-PDC installiert sein und der Winbind-Dienst winbindd<br />
laufen. Winbind ordnet Windows-Benutzer- und Gruppennamen UNIX-IDs zu.<br />
Über <strong>Univention</strong> Management Console kann geprüft werden, ob das Paket winbind auf dem Server<br />
installiert ist. Ist das nicht der Fall, muss es nachinstalliert werden (siehe Kapitel 5.3.11).<br />
Nach der Installation startet der winbind-Dienst standardmäßig automatisch. Abhängig davon, wel-<br />
che Dienste winbind verwenden sollen, müssen die <strong>Univention</strong> Configuration Registry-Variablen<br />
auth/admin/methods und/oder auth/user/methods mit <strong>Univention</strong> Management Console um<br />
winbind ergänzt werden (siehe Kapitel 5.3.5), z.B. auf krb5 ldap unix winbind.<br />
Wenn der Prozess winbindd nicht in der Prozessliste in <strong>Univention</strong> Management Console zu finden<br />
ist, muss dieser dort gestartet werden (siehe Kapitel 5.3.9).<br />
2. Auf dem Windows-PDC muss eine Vertrauensstellung angelegt werden (siehe Kapitel 8.4.1.2). Bei<br />
der Wahl des Passworts für die Vertrauensstellung sind möglicherweise in der Windows-Domäne<br />
geltende Anforderungen an Passwörter zu beachten. Dazu wird der NetBIOS-Name der Samba-<br />
Domäne benötigt.<br />
Anschließend muss der winbind-Dienst über die <strong>Univention</strong> Management Console neugestartet<br />
werden.<br />
muss durch den NetBIOS-Namen der Windows-Domäne ersetzt werden. Der<br />
Befehl erfordert zur Eingabe eines Passworts auf, wobei das auf dem Windows-PDC verwendete<br />
209
8 Services für Windows<br />
210<br />
Passwort angegeben werden muss. Anschließend sollte die Meldung Trust to domain established erscheinen.<br />
Hinweis:<br />
Dieser Befehl muss auf allen Samba-Anmeldeservern ausgeführt werden (Domänencontroller Mas-<br />
ter, Backup und Slave).<br />
Es ist bekannt, dass der Befehl manchmal unbegründete Fehlermeldungen wie Could not connect<br />
to server ausgibt. Mit folgendem Befehl kann geprüft werden, ob die<br />
Vertrauensstellung korrekt hinzugefügt wurde:<br />
net rpc trustdom list<br />
Dazu sollte das Passwort von root auf dem Samba-PDC bzw. -BDC verwendet werden. Die Ausgabe<br />
des Befehls sollte der folgenden ähneln:<br />
Trusted domains list:<br />
S-1-5-21-1275210071-1060284298-839522115<br />
Trusting domains list:<br />
none<br />
Zur Fehlersuche kann unter Windows die Ereignisanzeige Hinweise zur Problemeingrenzung lie-<br />
fern.<br />
3. Mit dem Befehl<br />
net rpc trustdom revoke <br />
kann die Vertrauensstellung zur der Windows-Domäne wieder aufgehoben werden. Die Vertrauens-<br />
stellung muss außerdem auf dem Windows-PDC entfernt werden.<br />
4. Hinweis:<br />
Nach jeder der folgenden Einstellungen muss ein Neustart des nscd-Dienstes bspw. über <strong>Univention</strong><br />
Management Console erfolgen.<br />
Windows NT<br />
a) Auf dem Windows-PDC muss der Benutzer-Manager usrmgr.exe gestartet werden und im<br />
Menü Richtlinien ➞ Vertrauensstellungen... ➞ Berechtigt, dieser Domäne zu vertrauen<br />
➞ [Hinzufügen...]. ausgewählt werden.<br />
b) Der NetBIOS-Name der Samba-Domäne muss in das Eingabefeld Berechtigung für Domäne<br />
und ein beliebiges Passwort in das Eingabefeld Kennwort eingetragen werden. Nach Wieder-<br />
holung des Passworts im Eingabefeld Kennwortbestätigung kann die Einrichtung durch Klick<br />
auf [OK] abgeschlossen werden.<br />
Windows 2000<br />
a) Nach Auswahl von Start ➞ Programme ➞ Verwaltung ➞ Active Directory-Domänen und -<br />
Vertrauensstellungen auf dem Windows-PDC kann durch Klick mit der rechten Maustaste auf<br />
die eigene Domäne und Auswahl von Eigenschaften ➞ Vertrauensstellungen ➞ Domänen,<br />
die dieser Domäne vertrauen ➞ [Hinzufügen..] der Einrichtungs-Dialog erreicht werden. In
8.4 Erweiterte Konfiguration<br />
das Eingabefeld Vertrauende Domäne muss der NetBIOS-Namen der Samba-Domäne und<br />
in das Eingabefeld Kennwort ein beliebiges Passwort eingegeben werden. Nach Wiederho-<br />
lung des Passworts im Eingabefeld Kennwortbestätigung kann durch Klick auf [OK] bestätigt<br />
werden.<br />
b) Wenn die Meldung “Sie müssen über die Berechtigung verfügen, Vertrauensstellung für<br />
die Domäne ’’ verwalten zu können, um diese neue Vertrau-<br />
ensstellung zu bestätigen. Soll die neue Vertrauensstellung bestätigt werden?” erscheint,<br />
muss auf [Nein] geklickt werden.<br />
Windows 2003 Hinweis:<br />
Für die Dokumentation wurde die Version Windows Server 2003 Standard Edition verwendet.<br />
8.4.2 WINS<br />
a) Nach Auswahl von Start ➞ Verwaltung ➞ Active Directory-Domänen und -<br />
Vertrauensstellungen auf dem Windows-PDC kann durch Klick mit der rechten Maustaste<br />
auf die eigene Domäne der Dialog Eigenschaften erreicht werden.<br />
b) Die Windows-Domäne muss im gemischten Modus betrieben werden. Dies wird auf der Kar-<br />
teikarte Allgemein durch die Angabe Domänenfunktionsebene: Windows 2000 gemischt<br />
angezeigt.<br />
c) Nach Auswahl von Vertrauensstellungen ➞ [Neue Vertrauensstellung...] öffnet sich der As-<br />
sistent für neue Vertrauensstellungen, welcher mit [Weiter>] fortgesetzt werden kann.<br />
d) Der NetBIOS-Namen der Samba-Domäne muss in das Eingabefeld Name eingetragen und auf<br />
[Weiter>] geklickt werden.<br />
e) Als Art der Verbindung sollte Nicht Transitiv konfiguriert werden, um den Zugriff auf Res-<br />
sourcen von Domänen, mit denen die Windows-Domäne bereits eine Vertrauensbeziehung<br />
eingegangen ist, zu unterbinden.<br />
f) Als Richtung der Vertrauensstellung muss Unidirektional eingehend ausgewählt und mit<br />
[Weiter>] bestätigt werden..<br />
g) Nach Eingabe eines beliebigen Passworts in die Eingabefelder Vertrauensstellungskennwort<br />
und Vertrauensstellungskennwort bestätigen muss auf [Weiter>] geklickt werden.<br />
h) Nach Prüfung der Einstellungen für die Vertrauensstellung und Anwendung ggf. nötiger Ände-<br />
rungen wird die Vertrauensstellung durch Klick auf [Weiter>] erstellt.<br />
i) Die daraufhin angezeigten Änderungen müssen mit [Weiter>] bestätigt werden.<br />
j) “Nein, eingehende Vertrauensstellung nicht bestätigen” sollte ausgewählt und mit<br />
[Weiter>] bestätigt werden.<br />
k) Die Anzeige des Änderungsstatus “Die Vertrauensstellung wurde erfolgreich erstellt” muss<br />
durch Klick auf [Fertig stellen] bestätigt werden.<br />
l) Die Vertrauensstellung wird unter Domänen, die dieser Domäne vertrauen (eingehende Ver-<br />
trauensstellung) angezeigt.<br />
Windows-Betriebssysteme verwenden im Netzwerk so genannte NetBIOS-Namen. Der Windows Internet<br />
Name Service (WINS) ist ein Dienst zur Auflösung solcher NetBIOS-Namen in IP-Adressen ähnlich DNS<br />
211
8 Services für Windows<br />
in TCP/IP-Netzwerken. Außerdem stellt WINS Informationen über die Aufgaben der Rechner bereit.<br />
Der WINS-Dienst kann auch von Samba übernommen werden. Der Einsatz von WINS-Replikation ist mög-<br />
lich. Informationen zur Einrichtung von WINS-Replikation finden sich in der <strong>Univention</strong> Support Datenbank<br />
unter http://sdb.univention.de/1107<br />
Wird nur ein WINS-Server eingesetzt und sollte dieser WINS-Server ausfallen, kann durch Eingabe weni-<br />
ger Befehle der WINS-Server auf einem anderen Samba-Server aktiviert werden (siehe Kapitel 8.4.2.1).<br />
WINS wird aktiviert, indem die <strong>Univention</strong> Configuration Registry-Variable windows/wins-support auf<br />
dem gewünschten Samba-Server auf yes gesetzt wird. (Dementsprechend kann WINS deaktiviert werden,<br />
indem die Variable auf no oder leer geändert wird.)<br />
Standardmäßig ist der WINS-Support auf dem PDC aktiviert. Werden mehrere Samba-Server eingesetzt,<br />
kann anderen Servern der FQDN oder die IP-Adresse des WINS-Servers über die <strong>Univention</strong> Configura-<br />
tion Registry-Variable windows/wins-server zugewiesen werden.<br />
Die <strong>Univention</strong> Configuration Registry-Variablen setzen die Samba-Parameter wins support und<br />
wins server. Auf einem Samba-Server, auf dem WINS angeschaltet ist, darf kein WINS-Server<br />
in der Samba-Konfiguration eingetragen sein. Deshalb wird der Wert der <strong>Univention</strong> Configuration<br />
Registry-Variable windows/wins-server nur dann in die Samba-Konfiguration geschrieben, wenn<br />
windows/wins-support ungleich yes ist.<br />
Wird der Wert von windows/wins-support oder windows/wins-server geändert, muss Samba<br />
über <strong>Univention</strong> Management Console neu gestartet werden, um die Änderung wirksam werden zu lassen.<br />
Der WINS-Server kann den Windows-Clients über DHCP bekannt gemacht werden. Dazu ist der WINS-<br />
Server in <strong>Univention</strong> Directory Manager bei dem entsprechenden DHCP-Objekt auf der Karteikarte<br />
[NetBIOS] einzutragen oder an einen Container oberhalb des Objekts mit einer DHCP-NetBIOS-Richtlinie<br />
zu verbinden.<br />
Bei der Migration einer Windows-Domäne muss auf Windows-Clients ohne DHCP kein neuer WINS-Server<br />
eingetragen werden, wenn der Samba-WINS-Server dieselbe IP-Adresse verwendet wie der Windows-<br />
WINS-Server. Dafür eignet sich auch eine virtuelle Netzwerkschnittstelle auf dem Samba-WINS-Server,<br />
der die IP-Adresse des Windows-WINS-Servers zugewiesen wird.<br />
8.4.2.1 Ersetzen eines ausgefallenen WINS-Servers<br />
Um einen ausgefallenen WINS-Server zu ersetzen, muss folgendermaßen vorgegangen werden:<br />
212<br />
1. Auf dem Samba-Server, der WINS in Zukunft anbieten soll, muss die <strong>Univention</strong> Configuration<br />
Registry-Variable windows/wins-support über <strong>Univention</strong> Management Console auf yes gesetzt<br />
werden:<br />
2. Der Samba-Dienst muss über <strong>Univention</strong> Management Console neu gestartet werden.<br />
3. Bestehende Systeme müssen auf die Adresse des neuen WINS-Servers konfiguriert werden, bei-<br />
spielsweise über einen DNS-Alias-Record (siehe Kapitel 4.5.9.2), eine DHCP-NetBIOS-Richtlinie<br />
(siehe Kapitel 4.5.11.5) oder bei Samba-Servern durch Konfiguration der <strong>Univention</strong> Configuration<br />
Registry-Variable windows/wins-server.
8.4.3 NETLOGON-Freigabe<br />
8.4 Erweiterte Konfiguration<br />
Die NETLOGON-Freigabe dient der Bereitstellung von Systemrichtlinien und Anmeldeskripten in<br />
Windows-Domänen. Unter <strong>UCS</strong> ist standardmäßig das Verzeichnis /var/lib/samba/netlogon als<br />
Samba-Freigabe NETLOGON eingerichtet.<br />
Die NETLOGON-Freigabe muss auf allen Samba-Domänencontrollern zur Verfügung stehen und sollte<br />
denselben Inhalt haben. Um das sicherzustellen, werden Änderungen ausschließlich auf dem DC Master<br />
vorgenommen (selbst wenn auf dem DC Master Samba nicht installiert ist) und standardmäßig stündlich<br />
mithilfe der Programme rsync und ssh verschlüsselt auf alle DC Backup- und DC Slave-Systeme, auf<br />
denen Samba installiert ist, synchronisiert. Das Synchronisationsintervall kann auf den einzelnen Servern<br />
in der Datei /etc/cron.d/univention-samba geändert werden.<br />
Mit Hilfe der <strong>Univention</strong> Configuration Registry-Variable samba/netlogon/sync kann die Synchronisa-<br />
tion der NETLOGON-Freigabe gesteuert werden. Die Variable kann auf dem jeweiligen DC Backup- oder<br />
DC Slave-System gesetzt werden und kann drei unterschiedliche Zustände annehmen:<br />
• sync<br />
Die Netlogon-Skripte werden vom DC Master auf das lokale System repliziert, dadurch werden auf<br />
dem DC Master nicht mehr vorhandene Dateien lokal gelöscht. Das ist die Standardeinstellung.<br />
• download<br />
Die Netlogon-Skripte werden vom DC Master heruntergeladen und ggf. überschrieben. Es werden<br />
jedoch lokal keine Dateien gelöscht.<br />
• none<br />
Die Synchronisation ist deaktiviert.<br />
8.4.3.1 Anmeldeskripte<br />
Anmeldeskripte sind Skripte, die auf Windows-Rechnern nach der erfolgreichen Anmeldung eines Be-<br />
nutzers ausgeführt werden. Damit lassen sich beliebige Änderungen an der Umgebung des Benutzers<br />
ausführen, bevor dieser mit dem System arbeiten kann. Das Standard-Anmeldeskript liegt im Verzeichnis<br />
scripts in der Samba-Freigabe NETLOGON. Im Kapitel 8.4.5 wird erläutert, wie andere Anmeldeskripte<br />
auf Samba- und Benutzerebene festgelegt werden können. Skripte müssen in einem für Windows auffind-<br />
baren Format gespeichert werden, wie bat und cmd.<br />
Mit dem Befehl<br />
net user /domain<br />
kann unter Windows geprüft werden, ob und welches Anmeldeskript dem in benutzername angegebenen<br />
Benutzer zugeordnet ist.<br />
Um ein globales Anmeldeskript zu definieren, steht die <strong>Univention</strong> Configuration Registry-Variable<br />
samba/logonscript zur Verfügung. Ist diese Variable auf einem Samba-Server gesetzt, wird allen Be-<br />
nutzern, die sich an diesem Samba-Server anmelden, standardmäßig das dort angegebene Anmeldeskript<br />
zugeordnet.<br />
213
8 Services für Windows<br />
8.4.3.2 Systemrichtlinien<br />
Samba unterstützt die Verwendung von so genannten Systemrichtlinien, die unter Windows mit dem Werk-<br />
zeug poledit.exe erzeugt und bearbeitet werden können. Mit Systemrichtlinien lassen sich eine große Zahl<br />
von Benutzer- und Client-bezogenen Voreinstellungen festlegen. So können Benutzer damit beispielswei-<br />
se auf die Möglichkeit zum Ausführen nur weniger, vordefinierter Programme beschränkt werden. Sys-<br />
temrichtlinien müssen in einer Windows- bzw. Samba-Domäne in der NETLOGON-Freigabe unter dem<br />
Dateinamen ntconfig.pol abgelegt werden.<br />
8.4.4 Anlegen von Objekten im LDAP-Verzeichnis über Samba<br />
Wenn in einer Samba-Domäne Benutzer- oder Gruppenkonten angelegt werden oder ein Windows-<br />
Rechner der Domäne beitritt, werden diese Daten über Samba in das LDAP-Verzeichnis eingetragen.<br />
Dabei wird zunächst geprüft, ob ein Objekt mit diesem Namen bereits im LDAP-Verzeichnis existiert.<br />
Existierende Objekte werden an die neuen Angaben angepasst.<br />
Wenn die Objekte noch nicht im LDAP-Verzeichnis existieren, werden die Konten in Standard-<br />
Containern angelegt. Diese Standard-Container können mit den <strong>Univention</strong> Configuration<br />
Registry-Variablen samba/defaultcontainer/user, samba/defaultcontainer/group und<br />
samba/defaultcontainer/computer festgelegt werden. Dabei muss immer der vollständige DN<br />
des gewünschten Containers verwendet werden. Wird die <strong>Univention</strong> Configuration Registry-Variable<br />
samba/defaultcontainer/group beispielsweise über <strong>Univention</strong> Management Console auf den<br />
Container cn=windows-groups,cn=groups,dc=firma,dc=com konfiguriert, wird dieser zum Standard-<br />
container für Gruppenkonten. Auf verschiedenen Samba-Servern können die Variablen unterschiedliche<br />
Werte enthalten. So können z.B. Rechner von Standort 1 in einem anderen Container angelegt werden<br />
als Rechner von Standort 2. Sind die Variablen nicht gesetzt, so werden die Container cn=users,, cn=groups, und cn=computers, verwendet.<br />
Bei einer Übernahme von NT-Benutzerkonten werden die Standard-Container des Servers, auf dem das<br />
Migrationsskript ausführt wird, verwendet. Existierende Objekte werden genauer in der Migrationsdoku-<br />
mentation [14] beschrieben.<br />
8.4.5 Konfiguration von Windows-Benutzerkonten<br />
Einstellungen, die für alle Windows-Benutzerkonten gelten sollen, werden in der Samba-Konfiguration vor-<br />
genommen. Sie besteht aus der Datei /etc/samba/smb.conf und den darin eingebundenen Dateien.<br />
Zahlreiche Parameter der Samba-Konfiguration können mit <strong>Univention</strong> Configuration Registry-Variablen<br />
gesetzt werden. Werden mehrere Server genutzt, ist zu beachten, dass für die Benutzer jeweils die<br />
Samba-Konfiguration desjenigen Servers gilt, gegen den sie sich authentifiziert haben. Benutzerspezi-<br />
fische Einstellungen können über <strong>Univention</strong> Directory Manager ➞ Benutzer hinzufügen/bearbeiten<br />
➞ Karteikarte Windows vorgenommen werden.<br />
UNIX-Verzeichnisse, die unter Windows verwendet werden sollen, müssen als Samba-Freigabe eingerich-<br />
tet werden (siehe Kapitel 4.5.5). In den folgenden Beispielen muss durch den NetBIOS-<br />
Namen des Servers, auf dem das Verzeichnis liegt, ersetzt werden (siehe Kapitel 8.4.6).<br />
214
8.4.5.1 Windows-Heimatverzeichnis<br />
8.4 Erweiterte Konfiguration<br />
Samba stellt das Linux-Heimatverzeichnis eines Benutzers automatisch auf einem Laufwerksbuchsta-<br />
ben unter Windows zur Verfügung. In der Samba-Konfiguration gibt es den Parameter logon home,<br />
der sich standardmäßig auflöst zu \\\, beispielsweise<br />
\\ucs-samba-server\meier. Folglich erscheint das Verzeichnis unter Windows auf dem Heimatlauf-<br />
werk (siehe Kapitel 8.4.5.2) als Verzeichnis mit dem Verzeichnisnamen, der dem Benutzernamen ent-<br />
spricht.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable samba/homedirserver kann ein anderer Server und<br />
mit samba/homedirpath ein anderes Verzeichnis für logon home in die Samba-Konfiguration eingetra-<br />
gen werden. Diese Werte gelten dann für alle Benutzer.<br />
Werden diese Variablen sowie samba/homedirletter auf local gesetzt, so wird kein Verzeichnis au-<br />
tomatisch unter Windows zur Verfügung gestellt bzw. werden - soweit vorhanden - die Einstellungen aus<br />
<strong>Univention</strong> Directory Manager verwendet.<br />
In <strong>Univention</strong> Directory Manager können Server und Verzeichnis im Eingabefeld Windows-<br />
Heimatverzeichnis benutzerspezifisch festgelegt werden. Wenn für den Benutzer ein anderer Server als<br />
in der Samba-Konfiguration vorgegeben gelten soll, so ist der Server und der Benutzername für das Hei-<br />
matverzeichnis in das Eingabefeld einzutragen. Bsp. \\ucs-file-server\meier<br />
Wenn anstelle des UNIX-Heimatverzeichnisses des Benutzers ein anderes UNIX-Verzeichnis auf dem<br />
Windows-Laufwerk für das Heimatverzeichnis angezeigt werden soll, muss dieser Server und das Ver-<br />
zeichnis in das Eingabefeld Windows-Heimatverzeichnis eingetragen werden.<br />
8.4.5.2 Laufwerk für Heimatverzeichnis<br />
In der Samba-Konfiguration ist im Parameter logon drive definiert, auf welchem Windows-Laufwerk die<br />
UNIX-Heimatverzeichnisse der Benutzer standardmäßig erscheinen sollen. Unter <strong>UCS</strong> ist dies standard-<br />
mäßig Laufwerk I:.<br />
Wenn dieses Laufwerk bereits anderweitig belegt ist oder aus anderen Gründen standardmäßig ein an-<br />
deres Laufwerk verwendet werden soll, kann der Wert mit der <strong>Univention</strong> Configuration Registry-Variable<br />
samba/homedirletter in der Samba-Konfiguration verändert werden.<br />
Durch Setzen dieser Variable sowie samba/homedirserver und samba/homedirpath auf local wird<br />
kein Laufwerk verbunden bzw. werden - soweit vorhanden - die Einstellungen aus <strong>Univention</strong> Directory<br />
Manager verwendet.<br />
Wenn das Heimatverzeichnis nur bei bestimmten Benutzern auf einem anderen Windows-Laufwerk er-<br />
scheinen soll, muss in <strong>Univention</strong> Directory Manager jeweils der Laufwerksbuchstaben mit anschließen-<br />
dem Doppelpunkt in das Eingabefeld Laufwerk für Heimatverzeichnis eingetragen werden.<br />
8.4.5.3 Anmeldeskript<br />
Wenn ein Benutzer sich an Windows anmeldet, kann automatisch ein so genanntes Anmeldeskript aus-<br />
geführt werden. Das Standard-Anmeldeskript liegt im Verzeichnis scripts in der Samba-Freigabe NET-<br />
215
8 Services für Windows<br />
LOGON, die bei <strong>UCS</strong> das Verzeichnis /var/lib/samba/netlogon freigibt (siehe Kapitel 8.4.3 und<br />
8.4.3.1).<br />
In <strong>Univention</strong> Directory Manager kann im Eingabefeld Anmeldeskript ein anderes An-<br />
meldeskript spezifisch für den Benutzer relativ zur NETLOGON-Freigabe, also relativ zu<br />
/var/lib/samba/netlogon, definiert werden. Soll z.B. für die Benutzerin meier das Skript<br />
/var/lib/samba/netlogon/scripts/meier.bat gelten, so ist scripts\meier.bat einzu-<br />
geben. Dies entspricht dem Samba-Konfigurations-Parameter login script.<br />
8.4.5.4 Profilverzeichnis<br />
Im Profilverzeichnis wird das Benutzerprofil für die Windows-Oberfläche gespeichert. In der Samba-<br />
Konfiguration gibt es den Parameter logon path, der sich unter <strong>UCS</strong> standardmäßig auflöst zu<br />
\\\\windows-profiles\.<br />
In diesem Verzeichnis werden auch die Dateien gespeichert, die der Benutzer unter Windows im Ordner<br />
Eigene Dateien speichert. Sie werden zwischenzeitlich lokal auf dem Windows-Rechner gespeichert und<br />
erst auf die Festplatte des Samba-Servers geschrieben, wenn der Benutzer sich von Windows abmeldet.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable samba/profileserver kann ein anderer Server, mit<br />
samba/profilepath ein anderes Verzeichnis für logon path festgelegt werden.<br />
In <strong>Univention</strong> Directory Manager kann in dem Eingabefeld Profilverzeichnis ein abweichender<br />
Pfad oder ein anderer Server für das Profilverzeichnis für den Benutzer konfiguriert werden. Bsp.<br />
\\ucs-file-server\meier\profiles\winXP.<br />
Wird der Pfad später geändert, wird ein neues Profilverzeichnis angelegt. Die Daten aus dem alten Profil-<br />
verzeichnis bleiben dabei erhalten und können manuell in das neue Profilverzeichnis kopiert beziehungs-<br />
weise verschoben werden. Abschließend kann das alte Profilverzeichnis gelöscht werden.<br />
Durch Konfiguration der <strong>Univention</strong> Configuration Registry-Variablen samba/profilepath und<br />
samba/profileserver auf local können servergespeicherten Profile deaktiviert werden. Hierzu ist au-<br />
ßerdem ein Neustart des Samba-Dienstes notwendig.<br />
Sollen neben dem PDC weitere BDCs verwendet werden, muss diese Einstellung auf anderen Systemen<br />
analog erfolgen.<br />
8.4.5.5 Relative ID<br />
Alle Benutzer, Gruppen und Rechner in einer Windows-Domäne haben eine Security ID (SID), die sich aus<br />
zwei Teilen zusammensetzt. Der vordere Teil ist allen Mitgliedern und Gruppen der Domäne gemeinsam<br />
und unterscheidet sich von anderen Domänen. Durch den hinteren Teil unterscheiden sich die Mitglieder<br />
und Gruppen innerhalb der Domäne eindeutig voneinander. Dieser Teil wird relative ID (RID) genannt. Die<br />
komplette SID ist also für jedes Objekt eindeutig. Die RIDs 0 bis 999 sind für die Vergabe an Standard-<br />
Gruppen und andere spezielle Objekte vorgesehen.<br />
216
8.4.5.6 Passwort-Eigenschaften für Windows-Clients<br />
8.4 Erweiterte Konfiguration<br />
Für Benutzer-Passworte können in <strong>Univention</strong> Directory Manager über die Richtlinie Passwort Vorgaben<br />
hinsichtlich Mindestlänge, Passwort-Qualität und Passwort-Historie vorgenommen werden. Diese Einstel-<br />
lungen wirken sich nur indirekt auf in Windows geänderte Passworte aus.<br />
Der Hintergrund: Samba nimmt die Passwort-Änderungen von Windows-Clients entgegen und gibt sie<br />
an <strong>Univention</strong> Directory Manager weiter. In <strong>Univention</strong> Directory Manager wird die Richtlinie Passwort<br />
ausgewertet; falls diese verletzt wird - etwa bei zu kurzem Passwort - wird die Passwort-Änderung zu-<br />
rückgewiesen. Samba gibt an den Windows-Client die Meldung Sie haben keine Berechtigung, das<br />
Passwort zu ändern zurück.<br />
Damit von Samba aussagekräftige Fehlermeldungen an den Client zurückgegeben werden, können in der<br />
Samba-Konfiguration einige Einstellungen hinsichtlich Passwort-Eigenschaften vorgenommen werden.<br />
Dazu muss im <strong>Univention</strong> Directory Manager das Samba-Domänenobjekt bearbeitet werden.<br />
In <strong>Univention</strong> Directory Manager kann über Navigation der Container samba geöffnet werden. In diesem<br />
findet sich ein Eintrag Einstellungen: Samba-Domäne, der bearbeitet werden kann.<br />
Als Passwort Länge sollte derselbe Wert verwendet werden, der auch in der Richtlinie Passwort zum<br />
Tragen kommt (die Voreinstellung der Richtlinie ist 8). Für die Passwort-History sollte analog der Wert<br />
der Richtlinie Passwort verwendet wird (die Voreinstellung ist 3). Durch einen Klick auf [Ok] werden die<br />
Einstellungen gespeichert. Um eventuelle spätere Fehlersuchen zu vereinfachen, sollten die Einstellungen<br />
in der Richtlinie Passwort und im Objekt Samba-Konfiguration identisch sein.<br />
Bei den nächsten Passwort-Änderungen an Windows-Rechnern wird bei Verletzung der Einstellung eine<br />
entsprechende Fehlermeldung ausgegeben.<br />
Hinweis:<br />
Die Einstellungen des Samba-Domänen-Objekts wirken sich nur auf Windows-Clients aus. Einstellun-<br />
gen, die analog auch im <strong>Univention</strong> Directory Manager konfiguriert werden können, sollten nach Möglich-<br />
keit synchron gehalten werden.<br />
Über das Samba-Domänen-Objekt lassen sich noch weitere Passwort-Eigenschaften einer Samba-<br />
Domäne für Windows-Clients konfigurieren:<br />
Parameter Erklärung<br />
Minimales Passwortalter Dies ist der minimale Zeitraum, der vergehen muss, bevor ein<br />
Passwort erneut geändert werden kann. Wird kein Wert konfi-<br />
guriert wird, ist eine umgehende Passwortänderung möglich.<br />
Maximales Passwortalter Das maximale Alter eines Passworts, bevor es geändert werden<br />
Fehlgeschlagene Anmeldever-<br />
suche vor Aussperrung<br />
muss. Wird kein Wert konfiguriert, ist ein Passwort unbegrenzt<br />
gültig. Es wird empfohlen, die Passwort-Ablaufintervalle für die<br />
<strong>UCS</strong>- und Samba-Domäne gleich zu halten.<br />
Die Anzahl an zugelassenen fehlerhaften Anmeldevorgängen,<br />
bevor ein Account gesperrt wird.<br />
Dauer der Aussperrung Dauer der Sperrung, wenn zu viele fehlgeschlagene Anmeldun-<br />
gen erfolgten.<br />
217
8 Services für Windows<br />
Fehlgeschlagene Anmeldever-<br />
suche zurücksetzen nach<br />
Änderung des Passwortes er-<br />
fordert Anmeldung<br />
Anzahl an erfolgreichen Anmeldungen, die nötig sind, um die<br />
gespeicherten fehlgeschlagenen Versuche zurückzusetzen.<br />
Wird diese Option gesetzt, ist eine Änderung des Passworts nur<br />
nach erfolgreicher Anmeldung möglich.<br />
Verbindung trennen nach Konfiguriert die maximale Länge einer angemeldeten Sitzung.<br />
Änderung des Rechnerpass-<br />
wortes ablehnen<br />
8.4.6 Konfiguration von Samba-Servern<br />
8.4.6.1 Samba-Domänenname<br />
Diese Option bewirkt, dass Anfragen zur Änderung des Rech-<br />
nerpasswortes verworfen werden.<br />
Standardmäßig erhält eine Samba-Domäne unter <strong>UCS</strong> den ersten Teil des DNS-Domänennamens als<br />
Namen. Lautet der DNS-Domänenname z.B. firma.com, so heißt die Samba-Domäne firma.<br />
Dieser Name wird bereits bei der Installation des DC Master im LDAP-Verzeichnis angelegt, unabhängig<br />
davon, ob auf dem DC Master die Komponente Services für Windows installiert wird oder nicht.<br />
Mit der Installation des Pakets univention-samba wird die <strong>Univention</strong> Configuration Registry-Variable<br />
windows/domain ebenfalls auf diesen Namen gesetzt, sofern sie noch nicht existiert.<br />
In Umgebungen, in denen die Samba-Domäne z.B. an verschiedenen Standorten unterschiedliche Na-<br />
men haben soll, kann die <strong>Univention</strong> Configuration Registry-Variable windows/domain auf den örtlichen<br />
Samba-Servern jeweils auf den gewünschten Namen gesetzt werden. Diese Namen müssen in Univenti-<br />
on Directory Manager unter Navigation ➞ samba als Einstellungen: Samba-Domäne-LDAP-Objekte<br />
eingetragen werden. Dabei muss beachtet werden, dass die Objekte trotz unterschiedlicher Samba-<br />
Domänennamen mit derselben Samba-SID verbunden werden, um trotz der unterschiedlichen Namen<br />
eine einzige Samba-Domäne abzubilden.<br />
8.4.6.2 LDAP Replication Sleep<br />
Über die <strong>Univention</strong> Configuration Registry-Variable samba/ldap/replication/sleep kann der Pa-<br />
rameter ldap replication sleep in der Samba-Konfiguration anpasst werden. Mit diesem Parameter wird<br />
die Zeitspanne gesetzt, die Samba für die Replikation von Änderungen im LDAP-Verzeichnis vorsieht (in<br />
Millisekunden). Der Vorgabewert beträgt 1000 Millisekunden (also eine Sekunde). In Umgebungen, in de-<br />
nen bei der Replikation z.B. durch eine langsame Netzwerkverbindung Verzögerungen auftreten, ist es<br />
sinnvoll, einen höheren Wert zu verwenden. Der Maximalwert beträgt 5000 Millisekunden.<br />
8.4.6.3 Windows-Berechtigungen<br />
Samba gibt Administratoren die Möglichkeit, Rechte an andere Benutzer zu übertragen, um somit gerade<br />
bei großen Umgebungen die administrative Arbeitslast zu verteilen.<br />
218
8.4 Erweiterte Konfiguration<br />
In die <strong>Univention</strong> Configuration Registry-Variable samba/adminusers können Benutzer eingetragen wer-<br />
den, die Administratoren-Rechte erhalten sollen. Diese Benutzer werden der Samba-Gruppe Adminusers<br />
zugeordnet, in der standardmäßig nur der Administrator-Benutzer eingetragen ist.<br />
Um die Anzahl der Adminusers gering zu halten, ist es empfehlenswert, Benutzern einzelne Privilegien<br />
zu geben und nicht alle Administrator-Rechte.<br />
Das bedeutet, dass der Administrator einem Benutzer ein bestimmtes Privileg gibt, das sonst nur der<br />
Administrator verwalten kann.<br />
Mit folgendem Befehl können die verfügbaren Privilegien aufgelistet werden:<br />
net rpc rights list -U Administrator<br />
Hier die Ausgabe mit Erläuterungen:<br />
Privileg Erklärung<br />
SeMachineAccountPrivilege Erlaubt das Einbinden von Rechnern in die Domäne<br />
SePrintOperatorPrivilege Erlaubt die Verwaltung von Druckern<br />
SeAddUsersPrivilege Erlaubt das Hinzufügen von Domänen-Benutzern und<br />
Domänen-Gruppen<br />
SeRemoteShutdownPrivilege Erlaubt den Neustart eines anderen Rechners<br />
SeDiskOperatorPrivilege Erlaubt die Verwaltung von Verzeichnis-Freigaben<br />
SeBackupPrivilege Erlaubt die Datensicherung von Dateien und Verzeichnissen<br />
SeRestorePrivilege Erlaubt die Wiederherstellung von Dateien und Verzeichnisse<br />
SeTakeOwnershipPrivilege Erlaubt die Inbesitznahme von Dateien und Verzeichnissen und<br />
somit die Änderung von Rechten<br />
Folgender Befehl weist bestimmten Benutzern ein Privileg zu:<br />
net rpc rights grant -U Administrator <br />
Als Beispiel:<br />
net rpc rights grant -U Administrator BENUTZER1 SeMachineAccountPrivilege<br />
Nach Eingabe des root-Passworts erscheint folgende Ausgabe:<br />
Successfully granted rights.<br />
Der BENUTZER1 verfügt nun über das Privileg, neue Rechner zur Domäne hinzuzufügen.<br />
Mit folgendem Befehl kann dieses Privileg wieder entfernt werden:<br />
net rpc rights revoke -U Administrator <br />
Nach erneuter Eingabe des Administrator-Passworts sollte folgende Ausgabe erscheinen:<br />
Successfully revoked rights.<br />
Mit folgendem Befehl kann aufgelistet werden, welche Privilegien einem Benutzer zugeordnet sind:<br />
net rpc rights list -U Administrator <br />
219
8 Services für Windows<br />
8.4.6.4 Samba-Zeichensätze<br />
Damit unterschiedliche Systeme miteinander kommunizieren können, benötigen sie denselben Zei-<br />
chensatz (z.B. sind die deutschen Umlaute und das ß nicht in jedem Zeichensatz enthalten). Über<br />
die <strong>Univention</strong> Configuration Registry-Variablen samba/charset/unix, samba/charset/dos und<br />
samba/charset/display können Zeichensätze konfiguriert werden,<br />
Standardmäßig sind die genannten <strong>Univention</strong> Configuration Registry-Variablen leer, Samba verwendet<br />
dann die Betriebssystem-Vorgabe, z.B. UTF-8, als Unix-Zeichensatz.<br />
8.4.6.5 Abbildung von Rechten aus erweiterten Attributen<br />
Die Samba-Konfiguration in <strong>Univention</strong> Corporate Server erlaubt die Speicherung von DOS-Datei-<br />
Attributen (ARCHIVE, HIDDEN, SYSTEM, READ-ONLY) in erweiterten Attributen des Unix-Dateisystems.<br />
Die DOS-Attribute werden dabei im Attribut user.DOSATTRIB gespeichert.<br />
Um erweiterte Attribute zu nutzen, muss die Partition mit der Mount-Option user_xattr eingebunden wer-<br />
den.<br />
Unterstützung für erweiterte Attribute ist in den <strong>UCS</strong>-Kerneln für ext2, ext3 und XFS standardmäßig<br />
aktiviert.<br />
220
9 Desktop-Systeme<br />
Inhaltsverzeichnis<br />
9.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221<br />
9.2 Desktop-Systemrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222<br />
9.2.1 Thin Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222<br />
9.2.2 Managed Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222<br />
9.2.3 Mobile Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223<br />
9.3 Einstellungen im <strong>Univention</strong> Directory Manager für Desktop-Systeme . . . . . . . . . . . . 223<br />
9.3.1 Grafische Benutzeroberfläche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223<br />
9.3.2 Anbindung an Serversysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224<br />
9.3.3 Autostart-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224<br />
9.3.4 NX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225<br />
9.4 VNC-Desktopfreigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226<br />
9.4.1 Konfiguration des VNC-Zugangs auf Thin Clients . . . . . . . . . . . . . . . . . . . . 226<br />
9.4.2 Konfiguration des VNC-Zugangs auf Managed/Mobile Clients . . . . . . . . . . . . . 226<br />
9.5 Thin Client-Umgebung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227<br />
9.5.1 Unterstützung des Starts von Compact Flash-Karten oder USB-Sticks . . . . . . . . 229<br />
9.5.2 Thin Client Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230<br />
9.6 Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234<br />
9.6.1 Erzeugen von neuen Heimatverzeichnissen . . . . . . . . . . . . . . . . . . . . . . . 234<br />
9.6.2 Ändern des Standardinhalts von Heimatverzeichnissen . . . . . . . . . . . . . . . . 234<br />
9.6.3 Setzen von Umgebungsvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235<br />
9.7 Globale Heimatverzeichnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236<br />
9.1 Einleitung<br />
9.7.1 Erstellen und Verwalten globaler Heimatverzeichnisse . . . . . . . . . . . . . . . . . 236<br />
<strong>Univention</strong> Corporate Desktop (UCD) ermöglicht den flexiblen Einsatz von zentral gepflegten Linux-Clients<br />
für Desktop-Arbeitsplätze und ist speziell auf die Zusammenarbeit mit <strong>Univention</strong> Server-Systemen abge-<br />
stimmt.<br />
<strong>Univention</strong> Corporate Server bietet drei verschiedene Formen von Desktop-Systemen an, den Managed<br />
Client für stationäre Desktop-Systeme, den Mobile Client für mobile Clients wie Notebooks und den Thin<br />
Client für einen festplattenlosen Rechnerbetrieb.<br />
Eine auf KDE basierende Benutzeroberfläche und auf den Einsatz im Geschäftsumfeld abgestimmte Ap-<br />
plikationen (z.B. OpenOffice.org) erlauben effizientes Arbeiten in einer modernen Umgebung.<br />
Ab <strong>UCS</strong> 2.3 ist auch die GNOME-Desktop-Umgebung zusätzlich verfügbar. Die Einrichtung von GNOME<br />
ist in der <strong>Univention</strong> Support Datenbank beschrieben: http://sdb.univention.de/1094<br />
221
9 Desktop-Systeme<br />
Dieses Kapitel beschreibt die Einrichtung und die Administration von Desktop-Systemen, Anpassungen<br />
am Desktop und die Verwendung von Richtlinien zur effizienten Konfiguration grösserer Umgebungen.<br />
9.2 Desktop-Systemrollen<br />
<strong>UCS</strong> beinhaltet drei verschiedene Desktop-Systemrollen, die in <strong>Univention</strong> Directory Manager verwaltet<br />
werden können und jeweils auf ein bestimmtes Einsatzgebiet optimiert wurden.<br />
Die Desktop-Umgebung kann optional aber auch auf beliebigen Server-Systemrollen installiert werden.<br />
9.2.1 Thin Clients<br />
Thin Clients sind Systeme, die über keine Festplatte verfügen. Diese Systeme booten über das Netzwerk<br />
von einem DC Master-, DC Backup- oder DC Slave-Server, die als Boot-Server agieren und ermöglichen<br />
die Anmeldung an einem <strong>UCS</strong>- oder Windows-Terminalserver.<br />
Bei der Anmeldung eines Benutzers am Thin Client wird die Anfrage des Benutzers an den Authenti-<br />
fizierungsserver geleitet. Ist die Authentifizierung auf diesem Server erfolgreich, wird überprüft, ob das<br />
Heimatverzeichnis lokal vorhanden ist oder es von einem anderen Server abgerufen und eingebunden<br />
werden muss. Benutzer können an mehreren Clients gleichzeitig angemeldet sein, jedoch unterstützen<br />
bestimmte Applikationen wie z.B. Kontact nur den Betrieb in einer Sitzung des Benutzers. Mehrere gleich-<br />
zeitige Sitzungen können dann zu instabilen Prozessen führen. Das Arbeiten an zwei Arbeitsplätzen ist<br />
somit möglich, wird jedoch nicht empfohlen.<br />
Thin Clients verfügen über keine lokal installierten Daten, da die gesamte Software auf den Serversyste-<br />
men installiert ist (das sogenannte Client-Basissystem). Durch diese zentrale Verwaltung wird der Pflege-<br />
aufwand für die installierte Software stark verringert. Thin Clients sind ohne Anbindung an Serversysteme<br />
nicht zu betreiben. Der Benutzer hat am Thin Client Zugriff auf alle Ressourcen der Domäne, sofern<br />
entsprechende Berechtigungen erteilt wurden. Des weiteren können Thin Clients über lokale Drucker ver-<br />
fügen, die per USB oder Parallel Port verwendet werden können.<br />
9.2.2 Managed Clients<br />
Als Managed Clients werden <strong>UCS</strong>-Systeme bezeichnet, die über ein lokale <strong>UCS</strong>-Installation verfügen<br />
und auf Dienste der Server-Systeme zugreifen. Managed Clients sind in <strong>Univention</strong> Directory Manager<br />
administrierbar und nutzen in der Regel zentrale Repository-Server zur Paketpflege. Die Authentifizierung<br />
erfolgt über einen LDAP-Server oder anhand von lokal zwischengespeicherten Anmeldeinformationen.<br />
Da Managed Clients über ein lokal installiertes Betriebssystem verfügen, können sie auch ohne Netzwerk-<br />
Anbindung booten. Die Heimatverzeichnisse der Benutzer werden lokal gespeichert, sind dann jedoch nur<br />
einem Client verfügbar. Es ist ebenfalls möglich, die Heimatverzeichnisse auf einem zentralen Server<br />
abzulegen, dies ist in Abschnitt 9.7 beschrieben. In diesem Fall ist für die Anmeldung eine Netzwerkver-<br />
bindung zu diesem Server nötig.<br />
Die Anmelde- und Benutzerdaten sowie die Gruppenzugehörigkeiten der letzten drei angemeldeten Be-<br />
nutzer werden auf dem Managed Client zwischengespeichert, - die Anzahl der zwischengespeicherten<br />
222
9.3 Einstellungen im <strong>Univention</strong> Directory Manager für Desktop-Systeme<br />
Anmeldungen ist über die <strong>Univention</strong> Configuration Registry-Variable auth/passwdcache/max_user<br />
konfigurierbar - sodass eine Authentifizierung ohne Netzwerkanbindung für diese Benutzer möglich ist.<br />
Wird das Passwort für diese Benutzer im <strong>Univention</strong> Directory Manager geändert und ist der Client nicht<br />
mit dem Domänencontroller über das Netz verbunden, muss sich der Benutzer noch mit seinem alten<br />
Passwort anmelden. Die Passwort-Änderung wird bei der nächsten Anbindung am Netzwerk übernom-<br />
men.<br />
9.2.3 Mobile Clients<br />
Mobile Clients beinhalten dieselben zentralen Eigenschaften wie Managed Clients, z.B. lokales Betriebs-<br />
system und Zugriff auf Dienste auf den Server-Systemen. Die Systemrolle Mobile Client dient zur besseren<br />
Abgrenzung von mobilen Rechnern wie z.B. Laptops, die nicht ständig mit der Domäne verbunden sind<br />
und auf denen gegebenenfalls andere Software installiert wird.<br />
9.3 Einstellungen im <strong>Univention</strong> Directory Manager für Desktop-Systeme<br />
Zur Verwaltung von <strong>UCS</strong> Desktop-Systemen bietet <strong>Univention</strong> Directory Manager verschiedene Möglich-<br />
keiten, die die Administration von Rechnerumgebungen vereinfachen.<br />
9.3.1 Grafische Benutzeroberfläche<br />
<strong>UCS</strong>-Desktop-Systeme besitzen eine grafische Benutzeroberfläche. Für die Darstellung dieser Oberfläche<br />
ist der sogenannte X-Server zuständig. Dabei handelt es sich um ein Programm, das Ausgabeanweisun-<br />
gen von Programmen (z.B. ”Zeichne die Programmoberfläche und gib den Buchstaben A aus”) entgegen<br />
nimmt und die Rechnerhardware entsprechend ansteuert, um die Grafiken auf dem Bildschirm darzustel-<br />
len. Außerdem nimmt der X-Server Benutzereingaben über Tastatur und Maus entgegen und leitet sich an<br />
die verschiedenen Benutzerprogramme weiter.<br />
Damit der X-Server alle Daten optimal verarbeiten kann, muss die X-Server-Konfiguration auf die in dem<br />
jeweiligen Rechnersystem vorhandene Hardware (Grafikkarte, Tastatur, Maus, Monitor) angepasst wer-<br />
den. Beim Start von <strong>UCS</strong> Desktop-Systemen wird die vorhandene Hardware automatisch überprüft und<br />
die Konfiguration dementsprechend angepasst.<br />
Oftmals ist es jedoch wünschenswert, die automatisch bestimmte X-Server-Konfiguration an eigene Anfor-<br />
derungen anzupassen, um z.B. eine bestimmte Bildschirmauflösung oder ein bestimmtes Tastaturlayout<br />
zu erhalten. Auch kann es unter Umständen, z.B. bei sehr neuer Hardware, vorkommen, das die automa-<br />
tische Hardwareerkennung nicht wie gewünscht funktioniert.<br />
Die X-Server-Konfiguration kann in <strong>Univention</strong> Directory Manager unter Rechnerverwaltung ➞ [Display-<br />
Einstellungen] angepasst werden. Es ist ebenfalls möglich, über Richtlinien die selben Einstellungen<br />
für komplette Teilbäume im LDAP-Verzeichnis zu konfigurieren. Weitere Informationen zu den möglichen<br />
Einstellungen der Karteikarte [Display-Einstellungen] finden sich in Kapitel 4.5.11.5.<br />
223
9 Desktop-Systeme<br />
Hier vorgenommene Einstellungen werden von <strong>UCS</strong> Desktop-Systemen beim Systemstart ausgelesen<br />
und in die X-Server-Konfiguration übernommen. Voraussetzung ist, dass zu diesem Zeitpunkt auf den<br />
Verzeichnisdienst zugegriffen werden kann.<br />
9.3.2 Anbindung an Serversysteme<br />
Client-Systeme sind oftmals in Umgebungen mit mehreren Server-Systemen eingebunden, die für ver-<br />
schiedene Aufgaben genutzt werden. Dienste werden auf verschiedene Server verteilt, um die Beein-<br />
trächtigung des Betriebs bei einem Hardwareausfall gering zu halten. Es ist daher erforderlich, dass dem<br />
Client bekannt gemacht wird, auf welchem Server welche Dienste angeboten werden.<br />
Der wichtigste Dienst, der von allen <strong>UCS</strong>-Desktop-Systemen genutzt wird, ist der LDAP-Server-Dienst, der<br />
auf Domaincontroller Master, -Backup und -Slave-Systemen ausgeführt wird. Beim Start von Managed-<br />
und Mobile-Clients wird standardmäßig der LDAP-Server-Dienst auf dem DC Master verwendet. Auf Thin<br />
Clients wird beim Start nach DNS-Service-Records für _ldap._tcp. gesucht und - sofern<br />
vorhanden - versucht einen erreichbaren Server im lokalen Subnetz auszuwählen.<br />
Um weitere LDAP-Server fest vorzugeben, können diese am jeweiligen Rechnerobjekt auf der Register-<br />
karte [LDAP-Server] eingetragen werden. Dies kann auch richtlinienbasiert für mehrere Rechner erfol-<br />
gen. So wird garantiert, dass, sollte ein LDAP-Server nicht erreichbar sein, u.a. für die Anmeldung des<br />
Benutzers auf weitere LDAP-Server zurückgegriffen wird. Desweiteren können durch den Eintrag mehre-<br />
rer LDAP-Server längere Wartezeiten bei der gleichzeitigen Anmeldung von vielen Benutzern verhindert<br />
werden.<br />
Bei Thin Clients können zusätzlich die zu verwendenden Authentifizierungs-, File-, Linux-Terminal- und<br />
Windows-Terminal-Server konfiguriert werden. Diese sind in <strong>Univention</strong> Directory Manager unter Rechner<br />
➞ ➞ [Thin-Client-Konfiguration] einzutragen. Der Authentifizierungsserver ist dabei<br />
für die Kerberos-basierte Benutzerauthentifizierung zuständig, über den Fileserver wird bestimmt, von<br />
welchem Server das Heimatverzeichnis des Benutzers eingebunden wird.<br />
Achtung:<br />
Das hier angegebene Heimatverzeichnis wird während der Benutzeranmeldung am Anmeldemanager<br />
gdm verwendet, um u.a. die Einstellungen zur zuletzt genutzten Sitzungsart zu speichern. Für den Be-<br />
nutzer kann die Verwendung eines anderen Servers für die Bereitstellung des Heimatverzeichnisses kon-<br />
figuriert sein, dass nach erfolgter Anmeldung eingebunden wird. Weitere Hinweise dazu finden sich im<br />
Abschnitt 9.7.<br />
Neben <strong>UCS</strong>-Terminalservern kann von Thin Clients auch auf Windows-Terminalserver zugegriffen werden.<br />
Welche Terminalserver dabei verwendet werden, kann auf der Registerkarte [Thin-Client-Konfiguration]<br />
eingetragen werden. Bei allen Einträgen ist zu beachten, dass Rechnernamen als vollqualifizierter Domä-<br />
nenname (FQDN) angegeben werden.<br />
9.3.3 Autostart-Skripte<br />
Bei bestimmten Anwendungsfällen kann es gewünscht sein, dass auf <strong>UCS</strong>-Desktopsystemen keine An-<br />
meldung erforderlich ist. Dies kann z.B. bei öffentlich aufgestellten ”Surf-Terminals” der Fall sein oder<br />
224
9.3 Einstellungen im <strong>Univention</strong> Directory Manager für Desktop-Systeme<br />
an Arbeitsplätzen, an dem ein oder mehrere Benutzer nur sehr wenige Anwendungen benötigen, ohne,<br />
dass benutzerspezifische Daten gespeichert werden müssen. Um dies umzusetzen, können Autostart-<br />
Skripte verwendet werden. Hierbei wird ein vorkonfigurierter Benutzer (im Standardfall autostart, der nur<br />
mit geringen Rechten ausgestattet ist) automatisch angemeldet und eine oder mehrere vorkonfigurierte<br />
Anwendungen gestartet.<br />
Ein weiterer Anwendungsfall sind Remote-Desktop-Anwendungen wie NX, Citrix oder rdesktop. Diese<br />
bauen automatisch eine Verbindung zu einem entsprechenden Serversystem auf, an denen dann die<br />
eigentliche Benutzeranmeldung erfolgt.<br />
Ist für einen Rechner ein Autostartskript konfiguriert, entfällt die Möglichkeit zur Anmeldung am Anmelde-<br />
manager gdm und zur Sitzungsauswahl. Bei dem automatisch angemeldeten Benutzer autostart handelt<br />
es sich nicht um einen Domänenbenutzer.<br />
Das gewünschte Autostart-Skript ist auf der Karteikarte [Autostart] in <strong>Univention</strong> Directory Manager am<br />
Rechnerobjekt einzutragen. Die Skripte müssen auf dem <strong>UCS</strong>-Terminal-Server unter<br />
/var/lib/univention-client-root/etc/gdm/Autostart<br />
gespeichert sein. Beim Einsatz auf <strong>UCS</strong> Managed- oder Mobile-Clients müssen sie in<br />
/etc/gdm/Autostart<br />
abgelegt sein. Dort befinden sich bereits Beispielskripte.<br />
9.3.4 NX<br />
NX bietet ähnlich wie VNC, die Windows Remote Desktop-Unterstützung oder Citrix die Möglichkeit, auf<br />
grafische Benutzeroberflächen eines entfernten Systems zuzugreifen. NX bietet dabei die Möglichkeit,<br />
laufende Sitzungen temporär zu trennen und später wieder aufzunehmen, wodurch Benutzer nach einer<br />
erneuten Anmeldung an einer bestehenden Sitzung ihre Arbeitsumgebung mit allen vorher gestarteten<br />
Programm wiederfinden.<br />
Die Serverkomponente von NX kann auf allen <strong>UCS</strong>-Server-Systemen installiert werden, auf denen auch<br />
die benötigten Bibliotheken für grafische Benutzeroberflächen installiert sind. Der NX-Client kann auf allen<br />
<strong>UCS</strong>-Desktop-Systemen ausgeführt werden, entweder über ein Autostart-Skript, oder manuell nach der<br />
Benutzeranmeldung.<br />
Die aktuellen NX-Pakete für einen NX-Server befinden sich im Online-Repository. Das als Einwahlsystem<br />
agierende System muss über die Installation des NX-Server-Pakets verfügen. Die Clients müssen mit dem<br />
NX-Client ausgestattet werden, der von der Webseite des Herstellers NoMachine heruntergeladen werden<br />
kann.<br />
Damit der NX-Client genutzt werden kann, müssen folgende Pakete auf den Clients installiert werden:<br />
libxcomp1, libxcompext1, nxlibs, libstdc++2.10-glibc2.2, nxclient<br />
Bis auf das separat herunterzuladende Paket nxclient sind alle Pakete im Online Repository enthalten.<br />
Die Pakete sollten im verwendeten Repository Server hinterlegt sein.<br />
Soll der NX-Client auf einem Managed oder Mobile Client genutzt werden, können diese Pakete entweder<br />
manuell oder über die Softwareverteilung installiert werden. Falls der NX-Client per Autostart-Skript auf<br />
225
9 Desktop-Systeme<br />
einem Thin Client gestartet wird, so müssen die erforderlichen Pakete im Client-Basissystem auf dem<br />
Terminalserver installiert werden.<br />
Hierzu ist auf dem Terminalserver mit chroot in das Client-Basissystem zu wechseln. Danach können<br />
die benötigten Pakete mit univention-thin-client-apt installiert werden.<br />
Nach der Installation kann der NX-Client für die Autostart-Skripte verwendet werden. Ein Beispiel-Skript<br />
für NX befindet sich unter /var/lib/univention-client-root/etc/gdm/Autostart/nx. Wird in<br />
<strong>Univention</strong> Directory Manager der Dateiname des Skripts in [Autostart] ➞ Autostart Sitzung eingege-<br />
ben, so wird beim Start des Thin Clients NX-Client gestartet und der Benutzer mit der im Skript angege-<br />
benen Sitzung verbunden.<br />
9.4 VNC-Desktopfreigaben<br />
Mit VNC kann sich ein Benutzer die Bildschirmausgabe eines weiteren Benutzers auf seinem Bildschirm<br />
anzeigen lassen. So haben beispielsweise Administratoren die Möglichkeit, bei aufgetretenen Problemen<br />
von Benutzern diese Probleme direkt in Augenschein nehmen und so effektiver unterstützen zu können.<br />
Darüber hinaus besteht die Möglichkeit, dass über die VNC-Verbindung für einen begrenzten Zeitraum<br />
die Kontrolle über Maus und Tastatur übernommen wird und Probleme selbst nachvollzogen und behoben<br />
werden können. Vor einer Freigabe über VNC muss der Benutzer, dessen Oberfläche über VNC freige-<br />
geben werden soll, dieser Freigabe zustimmen. Diese Abfrage ist unumgänglich. Nach der Zustimmung<br />
durch den Benutzer überträgt VNC die Daten des lokalen X-Servers auf das Display des entfernten Be-<br />
trachters und leitet jede Maus- und Tastatureingabe weiter.<br />
Der Zugriff auf den Client erfolgt mit einem VNC-Betrachtungsprogramm. Hierfür kann z.B. krdc unter<br />
Linux oder Ultra VNC unter Microsoft Windows verwendet werden.<br />
9.4.1 Konfiguration des VNC-Zugangs auf Thin Clients<br />
Für den VNC-Zugriff auf Thin Clients muss auf dem Terminalserver das Paket univention-thin-client-vnc<br />
installiert werden.<br />
Die Freigabe erfolgt Thin Client-bezogen durch eine Richtlinie im <strong>Univention</strong> Directory Manager. Hierzu<br />
muss in der Display-Einstellungen-Richtlinie die Option Erlaube VNC Display-Freigabe aktiviert wer-<br />
den. Wird der Haken bei VNC Display-Freigabe nur anzeigen gesetzt, so kann der Remote-Benutzer<br />
keine Benutzeingaben vornehmen.<br />
Beim Verbindungsaufbau wird ein Einmal-Passwort generiert, dass der Benutzer bekanntgeben muss, der<br />
seine Verbindung freigibt.<br />
9.4.2 Konfiguration des VNC-Zugangs auf Managed/Mobile Clients<br />
Um auf einem Managed oder Mobile Client den KDE-Desktop über VNC freizugeben, muss im KDE-<br />
Kontrollzentrum unter Internet & Netzwerk ➞ Arbeitsfläche freigeben ➞ Verbindungen ohne Einla-<br />
dung die Option Verbindungen ohne Einladung erlauben aktiviert werden.<br />
226
9.5 Thin Client-Umgebung<br />
Die standardmäßig aktivierte Option Für eine uneingeladene Verbindung um Bestätigung bitten sorgt<br />
dafür, daß der Benutzer bei einer eingehenden Verbindungsanfrage benachrichtigt und um Freigabe ge-<br />
beten wird.<br />
Optional kann auch ein Passwort festgelegt werden.<br />
Die in Kapitel 9.4.1 erwähnte <strong>Univention</strong> Directory Manager-Richtlinie wird für den VNC-Zugang auf Ma-<br />
naged/Mobile Clients nicht ausgewertet.<br />
9.5 Thin Client-Umgebung<br />
Die Thin Client-Umgebung ist eine eigenständige Software-Installation in einem Unterverzeichnis auf je-<br />
dem Terminal-Server. Ein bootender Thin Client bindet dieses Unterverzeichnis via NFS als sein Root-<br />
Verzeichnis ein und startet so in die konfigurierte Arbeitsumgebung.<br />
Abhängig von der Umgebung und den Anwendungsszenarien unterscheiden sich die Bedürfnisse hinsicht-<br />
lich der verfügbaren Programme und Dienste. Um die Möglichkeit zu haben, die Thin Client-Umgebung<br />
flexibel anpassen zu können ist das System modular aufgebaut.<br />
Im Folgenden werden die Hauptbestandteile des modularen Basissystem beschrieben und wie neue Kom-<br />
ponenten installiert werden können. Des weiteren wird ein Überblick über die generellen Mechanismen zur<br />
Konfiguration der Thin Client-Umgebung gegeben.<br />
Aufbau<br />
Das Basispaket univention-thin-client-basesystem der Thin Client-Umgebung bringt ein grundlegendes<br />
System mit. Damit ist es möglich Thin Clients zu booten und sich an der Console anzumelden.<br />
Um eine graphische Oberfläche zur Verfügung zustellen, muss das Paket univention-thin-client-x-base<br />
installiert sein. Damit wird am Thin Client eine graphische Anmeldemaske angezeigt von der aus ver-<br />
schiedene X-Sitzungen gestartet werden können. Dabei werden die Schriften nicht mitinstalliert. Diese<br />
sind in einem zusätzlichen Paket univention-thin-client-x-fonts enthalten. Wird dieses Paket nicht instal-<br />
liert kann stattdessen auf einen Font-Server zugegriffen werden. Details dazu sind in Abschnitt 9.5.2.7 zu<br />
finden.<br />
Die Unterstützung für Drucker am Thin Client wird durch ein separates Paket (univention-thin-<br />
client-cups) bereitgestellt. Gleiches gilt für die Verwendung von lokalen USB-Geräten am Thin Client<br />
(univention-thin-client-ltsp) sowie die Audio-Ausgabe (univention-thin-client-sound).<br />
Diese Pakete ersetzen das monolithische Thin Client-Basissystem aus vorherigen <strong>UCS</strong>-Versionen im vol-<br />
len Funktionsumfang. Bei Updates von <strong>UCS</strong> Installationen werden alle diese Pakete als Ersatz installiert.<br />
Installation<br />
Alle Komponenten des Thin Client-Basissystems werden über die Standard-Paketmanagement-Tools in-<br />
stalliert (siehe Kapitel 11). Dabei werden von den Komponenten Meta-Pakete mitgebracht, die die not-<br />
wendigen Erweiterungen für die jeweilige Komponente in das Unterverzeichnis der Thin Client-Umgebung<br />
installieren.<br />
Für diesen Mechanismus bringt das Thin Client-Basispaket das Tool univention-thin-client-apt mit, das<br />
es ermöglicht Pakete (inklusive Abhängigkeiten) in das Unterverzeichnis der Thin Client-Umgebung zu<br />
227
9 Desktop-Systeme<br />
installieren. Das Tool unterstützt alle Parameter von apt-get und noch einige optionale eigene Parameter.<br />
Diese müssen wenn sie angegeben werden vor den apt-get-Optionen aufgelistet werden. Als Trennzei-<br />
chen zu den apt-get-Optionen muss ein ’--’ eingefügt werden. Folgende Parameter stehen zur Verfügung:<br />
--help, -h: Zeigt eine kurze Hilfe zur Verwendung des Kommandos an.<br />
--prefix, -p: Definiert das Verzeichnis, in das die Pakete installiert werden sollen. Der Vorgabewert ist das<br />
Verzeichnis für die Thin Client-Umgebung.<br />
--arch, -a: Gibt die zu verwendende Architektur für die Pakete an. Der Vorgabewert hierfür ist i386, d.h.<br />
auch auf amd64-Systemen ist die Thin Client-Umgebung für i386-Systeme ausgelegt.<br />
--debug, -d: Setzt den Log Level. Mögliche Werte liegen im Bereich von 0 (keine Ausgabe) bis 4 (detail-<br />
lierte Informationen)<br />
Mit univenton-thin-client-apt können auch weitere Pakete, die nicht durch eine existierende Komponente<br />
mitgebracht werden, in die Thin Client Umgebung installiert werden. Um beispielsweise den Editor Emacs<br />
in die Thin Client-Umgebung zu installieren kann folgendes Kommando aufgerufen werden:<br />
univention-thin-client-apt install emacs21<br />
Um beispielsweise die Installation des Paketes emacs in eine Thin Client-Umgebung unterhalb von<br />
/var/lib/thin-client2 zu simulieren kann das folgende Kommando verwendet werden:<br />
univention-thin-client-apt -s -- -p /var/lib/thin-client2 -d 4 install emacs<br />
Dabei wird die APT-Konfiguration der Quellen und das Cache-Verzeichnis des Terminal-Servers verwen-<br />
det. Auch notwendige Abhängigkeiten werden direkt aufgelöst und in die Thin Client-Umgebung installiert.<br />
Auf amd64-Systemen ist dafür ein i386-Repository notwendig.<br />
Konfiguration<br />
Die Konfiguration von Diensten auf <strong>UCS</strong>-Systemen wird normalerweise mittels <strong>Univention</strong> Configuration<br />
Registry durchgeführt. Auf Thin Client-Systemen ist dies über die <strong>Univention</strong> Configuration Registry-Richt-<br />
linien möglich (siehe Abschnitt 14). Diese können im <strong>Univention</strong> Directory Manager erstellt und mit den<br />
Thin Client-Objekten verknüpft werden.<br />
Zusätzlich zu den <strong>Univention</strong> Configuration Registry-Variablen, die sich direkt auf die Funktionsweise ein-<br />
zelner Komponenten beziehen, gibt es noch einige Variablen die das generelle Verhalten des Thin Client<br />
beeinflussen:<br />
thinclient/mount/homedir: In der Voreinstellung wird auf dem Thin Client das Heimatverzeichnis des<br />
angemeldeten Benutzers per NFS eingebunden. Dies kann mit dieser Variable unterbunden werden,<br />
indem der Wert auf no gesetzt wird.<br />
gdm/sessions/disabled: Mit dieser Variable können einzelne Sitzungen aus der Auswahl von GDM ent-<br />
fernt werden. Dafür ist der Name des Sitzungsskriptes unterhalb von /etc/gdm/Sessions/ anzuge-<br />
ben. Mehrere Sitzungsskripte müssen durch einen Doppelpunkt getrennt werden.<br />
kernel/modules: Wenn Hardware-Komponenten nicht durch die automatische Erkennung identifiziert<br />
228<br />
werden, kann über diese Variable eine Liste von Kernel-Modulen definiert werden, die explizit nach-<br />
geladen werden. Als Trennzeichen wird das Semikolon verwendet, um mehrere Module zu spezifi-<br />
zieren.
9.5 Thin Client-Umgebung<br />
Des weiteren gibt es die Möglichkeit einige Dienste, die durch Komponenten mitgebracht werden, zu deak-<br />
tivieren, falls sie nicht genutzt werden sollen. Dafür muss eine <strong>Univention</strong> Configuration Registry-Variable<br />
auf den Wert no gesetzt werden:<br />
sshd/autostart: Deaktiviert den SSH-Dienst auf dem Thin Client.<br />
portmap/autostart: Sollte der Thin Client über eine Flash-Karte booten, ist der Portmapper-Dienst nicht<br />
notwendig. Mit dieser Variable kann dieser Dienst deaktiviert werden.<br />
cups/autostart: Um die Verwendung von Druckern an Thin Clients zu unterbinden, kann mit dieser Va-<br />
riable der CUPS-Dienst deaktiviert werden selbst wenn die entsprechende Komponente installiert<br />
ist.<br />
9.5.1 Unterstützung des Starts von Compact Flash-Karten oder USB-Sticks<br />
In der Standardkonfiguration bootet ein Thin Client über das Netz und bindet das Root-Verzeichnis über<br />
NFS von einem Terminal-Server ein. Als Alternative bieten viele Thin Client-Modelle mittlerweile eine in-<br />
terne Flash-Karte an, von der ein minimales System gebootet werden kann. Diese Technik wird durch die<br />
Thin Client Komponente univention-thin-client-flash unterstützt.<br />
Als Alternative zu einem lokalen Systemstart von Compact Flash bieten viele Thin Clients auch die Mög-<br />
lichkeit eines Starts von USB-Massenspeicher, also in der Regel von einem USB-Stick. Das Updateverfah-<br />
ren erfolgt analog zur Aktualisierung von Compact Flash-Speicher, allerdings muss das zu beschreiben-<br />
de USB-Gerät durch die <strong>Univention</strong> Configuration Registry-Variable thinclient/flash/update/disk<br />
konfiguriert werden. Die Angabe erfolgt dabei in der internen Notation des Linux-Kernels, also z.B. /dev/s-<br />
da1.<br />
Damit ein Thin Client von der internen Flash-Karte booten kann muss zuvor ein Image installiert werden,<br />
das das minimale Betriebssystem enthält. Dieses wird aus der Thin Client-Umgebung auf einem Terminal-<br />
Server erstellt. Damit verfügt ein Thin Client, der von einer Flash-Karte bootet, über dieselben Funktionen,<br />
wie die Thin Clients, die von dem Terminal-Server booten, auf dem das Image erstellt wurde.<br />
Zum Erstellen der Flash-Images steht das Tool univention-thin-client-flash zur Verfügung. In der Stan-<br />
dardkonfiguration wird ein Image aus der Thin Client-Umgebung, die auf dem Terminal-Server vorhanden<br />
ist, erzeugt. Alternativ kann über Parameter ein anderes Verzeichnis angegeben werden aus dem das<br />
Image erzeugt werden soll.<br />
Ein Thin Client prüft während des Bootvorgangs, ob ein Flash-Image zur Verfügung steht. Falls ein Image<br />
auf dem Server vorhanden ist wird geprüft, ob es aktueller ist als das lokale (wenn bereits eins vorhanden<br />
ist). Liegt auf dem Server ein aktuelleres vor, wird es heruntergeladen und installiert. Beim nächsten<br />
Bootvorgang kann der Thin Client das neue System von der Flash-Karte booten.<br />
Wenn Thin Clients mit unterschiedlichen Fähigkeiten bzw. Konfigurationen in einer Umgebung aufgesetzt<br />
werden sollen, gibt es die Möglichkeit mehrere Images zu erstellen. In den Voreinstellungen heißt das<br />
erzeugte Flash-Image root.img. Der Name kann bei der Erstellung des Images angegeben werden. Für<br />
jedes Image wird eine eigene Versionsnummer gepflegt, so dass Änderungen an einem Image Thin Clients<br />
mit anderen Images nicht beeinflussen.<br />
Der Update-Vorgang wird bei allen unterstützen Update-Verfahren (über PXE, von Compact Flash oder<br />
229
9 Desktop-Systeme<br />
USB-Stick) unterstützt. Der genaue Ablauf kann über <strong>Univention</strong> Configuration Registry-Variablen beein-<br />
flusst werden:<br />
thinclient/flash/update: Ist diese Variable auf no gesetzt, führt der Thin Client kein Flash-Update durch,<br />
selbst wenn ein neueres Image auf dem Server vorliegt.<br />
thinclient/flash/update/url: Definiert die URL unter der die Flash-Images zu finden sind. Dabei ist nicht<br />
der Name des Image-Datei anzugeben. Ist diese Variable nicht gesetzt, wird das Image auf dem<br />
Terminal-Server unter folgende URL gesucht:<br />
http:///univention-thin-client-flash/<br />
thinclient/flash/update/image: Definiert den Namen der Image-Datei, relativ zur konfigurierten URL.<br />
9.5.2 Thin Client Komponenten<br />
Außer den Basiskomponenten, die auch schon in vorherigen <strong>UCS</strong> Versionen für die Thin Client Umge-<br />
bung zur Verfügung standen, wurden einige weitere Fähigkeiten entwickelt, die optional in die Umgebung<br />
installiert werden können. In dem folgenden Abschnitt werden diese Komponenten beschrieben.<br />
9.5.2.1 Lokale Geräte<br />
Die Möglichkeit lokale Geräte am Thin Client einzubinden existierte bereits in vorherigen Versionen von<br />
<strong>UCS</strong>, wurde aber in der Version 2.1 von <strong>UCS</strong> grundlegend überarbeitet.<br />
Die Unterstützung für lokale Geräte wird durch das Paket univention-thin-client-ltsp mitgebracht. Nach<br />
der Installation wird auf dem Terminal-Server ein Dienst gestartet, der die USB-Geräte am Thin Client für<br />
den Terminal-Server bzw. für Anwendungen zur Verfügung stellt.<br />
Der Zugriff auf die lokalen Geräte am Thin Client erfolgt über ein Icon, das für jedes Gerät auf dem Desktop<br />
des Benutzers angelegt wird. Nach dem Entfernen des Gerätes wird das Icon automatisch wieder vom<br />
Desktop entfernt.<br />
9.5.2.2 Gesicherte Verbindungen mit IPSec<br />
Um Thin Clients beispielsweise als Heimarbeitsplatz einzusetzen, ist es wünschenswert die Kommu-<br />
nikation zu den Servern zu verschlüsseln. Diese Möglichkeit besteht mit der Komponente für IPSec-<br />
Unterstützung. Zusammen mit der Komponente für Flash-Karten kann ein Thin Client somit lokal booten<br />
und anschließend einen IPSec-Tunnel öffnen um die Verbindung mit dem Firmennetz zu verschlüsseln.<br />
Um IPSec-Unterstützung für Thin Clients bereitzustellen muss das Paket univention-thin-client-ipsec<br />
auf dem Terminal-Server installiert werden. Damit werden die notwendigen Pakete in der Thin Client-<br />
Umgebung installiert. Dabei wird ein Dienst installiert, der das automatische Update von IPSec-<br />
Konfigurationen erlaubt. Wird der Thin Client im lokalen Netz über die Flash-Karte gestartet, prüft dieser<br />
Dienst, ob unter einer angegebenen URL ein Update der IPSec-Konfiguration zu finden ist. Ist das der Fall<br />
wird die Konfiguration heruntergeladen und auf der Flash-Karte gespeichert.<br />
Mit folgenden <strong>Univention</strong> Configuration Registry-Variablen kann IPSec konfiguriert werden:<br />
230
9.5 Thin Client-Umgebung<br />
thinclient/ipsec/update: Diese Variable muss auf yes gesetzt werden, damit der Thin Client beim Boot-<br />
vorgang ein Update der IPSec-Konfiguration durchführt.<br />
thinclient/ipsec/update/url: Hier kann eine URL angegeben werden unter der die IPSec-Konfigurationen<br />
zu finden sind. Ist diese Variable nicht gesetzt, wird die IPSec-Konfiguration unter der folgenden URL<br />
auf dem Terminal-Server gesucht:<br />
http:///univention-thin-client-ipsec/<br />
Die IPSec-Konfiguration für einen Thin Client muss in ein tar-Archiv (komprimiert mit gzip) gepackt werden<br />
in dem die folgenden Verzeichnisse und Dateien enthalten sind:<br />
ipsec.d/cacerts/<br />
ipsec.d/certs/<br />
ipsec.d/private/<br />
ipsec.conf<br />
ipsec.secrets<br />
ipsec-setup.sh<br />
Dieses Archiv wird direkt im Verzeichnis /config 1 auf dem Thin Client entpackt und es werden in /etc<br />
entsprechende symbolische Links erstellt.<br />
Optional kann in dem Archiv noch ein Skript mit dem Namen ipsec-setup.sh enthalten sein, das vor<br />
der Initiierung von IPSec ausgeführt wird. Dadurch gibt es die Möglichkeit, Anpassungen für die jeweilige<br />
Umgebung vorzunehmen, z.B. das Setzen von Nameservern oder speziellen Routen.<br />
Ein solches Archiv muss für jeden Thin Client erstellt werden, der IPSec verwenden soll und auf<br />
dem Web-Server hinterlegt werden. Dafür muss das Archiv folgendermaßen benannt werden: .tar.gz. Dabei wird die MAC-Adresse in der Bindestrich-Notation geschrieben (z.B. 00-01-02-03-<br />
04-05).<br />
Ist das Archiv auf dem Web-Server hinterlegt, wird der Thin Client, wenn die <strong>Univention</strong> Configuration<br />
Registry-Variable thinclient/ipsec/update auf yes gesetzt ist, versuchen eine neue Konfiguration<br />
wie zuvor beschrieben einzuspielen. Danach wird der Thin Client bei jedem Bootvorgang über die Flash-<br />
Karte einen IPSec-Tunnel aufbauen bevor eine Verbindung zum LDAP-Server aufgebaut wird.<br />
9.5.2.3 Audio<br />
ARTS (analog Real time synthesizer) in der Voreinstellung der verwendete Netzwerk-Sound-Server, kann<br />
aber alternativ durch den ESD (Enlightenment Sound Daemon) oder PulseAudio ersetzt werden. Dazu<br />
kann über eine <strong>Univention</strong> Configuration Registry-Richtlinie die entsprechende Variable gesetzt wird:<br />
thinclient/sound/daemon: Diese Variable kann optional auf esd gesetzt werden, um den ESD für die<br />
Audio-Ausgabe zu verwenden und auf pulseaudio gesetzt werden, um PulseAudio zu verwenden.<br />
thinclient/sound/volume: Definiert die beim Startvorgang zu setzende Lautstärke in Prozent.<br />
Der gewählte Audio-Dienst wird bei der Anmeldung des Benutzers gestartet, wenn die Unterstützung im<br />
Management-System ausgewählt ist (weitere Details dazu sind im Abschnitt 4.5.11 zu finden). Bei der<br />
Abmeldung des Benutzers wird der Dienst beendet.<br />
1 Dieses Verzeichnis bindet eine schreibbare Partition auf der Flash-Karte im Thin Client ein.<br />
231
9 Desktop-Systeme<br />
Wenn der ESD für die Audio-Ausgabe verwendet werden soll, müssen die Einstellungen im KDE-<br />
Kontrollzentrum angepasst werden. Hierfür sind aus der Kategorie Sound & Multimedia im Bereich<br />
Sound-System folgende Optionen auf dem Reiter Allgemein zu setzen:<br />
• Soundsystem aktivieren<br />
• Netzwerktransparenten Sound aktivieren<br />
Zusätzlich muss auf dem Reiter Hardware für die Option Audio-Hardware auswählen der Wert Enligh-<br />
tenment Sound-Dienst ausgewählt werden.<br />
9.5.2.4 Scanner<br />
Mit dem Paket univention-thin-client-sane wird eine Komponente bereitgestellt, die es ermöglicht am<br />
Thin Client angeschlossene Scanner zu betreiben.<br />
Für die Unterstützung von Scannern wird das SANE-Protokoll eingesetzt, dass es erlaubt Scanner über<br />
das Netz zu verwenden. Sobald ein Scanner an einem Thin Client angeschlossen und von SANE erkannt<br />
wird, ist auf dem Desktop des angemeldeten Benutzers ein Icon zu finden über das auf den Scanner<br />
zugegriffen werden kann. Mit dem Entfernen des Scanners wird auch das Icon entfernt.<br />
Vor Inbetriebnahme eines Scanners sollte geprüft werden, inwieweit das Model von SANE unterstützt wird.<br />
Bei manchen Modellen ist es zusätzlich notwendig eine Firmware-Datei auf dem Thin Client zur Verfügung<br />
zu stellen. Diese Datei müsste auf dem Terminal-Server in das Unterverzeichnis der Thin Client Umgebung<br />
kopiert werden.<br />
Ist die Unterstützung von SANE sichergestellt, kann der Scanner an den Thin Client angeschlossen und<br />
über das Symbol auf dem Desktop des Benutzers direkt verwendet werden. In den Voreinstellungen ist<br />
der Scanner ausschließlich von einem Terminal-Server aus nutzbar. Sollten in der Umgebung mehrere<br />
Terminal-Server verwendet werden oder der Zugriff für andere Rechner freigeschaltet werden, so kann<br />
dafür die <strong>Univention</strong> Configuration Registry-Variable thinclient/saned/networks gesetzt werden.<br />
Diese Variable kann eine Komma-separierte Liste von Netzen enthalten:<br />
thinclient/saned/networks=192.168.0.0/24,192.168.1.0/24<br />
9.5.2.5 SSH-Zugriff<br />
Mit der Thin Client Komponente univention-thin-client-ssh kann der SSH-Dienst auf Thin Clients zur<br />
Verfügung gestellt werden. Dadurch bietet sich die Möglichkeit der Ferndiagnose auch für Thin Clients<br />
ohne auf die X-Sitzung des Benutzers zugreifen zu müssen.<br />
Bei der Installation der Komponente wird ein Host-Key erstellt, der in der Voreinstellung für alle Thin Cli-<br />
ents verwendet wird, die von dem Terminal-Server ihr Dateisystem beziehen, bzw. ein Flash-Image boo-<br />
ten, dass auf dem Terminal-Server erstellt wurde. Dadurch ist der Bootvorgang der Thin Clients deutlich<br />
schneller, bietet aber keine eindeutige Identifikation der Thin Clients. Über die <strong>Univention</strong> Configuration<br />
Registry-Variable thinclient/sshd/generate_key können die Thin Clients dazu veranlasst werden<br />
eigene Host-Keys während des Bootvorgangs zu erstellen. Dafür muss die Variable auf den Wert yes<br />
gesetzt werden.<br />
232
9.5.2.6 Nagios Überwachung<br />
9.5 Thin Client-Umgebung<br />
Um Thin Clients über Nagios überwachen zu können, gibt es die Komponente univention-thin-client-<br />
nagios. Darüber kann die Erreichbarkeit sowie die Auslastung zu überwacht werden.<br />
Für die Überwachung der Erreichbarkeit des Thin Clients kann wie für andere <strong>UCS</strong>-Systemrollen im Uni-<br />
vention Directory Manager am Thin Client-Objekt der Nagios-Dienst UNIVENTION_PING aktiviert werden.<br />
Für die Überwachung der Auslastung muss zuvor im <strong>Univention</strong> Directory Manager ein neues Nagios-<br />
Dienst-Objekt mit dem Namen UNIVENTION_LOAD angelegt werden. Hierfür müssen ausschließlich die<br />
Pflichtfelder angegeben werden.<br />
Die Parametrisierung der Auslastungsüberwachung wird am Thin Client über zwei <strong>Univention</strong> Configurati-<br />
on Registry-Variablen durchgeführt:<br />
thinclient/nagios/load/warning: Definiert die Schwellwerte für eine Warnung des Nagios-Plugins. Dabei<br />
wird der Wert aus drei Zahlen zusammengesetzt, die jeweils die Grenzen für die Zeitintervalle 1, 5<br />
und 15 Minuten definieren.<br />
thinclient/nagios/load/critical: Definiert die Schwellwerte für einen kritischen Zustand. Der Aufbau des<br />
Beispiel:<br />
Wertes entspricht dem für den Warnungslevel.<br />
thinclient/nagios/load/warning=0.5,0.4,0.3<br />
thinclient/nagios/load/critical=0.8,0.7,0.6<br />
Werden diese Variablen nicht über eine Richtlinie gesetzt, die folgenden Vorgabewerte definiert:<br />
thinclient/nagios/load/warning=0.1,0.1,0.1<br />
thinclient/nagios/load/critical=0.5,0.5,0.5<br />
Anschließendlich kann wie für andere Nagios-Dienste am Thin Client-Objekt der Nagios-Dienst UNIVEN-<br />
TION_LOAD hinzugefügt werden.<br />
Für dieses Nagios-Plugin ist es notwendig, dass der Nagios-Server Zugriff auf den Thin Client erhält. Dafür<br />
muss der auf dem Thin Client laufende NRPE-Dienst den Zugriff erlauben. In den Voreinstellungen wird<br />
dem LDAP-Server der Zugriff gewährt. Um anderen Rechner den Zugriff zu erlauben kann die <strong>Univention</strong><br />
Configuration Registry-Variable nagios/client/allowedhosts gesetzt werden. Die Variable muss<br />
eine komma-separierte Liste von IP-Adressen enthalten.<br />
9.5.2.7 Font-Server<br />
Um auf Thin Clients mit Flash-Karten Platz zu sparen oder um eine zentrale Sammlung von Schriften zu<br />
nutzen, gibt es die Möglichkeit einen Font-Server zu verwenden. Mit diesem Dienst nutzen die X-Server<br />
der Thin Clients keine lokalen Schriften, sondern fragen diese beim eingetragenen Font-Server an. Es<br />
besteht ebenso die Möglichkeit die beiden Varianten zu kombinieren.<br />
Um für Thin Clients zusätzlich zu den lokalen Schriften auch einen Font-Server zu nutzen, kann die Uni-<br />
vention Configuration Registry-Variable xorg/fonts/server über eine <strong>Univention</strong> Configuration Regis-<br />
try-Richtlinie gesetzt werden. Der Wert muss der Syntax entsprechen, die auch in der xorg.conf Datei<br />
verwendet werden muss:<br />
233
9 Desktop-Systeme<br />
xorg/fonts/server=/:<br />
Dabei ist durch tcp oder unix zu ersetzen, abhängig davon über welches Transport-Protokoll der<br />
Font-Server zu erreichen ist. Bei Thin Clients ist hier tcp zu wählen. Für muss der FQDN<br />
des Rechners angegeben werden auf dem der Font-Server läuft. Bei der Angabe des Ports ist<br />
normalerweise 7100 zu wählen, was der Voreinstellung des Font-Servers entspricht. Läuft beispielsweise<br />
auf dem Rechner master.ucs.test auf Port 7100 ein Font-Server, kann die Variable auf folgenden Wert<br />
gesetzt werden:<br />
xorg/fonts/server=tcp/master.ucs.local:7100<br />
9.6 Heimatverzeichnisse<br />
Jedem Benutzer ist ein eigenes Heimatverzeichnis zugeordnet. Dieses Verzeichnis wird normalerweise<br />
unter /home/ angelegt und beinhaltet unter anderem sämtliche Programmeinstellungen, die von<br />
einem Benutzer vorgenommen werden. Da jeder Benutzer in seinem Heimatverzeichnis Schreibrechte<br />
hat, ist dies normalerweise der Ort, an dem eigene Dateien gespeichert werden können.<br />
Es gibt eine Vielzahl von verschiedenen Bezeichnungen für das Heimatverzeichnis eines Benutzers:<br />
• Heimatverzeichnis<br />
• /home/<br />
• $HOME<br />
• ~<br />
• Home, Homeverzeichnis<br />
Ist für das Heimatverzeichnis ein von /home/ abweichender Pfad gewünscht, kann dieser in<br />
<strong>Univention</strong> Directory Manager am Benutzerobjekt unter UNIX-Heimatverzeichnis eingetragen werden.<br />
Dies ist jedoch nur in Ausnahmefällen erforderlich und erwünscht. Hier kann auch die zu verwendende<br />
Login-Shell, die standardmäßig /bin/bash ist, geändert oder gelöscht werden.<br />
9.6.1 Erzeugen von neuen Heimatverzeichnissen<br />
Die Heimatverzeichnisse von neuen Benutzern müssen nicht manuell angelegt werden. Auf jedem <strong>UCS</strong>-<br />
System wird, sobald sich ein Benutzer anmeldet, geprüft, ob für diesen Benutzer schon ein Heimatver-<br />
zeichnis existiert. Ist dies nicht der Fall, wird ein neues Heimatverzeichnis angelegt.<br />
Beim Anlegen eines neuen Heimatverzeichnisses wird auf dem System, auf dem die Anmeldung er-<br />
folgt, das für den Benutzer konfigurierte Heimatverzeichnis erzeugt. Anschließend werden durch den<br />
univention-skel-Mechanismus in diesem Verzeichnis bestimmte, vorgegebene Dateien und Verzeichnis-<br />
se erzeugt.<br />
9.6.2 Ändern des Standardinhalts von Heimatverzeichnissen<br />
univention-skel kopiert beim Erstellen eines neuen Heimatverzeichnissen den Inhalt von<br />
234
9.6 Heimatverzeichnisse<br />
/etc/univention/skel/ in dieses Heimatverzeichnis und ändert den Eigentümer und die Grup-<br />
pe der Dateien auf den neu angelegten Benutzer. Unterverzeichnisse werden als relative Pfade in den<br />
Heimatverzeichnissen angelegt.<br />
Bei bereits bestehenden Benutzerverzeichnissen haben Änderungen am Inhalt von<br />
/etc/univention/skel/ folgende Auswirkungen:<br />
• Werden Dateien hinzugefügt, werden diese Dateien bei der nächsten Benutzeranmeldung in das<br />
Heimatverzeichnis des Benutzers kopiert. Existieren bereits Dateien mit dem gleichen Namen, wer-<br />
den diese überschrieben.<br />
• Wird eine Datei entfernt, und ein Benutzer hat an dieser Datei in seinem Heimatverzeichnis noch<br />
keine Änderung vorgenommen, wird diese Datei aus dem Heimatverzeichnis entfernt.<br />
• Wird eine Datei entfernt, und ein Benutzer hat an dieser Datei in seinem Heimatverzeichnis Ände-<br />
rungen vorgenommen, bleibt die Datei in dem Heimatverzeichnis erhalten.<br />
• Ändert ein Benutzer Dateien, die von univention-skel angelegt wurden, bleiben diese Änderungen<br />
bei späteren Anmeldungen erhalten. Löscht ein Benutzer Dateien, werden diese bei der nächsten<br />
Anmeldung wiederhergestellt.<br />
Dateien werden in der Vorgabe mit den Berechtigungen 0600 und Verzeichnisse mit den<br />
Berechtigungen 0700 erstellt. Diese Vorgabewerte können durch die <strong>Univention</strong> Configuration<br />
Registry-Variable skel/permissions/directory bzw. <strong>Univention</strong> Configuration Registry-Variable<br />
skel/permissions/file verändert werden.<br />
Um neu erstellte Verzeichnisse oder Dateien nachträglich anpassen zu können (beispielsweise Datei-<br />
Berechtigungen), gibt es die Möglichkeit unterhalb von /etc/univention/skel.meta/ ein Skript ab-<br />
zulegen.<br />
Um beispielsweise die Datei .bashrc nachträglich zu verändern, kann ein Skript<br />
/etc/univention/skel.meta/.bashrc erstellt werden. Soll das Verzeichnis .emacs nach-<br />
träglich modifiziert werden, kann ein Skript /etc/univention/skel.meta/.emacs/.directory<br />
erstellt werden.<br />
9.6.3 Setzen von Umgebungsvariablen<br />
Sollen für Benutzer Umgebungsvariablen gesetzt werden, die in der gesamten KDE-Sitzung gül-<br />
tig sind und unter anderem in KDE-Desktop-Profilen genutzt werden können (siehe folgenden Ab-<br />
schnitt), kann dies über Einträge in der Datei /home//.univention-environment vorge-<br />
nommen werden. Um beispielsweise für die gesamte KDE-Sitzung die Variable $KOLABSERVER auf<br />
ugs-server01.firma.de zu setzen, muss in dieser Datei folgender Eintrag vorgenommen werden:<br />
export KOLABSERVER=ugs-server01.firma.de<br />
Für Benutzer, die schon ein Heimatverzeichnis haben, muss dies in<br />
/home//.univention-environment eingetragen werden. Um dies für alle neu ange-<br />
legten Benutzer zu übernehmen, kann die Datei entsprechend unter /etc/univention/skel/<br />
angelegt werden.<br />
235
9 Desktop-Systeme<br />
9.7 Globale Heimatverzeichnisse<br />
Für Managed und Mobile Clients werden standardmäßig automatisch Heimatverzeichnisse auf der lokalen<br />
Festplatte angelegt und verwendet. Dies hat den Nachteil, dass Einstellungen und Daten des Benutzers<br />
nur auf dem aktuell verwendeten Client gespeichert werden und bei Anmeldungen an einem anderen<br />
Client dort nicht verfügbar sind.<br />
Für Thin Clients besteht ein mögliches Problem darin, dass standardmäßig das Heimatverzeichnis auf<br />
dem Terminalserver verwendet wird, auf dem die Terminal-Sitzung gestartet wurde. Sind jedoch mehrere<br />
Terminal-Server vorhanden, erfolgt die Anmeldung zufällig auf einem der Systeme und dabei jeweils das<br />
lokale Heimatverzeichnis verwendet.<br />
Um auf allen Clients einheitliche Heimatverzeichnisse zu verwenden, muss mit globalen Heimatverzeich-<br />
nissen gearbeitet werden. Diese Verzeichnisse werden auf einem Freigaben-Server gespeichert, auf den<br />
Clients eingebunden und sind somit an jedem Client verfügbar. Dabei ist jedoch zu beachten, dass die-<br />
se Heimatverzeichnisse auf Managed Clients und Mobile Clients nicht zur Verfügung stehen, wenn keine<br />
Netzwerkverbindung zum Freigaben-Server besteht.<br />
9.7.1 Erstellen und Verwalten globaler Heimatverzeichnisse<br />
Globale Heimatverzeichnisse können auf verschiedene Arten realisiert werden:<br />
• Über die Benutzerverwaltung des <strong>Univention</strong> Directory Manager (POSIX (Linux/UNIX)-<br />
Einstellungen und Windows-Einstellungen)<br />
• Über die Samba-Konfiguration<br />
• Über /etc/fstab<br />
Auf jeden Fall muss auf dem zu verwendenden Server eine entsprechende Freigabe /home vorhanden<br />
sein. Dies ist standardmäßig der Fall, wenn bei der Installation Create home share bzw. Heimatverzeich-<br />
nis Freigabe ausgewählt wurde.<br />
9.7.1.1 POSIX (Linux/UNIX)-Einstellungen<br />
Die Konfiguration der POSIX (Linux/UNIX)-Einstellungen erfolgt in <strong>Univention</strong> Directory Manager am Be-<br />
nutzerobjekt auf der Karteikarte POSIX (Linux/Unix). Diese Einstellung muss für jeden Benutzer separat<br />
vorgenommen werden.<br />
Unter Heimatverzeichnisfreigabe wird die Dateifreigabe auf dem Server angegeben, unterhalb der das<br />
Heimatverzeichnis vorhanden ist. Dies ist üblicherweise /home. Unter Pfad der Heimatverzeichnisfrei-<br />
gabe ist das Verzeichnis unterhalb der Freigabe anzugeben, das als Heimatverzeichnis verwendet werden<br />
soll. Dies ist üblicherweise der Benutzername.<br />
Auf den Clients wird über die <strong>Univention</strong> Configuration Registry-Variable homedir/mount gesteuert, ob<br />
die einzubindende Freigabe tatsächlich eingebunden (gemountet) wird. Auf Managed und Mobile Clients<br />
ist dieses Variable standardmäßig auf no gestellt. Ist diese Variable auf yes gesetzt oder nicht vorhanden,<br />
wird die angegebene Freigabe bei der Benutzeranmeldung auf dem Client automatisch eingebunden.<br />
236
9.7.1.2 Windows-Einstellungen<br />
9.7 Globale Heimatverzeichnisse<br />
Die Konfiguration der Windows-Einstellungen erfolgt in <strong>Univention</strong> Directory Manager am Benutzerobjekt<br />
auf der Karteikarte Windows. Hier kann im Feld Windows-Heimatverzeichnis den als Heimatverzeichnis<br />
zu verwendenden Netzwerkpfad angeben, z.B. \\fileserver\meier. Diese Einstellung muss für jeden<br />
Benutzer separat vorgenommen werden.<br />
Das Benutzerprofil wird weiterhin auf dem zur Anmeldung verwendeten Samba-Server gespeichert. Soll<br />
das Benutzerprofil ebenfalls in einer bestimmten Freigabe gespeichert werden, so ist diese im Feld Pro-<br />
filverzeichnis anzugeben, z.B. \\fileserver\meier\windows-profiles\WinXP<br />
9.7.1.3 Globale Konfiguration in Samba<br />
Sollen die Windows-Einstellungen für alle Benutzer gesetzt werden, empfiehlt es sich, dies direkt in der<br />
Samba-Konfiguration vorzunehmen. Dazu ist auf allen Samba-Anmeldeservern die <strong>Univention</strong> Configu-<br />
ration Registry-Variable samba/homedirserver auf den Fileserver zu setzen. Hierbei muss der Server<br />
angegeben werden, der die Heimatverzeichnisse zur Verfügung stellt. Sollen die Windows-Benutzerprofile<br />
ebenfalls zentral gespeichert werden, muss dies über die <strong>Univention</strong> Configuration Registry-Variable<br />
samba/profileserver konfiguriert werden.<br />
9.7.1.4 Einbinden von Freigaben in /etc/fstab<br />
Eine weitere Möglichkeit, um auf Managed/Mobile Clients und auf Terminal-Servern Heimatverzeichnis-<br />
se einzubinden ist, das vom Freigaben-Server freigegebene Verzeichnis mit allen Heimatverzeichnissen<br />
statisch einzubinden. Dies erfolgt über einen Eintrag in der Datei /etc/fstab:<br />
:/home /home nfs defaults,timeo=21,retrans=9 1 2<br />
Die Freigabe wird beim Booten oder durch Eingabe von mount -a oder mount /home automatisch ein-<br />
gebunden.<br />
237
9 Desktop-Systeme<br />
238<br />
Abbildung 9.1: <strong>Univention</strong> Directory Manager Display-Einstellungen
Abbildung 9.2: Auswahl der Sitzung an der Anmeldemaske<br />
9.7 Globale Heimatverzeichnisse<br />
239
9 Desktop-Systeme<br />
240
10 Basis-Systemdienste<br />
Inhaltsverzeichnis<br />
10.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242<br />
10.2 Server-Startseite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242<br />
10.3 Paketfilter mit <strong>Univention</strong> Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243<br />
10.3.1 Service-Definitionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243<br />
10.3.2 Service-Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243<br />
10.3.3 Lokale Filterregeln durch <strong>Univention</strong> Configuration Registry . . . . . . . . . . . . . . 244<br />
10.3.4 Lokale Filterregeln durch iptables-Kommandos . . . . . . . . . . . . . . . . . . . . . 245<br />
10.3.5 Testen von <strong>Univention</strong> Firewall-Einstellungen . . . . . . . . . . . . . . . . . . . . . . 245<br />
10.4 Authentifizierung / PAM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245<br />
10.4.1 Automatisches Sperren von Benutzer nach fehlgeschlagenen Anmeldungen . . . . 247<br />
10.5 Netz-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248<br />
10.5.1 Netzwerk-Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248<br />
10.5.2 DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249<br />
10.5.3 Proxy-Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249<br />
10.6 Protokollierung von Systemmeldungen und -zuständen . . . . . . . . . . . . . . . . . . . . 249<br />
10.6.1 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249<br />
10.6.2 Protokollierung des Systemzustands . . . . . . . . . . . . . . . . . . . . . . . . . . . 250<br />
10.7 Kernel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250<br />
10.7.1 Verfügbare Kernel-Varianten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250<br />
10.7.2 Treiber-Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251<br />
10.8 GRUB Boot-Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252<br />
10.9 Ausführen von wiederkehrenden Aktionen mit Cron . . . . . . . . . . . . . . . . . . . . . . . 252<br />
10.9.1 Stündliches/tägliches/wöchentliches/monatliches Ausführen von Skripten . . . . . . 253<br />
10.9.2 Definition eigener Cron-Jobs in /etc/cron.d . . . . . . . . . . . . . . . . . . . . . . . 253<br />
10.9.3 Definition eigener Cron-Jobs in <strong>Univention</strong> Configuration Registry . . . . . . . . . . 253<br />
10.10Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254<br />
10.11Namensauflösung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254<br />
10.11.1Name Service Switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254<br />
10.11.2LDAP-NSS-Modul . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255<br />
10.11.3Name Server Cache Daemon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255<br />
10.11.4Konfiguration von /etc/hosts in <strong>Univention</strong> Configuration Registry . . . . . . . . . . . 256<br />
10.12SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256<br />
10.13Zeitsynchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257<br />
241
10 Basis-Systemdienste<br />
10.1 Übersicht<br />
Dieses Kapitel beschreibt grundlegende System-Dienste einer <strong>UCS</strong>-Installation, wie etwa die Konfigurati-<br />
on des Kernels, des Boot-Managers, die Netz-Konfiguration, Kerberos, SSH, NSS und des NSCD.<br />
Außerdem werden die Einstellungsmöglichkeiten der Authentifizierungs-Schnittstelle PAM beschrieben.<br />
10.2 Server-Startseite<br />
Jedes <strong>UCS</strong>-Server-System bietet auf seiner Web-Startseite (erreichbar unter http(s)://RECHNERNAME<br />
oder http(s)://IPADRESSE) Hyperlinks zu auf dem System installierten Diensten an (wie etwa die<br />
<strong>Univention</strong> Management Console oder auf dem Domänencontroller Master der <strong>Univention</strong> Directory Ma-<br />
nager). Ein Beispiel findet sich in Abbildung 10.1.<br />
Diese Startseite wird über die <strong>Univention</strong> Configuration Registry-Variable apache2/startsite<br />
festgelegt, die standardmässig auf die Datei ucs-overview/de.html im Apache-Verzeichnis<br />
/var/www verweist. Diese Datei wird als <strong>Univention</strong> Configuration Registry-Multifile verwaltet und<br />
kann ergänzt werden, etwa indem Links zu hausinternen Fachanwendungen in das Verzeichnis<br />
/etc/univention/templates/files/var/www/ucs-overview/de.html.d/ integriert werden<br />
(analog in die englischsprachige Startseite).<br />
242<br />
Abbildung 10.1: Startseite eines DC Master
10.3 Paketfilter mit <strong>Univention</strong> Firewall<br />
10.3 Paketfilter mit <strong>Univention</strong> Firewall<br />
<strong>Univention</strong> Firewall bietet eine Integration des Paketfilters IPTables in <strong>Univention</strong> Corporate Server. Es<br />
ermöglicht die gezielte Filterung unerwünschter Dienste, die Absicherung von Rechnern während Installa-<br />
tionsarbeiten und stellt die Basis für komplexere Szenarien wie Firewalls oder Application Level Gateways<br />
bereit. <strong>Univention</strong> Firewall ist standardmässig auf allen <strong>Univention</strong> Corporate Server-Installationen enthal-<br />
ten.<br />
Die Konfiguration des Paketfilters befindet sich im Verzeichnis /etc/security/netfilter.d/. Die<br />
dort befindlichen Konfigurations-Elemente werden in alphabetischer Reihenfolge ausgeführt. Standard-<br />
mässig sind alle Script mit zwei führenden Ziffern benannt, so dass eine einfache Nummerierung möglich<br />
ist.<br />
Nach Änderungen der Paketfilter-Einstellungen muss der Dienst univention-iptables neu gestartet wer-<br />
den.<br />
<strong>Univention</strong> Firewall kann durch Setzen der <strong>Univention</strong> Configuration Registry-Variable<br />
security/packetfilter/disabled auf true deaktiviert werden.<br />
10.3.1 Service-Definitionen<br />
<strong>Univention</strong> Firewall erlaubt die selektive Filterung einzelner Dienste durch <strong>Univention</strong> Configuration Re-<br />
gistry, beispielsweise weil ein Dienst temporär nicht benötigt wird oder zu Testzwecken deaktiviert werden<br />
soll. Momentan werden in <strong>UCS</strong> folgende Dienste unterstützt:<br />
smtp pop3 imap kerberos<br />
krsh nfs umc nagios<br />
ipp notifier dhcp dns<br />
ftp http x11 https<br />
ldap postgres samba ssh<br />
telnet ftp<br />
Wird die <strong>Univention</strong> Configuration Registry-Variable security/services/DIENST auf disabled gesetzt, so<br />
wird ein Dienst gefiltert.<br />
Achtung:<br />
Diese Dienste werden anhand der standardmässig verwendeten Ports gefiltert. Wird ein Dienst auf ab-<br />
weichenden Ports betrieben, so muss das entsprechende <strong>Univention</strong> Configuration Registry-Template<br />
angepasst werden.<br />
10.3.2 Service-Profile<br />
<strong>Univention</strong> Firewall unterstützt vordefinierte Service-Profile für jede einzelne Rechner-Rolle. Für diese<br />
ist über die vorher erwähnten <strong>Univention</strong> Configuration Registry-Einstellungen definiert, welche Dienste<br />
gefiltert werden.<br />
243
10 Basis-Systemdienste<br />
Achtung:<br />
Es ist zu beachten, dass hier nur eine selektive Filterung verwendet wird. Werden Dienste zusätzlich lokal<br />
eingerichtet, so müssen diese ggf. nachgetragen werden.<br />
Die Service-Profile lassen sich während der Installation auswählen (etwa für eine abgesicherte Installa-<br />
tion) und auf einem installierten System nachträglich mit univention-system-setup-security ver-<br />
ändern.<br />
Es gibt drei Profile, die während der Installation oder zur Laufzeit über <strong>Univention</strong> System Setup ausge-<br />
wählt werden können:<br />
• Deaktiviert (keine Dienste werden geblockt)<br />
• Empfohlene Auswahl an Systemdiensten (siehe unten)<br />
• Abgesicherte Grundinstallation. Nur SSH, LDAP und HTTPS sind erlaubt.<br />
Bei der empfohlenen Auswahl werden einige typischerweise nicht benötigte Dienste gefiltert.<br />
• Auf Domänencontroller Master/Backup/Slave und Memberservern: Telnet und FTP<br />
• Auf Managed, Mobile Clients und Basis-Systemen: SMTP, Pop3, Notifier, KRSH, Kerberos, IMAP,<br />
Nagios, DHCP, DNS, FTP, LDAP, Postgres, Telnet und TFTP<br />
10.3.3 Lokale Filterregeln durch <strong>Univention</strong> Configuration Registry<br />
Neben vordefinierten Service-Defitionen erlaubt <strong>Univention</strong> Firewall auch die Einrichtung von Paketfilter-<br />
Regeln über <strong>Univention</strong> Configuration Registry. Diese werden über ein <strong>Univention</strong> Configuration Registry-<br />
Modul in /etc/security/netfilter.d/ eingebunden.<br />
Alle <strong>Univention</strong> Configuration Registry-Einstellungen für lokale Filterregeln werden in folgender Form ein-<br />
gegeben:<br />
security/packetfilter/[tcp|udp]/[accept|deny]=Ports<br />
tcp wird für Serverdienste über das Transmission Control Protocol und udp für verbindungslose<br />
Datagramm-Dienste verwendet.<br />
Wird eine Regel als deny registriert, so werden Pakete an diesen Port verworfen, durch accept kann<br />
eine Filterung überlagert werden. (IPTables-Regeln werden abgearbeitet, bis eine Regel zutrifft Wird ein<br />
Paket also durch eine Regel angenommen, die von einer später folgenden Regel verworfen wird, so tritt<br />
die Regel zum Verwerfen des Pakets nicht in Kraft).<br />
Die Ports können entweder als eine Zahl oder als Bereich mit einem Doppelpunkt definiert werden X:Y<br />
Einige Beispiele:<br />
244<br />
• security/packetfilter/tcp/deny=2000<br />
• security/packetfilter/udp/accept=500:600
10.3.4 Lokale Filterregeln durch iptables-Kommandos<br />
10.4 Authentifizierung / PAM<br />
Neben den vorhandenen Einstellungsmöglichkeiten über <strong>Univention</strong> Configuration Registry besteht auch<br />
die Möglichkeit beliebige weitergehende Konfigurationen in /etc/security/netfilter.d/ zu inte-<br />
grieren, etwa um eine Firewall oder Network Address Translation zu realisieren. Die Erweiterungen sollten<br />
als Shell-Scripte realisiert werden, die die entsprechenden iptables-Aufrufe durchführen.<br />
Ausführliche Dokumentation findet sich unter http://www.netfilter.org/.<br />
10.3.5 Testen von <strong>Univention</strong> Firewall-Einstellungen<br />
Paketfilter-Einstellungen sollten immer gründlich getestet werden. Mit dem standardmässig in <strong>Univention</strong><br />
Corporate Server integrierten Netzwerk-Scanner nmap kann der Zustand einzelner Ports geprüft werden:<br />
Da Nmap weitgehende Priviligien im Netzwerk-Stack benötigt, sollte es als root-Nutzer gestartet werden.<br />
Ein TCP-Port kann mit folgendem Befehl getestet werden:<br />
nmap HOSTNAME -p PORT(s)<br />
Ein UDP-Port kann mit folgendem Befehl getestet werden:<br />
nmap HOSTNAME -sU -p PORT(s)<br />
Beispiele:<br />
• nmap 192.168.1.100 -p 400<br />
• nmap 192.168.1.110 -sU -p 400-500<br />
10.4 Authentifizierung / PAM<br />
Authentifizierungs-Dienste werden in <strong>Univention</strong> Corporate Server durch Pluggable Authentication Mo-<br />
dules (PAM) realisiert. Dabei werden unterschiedliche Anmeldeverfahren auf eine gemeinsame Schnitt-<br />
stelle abgebildet, so dass eine neue Anmeldemethode keine Anpassungen an bestehenden Applikationen<br />
benötigt.<br />
In der PAM-Konfiguration von <strong>UCS</strong> können verschiedene Verfahren für die Authentifizierung von Benutzer-<br />
konten verwendet werden: unix überprüft das verschleierte Passwort anhand der Datei /etc/shadow,<br />
ldap führt einen BIND-Versuch beim LDAP-Server durch und krb5 überprüft das Passwort anhand eines<br />
Kerberos-Keys, der ebenfalls im LDAP gespeichert wird. Daneben gibt es noch weitere Verfahren, z.B.<br />
verwendet die Secure Shell (ssh) ein Schlüsselpaar zur Überprüfung, ob der Benutzer tatsächlich der<br />
Benutzer ist, den er vorgibt zu ein.<br />
In <strong>UCS</strong> reicht es normalerweise aus, wenn die Identität anhand eines dieser Verfahren überprüft wer-<br />
den kann. Welche Verfahren verwendet werden sollen, kann über die <strong>Univention</strong> Configuration Registry-<br />
Variable auth/admin/methods für den Administrator und über die <strong>Univention</strong> Configuration Registry-<br />
Variable auth/user/methods für alle anderen Benutzer konfiguriert werden. Die Standardeinstellung<br />
ist krb5 ldap unix, was alle drei Verfahren erlaubt.<br />
245
10 Basis-Systemdienste<br />
Neben dieser Überprüfung benötigen einige Dienste zusätzlich ein gültiges Benutzerkonto: Dieses ordnet<br />
einem Benutzersein Heimat-Verzeichnis, seine numerische Benutzerkennung (UID) sowie die Gruppen-<br />
mitgliedschaften zu. Diese Informationen werden unter anderem bei der Anmeldung am GDM, auf der<br />
Textkonsole oder per SSH benötigt. Auch Samba benötigt diese Informationen, um vom Benutzer ab-<br />
gelegte Informationen auf dem UNIX-Dateisystem speichern zu können oder um zu überprüfen, ob der<br />
Zugriff auf Dateien und Verzeichnisse erlaubt ist. Daneben enthalten die Kontodaten aber auch noch Zu-<br />
satzinformationen, z.B. zum Alter des Passworts, ob das Konto deaktiviert ist oder ob das Konto nur auf<br />
bestimmten Rechnern gültig sein soll.<br />
Auch hier werden über PAM verschiedene Verfahren genutzt, die sich teilweise ergänzen und ein-<br />
schränken: unix verwendet die Informationen aus /etc/passwd, /etc/group, /etc/shadow sowie<br />
/etc/nsswitch.conf, über die weitere Informationsquellen eingebunden werden können. Über letz-<br />
teres werden in <strong>UCS</strong> alle Benutzer aus dem LDAP eingebunden. Dies ist insbesondere notwendig um<br />
Programmen per per getent die Abfrage von Benutzern und Gruppen zu ermöglichen.<br />
Es ist zu beachten, daß die Datenstrukturen für das shadow-Verfahren sehr eingeschränkt und nicht er-<br />
weiterbar sind. Das verhindert u.a. die Nutzung von weiteren im LDAP hinterlegten Informationen. Deswe-<br />
gen wird ldap noch ein weiteres mal eingebunden, um anhand weiterer Kriterien entscheiden zu können,<br />
ob ein Benutzerkonto auf einem Rechner gültig ist oder nicht. Als drittes wird auch hier krb5 verwendet,<br />
was ähnlich zu ldap die Möglichkeit bietet, weitere Kriterien bei der Überprüfung zu berücksichtigen. Ein<br />
wichtiger Unterschied ist allerdings, daß der Kerberos-Dienst keine Zuordnung von Benutzername zu den<br />
benötigten POSIX-Informationen wie UID, GID, GECOS, HOME, Shell etc. durchführt. Dienste, die diese<br />
Informationen benötigen, müssen also zwingend zusätzlich ldap bzw. unix verwenden.<br />
Jedes dieser drei Verfahren zur Kontoverifizierung nutzt in <strong>UCS</strong> Informationen aus dem LDAP: unix wertet<br />
die shadow-Informationen aus, ldap verwendet ggf. zusätzlich das host-Attribut oder beliebige Filter, und<br />
krb5 werdet die Samba-Attribute (sambaAcctFlags) aus. Von daher sind die Verfahren nicht vollständig<br />
unabhängig voneinander und beeinflussen sich ggf. gegenseitig.<br />
Die konfigurierten PAM-Anmeldeverfahren können über <strong>Univention</strong> Configuration Registry Registry kon-<br />
figuriert werden. Dabei werden zwei Variablen unterschieden; in der <strong>Univention</strong> Configuration Registry-<br />
Variable auth/admin/services werden Dienste konfiguriert, die administrativen Benutzern vorbehalten<br />
sind und in auth/user/services Dienste für nicht-privilegierte Benutzer.<br />
Folgende Authentifizierungs-Verfahren stehen standardmässig zur Verfügung:<br />
246<br />
Name Beschreibung des authentifi-<br />
zierten Dienstes<br />
ftp FTP-Dienst<br />
gdm GDM für Anmeldungen an<br />
KDE/X11<br />
login Shadow-login<br />
other Fallback für nicht-konfigurierte<br />
Dienste<br />
ppp PPP-Prozesse mit Login-<br />
Option<br />
rlogin Remote Login (rlogin) (veraltet)
screen screen-Terminal-Tool<br />
chfn chfn-Tool aus Shadow zum Än-<br />
dern von Benutzerdaten<br />
chsh chsh-Tool aus Shadow zum Än-<br />
dern der Login-Shell<br />
kde KDE-Applikationen generell<br />
kscreensaver KDE-Bildschirmschoner<br />
kcheckpass KDE-Passwort-Prüfungen<br />
rsh Remote Shell (rsh) (veraltet)<br />
ssh Secure Shell<br />
su Tool zum Wechseln der<br />
Benutzer-Identität<br />
sudo Tool zum Ausführen von Benut-<br />
zern mit erhöhten Privilegien<br />
passwd passwd-Tool aus Shadow<br />
cron Cron-Daemon<br />
10.4 Authentifizierung / PAM<br />
Für verschiedene Dienste können die berechtigten Benutzer ausserdem über ein PAM-Modul be-<br />
schränkt werden. Wenn die <strong>Univention</strong> Configuration Registry-Variablen auth/ftpd/accessfile,<br />
auth/gdm/accessfile, auth/sshd/accessfile oder auth/nagios/accessfile auf den Namen<br />
einer Datei gesetzt werden, so wird der Zugriff auf die entsprechenden Dienste auf die Benutzer be-<br />
schränkt, die komma-separiert in den Dateien aufgeführt sind.<br />
10.4.1 Automatisches Sperren von Benutzer nach fehlgeschlagenen Anmeldungen<br />
Standardmässig kann ein Benutzer sein Passwort beliebig oft falsch eingeben. Um Brute Force-Angriffe<br />
auf Passwörter zu erschweren, kann eine automatische Sperre von Benutzerkonten nach einer konfigu-<br />
rierbaren Anzahl von fehlerhaften Anmeldungen aktiviert werden. Die Sperre ist standardmässig lokal pro<br />
Rechnersystem aktiviert. Wenn ein Benutzer also auf einem System zu oft sein Passwort falsch eingege-<br />
ben hat, kann er sich auf einem anderen System weiterhin anmelden. Durch Setzen der <strong>Univention</strong> Con-<br />
figuration Registry-Variable auth/faillog/lock_global kann die Sperre auch global erfolgen und<br />
wird im LDAP registriert. Die globale Sperrung kann nur auf Domänencontroller Master/Backup-Systemen<br />
eingesetzt werden, da andere Systemrollen nicht über die nötigen Berechtigungen im LDAP-Verzeichnis<br />
verfügen. Auf diesen Systemrollen wird der Benutzer aber lokal gesperrt, bzw. über das Listener-Modul<br />
auch wieder entsperrt.<br />
Achtung:<br />
Diese Einstellung kann auch missbraucht werden, etwa wenn ein Benutzer seinen Bildschirm gesperrt<br />
hat und ein anderer Benutzer in Abwesenheit mehrfach das Passwort falsch eingibt. In diesem Fall müsste<br />
der Benutzer den Administrator aufsuchen und seinen Account entsperren lassen.<br />
Das automatische Sperren von Benutzern nach fehlgeschlagenen Anmeldungen kann durch Setzen der<br />
247
10 Basis-Systemdienste<br />
<strong>Univention</strong> Configuration Registry-Variable auth/faillog auf yes aktiviert werden. Die Obergrenze an<br />
fehlerhaften Passworteingaben, bei der eine Kontosperre aktiviert wird, wird in der <strong>Univention</strong> Configura-<br />
tion Registry-Variable auth/faillog/limit konfiguriert. Nach einer korrekten Passworteingabe wird<br />
der Zähler jedesmal wieder zurückgesetzt.<br />
Der Root-Benutzer ist standardmässig von der Passwort-Sperre ausgenommen, kann aber durch Setzen<br />
der <strong>Univention</strong> Configuration Registry-Variable auth/faillog/root auf yes ebenfalls aufgenommen<br />
werden.<br />
Standardmässig ist die Sperre unbegrenzt gültig und muss vom Administrator zurückgesetzt werden. Sie<br />
kann aber auch nach Ablauf eines Intervalls automatisch wieder aufgehoben werden. Hierzu ist in der Uni-<br />
vention Configuration Registry-Variable auth/faillog/unlock_time ein Zeitraum in Sekunden anzu-<br />
geben. Wird der Wert auf 0 gesetzt, wird die Sperre direkt wiederaufgehoben.<br />
Werden Konten nur lokal gesperrt, kann der Administrator ein Benutzerkonto durch Eingabe des Befehls<br />
faillog -r USERNAME entsperren. Erfolgt die Sperrung global im LDAP, kann der Benutzer im Univen-<br />
tion Directory Manager im Reiter Benutzerkonto in den Benutzer-Optionen zurückgesetzt werden.<br />
10.5 Netz-Konfiguration<br />
10.5.1 Netzwerk-Interfaces<br />
Netzwerk-Interfaces werden in <strong>Univention</strong> Configuration Registry gespeichert. Sie können über Univen-<br />
tion System Setup verändert werden (siehe Kapitel 15.2.4), aber auch direkt in <strong>Univention</strong> Configura-<br />
tion Registry gespeichert werden. Pro Interface müssen vier Eigenschaften in <strong>Univention</strong> Configuration<br />
Registry-Variablen abgespeichert werden:<br />
• interfaces/ethX/address für die IP-Adresse, die an ein Interface gebunden werden soll.<br />
• interfaces/ethX/broadcast für die Broadcast-Adresse des Interfaces<br />
• interfaces/ethX/netmask für die Netzmaske des Interfaces<br />
• interfaces/ethX/network für das Netzwerk des Interfaces<br />
Neben den physischen Interfaces können auch zusätzliche virtuelle Interfaces in der Form<br />
interfaces/ethX_Y/Eigenschaft definiert werden.<br />
Das Default-Gateway wird durch die <strong>Univention</strong> Configuration Registry-Variable gateway konfiguriert.<br />
Auf Mobile Clients, die mit <strong>UCS</strong>-Version ab 2.3 installiert wurden, wird für die IP-Konfiguration<br />
der Network Manager eingesetzt. Wird die <strong>Univention</strong> Configuration Registry-Variable<br />
networkmanager/dhcp/options/fallback auf yes gesetzt, werden Optionen, die nicht durch<br />
den DHCP-Server gesetzt werden aus den vorher genannten <strong>Univention</strong> Configuration Registry-Variablen<br />
gelesen. Die<br />
Wird ein Serversystem über DHCP konfiguriert, wird in <strong>Univention</strong> Configuration Registry eine Adresse<br />
konfiguriert, auf die zurückgegriffen wird, wenn die DHCP-Anfrage fehlschlägt. Diese Einstellung wird<br />
durch die <strong>Univention</strong> Configuration Registry-Variablen interfaces/ethX/fallback/address<br />
und interfaces/ethX/fallback/netmask festgelegt. Für besondere Anforderungen<br />
248
10.6 Protokollierung von Systemmeldungen und -zuständen<br />
an die Netzkonfiguration können über die <strong>Univention</strong> Configuration Registry-Variablen<br />
interfaces/ethX/fallback/network und interfaces/ethX/fallback/broadcast abwei-<br />
chende Netzwerk- und roadcast-Adressen festgelegt werden. Mit gateway/fallback kann außerdem<br />
ein Gateway angegeben werden.<br />
10.5.2 DNS-Server<br />
Pro System können ein oder mehrere DNS-Server in den <strong>Univention</strong> Configuration Registry-Variablen<br />
nameserver1, nameserver2 und nameserver3 konfiguriert werden.<br />
Pro konfiguriertem Netzwerk-Interface kann über interfaces/ethX_Y/hosts der Eintrag in der Datei<br />
/etc/hosts definiert werden.<br />
Hinweise zur Konfiguration der Namensauflösung über /etc/hosts finden sich in Kapitel 10.11.4.<br />
10.5.3 Proxy-Konfiguration<br />
Die meisten Kommandozeilen-Tools, die Zugriffe auf Webserver durchführen (z.B. wget, elinks oder<br />
curl), prüfen, ob die Umgebungsvariable http_proxy gesetzt ist. Ist dies der Fall, wird automatisch der<br />
in dieser Variable eingestellte Proxy-Server verwendet.<br />
Über die <strong>Univention</strong> Configuration Registry-Variable proxy/http kann das Setzen dieser Umgebungsva-<br />
riable http_proxy durch einen Eintrag in /etc/profile aktiviert werden. Dabei muss die Proxy-URL<br />
angegeben werden, also z.B. http://192.168.1.100.<br />
Der Proxy-URL kann optional auch die Angabe eines Ports folgen, welcher durch einen Dop-<br />
pelpunkt abzutrennen ist, z.B. http://192.168.1.100:3128. Erfordert der Proxy eine Au-<br />
thentifizierung des zugreifenden Benutzers, so können die Benutzerinformationen in der Form<br />
http://username:password@192.168.1.100 übergeben werden.<br />
Die Umgebungsvariable wird nicht für aktuell geöffnete Sitzungen übernommen. Damit die Änderung aktiv<br />
wird, muss eine Neuanmeldung erfolgen.<br />
Die <strong>UCS</strong>-Programme zur Paketverwaltung unterstützen ebenfalls den Betrieb über einen Proxy und lesen<br />
die <strong>Univention</strong> Configuration Registry-Variable direkt aus.<br />
Einzelne Domänen können von der Verwendung des Proxys ausgenommen werden, in dem sie kom-<br />
masepariert in die <strong>Univention</strong> Configuration Registry-Variable proxy/no_proxy aufgenommen werden.<br />
Unterdomänen werden dabei berücksichtigt; eine Ausnahme für univention.de wirkt sich also auch auf<br />
apt.univention.de aus.<br />
10.6 Protokollierung von Systemmeldungen und -zuständen<br />
10.6.1 Logdateien<br />
Alle <strong>UCS</strong>-spezifischen Logdateien (z.B. für die Listener/Notifier-Replikation) werden im Verzeichnis<br />
/var/log/univention abgelegt. Serverdienste protokollieren in ihre jeweilige Standard-Logdateien;<br />
249
10 Basis-Systemdienste<br />
Samba beispielsweise in /var/log/samba/log.smbd und /var/log/samba/log.nmbd.<br />
Die Logdateien werden durch Logrotate verwaltet. Es sorgt dafür, dass Logdateien in einem Intervall (konfi-<br />
gurierbar in Wochen über die <strong>Univention</strong> Configuration Registry-Variable log/rotate/weeks, standard-<br />
mässig 12) fortlaufend benannt werden und ältere Logdateien anschliessend gelöscht werden. Die aktuelle<br />
Logdatei für den <strong>Univention</strong> Directory Listener findet sich beispielsweise in der Datei listener.log, die<br />
der Vorwoche in listener.log.1 usw.<br />
Über die <strong>Univention</strong> Configuration Registry-Variable log/rotate/univention/compress kann konfi-<br />
guriert werden, ob die älteren Logdateien zusätzlich mit Gzip komprimiert werden sollen.<br />
10.6.2 Protokollierung des Systemzustands<br />
Mit univention-system-stats (verfügbar ab <strong>UCS</strong> 2.4-1) kann der aktuelle Systemzustand in die Datei<br />
/var/log/univention/system-stats.log protokolliert werden. Protokolliert werden dabei folgen-<br />
de Werte:<br />
• Der freie Speicherplatz auf den Systempartitionen (df -lhT)<br />
• Die aktuelle Prozeßliste (ps auxf)<br />
• Zwei top-Aufstellungen der aktuellen Prozesse und Auslastung (top -b -n2)<br />
• Den aktuell freien Arbeitsspeicher (free)<br />
• Die Zeit, die seit dem Start des Systems vergangen ist (uptime)<br />
• Temperatur-, Lüfter- und Spannungskennzahlen aus LM-Sensors (sensors)<br />
• Eine Aufstellung der aktuellen Samba-Verbindungen (smbstatus)<br />
Die Laufzeiten in denen der Systemzustand protokolliert werden soll, können durch die <strong>Univention</strong> Con-<br />
figuration Registry-Variable system/stats/cron in Cron-Syntax definiert werden, z.B. 0,30 * * * * für<br />
eine Protokollierung jeweils zu jeder vollen und halben Stunde. Die Protokollierung wird durch Setzen der<br />
<strong>Univention</strong> Configuration Registry-Variable system/stats auf yes aktiviert.<br />
10.7 Kernel<br />
10.7.1 Verfügbare Kernel-Varianten<br />
Um Systeme effizient an die Bedürfnisse verschiedener Umgebungen anpassen zu können, werden in<br />
<strong>UCS</strong> verschiedene Kernel-Varianten bereitgestellt.<br />
Der Standard-Kernel in <strong>UCS</strong> 2.4 basiert auf dem offiziellen Linux-Kernel 2.6.32. Prinzipiell sind drei ver-<br />
schiedene Arten von Kernel-Paketen zu unterscheiden:<br />
250<br />
• Ein Kernel-Image-Paket stellt einen lauffähigen Kernel bereit, der installiert und gestartet werden<br />
kann.<br />
• Ein Kernel-Source-Paket stellt den Quellcode für einen Kernel bereit. Aus diesem kann beispiels-<br />
weise ein angepasster Kernel erstellt werden, indem Funktionen aktiviert oder deaktiviert werden<br />
können.
10.7 Kernel<br />
• Ein Kernel-Header-Paket stellt Schnittstellen-Informationen bereit, die von externen Paketen benö-<br />
tigt werden, wenn diese auf Kernel-Funktionen zugreifen müssen. Sie werden typischerweise zum<br />
Übersetzen externer Kernel-Treiber benötigt.<br />
Im Regelfall ist für den Betrieb eines <strong>UCS</strong>-Systems nur die Installation eines Kernel-Image-Paketes not-<br />
wendig.<br />
Der Standard-Kernel in <strong>UCS</strong> für i386-basierte Systeme unterstützt bei Installationen ab Version 2.4 64<br />
GB RAM (der sogenannte bigmem-Kernel für Prozessoren mit PAE-Unterstützung). Der Standard-Kernel<br />
für amd64-Systeme unterstützt direkt mehr als 4 GB Arbeitsspeicher, wodurch eine 64 GB-Variante für<br />
amd64-Systeme nicht notwendig ist.<br />
Mehrere Kernel-Varianten können parallel installiert sein. Dies stellt sicher, dass im Fehlerfall immer auf<br />
eine ältere Variante zurückgegriffen werden kann. Um ein System trotzdem immer auf dem jeweils aktuel-<br />
len Stand halten zu können, werden sogenannte Meta-Pakete bereitgestellt, die immer auf die aktuell von<br />
<strong>UCS</strong> empfohlene Kernel-Version verweisen und diese im Update-Fall jeweils nachinstallieren.<br />
Eine vollständige Aufstellung aller Meta-Pakete findet sich im <strong>Univention</strong> Wiki unter<br />
http://wiki.univention.de/index.php?title=Unterstützte_Kernel-Varianten<br />
10.7.2 Treiber-Management<br />
Im Gegensatz zu anderen Betriebssystemen liefert der Linux-Kernel (von wenigen Ausnahmen abgese-<br />
hen) alle Treiber für Komponenten aus einer Hand. Im Regelfall ist es deshalb nicht notwendig Treiber aus<br />
externen Quellen nachzuinstallieren.<br />
Der Boot-Prozess erfolgt zweistufig unter Verwendung einer Initial RAM Disk (kurz initrd). Diese besteht<br />
aus einem Archiv mit weiteren Treibern und Programmen. Der Boot-Manager GRUB (siehe Kapitel 10.8)<br />
lädt den Kernel und die initrd in den Arbeitsspeicher, wo das initrd-Archiv entpackt und als temporäres<br />
Root-Dateisystem gemountet wird. Aus diesem kann dann das tatsächliche Root-Dateisystem eingebun-<br />
den werden, woraufhin abschliessend das temporäre Archiv wieder entfernt und der Systemstart eingelei-<br />
tet wird.<br />
Durch die <strong>Univention</strong> Configuration Registry-Variable initramfs/modules kann konfiguriert werden,<br />
welche Module in die initrd integriert werden. Wird sie auf most gesetzt, so werden alle Framebuffer-<br />
, ACPI, Dateisystem- und Festplatten-Module integriert, netboot fügt nur Basis- und Netzwerk-Treiber<br />
hinzu und dep führt eine automatische Erkennung der zu integrierenden Module durch.<br />
Wird die <strong>Univention</strong> Configuration Registry-Variable initramfs/busybox auf yes gesetzt, so wird Bu-<br />
sybox, eine kompakte Implementierung der Standard-Unix-Tools hinzugefügt, die u.a. zur Fehleranalyse<br />
nützlich ist.<br />
Die zu verwendenen Treiber werden beim Systemstart automatisch erkannt und durch den Device Mana-<br />
ger udev geladen. Dabei werden ausserdem die notwendigen System-Verknüpfungen unter /dev ange-<br />
legt. Wenn Treiber nicht erkannt werden (was vorkommen kann, wenn keine entsprechenden Hardware-<br />
IDs registriert sind oder Hardware verwendet wird, die nicht automatisch erkannt werden kann, etwa<br />
ISA-Steckkarten), so können automatisch zu ladende Kernel-Module durch die <strong>Univention</strong> Configurati-<br />
on Registry-Variable kernel/modules hinzugefügt werden. Soll mehr als ein Kernel-Modul hinzugefügt<br />
werden, so müssen diese durch ein Semikolon getrennt werden.<br />
251
10 Basis-Systemdienste<br />
10.8 GRUB Boot-Manager<br />
Als Boot-Manager wird in <strong>Univention</strong> Corporate Server GNU GRUB verwendet. GRUB stellt ein Auswahl-<br />
menü bereit, aus dem eine zu bootende Linux-Kernel-Variante oder weiteres Betriebssystem ausgewählt<br />
werden kann. Im Gegensatz zum in früheren <strong>UCS</strong>-Versionen verwendeten Bootloader LILO kann GRUB<br />
auch direkt auf Dateisysteme zugreifen, so dass im Fehlerfall etwa ein abweichender Kernel geladen wer-<br />
den kann.<br />
Die Auswahl der zu startenden Kernel im Boot-Menü wird in der Datei /boot/grub/menu.lst abge-<br />
legt. Standardmässig wird fünf Sekunden auf eine Eingabe gewartet. Durch die <strong>Univention</strong> Configuration<br />
Registry-Variable grub/timeout kann ein abweichender Wert in Sekunden konfiguriert werden.<br />
In der Grundeinstellung wird in einen 1024x768 Pixel grossen Bildschirm unter 16 Bit<br />
Farbtiefe gewechselt. Durch die <strong>Univention</strong> Configuration Registry-Variable grub/vga kann<br />
ein anderer Modus ausgewählt werden. Eine Liste der verfügbaren Modi findet sich unter<br />
http://en.wikipedia.org/wiki/VESA_BIOS_Extensions.<br />
Durch Setzen der <strong>Univention</strong> Configuration Registry-Variable grub/memtest86 auf true kann ein<br />
Speicher-Testprogramm in die Boot-Auswahl eingebunden werden. Dazu muss auf dem zu testenden<br />
System das Paket memtest86+ installiert sein.<br />
GRUB lädt das Betriebsystem in einem zweistufigen Verfahren; in den Master Boot Record der Festplatte<br />
wird der Stage 1-Loader geschrieben, der auf die Daten der Stage 2 verweist, welche den Grossteil des<br />
übrigen Boot-Vorgangs übernimmt.<br />
Durch Setzen der <strong>Univention</strong> Configuration Registry-Variable grub/append lassen sich Konfigurations-<br />
Optionen an den zu bootenden Kernel übergeben.<br />
GRUB verwendet zur Bennennung der Partitionen einer Festplatte eine eigene Notation, die von den<br />
Geräte-Namen unter Linux unabhängig ist. Diese wird für Festplatten-Partitionen in der Form (hdX,Y)<br />
dargestellt, wobei X für die Festplatte im System steht und Y für die Partition auf der Festplatte (die<br />
Zählung beginnt jeweils bei 0). (hd0,0) steht beispielsweise für die erste Partition auf der ersten Festplat-<br />
te. Die Grub-Root-Partition kann in dieser Notation durch die <strong>Univention</strong> Configuration Registry-Variable<br />
grub/groot angegeben werden.<br />
Davon unabhängig ist die Root-Partition, die an den zu bootenden Kernel übergeben wird. Diese kann<br />
durch die <strong>Univention</strong> Configuration Registry-Variable grub/root verändert werden und muss in normaler<br />
Linux-Partitions-Syntax angegeben werden.<br />
10.9 Ausführen von wiederkehrenden Aktionen mit Cron<br />
Regelmässig wiederkehrende Aktionen (wie z.B. das Verarbeiten von Logdateien) können mit dem Cron-<br />
Dienst zu einem definierten Zeitpunkt gestartet werden. Eine solche Aktion bezeichnet man auch als<br />
Cron-Job.<br />
252
10.9 Ausführen von wiederkehrenden Aktionen mit Cron<br />
10.9.1 Stündliches/tägliches/wöchentliches/monatliches Ausführen von Skripten<br />
Auf jedem <strong>UCS</strong>-System sind vier Verzeichnisse vordefiniert, /etc/cron.hourly/,<br />
/etc/cron.daily/, /etc/cron.weekly/ und /etc/cron.monthly/. Shell-Skripte, die in diesen<br />
Verzeichnissen abgelegt werden und als ausführbar markiert sind, werden automatisch stündlich, täglich,<br />
wöchentlich oder monatlich ausgeführt.<br />
10.9.2 Definition eigener Cron-Jobs in /etc/cron.d<br />
Ein Cron-Job wird in einer Zeile definiert, die aus insgesamt sieben Spalten aufgebaut ist:<br />
• Minute (0-59)<br />
• Stunde (0-23)<br />
• Tag (1-31)<br />
• Monat (1-12)<br />
• Wochentag (0-7) (0 und 7 stehen dabei für den Sonntag)<br />
• Name des ausführenden Benutzers (z.B. root)<br />
• Der auszuführende Befehl<br />
Die Zeitangaben können dabei in verschiedenen Formaten vorgenommen werden. Es kann entweder eine<br />
konkrete Minute/Stunde/etc. vorgegeben werden oder mit einem * eine Aktion zu jeder Minute/Stunde/etc.<br />
ausgeführt werden. Es können auch Intervalle definiert werden, */2 führt als Minutenangabe beispielswei-<br />
se dazu, dass eine Aktion jede zweite Minute ausgeführt wird.<br />
Einige Beispiele:<br />
30 * * * * root /usr/sbin/jitter 600 /usr/share/univention-samba/slave-sync<br />
*/5 * * * * www-data /usr/bin/php -q /usr/share/horde3/kronolith/scripts/reminders.php<br />
10.9.3 Definition eigener Cron-Jobs in <strong>Univention</strong> Configuration Registry<br />
Cron-Jobs können auch in <strong>Univention</strong> Configuration Registry definiert werden. Das ist besonders nützlich,<br />
wenn sie über eine <strong>Univention</strong> Directory Manager-Richtlinie gesetzt und somit auf mehr als einen Rechner<br />
angewendet werden.<br />
Jeder Cron-Job setzt sich dabei aus min. zwei <strong>Univention</strong> Configuration Registry-Variablen zusammen.<br />
JOBNAME ist dabei ein allgemeiner Bezeichner.<br />
• cron/JOBNAME/command legt den auszuführenden Befehl fest (Angabe erforderlich)<br />
• cron/JOBNAME/time setzt die Ausführungszeit fest (siehe 10.9.2) (Angabe erforderlich)<br />
• Standardmässig wird der Crob-Job als Benutzer root ausgeführt. Mit cron/JOBNAME/user kann<br />
ein abweichender Benutzer angegeben werden.<br />
• Wird unter cron/JOBNAME/mailto eine Email-Adresse hinterlegt, wird die Ausgabe des Cron-<br />
Jobs per Email dorthin gesendet.<br />
253
10 Basis-Systemdienste<br />
• Mit cron/JOBNAME/description kann eine Beschreibung hinterlegt werden.<br />
10.10 Kerberos<br />
Kerberos ist ein Authentikationsverfahren um in verteilten Netze über potentiell unsichere Verbindun-<br />
gen eine sichere Identifikation zu erlauben. Alle Clients verwenden dabei eine gemeinsame Vertrauens-<br />
basis, das Key Distribution Centre (KDC). Ein Client authentifiziert sich bei diesem KDC und erhält<br />
ein Authentizierungs-Token, das sogenannte Ticket, das zur Authentizierung innerhalb einer Kerberos-<br />
Umgebung (der sogenannten Kerberos Realm) verwendet werden kann. Der Name der Kerberos Realm<br />
kann über die <strong>Univention</strong> Configuration Registry-Variable kerberos/realm konfiguriert werden.<br />
Tickets sind standardmässig acht Stunden gültig; für eine Kerberos-Domäne ist deshalb eine synchrone<br />
Systemzeit zwischen den Systemen der Kerberos Realm essentiell.<br />
In <strong>Univention</strong> Corporate Server wird die Kerberos-Implementierung Heimdal verwendet. In einer Domä-<br />
ne können mehrere Domänencontroller als KDC operieren, per Default arbeitet jeder Domänencontroller<br />
Master, Domänencontrolle Backup und Domänencontroller Slave als KDC. Der von einem System ver-<br />
wendete KDC kann durch die <strong>Univention</strong> Configuration Registry-Variable kerberos/kdc umkonfiguriert<br />
werden.<br />
Auf dem Domänencontroller Master läuft der Kerberos Adminserver, auf dem administrative Einstellungen<br />
der Domäne vorgenommen werden können. Die meisten Einstellungen werden in <strong>Univention</strong> Corporate<br />
Server aus dem LDAP-Verzeichnis bezogen, so dass die wichtigste verbleibende Funktion das Ändern von<br />
Passwörtern darstellt. Diese können durch das Tool kpasswd geändert werden und werden dann auch im<br />
LDAP verändert. Der Kerberos Adminserver kann auf einem System durch die <strong>Univention</strong> Configuration<br />
Registry-Variable kerberos/adminserver konfiguriert werden.<br />
10.11 Namensauflösung<br />
10.11.1 Name Service Switch<br />
Die in <strong>Univention</strong> Corporate Server verwendete GNU C-Standardbibliothek (glibc) bietet eine modula-<br />
re Schnittstelle zur Auflösung von Namen von Benutzern, Gruppen und Rechnern, den Name Service<br />
Switch.<br />
Anstelle der traditionellen Konfigurationsdateien (wie /etc/passwd oder /etc/hosts) können die Da-<br />
ten, die bei Funktionsaufrufen zum Auflösen von Benutzer-, Gruppen- oder Rechnerdaten zurückgeliefert<br />
werden, auf diese Weise aus anderen Quellen wie LDAP oder einer SQL-Datenbank bezogen werden.<br />
Die Speicherarten werden in der Datei /etc/nsswitch.conf gespeichert, die über <strong>Univention</strong> Con-<br />
figuration Registry verwaltet werden kann. Standardmässig wird dabei auf den LDAP-Verzeichnisdienst<br />
zurückgegriffen; durch Setzen der <strong>Univention</strong> Configuration Registry-Variable nsswitch/ldap auf no<br />
kann die ausschliessliche Verwendung von /etc/passwd, /etc/group und /etc/hosts konfiguriert<br />
werden.<br />
254
10.11.2 LDAP-NSS-Modul<br />
10.11 Namensauflösung<br />
Das LDAP-NSS-Modul wird auf <strong>UCS</strong>-Systemen standardmässig für den Zugriff auf die Domänen-<br />
Daten (z.B. Benutzer) verwendet. Das Modul greift dabei auf den in der <strong>Univention</strong> Configurati-<br />
on Registry-Variable ldap/server/name (und ggf. zusätzlich der <strong>Univention</strong> Configuration Registry-<br />
Variable ldap/server/addition) festgelegten LDAP-Server zu.<br />
Der Verhalten bei nicht erreichbarem LDAP-Server kann durch die <strong>Univention</strong> Configuration Registry-<br />
Variable nssldap/bindpolicy festgelegt werden. Standardmässig wird bei nicht erreichbarem Server<br />
eine erneute Verbindung aufgebaut. Wird die Variable auf soft gesetzt, wird kein erneuter Verbindungs-<br />
aufbau durchgeführt. Dies kann den Boot eines Systems mit nicht erreichbarem LDAP-Server - z.B. in<br />
einer abgeschottenen Testumgebung - deutlich beschleunigen.<br />
10.11.3 Name Server Cache Daemon<br />
Um häufige Anfragen unveränderter Daten zu beschleunigen, können Daten des NSS-Dienstes durch den<br />
Name Server Cache Daemon (NSCD) zwischengespeichert werden. Werden diese erneut angefragt,<br />
muss so nicht eine vollständige neue LDAP-Anfrage durchgeführt werden, sondern die Daten können<br />
direkt aus dem Cache bezogen werden.<br />
Die zentrale Konfigurations-Datei des NSCD (/etc/nscd.conf) wird durch <strong>Univention</strong> Configuration<br />
Registryverwaltet.<br />
Der Zugriff auf den Cache erfolgt über eine Hash-Tabelle. Die Größe dieser Hash-Tabelle kann über Uni-<br />
vention Configuration Registry konfiguriert werden und sollte größer sein als die Anzahl der gleichzei-<br />
tig verwendeten Gruppen/Benutzer/Rechner. Aus technischen Gründen sollte als Größe der Tabelle eine<br />
Primzahl verwendet werden. Die folgende Tabelle führt die Standardwerte der Variablen auf:<br />
Variable Standardgröße der Hash-<br />
Tabelle<br />
nscd/group/size 3001<br />
nscd/hosts/size 3001<br />
nscd/passwd/size 3001<br />
Bei sehr großen Caches kann es nötig sein, die Größe der Cache-Datenbank im Arbeitsspeicher zu<br />
erhöhen. Dies kann mit den <strong>Univention</strong> Configuration Registry-Variablen nscd/hosts/maxdbsize,<br />
nscd/group/maxdbsize und nscd/passwd/maxdbsize konfiguriert werden.<br />
Standardmässig werden vom NSCD fünf Threads gestartet. Im Umgebungen, in denen viele Zugrif-<br />
fe erfolgen, kann es erforderlich sein, die Anzahl durch die <strong>Univention</strong> Configuration Registry-Variable<br />
nscd/threads zu erhöhen.<br />
In der Grundeinstellung wird ein aufgelöster Gruppen- oder Rechnername eine Stunde im Ca-<br />
che vorgehalten und ein Benutzername zehn Minuten. Durch die <strong>Univention</strong> Configuration Registry-<br />
Variablen nscd/group/positive_time_to_live, nscd/hosts/positive_time_to_live und<br />
nscd/passwd/positive_time_to_live können diese Zeiträume erweitert oder verringert werden<br />
(die Angabe erfolgt in Sekunden).<br />
255
10 Basis-Systemdienste<br />
Seit <strong>UCS</strong> 2.3 existiert ein <strong>Univention</strong> Directory Listener-Modul, welches den Gruppen-Cache leert, wenn<br />
eine Änderung an Gruppenmitgliedschaften vorgenommen wurde. Dieses Listener-Modul kann über die<br />
<strong>Univention</strong> Configuration Registry-Variable nscd/group/invalidate_cache_on_changes aktiviert/-<br />
deaktiviert werden (true/false).<br />
Gelegentlich kann es nötig sein, den Cache des NSCD manuell zu invalidieren. Die kann individuell pro<br />
Cache-Tabelle durch folgende Befehle geschehen:<br />
nscd -i passwd<br />
nscd -i group<br />
nscd -i hosts<br />
Der Detailgrad der Logmeldungen kann mit der <strong>Univention</strong> Configuration Registry-Variable<br />
nscd/debug/level konfiguriert werden.<br />
10.11.4 Konfiguration von /etc/hosts in <strong>Univention</strong> Configuration Registry<br />
Die Datei /etc/hosts wird als <strong>Univention</strong> Configuration Registry-Template verwaltet. Einzelne Einträge<br />
können über eine <strong>Univention</strong> Configuration Registry-Variable in der folgenden Form hinzugefügt werden:<br />
hosts/static/192.168.1.1="test.local test"<br />
10.12 SSH<br />
Bei der Installation eines <strong>UCS</strong>-Systems wird in der Vorauswahl ein SSH-Server mitinstalliert. Über SSH<br />
können verschlüsselte Verbindungen zu Rechnern durchgeführt werden, wobei auch die Identität eines<br />
Rechners über eine Prüfsumme sichergestellt werden kann. Wesentliche Aspekte der Konfiguration des<br />
SSH-Servers lassen sich über <strong>Univention</strong> Configuration Registry anpassen:<br />
Standardmässig ist der Login des privilegierten root-Benutzers per SSH erlaubt (etwa um ein neu in-<br />
stalliertes System an einem entfernten Standort zu konfigurieren, auf dem noch keine weiteren Benutzer<br />
angelegt wurden). Wird die <strong>Univention</strong> Configuration Registry-Variable sshd/permitroot auf without-<br />
password gesetzt, so wird für den root-Benutzer keine interaktive Passwort-Abfrage mehr durchgeführt,<br />
sondern beispielsweise nur eine Public-Key-basierte Anmeldung, was Brute-Force-Attacken auf Passwör-<br />
ter vermeidet. Wird die Variable auf no gesetzt, so kann sich der root-Benutzer überhaupt nicht mehr per<br />
SSH einloggen.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable sshd/xforwarding kann konfiguriert werden, ob eine<br />
X11-Ausgabe über SSH weitergeleitet werden soll. Dies ist u.a. nötig, um einem Benutzer die Möglichkeit<br />
zu geben durch einen Login mit ssh -X ZIELRECHNER ein Programm mit grafischer Ausgabe auf einem<br />
entfernten Rechner zu starten. Die möglichen Einstellungen sind yes und no.<br />
Der Standard-Port für SSH-Verbindungen ist Port 22 über TCP. Wenn ein abweichender Port verwendet<br />
werden soll, kann dies über die <strong>Univention</strong> Configuration Registry-Variable sshd/port konfiguriert wer-<br />
den.<br />
256
10.13 Zeitsynchronisation<br />
10.13 Zeitsynchronisation<br />
Asynchrone Systemzeiten zwischen den einzelnen Rechnern einer Domäne können die Quelle vielfältiger<br />
Fehler bedeuten: Sie verringern beispielweise die Verlässlichkeit von Log-Dateien, stören den Kerberos-<br />
Betrieb und können die korrekte Auswertung von Passwortablaufintervallen stören.<br />
In einer Domäne dient standardmässig der Domänencontroller Master als Zeitserver. Über die <strong>Univention</strong><br />
Configuration Registry-Variablen timeserver, timeserver2 und timeserver3 können externe NTP-<br />
Server als Zeitquelle eingebunden werden.<br />
Eine manuelle Zeitsynchronisation kann durch den Befehl ntpdate gestartet werden.<br />
257
10 Basis-Systemdienste<br />
258
11 Softwarepflege<br />
Inhaltsverzeichnis<br />
11.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259<br />
11.2 <strong>UCS</strong> Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260<br />
11.2.1 <strong>UCS</strong>-Security-Updates und Hotfixes . . . . . . . . . . . . . . . . . . . . . . . . . . . 260<br />
11.2.2 <strong>UCS</strong>-Release-Updates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261<br />
11.3 Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263<br />
11.3.1 Repository-Server zuweisen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263<br />
11.3.2 Aktualisierung von Paketen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263<br />
11.3.3 Hinzufügen von Komponenten-Repositories . . . . . . . . . . . . . . . . . . . . . . . 265<br />
11.3.4 Verwalten von Paketlisten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266<br />
11.3.5 Release-Aktualisierungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268<br />
11.3.6 Manuelle Paketpflege . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269<br />
11.4 Software-Monitor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270<br />
11.5 Repository-Verwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272<br />
11.1 Einführung<br />
11.5.1 Anlegen eines Repository . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273<br />
11.5.2 Pakete hinzufügen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273<br />
11.5.3 Pakete entfernen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274<br />
11.5.4 Zusammenführen von Repositorys . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274<br />
11.5.5 Repository-Synchronisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275<br />
Die in <strong>UCS</strong> integrierte Softwareverteilung und -pflege ist ein umfangreicher Mechanismus zum zentralen<br />
Verwalten von Release-Ständen und Paket-Versionen auf allen <strong>UCS</strong>-Systemen einer Domäne. Updates<br />
für <strong>UCS</strong> werden als Release- und Security-Updates sowie Hotfixes zur Verfügung gestellt. Diese können<br />
über DVDs oder so genannte Repository-Server bezogen werden.<br />
Diese Repository-Server stellen den Systemen einer <strong>UCS</strong>-Domäne die Software in Form von Paketen<br />
zur Verfügung, welche von den <strong>UCS</strong>-Systemen zur Installation heruntergeladen werden können. Seit der<br />
Version 2.2 von <strong>UCS</strong> besteht die Möglichkeit Release-Updates, Security-Updates, Hotfixes und zusätz-<br />
liche Komponten über das Online-Repository http://apt.univention.de einzuspielen. Damit ist in<br />
<strong>UCS</strong>-Domänen ein lokaler Repository-Server nicht mehr zwingend notwendig. Umgebungen, in denen<br />
beispielsweise der Zugriff auf externe Repository-Server nicht möglich ist, können weiterhin lokale Repo-<br />
sitory-Server verwenden.<br />
Mit diesen Mechanismen zur Softwarepflege werden nur die <strong>UCS</strong>-Systeme einer <strong>UCS</strong>-Domäne versorgt.<br />
Windows-Systeme sind derzeit nicht vorgesehen, es besteht aber die Möglichkeit über den <strong>Univention</strong><br />
259
11 Softwarepflege<br />
Windows Installer skriptbasiert eine Software-Auswahl im Rahmen einer Installation zu starten. Alternativ<br />
kann das Produkt opsi4ucs für eine automatische Windows-Installation und Softwareverteilung verwendet<br />
werden, dessen Verwaltung über das <strong>UCS</strong>-Managementsystem möglich ist. Weitere Informationen finden<br />
sich auf der Webseite des Herstellers unter http://www.uib.de.<br />
In diesem Kapitel werden diese Vorgänge und Funktionen genauer beschrieben, d.h. es werden die Vor-<br />
gänge zum Einspielen von Updates, die erweiterten Funktionalitäten des <strong>UCS</strong>-Managementsystems zur<br />
Softwarepflege sowie die Verwaltung von Repositories dokumentiert.<br />
11.2 <strong>UCS</strong> Updates<br />
Updates für <strong>UCS</strong> werden auf den <strong>UCS</strong>-Systemen immer über ein Repository eingespielt. Je nach Größe<br />
und Infrastruktur der Umgebung kann dies über eigene Repositories durchgeführt werden oder es kann<br />
das Online-Repository verwendet werden. Details zur Verwaltung von Repositories sind im Abschnitt 11.5<br />
zu finden.<br />
Von welchen Repository-Servern sich ein System für Updates bedient, wird über <strong>Univention</strong> Configu-<br />
ration Registry-Variablen definiert. Seit <strong>UCS</strong> 2.2 werden auf Basis dieser Variablen in dem Verzeich-<br />
nis /etc/apt/sources.list.d eine Liste von Dateien mit den Repositories für Release- und Se-<br />
curity-Updates sowie Hotfixes und Komponenten automatisch erzeugt. Welche <strong>Univention</strong> Configurati-<br />
on Registry-Variablen die Liste der Repositories beeinflussen, wird in den folgenden Abschnitten er-<br />
läutert. Sollten auf einem System weitere Repositories benötigt werden, können diese in der Datei<br />
/etc/apt/sources.list eingetragen werden.<br />
Wenn die automatischen Erstellung der Repository-Listen nicht gewünscht ist, kann dies durch Setzen der<br />
<strong>Univention</strong> Configuration Registry-Variable repository/online auf den Wert false deaktiviert werden.<br />
Im Folgenden wird das Einspielen von Release- und Security-Updates sowie das Einbinden von Hotfixes<br />
erläutert.<br />
11.2.1 <strong>UCS</strong>-Security-Updates und Hotfixes<br />
Wenn in Softwarepaketen Sicherheitslücken oder gravierende Fehler bekannt werden, stellt Univen-<br />
tion Security-Updates bereit. Die Verfügbarkeit neuer Security-Updates wird per E-Mail angekündigt.<br />
Zu jedem Security-Update wird ein Advisory-Dokument veröffentlicht, in dem die aktualisierten Pa-<br />
kete und der Grund für die Aktualisierung genannt werden. Sowohl in der Ankündigungen per E-<br />
Mail als auch in den Advisories wird darauf hingewiesen, ob nach dem Einspielen des Updates<br />
das System neu gestartet werden muss. Security-Updates für aktuelle <strong>UCS</strong> Versionen sind unter<br />
http://www.univention.de/updates/security abrufbar.<br />
Um den aktuellen Stand eines Systems bezüglich Security-Updates zu überprüfen, kann die <strong>Univention</strong><br />
Configuration Registry-Variable version/security-patchlevel ausgelesen werden. Sollten neuere<br />
Security-Updates angekündigt sein, können diese entweder über die <strong>Univention</strong> Management Console<br />
(siehe Abschnitt 5.3.13) oder die im folgenden erläuterten Kommandozeilenprogramme installiert werden.<br />
Zum Einspielen von Security-Updates wird das Kommando univention-security-update<br />
verwendet. Als Aufrufparameter werden net oder local unterstützt. Bei beiden Variante<br />
260
11.2 <strong>UCS</strong> Updates<br />
kann zusätzlich die Option --silent angegeben werden, wodurch alle Ausgaben außer Feh-<br />
lermeldungen unterdrückt werden. Unabhängig davon werden alle Ausgaben in der Datei<br />
/var/log/univention/security-updates.log protokolliert.<br />
Bei der Verwendung von univention-security-update net werden die Security-Updates für das<br />
System aus dem Netz heruntergeladen und auf dem System eingespielt. Sollten mehrere Security-Upda-<br />
tes für die Version des Systems zur Verfügung stehen, die noch nicht auf dem System eingespielt worden<br />
sind, werden diese mit einem Aufruf eingespielt, so dass das System anschließend auf dem aktuellen<br />
Stand ist. Heruntergeladen werden die Security-Updates von dem eingestellten Repository-Server. Dieser<br />
ist in der <strong>Univention</strong> Configuration Registry-Variable repository/online/server eingetragen. Beim<br />
Zugriff auf den Server werden die Web-Proxy-Einstellungen des Systems berücksichtigt.<br />
Alternativ können Security-Updates auch als tar-Archiv heruntergeladen werden und dann mit dem Be-<br />
fehl univention-security-update local installiert werden. Diese Variante kann allerdings nur auf<br />
Repository-Servern genutzt werden. Ein Aufruf könnte beispielsweise wie folgt aussehen:<br />
univention-security-update local --file ucs-security-2.2sec1.tar.gz<br />
Zuvor sollte geprüft werden ob das Archiv vollständig und korrekt heruntergeladen wurde. Dies kann mit-<br />
tels des Kommandos md5sum durchgeführt werden, welches eine eindeutige Prüfsumme des Archivs<br />
erstellt. Zum Abgleich sind unter der angegebenen URL die Prüfsummen aller Archive zu finden. Ist die<br />
MD5-Summe korrekt kann das Security-Update mit dem genannten Befehl eingespielt werden. Dabei wird<br />
zuerst das lokale Repository aktualisiert und anschließend das Security-Update auf dem System einge-<br />
spielt.<br />
Security-Updates für <strong>UCS</strong> enthalten in der Regel mehrere Pakete, in denen Sicherheitslücken und gra-<br />
vierende Fehler korrigiert werden. Dadurch müssen nicht ständig wieder neue Pakete einzeln eingespielt<br />
werden. In manchen Umgebung kann es notwendig sein, Korrekturen für bestimmte Pakete schnellst-<br />
möglich zu bekommen. Dafür gibt es die <strong>Univention</strong> Hotfixes. Sobald ein Paket mit einer entsprechen-<br />
den Korrektur erstellt und dies getestet wurde, wird dieses über das Repository für Hotfixes zur Ver-<br />
fügung gestellt und per E-Mail die Verfügbarkeit angekündigt. Über dieses Repository können die Uni-<br />
vention Hotfixes auf den <strong>UCS</strong>-Systemen mit dem Befehl univention-actualise eingespielt wer-<br />
den. Für die Einbindung des Hotfixes-Repository muss die <strong>Univention</strong> Configuration Registry-Variable<br />
repository/online/hotfixes auf yes gesetzt werden.<br />
11.2.2 <strong>UCS</strong>-Release-Updates<br />
Ein wesentlicher Aspekt bei der Entwicklung von <strong>UCS</strong> ist die Update-Fähigkeit. Die Update-Fähigkeit<br />
besagt, dass eine <strong>UCS</strong>-Umgebung ohne größere Eingriffe auf die folgenden Version aktualisiert werden<br />
kann. Dabei ist es in der Regel nicht notwendig die für die vorherige Version zur Verfügung gestellten<br />
Security-Updates eingespielt zu haben.<br />
Für das Update werden von <strong>Univention</strong> parallel zu den Installations-DVDs für ein neues <strong>UCS</strong>-Release<br />
Update-DVDs in Form von ISO-Images veröffentlicht. Alternativ zum Update über eine Update-DVD kann<br />
dies auch über das Online-Repository durchgeführt werden. Zu jedem Release Update wird ein Change-<br />
log Dokument veröffentlicht, in dem die aktualisierten Pakete und der Grund für die Aktualisierung oder<br />
261
11 Softwarepflege<br />
Funktionserweiterungen genannt werden. Des weiteren wird ein Dokument mit den Release Notes veröf-<br />
fentlicht in dem wichtige Hinweise enthalten sind, die beachtet werden sollten.<br />
Wie beim Security-Update können bei einem <strong>UCS</strong>-Release-Update zuerst die Pakete der neuen <strong>UCS</strong>-<br />
Version durch univention-repository-update in ein Repository eingespielt werden, um danach die<br />
übrigen <strong>UCS</strong>-Systeme zu aktualisieren. Sollte das Online-Repository verwendet werden, kann direkt mit<br />
der Aktualisierung der Systeme begonnen werden. Beim Einspielen eines Release-Updates in einer <strong>UCS</strong>-<br />
Umgebung sollte der Domaincontroller Master als erstes System aktualisiert werden. Nach dem Einspielen<br />
eines Release-Updates muss das entsprechende System neu gebootet werden.<br />
Empfohlen wird eine Aktualisierung eines <strong>UCS</strong>-Systems direkt an der Console oder über die <strong>Univention</strong><br />
Management Console (Details zum <strong>Univention</strong> Management Console-Modul sind im Abschnitt 5.3.13 zu<br />
finden). Von einer Aktualisierung über eine Netzverbindung (beispielsweise eine SSH-Sitzung) wird ab-<br />
geraten, da dies zum Abbruch des Update-Vorgangs führen kann. Sollte eine Aktualisierung über eine<br />
Netzverbindung trotzdem durchgeführt werden, ist sicherzustellen, dass das Update durch Unterbrechen<br />
der Netzverbindung trotzdem weiterläuft. Hierfür können beispielsweise die Tools screen oder at einge-<br />
setzt werden. GNU Screen wird seit <strong>UCS</strong> 2.4 standardmässig mitinstalliert.<br />
Für die Aktualisierung können die Paketpflege-Richtlinien eingesetzt werden, über die ein automatisierte<br />
Release-Aktualisierung möglich ist. Diese werden in Abschnitt 11.3.5 beschrieben.<br />
Um <strong>UCS</strong>-Release-Updates direkt auf der Console zu installieren kann das Kommando<br />
univention-updater verwendet werden. Dies unterstützt die folgenden Varianten:<br />
• Über den Befehl univention-updater cdrom kann ein System von einer eingelegten Update-<br />
DVD oder einem ISO-Image aktualisiert werden. Dies kann nur auf Repository-Servern ausgeführt<br />
werden. Standardmäßig wird versucht, über das Kommando mount /cdrom die DVD einzuhängen.<br />
Mit dem Parameter --cdrom kann ein alternativer Pfad angegeben werden. Mit dem Parameter -<br />
-iso kann auch direkt auf ein vorhandenes ISO-Image zugegriffen werden.<br />
Ist auf dem System ein lokales Repository vorhanden, wird dieses zuerst aktualisiert.<br />
• Mit dem Kommando univention-updater net kann ein System über das Online-Repository<br />
oder ein lokales Repository in der Domäne aktualisiert werden. Der Update-Server wird durch die<br />
<strong>Univention</strong> Configuration Registry-Variable repository/online/server festgelegt. Auch in die-<br />
sem Fall wird ein vorhandenes lokales Repository auf dem System zuerst aktualisiert, die Aktuali-<br />
sierung verwendet dann das lokale Repository.<br />
• Sollte ein <strong>UCS</strong>-Release-Update bereits in das lokale Repository des Systems eingespielt worden<br />
sein, kann univention-updater local aufgerufen werden. Dann wird für die Aktualisierung<br />
das lokale Repository verwendet.<br />
Bei allen genannten Aufrufen kann über den Parameter --updateto angegeben werden, bis zu welcher<br />
Version ein System aktualisiert werden soll. Höhere Versionen werden nicht installiert, selbst wenn sie<br />
verfügbar sind.<br />
Vor der Installation eines Release-Updates wird ein Link auf die Release Notes angezeigt und ei-<br />
ne Minute gewartet, in der das Update noch abgebrochen werden kann. Dies kann mit der Op-<br />
tion --ignore-releasenotes oder dem Setzen der <strong>Univention</strong> Configuration Registry-Variable<br />
update/warning/releasenotes auf no übersprungen werden.<br />
262
11.3 Paketpflege<br />
Ist das Update erfolgreich durchgeführt worden, sollte anschließend geprüft werden, ob neue oder ak-<br />
tualisierte Join-Skripte ausgeführt werden müssen. Normalerweise sollte dies auf den Systemrollen DC<br />
Master und DC Backup nicht notwendig sein. Zur Überprüfung und zum Starten der Join-Skripte kann<br />
entweder das <strong>Univention</strong> Management Console-Modul Domänenbeitritt verwendet werden (siehe Ab-<br />
schnitt 5.3.10) oder das Kommandozeilenprogramm univention-run-join-scripts, welches im Ver-<br />
zeichnis /usr/share/univention-join zu finden ist.<br />
Achtung:<br />
Es ist zu beachten, daß durch als kritisch markierte Komponenten ggf. ein Upgrade auf das nächste Minor-<br />
oder Major-Release verhindert werden kann. Weiterführende Hinweise finden sich im Abschnitt 11.3.3.<br />
11.3 Paketpflege<br />
Auf allen <strong>UCS</strong>-Systemen außer Thin Clients können Pakete installiert, aktualisiert oder entfernt werden.<br />
Diese drei Vorgänge werden unter dem Begriff der Paketpflege zusammengefasst.<br />
Für die Paketpflege greifen die <strong>UCS</strong>-Systeme auf Repository-Server zu. Die Paketpflege kann manuell<br />
oder automatisiert erfolgen. Bei der automatisierten Paketpflege überprüfen <strong>UCS</strong>-Systeme selbständig,<br />
ob aktualisierte Pakete verfügbar sind, ob weitere Pakete installiert oder ob installierte Pakete wieder<br />
entfernt werden sollen. Die Paketpflege beinhaltet auch die Installation von Sicherheits-Updates. Über<br />
entsprechende Kommandos und Werkzeuge können diese Tätigkeiten auch manuell vorgenommen wer-<br />
den.<br />
11.3.1 Repository-Server zuweisen<br />
Für jedes <strong>UCS</strong>-System kann festgelegt werden, welchen Repository-Server es für die Paketpflege<br />
verwendet. Ist in der <strong>UCS</strong>-Domäne kein lokaler Repository-Server, so wird das Online-Repository<br />
http://apt.univention.de verwendet. Andernfalls wird der lokale Repository-Server gesetzt. Die-<br />
ser ist in der Regel unter dem DNS-Alias univention-repository erreichbar.<br />
Beim Betrieb von mehreren Repository-Servern können zur Lastverteilung die <strong>UCS</strong>-Systeme auf die Re-<br />
pository-Server verteilt werden. Im <strong>Univention</strong> Directory Manager kann an den Rechnerobjekten der <strong>UCS</strong>-<br />
Systeme über den Reiter [Repository-Server] der zu verwendende Repository-Server eingetragen wer-<br />
den. Da es sich bei dieser Einstellung um eine Richtlinie handelt, müssen die Einstellung nicht an jedem<br />
einzelnen Rechner vorgenommen werden. Richtlinien werden an untergeordnete Objekte im Verzeichnis-<br />
baum vererbt.<br />
11.3.2 Aktualisierung von Paketen<br />
Die manuelle Aktualisierung eines <strong>UCS</strong>-Systems wird als Benutzer root mit dem Kommando<br />
univention-actualise vorgenommen. Dabei werden keine Release-Updates durchgeführt, sondern<br />
nur Pakete aus den bereits bekannten Repositories aktualisiert. univention-actualise führt mehrere<br />
Aktionen durch. Zuerst wird eine Liste der verfügbaren Pakete und deren Versionen vom Repository-Ser-<br />
263
11 Softwarepflege<br />
Abbildung 11.1: Richtlinie ’Repository Server’<br />
ver abgefragt. Nach einem Vergleich der Liste mit den lokal installierten Paketen werden alle Pakete, die<br />
in neueren Versionen auf dem Repository-Server verfügbar sind, heruntergeladen und installiert.<br />
Updates können automatisiert eingespielt werden, wenn den gewünschten Systemen die Richtlinie Pa-<br />
ketpflege zugewiesen wird. In der Paketpflege-Richtlinie kann angegeben werden, ob die Aktualisierung<br />
beim Systemstart, beim Herunterfahren des Systems oder zu ganz bestimmten Zeiten erfolgen soll. Da<br />
Paketpflege-Richtlinien wie alle Richtlinien in <strong>UCS</strong> vererbt werden, können Einstellungen für die automati-<br />
sierte Aktualisierung an einem Rechner-Container vorgenommen werden. Die Einstellungen gelten dann<br />
für alle Rechner-Objekte, die unterhalb des Containers abgelegt sind.<br />
Zu beachten ist, dass bestimmte Pakete, wie z.B. der Kernel, standardmäßig nicht durch<br />
univention-actualise aktualisiert werden. Um diese Pakete ebenfalls auf den neuesten Stand zu<br />
bringen ist univention-actualise mit der Kommandozeilenoption --dist-upgrade auszuführen.<br />
Diese Pakete können deshalb nicht über eine Paketpflege-Richtlinie aktualisiert werden. Eine Aktualisie-<br />
rung ist möglich, indem das Paket in einer Paketliste zur Installation vorgemerkt wird (siehe folgenden<br />
Abschnitt).<br />
Hinweis:<br />
Bei der Aktualisierung von Paketen wird überprüft, ob Änderungen an Konfigurationsdateien vorgenom-<br />
men wurden. Wenn Konfigurationsdateien nicht mehr im Auslieferungszustand vorliegen, werden die-<br />
se nicht überschrieben. Stattdessen wird eine neue Version im selben Verzeichnis mit der Endung<br />
.dpkg-new oder .dpkg-dist abgelegt. Sollten Änderungen an <strong>Univention</strong> Configuration Registry-Tem-<br />
plates vorgenommen worden sein, werden diese Templates ebenfalls nicht überschrieben. Diesbezügliche<br />
Meldungen werden in die Log-Datei /var/log/univention/actualise.log geschrieben.<br />
Die von univention-actualise während der Aktualisierung erzeugten Meldungen<br />
werden auf dem aktualisierten System außer auf die Standard-Ausgabe auch nach<br />
/var/log/univention/actualise.log geschrieben. Sollen die Meldungen auf der Standard-<br />
264
11.3 Paketpflege<br />
Ausgabe unterdrückt werden, kann univention-actualise mit der Option --silent aufgerufen<br />
werden.<br />
Sollte ein Paket nicht gefunden werden, kann es sein, dass es in einem auf diesem System nicht einge-<br />
bundenen Repository verfügbar ist. Ein Bereich mit zahlreichen weiteren Paketen ist der Unmaintained-<br />
Bereich, der für jede <strong>UCS</strong>-Version zur Verfügung gestellt wird. Soll dieser Bereich auf einem Sys-<br />
tem eingebunden werden, kann dies durch Setzen der <strong>Univention</strong> Configuration Registry-Variable<br />
repository/online/unmaintained auf den Wert yes erfolgen. Wenn lokale Repository-Server ein-<br />
gesetzt werden, ist dabei zu beachten, dass der Unmaintained-Bereich in diesem Fall ebenfalls synchro-<br />
nisiert wird und somit das Repository mehr Speicherplatz auf der Festplatte benötigt.<br />
11.3.3 Hinzufügen von Komponenten-Repositories<br />
Zusätzlich zu den Standard-Repositories können weitere Software-Komponenten eingebunden werden.<br />
Um diese zu verwenden gibt es zwei mögliche Varianten. Einmal kann dafür das <strong>Univention</strong> Management<br />
Console-Modul Online-Updates verwendet werden (siehe Abschnitt 5.3.13). Alternativ kann dies auch<br />
über die folgenden <strong>Univention</strong> Configuration Registry-Variablen durchgeführt werden:<br />
repository/online/component//server Der Repository-Server auf dem die Komponente zur Ver-<br />
fügung gestellt wird. Wird diese Variable nicht gesetzt, dann wird der Server aus der <strong>Univention</strong><br />
Configuration Registry-Variable repository/online/server verwendet<br />
repository/online/component/ Diese Variable muss auf enabled gesetzt werden, wenn die<br />
Komponente eingebunden werden soll.<br />
repository/online/component//localmirror Mit dieser Variable kann konfiguriert werden, ob<br />
die Komponente lokal gespiegelt wird. In Verbindung mit der <strong>Univention</strong> Configuration Registry-<br />
Variable repository/online/component//server kann so konfiguriert werden, dass<br />
eine Komponente zwar gespiegelt, aber nicht aktiviert wird oder dass sie zwar aktiviert, aber nicht<br />
gespiegelt wird.<br />
repository/online/component//description Ein beschreibender Name für das Repository.<br />
repository/online/component//prefix Definiert die URL-Präfix, die auf dem Repository-Server<br />
verwendet wird. In der Regel muss diese Variable nicht gesetzt werden.<br />
repository/online/component//username Wenn der Repository-Server eine Authentisierung<br />
erfordert kann in dieser Variable der Benutzername eingetragen werden.<br />
repository/online/component//password Wenn der Repository-Server eine Authentisierung<br />
erfordert kann in dieser Variable das der Passwort eingetragen werden.<br />
repository/online/component//version Über diese Variable kann die einzubindende Version<br />
angegeben werden. Dabei sind folgende Varianten möglich:<br />
leer bzw. nicht gesetzt Es werden automatisch alle Versionen der selben Major-Version eingebun-<br />
den. Ist z.B. aktuell <strong>UCS</strong>-2.3 installiert, so werden die Repositories für die Komponente in den<br />
Versionen 2.0, 2.1, 2.2 und 2.3 eingebunden, sofern diese existieren.<br />
current Durch das Schlüsselwort „current” werden ebenfalls alle Versionen der selben Major-<br />
Version eingebunden. Zusätzlich wird aber ein Minor- oder Major-Upgrade des installierten<br />
265
11 Softwarepflege<br />
<strong>UCS</strong>-Systems solange verhindert, bis auch die so markierte Komponente für die neue Versi-<br />
on verfügbar ist; Patchlevel- oder Security-Updates sind davon nicht betroffen. Ist z.B. aktuell<br />
<strong>UCS</strong>-2.3 installiert, <strong>UCS</strong>-2.4 oder <strong>UCS</strong>-3.0 aber bereits verfügbar, so erfolgt dennoch solang<br />
kein Upgrade auf die neue Version, bis auch die Komponente für die Version 2.4 bzw. 3.0 ver-<br />
fügbar ist.<br />
major.minor Durch die Angabe einer expliziten Version wird die Komponente nur in dieser Versi-<br />
on eingebunden. <strong>UCS</strong>-Release-Updates werden dadurch nicht blockiert. Mehrere Versionen<br />
können durch Komma getrennt angegeben werden, z.B. 2.0,2.3.<br />
repository/online/component//defaultpackages Über diese Variable kann eine leerzeichense-<br />
parierte Liste an Paketnamen angegeben werden. Im UMC-Modul Online-Updates wird die Installa-<br />
tion der Komponente angeboten, wenn mindestens eines der Pakete nicht installiert ist. Die Angabe<br />
der Paketliste vereinfacht dadurch die Nachinstallation von Komponenten.<br />
Für muss der Name des Repository auf dem Server angegeben werden. Um beispielsweise die<br />
usc@School-Komponente einzubinden müssen folgende Variablen gesetzt werden:<br />
ucr set repository/online/component/ucsschool/description="<strong>UCS</strong>@School-Pakete" \<br />
repository/online/component/ucsschool/server=apt.univention.de \<br />
repository/online/component/ucsschool=yes<br />
Anschließend werden folgende zusätzliche Repositories auf dem System mit eingebunden:<br />
deb http://apt.univention.de/2.2/maintained/component ucsschool/all/<br />
deb http://apt.univention.de/2.2/maintained/component ucsschool/extern/<br />
deb http://apt.univention.de/2.2/maintained/component ucsschool/amd64/<br />
Das letzte Repository in der Liste ist abhängig an den verfügbaren Architekturen.<br />
11.3.4 Verwalten von Paketlisten<br />
Die Paketpflege in <strong>UCS</strong> unterstützt neben der automatisierten Aktualisierung von Systemen auch die<br />
Installation und das Entfernen von Paketen.<br />
Jede Systemrolle in <strong>UCS</strong> wird mit einer Auswahl an Paketen installiert, ausgewählte Komponenten erwei-<br />
tern diesen Umfang. Beim Einsatz von Installationsprofilen können einzelne Pakete während der Instal-<br />
lation zusätzlich installiert werden. Für die nachträgliche Installation von Paketen auf einer Vielzahl von<br />
Systemen werden Paketlisten verwendet.<br />
Pakete, die über eine Paketliste auf einem System installiert wurden, werden ebenfalls im Rahmen der Ak-<br />
tualisierung erneuert, wenn eine neuere Version im Repository vorhanden ist. Pakete, die zum Entfernen<br />
vorgesehen sind, werden nicht nur einmalig entfernt. Diese Pakete werden darüber hinaus erneut entfernt,<br />
wenn sie im Rahmen der regelmäßigen Aktualisierung auf dem System gefunden werden.<br />
Die eigentlichen Paketlisten veranlassen nicht die Installation oder das Entfernen von Paketen. Paketlisten<br />
werden vielmehr in systemrollenspezifischen Paket-Richtlinien verwendet, welche die Installation oder das<br />
Entfernen der Pakete ermöglichen.<br />
Für die verschiedenen Systemrollen gibt es spezifische Paket-Richtlinien (siehe Tabelle). Dadurch ist es<br />
möglich, die Richtlinien mit der Basis der Domäne zu verbinden und alle Rechner mit derselben Systemrol-<br />
le domänenweit mit einer einzigen Richtlinie zu erfassen, während die Rechner mit anderen Systemrollen<br />
266
11.3 Paketpflege<br />
nicht beeinflusst werden. Eine Paketauswahl, die z.B. in der Paket-Richtlinie für Managed Clients getroffen<br />
wurde, gilt nur für Rechner mit der Systemrolle Managed Client. Die Richtlinien können auch direkt an den<br />
jeweiligen Rechner-Objekten über den entsprechenden Reiter bearbeitet werden.<br />
Paket-Richtlinie <strong>UCS</strong> Systemrollen<br />
Pakete Master DC Master und DC Backup<br />
Pakete Slave DC Slave<br />
Pakete Member Member-Server<br />
Pakete Client Managed Client<br />
Pakete Mobile Client Mobile Client<br />
Folgende Schritte sind bei der Verwendung von Paketlisten vorzunehmen.<br />
Neue Paketlisten werden im <strong>Univention</strong> Directory Manager unter Navigation ➞ univention ➞ packages<br />
angelegt. Hinweise zum Anlegen der Paketlisten-Objekte finden sich in den Kapiteln 4.4 und 4.5.11.<br />
Aus dem Menü Neues Objekt an aktueller Position hinzufügen wird hierzu der Eintrag Einstellungen<br />
Paketliste gewählt und ein Name für die Paketliste in das entsprechende Textfeld eingetragen.<br />
In das Eingabefeld Paketliste wird der Namen des gewünschten Pakets eingetragen. Beispielsweise soll<br />
der Editor Emacs auf allen Managed Clients installiert werden. Der Name des Pakets wird ohne Versi-<br />
onsnummer und die Endung .deb angegeben, also emacs. Über die Schaltfläche [Hinzufügen] wird das<br />
Paket eingetragen. Bei Bedarf können weitere Paketnamen eingetragen werden.<br />
Die Paketliste wird durch Klicken auf [Ok] gespeichert. Die erstellte Paketliste kann in einer systemrollen-<br />
spezifischen Pakete Richtlinie verwendet werden. Nachfolgend wird eine Richtlinie direkt am Rechnerob-<br />
jekt erstellt.<br />
Ein Rechnerobjekt wird geöffnet, auf welchem die Pakete der Paketliste installiert werden sollen, z.B. auf<br />
einem Managed Client. Der Reiter [Pakete Managed Client] wird geöffnet (siehe Abbildung 11.2). Es<br />
gibt zwei Bereiche, in denen Paketlisten ausgewählt werden können. Im oberen Bereich können Pakete<br />
angegeben werden, die installiert werden sollen, im unteren Bereich können Pakete angegeben werden,<br />
die entfernt werden sollen. Aus dem Menü Paketliste wird die zuvor erstellte Paketliste ausgewählt. Jetzt<br />
können unter Managed Client Pakete Installationsliste die in der Paketliste enthaltenen Paketnamen<br />
nacheinander ausgewählt und über die Schalftfläche Hinzufügen in die Liste der zu installierenden Pakete<br />
aufgenommen werden.<br />
Die Einstellungen werden durch Klicken auf [Ok] gespeichert.<br />
Eine derart erstellte systemrollenspezifische Pakete Richtlinie kann wiederverwendet werden. Den Pfad<br />
zur Richtlinie ist im Feld Konfiguration an der Richtlinie selbst angegeben. Es kann beispielsweise an ei-<br />
nem Rechner-Container über (aktuell) ➞ Richtlinien der Eintrag Pakete Managed Client ausgewählt und<br />
im Menü Konfiguration die vorher erstellte Richtlinie ausgewählt werden. Nach erneutem Seitenaufbau<br />
werden in den Textfeldern die Werte angezeigt, die ursprünglich eingeben wurden. Diese Einstellungen<br />
werden nach Aktivierung für alle Managed Clients unterhalb des Rechner-Containers wirksam.<br />
Wenn für dieses Rechnerobjekt eine Paketpflegerichtlinie erstellt wurde (siehe Abschnitt 11.3.2), werden<br />
beim nächsten Start der Paketaktualisierung von univention-actualise die aufgeführten Pakete in-<br />
stalliert.<br />
267
11 Softwarepflege<br />
Hinweis:<br />
Abbildung 11.2: Paketliste Client<br />
Wenn lediglich auf einem einzigen Rechner Software de-/installiert bzw. aktualisiert werden soll, kann<br />
alternativ <strong>Univention</strong> Management Console verwendet werden. Nähere Informationen finden sich in Kapi-<br />
tel 5.1.<br />
11.3.5 Release-Aktualisierungen<br />
Wenn in einem Repository mehrere <strong>UCS</strong>-Releases enthalten sind (siehe Abschnitt 11.5), können <strong>UCS</strong>-<br />
Systeme manuell oder automatisiert auf den neusten Release-Stand gebracht werden. Die manuelle Ak-<br />
tualisierung über univention-updater ist in Abschnitt 11.2.2 beschrieben.<br />
Bei der automatisierten Release-Aktualisierung werden zwei Richtlinien verwendet. Über die Richtlinie Re-<br />
lease kann eine <strong>UCS</strong>-Versionsnummer vorgegeben werden, bis zu welcher ein <strong>UCS</strong>-System aktualisiert<br />
wird. Das Format der Version entspricht den ansonsten verwendeten <strong>UCS</strong>-Versionsbezeichnungen (2.0-0,<br />
2.0-1 usw.). Der Zeitpunkt der Release-Aktualisierung wird durch die Paketpflege-Richtlinie vorgegeben.<br />
Ist die automatisierte Paketpflege für einen Rechner aktiviert (siehe Abschnitt 11.3.2), wird zum festge-<br />
legten Zeitpunkt das Kommando univention-updater aufgerufen, wobei die in der Release-Richtlinie<br />
268
11.3 Paketpflege<br />
vorgegebene Version über den Parameter --updateto übergeben wird. Nach der Release-Aktualisie-<br />
rung wird die Paketaktualisierung ausgeführt.<br />
Die Ausgaben von univention-updater während der automatisierten Release-Aktualisierung werden<br />
auf den aktualisierten Systemen nach /var/log/univention/updater.log geschrieben.<br />
11.3.6 Manuelle Paketpflege<br />
Alle Paketpflegevorgänge können entweder mit der Paketverwaltung der <strong>Univention</strong> Management Console<br />
(siehe Kapitel 5.3.11) oder durch kommandozeilen-basierten Werkzeuge vorgenommen werden. Dabei<br />
werden die gängigen Debian-Werkzeuge verwendet.<br />
Weitere Informationen finden sich in [16].<br />
11.3.6.1 Paketinstallationen<br />
Die Installation einzelner Pakete erfolgt mit dem Kommando<br />
univention-install PAKETNAME<br />
Als Installationsmedium wird dabei der Repository-Server verwendet. Bei der Installation eines Pakete<br />
werden unter Umständen Pakete mitinstalliert, die für die Funktion des angegebenen Pakets erforderlich<br />
sind, die sogenannten Paketabhängigkeiten. Um vorab zu prüfen, welche Abhängigkeiten nachgezogen<br />
würden, kann der Installationsvorgang durch Übergabe des Parameters -s simuliert werden.<br />
Jedes System enthält eine lokale Liste der verfügbaren Pakete. Vor der Installation eines Pakets sollte<br />
die Paketliste des Repository-Servers aktualisiert werden, um sicherzustellen, dass die aktuellste Version<br />
verwendet wird und alle Abhängigkeiten aufgelöst werden können:<br />
apt-get update<br />
11.3.6.2 Suche nach verfügbaren Paketen<br />
Wenn der Name eines Pakets nicht bekannt ist, kann mit dem Kommando apt-cache search nach<br />
Paketen gesucht werden. Als Aufrufparameter können Teile des Namens oder Wörter, die in der Beschrei-<br />
bung eines Paketes vorkommen angegeben werden.<br />
apt-cache search fax<br />
Um im aktuellsten Paketbestand suchen zu können, sollte auch hier vorher die Paketliste aktualisiert wer-<br />
den (siehe 11.3.6.1).<br />
11.3.6.3 Entfernen von Paketen<br />
Um einzelne Pakete zu entfernen, kann das Kommando<br />
apt-get remove PAKETNAME<br />
269
11 Softwarepflege<br />
verwendet werden. Pakete, die von dem zu entfernenden Paket benötigt werden, werden ebenfalls ent-<br />
fernt.<br />
Auch hier kann durch Angabe des Parameters -s der Vorgang simuliert werden.<br />
11.3.6.4 Information über installierte Pakete<br />
Informationen zu installierten Paketen können mit dem Kommando dpkg angezeigt werden. Um die Ver-<br />
sionsnummer eines installierten Paketes anzuzeigen, kann der Aufrufparameter -l und der Paketname<br />
angegeben werden. Bei Verwendung des Aufrufparameters -l ohne Paketnamen wird die Liste aller be-<br />
kannten Pakete ausgegeben. Um die Suche auf bestimmte Pakete zu beschränken, können Platzhalter im<br />
Paketnamen verwendet werden. Als Platzhalter können der Stern (’*’ - für kein bis viele Zeichen) und das<br />
Fragezeichen (’?’ - für genau ein Zeichen) angegeben werden. Bei der Verwendung des Sterns kann es<br />
erforderlich sein, diesen Platzhalter zu schützen, da der Stern ansonsten von der Shell interpretiert wird.<br />
dpkg -l univention-config-registry<br />
dpkg -l<br />
dpkg -l univention-\*<br />
Um herauszufinden, welche Dateien in einem installierten Paket enthalten sind, kann dpkg mit dem Aufruf-<br />
parameter -L und einem Paketnamen verwendet werden. Beim Aufrufparameter -L können keine Platz-<br />
halter verwendet werden.<br />
dpkg -L univention-ldap-server<br />
Um herauszufinden, zu welchem Paket eine Datei gehört, kann dpkg mit dem Aufrufparameter -S und<br />
dem Dateinamen verwendet werden. Die Suche kann einige Zeit dauern, da die komplette Datenbank<br />
der installierten Pakete durchsucht wird. Dateien, die nach der Installation von Paketen erzeugt wurden,<br />
können von dpkg -S keinem Paket zugeordnet werden.<br />
dpkg -S /var/lib/univention-ldap/replog<br />
Weitere Details zum Kommando dpkg finden sich in der Man-Page (man dpkg).<br />
11.4 Software-Monitor<br />
Der Software-Monitor ist eine Datenbank, in der Informationen über die domänenweit installierten Soft-<br />
warepakete aufgezeichnet werden. Durch diese Datenbank kann sich ein Administrator einen Überblick<br />
verschaffen, welche Release- und Paketversionen auf den Systemen der Domäne installiert sind und diese<br />
Informationen bei der schrittweisen Aktualisierung einer <strong>UCS</strong>-Domäne nutzen und Installations-Probleme<br />
erkennen.<br />
<strong>UCS</strong>-Systeme aktualisieren ihre Einträge bei Softwareinstallationen, -deinstallationen und -<br />
aktualisierungen selbsttätig.<br />
Die Datenbank kann durch Auswahl der Komponente Softwaremonitor im <strong>Univention</strong> Installer eingerich-<br />
tet werden. Standardmäßig ist die Komponente nur auf dem Domaincontroller Master vorausgewählt.<br />
270
11.4 Software-Monitor<br />
Das System, auf dem die Datenbank betrieben wird, wird durch den DNS-Service-Record _pkgdb._tcp<br />
bei der Installation des Paketes univention-pkgdb eingerichtet. Wird das nachträglich auf anderen<br />
Systemrollen installiert, so muss der DNS-Service-Record<br />
pkgdb tcp 0 0 5432 <br />
manuell angelegt werden. Weitere Informationen finden sich in Kapitel 4.5.9.4.<br />
Die webbasierte Abfrageschnittstelle des Software-Monitors integriert sich in die <strong>Univention</strong> Management<br />
Console. (Zu generellen Informationen über <strong>Univention</strong> Management Console siehe Kapitel 5.1) Folgende<br />
Funktionen des Software-Monitors können verwendet werden:<br />
• Rechner suchen gibt eine Auflistung aller Systeme mit den eingestellten Filtereigenschaften<br />
aus. Als Filter lassen sich Systemnamen, <strong>UCS</strong>-Versionen oder Systemrollen flexibel kombinieren.<br />
Suchanfragen können dauerhaft abgespeichert werden.<br />
• Paket suchen gibt eine Auflistung aller Systeme aus, die ein bestimmtes Paket installiert haben.<br />
Dabei kann neben dem Paketnamen auch nach dem Installationszustand einzelner Pakete gesucht<br />
werden. Suchanfragen können dauerhaft abgespeichert werden.<br />
Nachfolgend findet sich eine Übersicht der vorhandenen Suchmöglichkeiten zu den Installations-<br />
Zuständen von Paketen:<br />
– Der Paketauswahlstatus beeinflusst das Verhalten bei der Aktualisierung eines Pakets. Durch<br />
Install wird ein Paket zur Installation ausgewählt. Ist ein Paket auf Hold konfiguriert, so wird es<br />
von weiterer Aktualisierung ausgenommen. Es existieren zwei Möglichkeiten ein Paket zu dein-<br />
stallieren: Ein mit DeInstall entferntes Paket hält lokal erzeugte Konfigurations-Daten weiterhin<br />
vor, während ein mit Purge entferntes Paket komplett gelöscht wird.<br />
– Der Installationszustand beschreibt den Status eines installierten Pakets im Hinblick auf kom-<br />
mende Aktualisierungen. Der Normalfall ist Ok, was dazu führt, dass ein Paket bei Vorhanden-<br />
sein einer aktuelleren Version aktualisiert würde. Ist ein Paket auf Hold konfiguriert, so wird es<br />
von der Aktualisierung ausgenommen.<br />
– Der aktuelle Paketstatus beschreibt den Zustand eines eingerichteten Pakets. Der Normal-<br />
fall ist Installed für installierte und ConfigFiles für entfernte Pakete, alle übrigen Zustände<br />
entstehen, wenn die Installation des Pakets in verschiedenen Phasen abgebrochen wurde.<br />
• Probleme erkennen ermöglicht die automatisierte Erkennung von Installationsprobleme:<br />
– Die installierten Paketversionen können mit dem Soll-Paketzustand eines frei wählbaren Re-<br />
leases abgeglichen werden. Veraltete Software kann so auch in grossen Umgebungen effizient<br />
erkannt werden.<br />
– Unvollständig installierte Software-Pakete können erkannt werden.<br />
Wenn verhindert werden soll, dass <strong>UCS</strong>-Systeme Installations-Vorgänge im Software-Monitor aufzeichnen<br />
(etwa weil keine Netzwerkverbindung zur Datenbank besteht), kann dies durch Setzen der <strong>Univention</strong> Con-<br />
figuration Registry-Variable pkgdb/scan auf no abgeschaltet werden. Wenn die Aufzeichnungen danach<br />
wieder aktiviert werden, muss das Kommando univention-pkgdb-scan ausgeführt werden, damit die<br />
in der Zwischenzeit installierten Paketversionen in die Datenbank übernommen werden.<br />
271
11 Softwarepflege<br />
In der Voreinstellung können nur Systeme aus dem Subnetz des Datenbank-Server ihre Konfigura-<br />
tion im Software-Monitor ablegen. Um auch Systemen aus anderen Subnetzen den Zugriff zu er-<br />
möglichen, muss in den <strong>Univention</strong> Configuration Registry-Variablen pgsql/pkgdb/network und<br />
pgsql/pkgdb/netmask ein angepasster Netzbereich bzw. eine angepasste Netzmaske eingetragen<br />
werden. Ein Beispiel:<br />
univention-config-registry set pgsql/pkgdb/network=10.200.0.0<br />
univention-config-registry set pgsql/pkgdb/netmask=255.255.0.0<br />
Nach diesen Änderungen muss der Postgresql-Dienst neu gestartet werden (z.B. über die <strong>Univention</strong><br />
Management Console).<br />
11.5 Repository-Verwaltung<br />
Ein Repository nimmt die Softwarepakete und -aktualisierungen auf und stellt sie anderen <strong>UCS</strong>-Syste-<br />
men zur Verfügung. Repositories können auf <strong>UCS</strong>-Domänencontrollern und Member-Servern eingerichtet<br />
werden. Ein Server, der ein Repository anbietet, wird Repository-Server genannt. Auf Repository-Servern<br />
muss das Paket univention-debmirror installiert sein.<br />
Seit <strong>UCS</strong> 2.2 können <strong>UCS</strong>-Domänen auch ohne eigenen Repository-Server betrieben werden. In dem<br />
Fall greifen die Systeme auf das Online-Repository zu. Wenn lokale Repository-Server eingesetzt wer-<br />
den muss die Synchronisation zwischen den Servern konfiguriert werden. Dabei dient ein Repository<br />
als Master-Repository, alle anderen Repositories sind Slave-Repositories, die eine Kopie des Master-<br />
Repository oder eines anderen Slave-Repository umfassen. Hierarchien von Repositories werden im<br />
Abschnitt 11.5.5 behandelt. Das Repository liegt auf den <strong>UCS</strong> Servern unterhalb des Verzeichnisses<br />
/var/lib/univention-repository/mirror.<br />
Durch die <strong>Univention</strong> Configuration Registry-Variable local/repository kann das lokale Repository<br />
aktiviert (local/repository=true) oder deaktiviert (local/repository=false) werden.<br />
Die im Repository abgelegten Software-Pakete sind im Debian-Paketformat.<br />
Beim Einspielen von <strong>UCS</strong>-Security- oder Release-Updates sind die in Abschnitt 11.2.1 und 11.2.2 be-<br />
schriebenen Werkzeuge zu verwenden.<br />
In Abbildung 11.3 ist eine beispielhafte Architektur der Softwareverteilung in einer <strong>UCS</strong>-Domäne mit zwei<br />
Standorten dargestellt. Es werden drei Repository-Server betrieben. Der Domaincontroller Master ak-<br />
tualisiert sein Repository über das Online-Repository. Der Domaincontroller Backup bezieht aktualisierte<br />
Pakete ausschließlich über Repository-Synchronisation vom DC Master. Der Domaincontroller Slave als<br />
Standort-Server bezieht Pakete wiederum über Repository-Synchronisation vom DC Backup.<br />
Für jedes <strong>UCS</strong>-System der Domäne ist ein Repository-Server festgelegt, von dem Pakete bei der Nachin-<br />
stallation oder bei der Aktualisierung heruntergeladen werden. Zur Lastverteilung sind die <strong>UCS</strong>-Systeme<br />
des zentralen Standortes auf die Repository-Server verteilt. Die <strong>UCS</strong>-Systeme des externen Standortes<br />
verwenden den Repository-Server. Alle <strong>UCS</strong>-Systeme melden Änderungen von installierten Paketen an<br />
den Software-Monitor auf dem DC Master. Neue Updates kann das Repository des DC Master direkt vom<br />
Online-Repository beziehen.<br />
272
11.5.1 Anlegen eines Repository<br />
Abbildung 11.3: Beispielhafte Architektur der Softwareverteilung<br />
11.5 Repository-Verwaltung<br />
Repositories können während der Installation von <strong>UCS</strong>-Server-Systemen durch <strong>Univention</strong> Installer ange-<br />
legt werden.<br />
Mit dem Befehl univention-repository-create kann ein lokales Repository auch nachträglich an-<br />
gelegt werden. Der Befehl muss als Benutzer root aufgerufen werden. Um ein Repository einrichten zu<br />
können, muss das Paket univention-debmirror installiert sein.<br />
11.5.2 Pakete hinzufügen<br />
In der Regel werden Pakete nach der Initialisierung eines Repository über Security-Updates oder Release-<br />
Updates mit den entsprechenden Werkzeugen den Repositories hinzugefügt. Weitere Pakete können mit<br />
dem Programm univention-repository-addpackage zum Master-Repository hinzugefügt werden.<br />
Anschließend können die neu hinzugefügten Pakete in der <strong>UCS</strong>-Domäne automatisch verteilt oder instal-<br />
liert werden. Als Parameter werden dem Programm das Zielverzeichnis und die Pakete, die hinzugefügt<br />
werden, übergeben. Beispiel:<br />
univention-repository-addpackage \<br />
--dest /var/lib/univention-repository/mirror/2.2/maintained/2.2-0/ \<br />
--file kde-profiles-test1.deb kde-profiles-test2.deb<br />
273
11 Softwarepflege<br />
11.5.3 Pakete entfernen<br />
Pakete werden mit dem Programm univention-repository-delpackage aus dem Master-Reposito-<br />
ry entfernt. Auf allen Slave-Repositories muss das Paket ebenfalls entfernt werden. Als Parameter werden<br />
dem Programm die zu löschenden Pakete übergeben. Beispiel:<br />
univention-repository-delpackage --file \<br />
/var/lib/univention-repository/mirror/2.2/maintained/2.2-0/all/profile\_*.deb<br />
11.5.4 Zusammenführen von Repositorys<br />
Mit dem Programm univention-repository-merge können alle Pakete aus einem Verzeichnis in ein<br />
anderes Verzeichnis verschoben werden. Wenn dort weitere Versionen eines Paketes vorhanden sind,<br />
stellt das Programm sicher, dass automatisch die aktuellste Version gespeichert wird und alle älteren<br />
Versionen gelöscht werden.<br />
Im Prinzip kann univention-repository-merge mit beliebigen Verzeichnissen eingesetzt werden.<br />
Standardmäßig wird es verwendet, um die Pakete aus den Update-Verzeichnissen mit den Paketen aus<br />
dem Paket-Verzeichnis zusammenzuführen und jeweils nur die aktuellste Paket-Version zu bewahren.<br />
Hinweis:<br />
Bevor Update-Verzeichnisse zusammengeführt werden, sollten alle <strong>UCS</strong>-Systeme auf dem gleichen Re-<br />
lease-Stand sein. Die Update-Verzeichnisse werden für künftige Updates benötigt, auch wenn sie keine<br />
Pakete mehr enthalten. Sie dürfen also nicht gelöscht werden.<br />
Das Programm univention-repository-merge wird wie folgt aufgerufen:<br />
univention-repository-merge --dest \<br />
--src <br />
Dabei bezeichnet der Parameter das Verzeichnis, in dem die Pakete zusammengeführt<br />
werden sollen, während der Parameter dem Verzeichnis entspricht, aus dem die<br />
Pakete verschoben werden. Beispiel:<br />
univention-repository-merge --dest /var/lib/univention-repository/new --src \<br />
/var/lib/univention-repository/mirror/2.2/maintained/2.2-0/ --src \<br />
/var/lib/univention-repository/mirror/2.1/maintained/2.1-0/<br />
Sollen mehrere Update-Verzeichnisse bereinigt werden, sollte mit der höchsten Versionsnummer begon-<br />
nen werden. Dadurch wird die Zusammenführung beschleunigt, da nur neuere Versionen verschoben<br />
werden. Ältere Paketversionen werden entfernt, ohne dass die Index-Datei des Zielverzeichnisses zeitauf-<br />
wändig aktualisiert werden muss.<br />
Wenn die Repository-Synchronisation aktiv ist, muss die Zusammenführung der Update-Verzeichnisse auf<br />
dem Master-Repository durchgeführt werden. Anderenfalls wird beim nächsten Lauf der Synchronisation<br />
der ursprüngliche Zustand wiederhergestellt. Die Zusammenführung auf dem Master-Repository wird auf<br />
die nachgeordneten Repositorys übertragen.<br />
274
11.5.5 Repository-Synchronisation<br />
11.5 Repository-Verwaltung<br />
In verschiedenen Szenarien kann der Betrieb mehrerer lokaler Repository-Server sinnvoll sein. Beispiels-<br />
weise kann in <strong>UCS</strong>-Domänen, die sich über mehrere Standorte verteilen, ein Repository-Server pro Stand-<br />
ort betrieben werden. Ohne eine Repository-Synchronisation muss der Administrator selbst dafür sorgen,<br />
dass alle Repositories auf dem neusten Stand sind, d.h. es müssen alle Repositories manuell durch den<br />
Administrator aktualisiert werden. Dies gilt für Release-Updates, Security-Updates oder zusätzliche Pake-<br />
te. Mit Hilfe der Repository-Synchronisation kann die Pflege auf einen einzigen Repository-Server redu-<br />
ziert werden.<br />
Alternativ kann auch in Umgebungen auf lokale Repository-Server verzichtet werden und direkt der Zugriff<br />
auf das Online-Repository eingerichtet werden bzw. es kann eine Synchronisation der lokalen Repository-<br />
Server mit dem Online-Repository konfiguriert werden.<br />
Bei der Repository-Synchronisation wird ein Repository-Server zum Master-Repository-Server erklärt. In<br />
diesem Repository werden ausschließlich Änderungen wie Security- oder Release-Updates vorgenom-<br />
men, Pakete werden einzeln hinzugefügt oder entfernt. Andere Repository-Server, die so genannten Sla-<br />
ve-Repository-Server überprüfen regelmäßig, ob es Änderungen auf dem Master-Repository-Server gab<br />
und übernehmen diese. Bei der Synchronisation mit dem Online-Repository ist dieses als das Master-<br />
Repository zu sehen. Sollten zusätzliche Pakete benötigt werden, die über das Online-Repository nicht<br />
zur Verfügung gestellt werden, muss einer der lokalen Repositor-Server dafür verwendet werden. Alle<br />
weiteren lokalen Repository-Server sollten dann über diesen Repository-Server synchronisiert werden.<br />
Ein Slave-Repository-Server muss sich nicht direkt an den Master wenden. Slave-Repository-Server kön-<br />
nen zur Synchronisation einen anderen Slave-Repository-Server verwenden, der Änderungen von einem<br />
übergeordneten Repository-Server bezieht.<br />
Um die Pakete eines <strong>UCS</strong>-Release-Updates auf dem Master-Repository-Server einzuspielen, kann das<br />
Tool univention-repository-update verwendet werden. Dies unterstützt zwei Modi:<br />
univention-repository-update cdrom Dabei wird das Repository über eine Update-DVD aktuali-<br />
siert.<br />
univention-repository-update net Bei dieser Variante wird das Repository mit einem angebe-<br />
nen anderen Repository-Server synchronisiert. Dieser ist in der <strong>Univention</strong> Configuration Registry-<br />
Variable repository/mirror/server definiert.<br />
Es besteht auch die Möglichkeit mit dem Befehl univention-repository-update ein Release-<br />
Update in das Repository einzupflegen ohne direkt ein Update zu starten. Diese kann mit der Option<br />
net aus einem weiteren Repository (dies kann auch das Online-Repository sein) erfolgen, mit der Option<br />
cdrom von einer Update-DVD:<br />
univention-repository-update net<br />
univention-repository-update cdrom --cdrom --iso ucs_update.iso<br />
Bei der Einrichtung der Repository-Synchronisation wird die Zuordnung zu einem übergeordneten Server<br />
und der Zeitpunkt über Richtlinien vorgenommen.<br />
Wie in Abschnitt 11.3.1 beschrieben, kann für jedes <strong>UCS</strong>-System über die Richtlinie Repository-Server<br />
vorgegeben werden, welcher Repository-Server für Paket-Installationen verwendet werden soll. Auf <strong>UCS</strong>-<br />
275
11 Softwarepflege<br />
Systemen, die selbst ein aktives lokales Repository besitzen, wird über diese Richtlinie gleichzeitig einge-<br />
stellt, welcher Repository-Server als übergeordnetes Repository für die Synchronisation verwendet wer-<br />
den soll. Für einen Master-Repository-Server wird daher kein Repository-Server eingetragen.<br />
In der Richtlinie Repository-Synchronisation kann der Zeitpunkt für die automatische Repository-Repli-<br />
kation auf die einzelnen Slave-Repository-Server definiert werden. Dabei kann der Monat, der Wochentag,<br />
der Tag, die Stunde und die Minute angegeben werden. Immer dann, wenn alle Einstellungen zutreffen,<br />
wird die Synchronisation mit dem übergeordneten Repository-Server gestartet.<br />
Die Repository-Synchronisation kann auch lokal auf den Systemen mittels <strong>Univention</strong> Configuration<br />
Registry-Variablen konfiguriert werden. Dabei definiert die <strong>Univention</strong> Configuration Registry-Variable<br />
repository/mirror/server den Repository-Server von dem synchronisiert werden soll. Um bei-<br />
spielsweise direkt mit dem Online-Repository zu synchronisieren muss die <strong>Univention</strong> Configuration Re-<br />
gistry-Variable auf den Wert apt.univention.de gesetzt werden. Um alternativ über einen weiteren<br />
lokalen Repository-Server zu synchronisieren muss der vollqualifizierte Rechnername des Systems an-<br />
gegeben werden.<br />
univention-config-registry set repository/mirror/server=apt.univention.de<br />
Standardmässig wird das Repository nur mit Paketen für die Architektur des Repository-<br />
Servers befüllt. Werden in einer <strong>UCS</strong>-Domäne Systeme mit verschiedenen Architekturen betrie-<br />
ben, können die zu verwaltenden Architekturen mit der <strong>Univention</strong> Configuration Registry-Variable<br />
repository/mirror/architectures angebeben werden. Die Angabe erfolgt dabei als mit Leerzei-<br />
chen getrennte Liste.<br />
Welche Standard-Repositories synchronisiert werden, wird durch die <strong>Univention</strong> Con-<br />
figuration Registry-Variablen repository/online/maintained für den Maintained-<br />
Bereich, repository/online/unmaintained für den Unmaintained-Bereich und<br />
repository/online/hotfixes für die Hotfixes definiert. In den Voreinstellunen ist nur die Va-<br />
riable repository/online/maintained auf yes gesetzt.<br />
Sind auf dem System Repositories für Komponenten definiert, so werden auch diese von den angegebe-<br />
nen Servern synchronisiert.<br />
Durch die <strong>Univention</strong> Configuration Registry-Variable repository/mirror/version/start wird fest-<br />
gelegt ab welcher Version von <strong>Univention</strong> Corporate Server die Repositories synchronisiert werden. Um<br />
beispielsweise die Synchronisation ab der <strong>UCS</strong>-Version 2.1-0 zu beginnen kann folgender Befehl verwen-<br />
det werden:<br />
univention-config-registry set repository/mirror/version/start=2.1-0<br />
Alle Änderungen, die während der Synchronisation auf einem Repository-Server vorgenommen wurden,<br />
werden lokal in der Datei /var/log/univention/repository.log protokolliert.<br />
276
12 Mail<br />
Inhaltsverzeichnis<br />
12.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277<br />
12.2 Basis-Maildienste . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278<br />
12.3 Einrichtung des Mail-Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278<br />
12.3.1 SMTP-Server (Postfix) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279<br />
12.3.2 IMAP/POP3-Server (Cyrus) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281<br />
12.3.3 Mail-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281<br />
12.3.4 Logdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282<br />
12.4 Spamfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282<br />
12.5 Virenfilter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284<br />
12.6 Konfiguration von Mail-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285<br />
12.1 Einführung<br />
12.6.1 Kontact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285<br />
12.6.2 Outlook Express . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287<br />
Das <strong>UCS</strong>-Mailsystem stellt Maildienste in zwei Abstufungen zur Verfügung.<br />
Auf allen <strong>UCS</strong>-Serversystemen sowie Managed und Mobile Clients werden immer Basis-Maildienste in-<br />
stalliert (Paket univention-mail-postfix-forward). Diese liefern lokale E-Mails UNIX-typisch in das Ver-<br />
zeichnis /var/spool/mail aus. E-Mails für andere Empfänger werden an einen im LDAP-Verzeichnis<br />
definierten Relay-Host weitergeleitet, der die Bereitstellung per POP/IMAP oder die Weiterleitung an an-<br />
dere Server vornimmt.<br />
Für DC Master-/Backup- und Slave-Server steht während der Installation die Komponente Mail zur Verfü-<br />
gung. Diese installiert erweiterte Maildienste, die allen in <strong>UCS</strong> registrierten Benutzern und den anderen<br />
<strong>UCS</strong>-Systemen als Relay-Host zur Verfügung gestellt werden. Dienste wie SMTP, POP und IMAP sind<br />
vorkonfiguriert.<br />
Auf <strong>UCS</strong> Memberservern ist die Installation der Komponente Mail ebenfalls möglich, jedoch nicht zu emp-<br />
fehlen. Diese Komponente ist stark mit dem LDAP-Verzeichnis verknüpft, es sollte deshalb auf Systemen<br />
mit einem lokalen LDAP-Server installiert werden. Andernfalls kann es bei hohem Mailaufkommen zu<br />
Engpässen kommen.<br />
In typischen Installationen wird nur ein Mail-Server verwendet, in kleinen Netzwerken kann diese Rolle<br />
vom DC Master übernommen werden. Wird für den Ausfallschutz auch auf dem DC Backup der Maildienst<br />
installiert, so wird er zunächst deaktiviert. Dabei erfolgt aufgrund der Datenmengen kein automatischer<br />
Abgleich der Postfächer.<br />
277
12 Mail<br />
Neben dem <strong>UCS</strong>-Mailsystem existieren weitere auf <strong>UCS</strong> basierende Groupwaresysteme, die ebenfalls<br />
eine Integration in das <strong>UCS</strong> Managementsystem liefern, bspw. Kolab2 für <strong>UCS</strong> [17], Scalix für <strong>UCS</strong> [18],<br />
Zarafa oder Open-Xchange.<br />
12.2 Basis-Maildienste<br />
Die Basiskonfiguration erlaubt das Versenden von E-Mails durch lokale Programme. Der für nicht lokale<br />
Adressen verwendete Relay-Host kann übergreifend für alle Clients im <strong>Univention</strong> Directory Manager Web-<br />
Frontend eingetragen werden. Das zugehörige Listener-Modul setzt dann die <strong>Univention</strong> Configuration<br />
Registry-Variable mail/relay und veranlasst den Mail-Server (Postfix), seine Konfigurationsdateien neu<br />
einzulesen.<br />
Ist diese Variable nicht gesetzt beziehungsweise kein Relay-Host im LDAP-Verzeichnis eingetragen, wird<br />
für nicht lokale E-Mails versucht, den zuständigen Mail-Server über DNS (MX-Record) aufzulösen. Schlägt<br />
die Zustellung fehl, geht die E-Mail an den Absender zurück.<br />
Zusätzlich werden über <strong>Univention</strong> Configuration Registry-Variablen der Form<br />
mail/alias/= Aliase gepflegt. Voreingestellt sind:<br />
mail/alias/root=systemmail@.<br />
mail/alias/postmaster=root<br />
Der Benutzer systemmail wird dazu im System angelegt, so dass E-Mails, die lokal an root oder post-<br />
master versendet werden, in der Mailbox /var/spool/mail/systemmail abgelegt werden.<br />
Die Variablen können gesetzt werden, um beispielsweise E-Mails aus den <strong>UCS</strong>-Systemen auf dem Relay-<br />
Host zu sammeln. Dazu ist an der Kommandozeile des <strong>UCS</strong>-Systems einzugeben:<br />
univention-config-registry set mail/alias/root=administrator@<br />
newaliases<br />
Dabei muss durch die DNS-Domäne ersetzt werden. Die E-Mails an root werden so nicht<br />
mehr als lokale E-Mails behandelt, sondern dem Relay-Host übergeben. Da postmaster ein Alias von root<br />
ist, gilt das auch für an ihn adressierte E-Mails. Möglich ist auch das Setzen beliebiger neuer Aliase. Der<br />
Befehl newaliases ist nötig, um die veränderten Einstellungen Postfix bekannt zu machen.<br />
12.3 Einrichtung des Mail-Servers<br />
Mit der Auswahl der Komponente Mail während der Installation werden die nötigen Pakete installiert um<br />
einen vollständigen Mail-Server zu konfigurieren.<br />
Die erforderliche Funktionalität wird von den dabei installierten Paketen Postfix (Mailversand durch SMTP)<br />
und Cyrus (Mailbereitstellung durch POP und IMAP) bereitgestellt.<br />
Während der Installation wird der Server automatisch als Relay-Host am Domänenobjekt im LDAP-<br />
Verzeichnis eingetragen.<br />
278
12.3 Einrichtung des Mail-Servers<br />
Sofern die Maildienste nicht im Zuge der Erstinstallation eingerichtet wurden, kann eine nachträgliche Ein-<br />
richtung durch Installation der Pakete univention-mail-postfix und univention-mail-cyrus durchgeführt<br />
werden.<br />
12.3.1 SMTP-Server (Postfix)<br />
Die vom Paket univention-mail-postfix voreingestellte Konfiguration stellt mit Postfix einen SMTP-Dienst<br />
für alle registrierten Benutzer aus der Domäne zur Verfügung.<br />
Um einem Benutzer eine E-Mail-Adresse zuzuordnen, ist in der Benutzerverwaltung des <strong>Univention</strong> Direc-<br />
tory Manager im Feld Primäre Email-Adresse des Reiters Mail die primäre E-Mail-Adresse einzutragen.<br />
Diese wird zur Authentifizierung am Mail-Server verwendet. Zusätzlich können auch beliebig viele wei-<br />
tere Adressen, unter denen der Benutzer erreichbar sein soll, in das Feld Alternative E-Mail-Adressen<br />
eingetragen werden. Die E-Mails an alle eingetragenen Adressen des Benutzers werden in eine gemein-<br />
same Mailbox ausgeliefert. Besitzen zwei Benutzer die gleiche alternative E-Mail-Adresse, erhalten beide<br />
Benutzer alle E-Mails, die an diese Adresse gesandt werden. Primäre E-Mail-Adressen müssen dagegen<br />
immer eindeutig sein.<br />
Postfix unterscheidet bei der Zustellung der E-Mails zwischen lokalen und externen Domänen. Nur für<br />
E-Mail-Adressen lokaler Domänen wird die Zustellung an Postfächer, die im LDAP-Verzeichnis defi-<br />
niert wurden, vorgenommen. Voreingestellt ist dazu die DNS-Domäne des Mail-Servers. Wenn E-Mail-<br />
Adressen lokalen Postfächern zugeordnet werden sollen, die nicht der Domäne des Servers entspre-<br />
chen, kann eine Liste der zu verwendenden Domänen über die <strong>Univention</strong> Configuration Registry-Variable<br />
mail/hosteddomains definiert werden. Beispiel:<br />
univention-config-registry set mail/hosteddomains="mydomain.com \<br />
myotherdomain.com subdomain.mydomain.com"<br />
Dabei ist zu beachten, dass die sonst voreingestellte Domäne des Servers Bestandteil dieser Liste sein<br />
muss, um E-Mails der lokalen Domäne zu verarbeiten. Anschließend muss der Befehl<br />
postmap /etc/postfix/transport<br />
ausgeführt werden, damit die Änderungen durch Postfix übernommen werden.<br />
Für Domänen aus dem so definierten Zuständigkeitsbereich führt Postfix bei eingehenden E-Mails eine<br />
Gültigkeitsüberprüfung in Form einer Suche im LDAP-Verzeichnis durch. Das bedeutet, dass E-Mails nur<br />
für im LDAP-Verzeichnis eingetragene oder über einen Alias definierte E-Mail-Adressen akzeptiert werden.<br />
Nach der optionalen Filterung bezüglich Spam und Viren werden empfangene E-Mails dem lokalen<br />
POP/IMAP-Server Cyrus übergeben.<br />
E-Mails an fremde Domänen werden in der Voreinstellung direkt an die zuständigen Server versendet, die<br />
per MX-Records aufgelöst werden. Soll diese Aufgabe von einem Relay-Host z.B. beim Internet-Provider<br />
übernommen werden, muss der vollqualifizierte Domänenname (FQDN) des Relay-Hosts in die <strong>Univention</strong><br />
Configuration Registry-Variable mail/relayhost eingetragen werden.<br />
Ist für den Versand die Authentifizierung gegenüber dem Relay-Host notwendig, muss die<br />
<strong>Univention</strong> Configuration Registry-Variable mail/relayauth auf yes gesetzt und die Datei<br />
279
12 Mail<br />
/etc/postfix/smtp_auth bearbeitet werden. In dieser Datei muss Relay-Host, der Benutzername<br />
und das Passwort in einer Zeile hinterlegt werden:<br />
:<br />
Anschließend muss für diese Datei<br />
postmap /etc/postfix/smtp_auth<br />
aufgerufen werden, damit die Änderungen durch Postfix übernommen werden.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable mail/messagesizelimit kann die maximale Größe<br />
in Byte für ein- und ausgehende E-Mails festgelegt werden. Die voreingestellte Maximalgröße beträgt<br />
10240000 Byte. Wird 0 als Wert konfiguriert, so wird die Begrenzung aufgehoben.<br />
Nach der Eingabe sollte Postfix neu gestartet werden um die Funktionalität Ihrer Einstellungen zu gewähr-<br />
leisten. Dies geschieht mit:<br />
/etc/init.d/postfix restart<br />
Wird die <strong>Univention</strong> Configuration Registry-Variable mail/archivefolder auf eine E-Mail-Adresse ge-<br />
setzt, sendet Postfix eine Blindkopie aller ein- und ausgehenden E-Mails an diese Adresse. So kann eine<br />
Archivierung aller E-Mails erreicht werden. Standardmäßig ist die Variable nicht gesetzt. Falls noch kein<br />
Postfach für diese Adresse existiert, wird es automatisch angelegt.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable mail/postfix/dnslookups (yes/no) kann die<br />
DNS-Auflösung von Hostnamen für die Zustellung über SMTP und LMTP konfiguriert werden. Wird die<br />
Variable auf no gesetzt, erfolgt die Auflösung über die Standardsystemroutine, die typischerweise auch<br />
Einträge in der Datei /etc/hosts erfasst.<br />
Bei einer Reihe von Fehlersituationen (z.B. bei nicht vorhandenen Benutzern) kann es zu einem Bounce<br />
der betroffenen Mail kommen, d.h. die Mail wird an den Absender zurückgesendet. Mit dem Setzen der<br />
<strong>Univention</strong> Configuration Registry-Variable mail/postfix/softbounce auf yes werden Mails nie mit<br />
einem Bounce zurückgesendet, sondern immer weiterhin in der Queue vorgehalten. Diese Einstellung ist<br />
insbesondere für Konfigurationsarbeiten am Mailserver sehr nützlich.<br />
Im Regelfall erfolgt das Mailrouting über im DNS hinterlegte MX-Records. Für Sonderfälle - beispielsweise<br />
den Betrieb eines Tunnels zwischen zwei Servern, die nicht über DNS aufgelöst werden können - kann<br />
die Konfiguration einer manuellen Transportroute nötig sein. Diese können über die <strong>Univention</strong> Configuration<br />
Registry-Variable mail/maps/transport/IDENTIFIER der Datei /etc/postfix/transport<br />
hinzugefügt werden. Ein Beispiel:<br />
mail/maps/transport/1="somedomain.org smtp:[mail.somedomain.com]"<br />
Gelegentlich ist es notwendig, Mailadressen umzuschreiben, etwa wenn im Rahmen einer Umstellung<br />
neue Mailadressen eingeführt wurden. Dies kann über Canonical-Mappings realisiert werden. Durch<br />
die <strong>Univention</strong> Configuration Registry-Variable mail/maps/canonical/sender/enable können die<br />
Umschreibungen auf Sender-Seite entweder durch die Datei /etc/postfix/canonical_sender<br />
(file) oder durch Zugriff auf das LDAP (ldap) konfiguriert werden. Die Einstellungen für das Um-<br />
schreiben von Empfängeradressen erfolgen durch die <strong>Univention</strong> Configuration Registry-Variable<br />
mail/maps/canonical/recipient/enable. Wird sie auf file konfiguriert, so wird die Datei<br />
/etc/postfix/canonical_recipient ausgelesen, auch ein Zugriff auf das LDAP (ldap) ist hier<br />
280
12.3 Einrichtung des Mail-Servers<br />
möglich. Mit der <strong>Univention</strong> Configuration Registry-Variable mail/maps/canonical/sender/classes<br />
kann konfiguriert werden, auf welche Adressinformationen die Umwandlung angewendet werden soll. Zur<br />
Auswahl stehen envelope_sender und/oder header_sender.<br />
In Verbindung mit dem Paket univention-mail-cyrus ist SMTP-Authentifizierung standardmässig<br />
verfügbar. Soll univention-mail-postfix eigenständig betrieben werden, so muss die Konfigura-<br />
tion für den Authentifizierungs-Dienst saslauthd manuell angepasst werden und in die Datei<br />
/etc/default/saslauthd folgender Eintrag aufgenommen werden:<br />
START=yes<br />
Postfix verwendet dann den saslauthd für die Authentifizierung.<br />
12.3.2 IMAP/POP3-Server (Cyrus)<br />
Vorkonfiguriert durch das Paket univention-mail-cyrus bietet Cyrus IMAP- und POP-Dienste an. Die<br />
Authentifizierung wird dabei anhand der primären E-Mail-Adresse durchgeführt. Das bedeutet, dass in<br />
Mail-Clients für den POP- oder IMAP-Zugriff als Benutzernamen die E-Mail-Adresse einzutragen ist. Kon-<br />
figurationsbeispiele für Kontact und Outlook finden sich am Ende dieses Kapitels.<br />
Die Dienste können getrennt durch <strong>Univention</strong> Configuration Registry deaktiviert werden. Soll kein Zu-<br />
griff über POP möglich sein, muss die <strong>Univention</strong> Configuration Registry-Variable mail/cyrus/pop<br />
auf no gesetzt werden. Das gleiche gilt für IMAP und die <strong>Univention</strong> Configuration Registry-Variable<br />
mail/cyrus/imap.<br />
Sobald einem Benutzer im LDAP-Verzeichnis eine primäre E-Mail-Adresse<br />
zugeordnet wird, legt ein Listener-Modul auf dem Cyrus-Server unter<br />
/var/spool/cyrus/mail//user/<br />
ein Postfach an. (Dabei werden Großbuchstaben durch Kleinbuchstaben und Punkte durch Zirkumflexe<br />
ersetzt.) Falls der Cyrus-Dienst zu diesem Zeitpunkt nicht läuft, wird die E-Mail-Adresse in einer Warteliste<br />
gespeichert. Wenn der Cyrus-Daemon wieder gestartet wird, werden die Postfächer aus der Warteliste<br />
automatisch angelegt.<br />
Da der Name des Postfachs mit der primären E-Mail-Adresse und nicht mit dem Benutzernamen verknüpft<br />
ist, sind nach dem Ändern der primären E-Mail-Adresse eines Benutzers seine bisherigen E-Mails nicht<br />
mehr erreichbar. Wird einem anderen Benutzer eine ehemals vergebene primäre E-Mail-Adresse zuge-<br />
wiesen, bekommt er Zugriff auf die alte IMAP-Struktur dieses Postfachs. Die primäre E-Mail-Adresse muss<br />
also eindeutig sein und kann nicht zur selben Zeit mehreren Benutzern zugeordnet sein.<br />
12.3.3 Mail-Quota<br />
Die Standardkonfiguration des Cyrus Mail-Systems sieht keine Beschränkung der Mail-Verzeichnisse von<br />
Benutzern vor. Eine Größenbeschränkung in einem Cyrus Mail System für Benutzer kann im <strong>Univention</strong><br />
Directory Manager gesetzt werden (siehe Kapitel 4.5.11.5).<br />
Auf einem <strong>UCS</strong> Mail-Server kann die Größenbeschränkung von Mailverzeichnissen durch Setzen der<br />
<strong>Univention</strong> Configuration Registry-Variable mail/cyrus/imap/quota auf yes aktiviert werden.<br />
281
12 Mail<br />
Der Benutzer kann ab einer bestimmten Größe seines Mailverzeichnis benachrichtigt werden, dass seine<br />
Ressourcen bald erschöpft sein werden. Der Administrator kann diesen Grenzwert zur Warnmeldung in<br />
Prozent oder verbleibendem Speicherplatz in kB angeben.<br />
In der <strong>Univention</strong> Configuration Registry-Variable mail/cyrus/imap/quotawarnpercent kann der<br />
Schwellenwert konfiguriert werden, ab dem eine Warnmeldung ausgegeben werden soll. Der Wert muss<br />
als Zahl zwischen 0 und 100 ohne Prozentzeichen angegeben werden.<br />
Der Benutzer erhält, sobald der konfigurierte Anteil der Mailverzeichnisgröße belegt ist, bei jeder einge-<br />
henden Mail den Hinweis, dass seine Speicherressourcen nahezu ausgelastet sind.<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable mail/cyrus/imap/quotawarnkn kann der Schwel-<br />
lenwert auch in Kilobyte konfiguriert werden.<br />
Die Quota-Einschränkungen werden durch eine Richtlinie am Benutzerobjekt gesetzt und bei der<br />
Authentifizierung am Mailserver in die Quota-Einstellungen übertragen. Dabei wird ein Aktualisie-<br />
rungsintervall ausgewertet, so dass erst nach Ablauf dieses Zeitraums die Quota-Einstellungen<br />
aktualisiert werden. Dieses Intervall kann durch die <strong>Univention</strong> Configuration Registry-Variable<br />
mail/cyrus/imap/quotainterval in Minuten konfiguriert werden.<br />
12.3.4 Logdateien<br />
In der Voreinstellung schreiben Postfix, Cyrus und gegebenenfalls Spam- und Virenscanner zu jeder E-<br />
Mail Informationen in die Logdateien unter /var/log/mail.. Auf Servern mit hohem Mailauf-<br />
kommen ist es empfehlenswert, diese Ausgaben einzuschränken. Dazu kann die Konfiguration von Syslog<br />
in der Datei /etc/syslog.conf angepasst werden.<br />
In der Datei finden sich folgende Zeilen:<br />
mail.info -/var/log/mail.info<br />
mail.warn -/var/log/mail.warn<br />
mail.err /var/log/mail.err<br />
Beispielsweise können die Meldungen der Kategorie info, in der zu jeder auch erfolgreich verarbeite-<br />
ten E-Mail mehrere Hinweise erscheinen, nach /dev/null umgeleitet werden und so den verbrauchten<br />
Festplattenplatz und die Systemlast verringern. Dazu ist die Zeile mit mail.info zu ersetzen durch:<br />
mail.info /dev/null<br />
Anschließend müssen die Änderungen dem Syslog-Dienst bekannt gegeben werden:<br />
/etc/init.d/sysklogd reload<br />
Hinweis: Es ist nicht zu empfehlen, alle Meldungen des Mail-Servers nach /dev/null umzulenken. So<br />
gibt es im Fehlerfall keine Möglichkeit mehr, eine Übersicht der bereits betroffenen E-Mails zu erhalten.<br />
12.4 Spamfilter<br />
Mit dem Begriff Spam werden E-Mails bezeichnet, die vom Empfänger nicht angefordert wurden und nicht<br />
erwünscht sind. Dementsprechend beanspruchen sie vom Empfänger Arbeitszeit und Vertrauen in das<br />
Medium E-Mail.<br />
282
12.4 Spamfilter<br />
Auf einem <strong>UCS</strong>-Mail-Server wird in der vorgegebenen Konfiguration das Paket univention-<br />
spamassassin installiert. Das Paket kann jedoch während der Installation in der erweiterten Auswahl<br />
deaktiviert werden.<br />
Spamassassin ist ein Programm, das anhand von Herkunft, Form und Inhalt einer E-Mail zu erkennen<br />
versucht, ob sie erwünscht oder unerwünscht ist. Es arbeitet dazu mit einem Punktesystem, das mit stei-<br />
gender Anzahl Punkte eine höhere Wahrscheinlichkeit für Spam ausdrückt. Punkte werden nach ver-<br />
schiedenen Kriterien vergeben, die beispielsweise auf Schlagworte innerhalb der E-Mail oder fehlerhaftes<br />
Layout ansprechen. Zusätzlich gibt es die Möglichkeit, E-Mails mit einem Bayes-Klassifikator bewerten zu<br />
lassen. Dieser vergleicht eine eingehende E-Mail mit statistischen Daten, die er aus bereits verarbeiteten<br />
E-Mails gewonnen hat und kann so seine Bewertung an die Mailgewohnheiten anpassen.<br />
Mit installiertem Paket findet eine Filterung aller über SMTP eingehender E-Mails durch einen vorkon-<br />
figurierten Spamassassin statt. E-Mails lokalen Ursprungs, die z.B. über den Befehl sendmail an der<br />
Konsole verschickt wurden, werden von Spamassassin nicht erfasst.<br />
E-Mails, die als Spam klassifiziert wurden, also eine bestimmte Anzahl Punkte überschreiten, werden<br />
bei der Auslieferung durch Cyrus nicht im Posteingang (Inbox) des Empfängers, sondern im darunter lie-<br />
genden Ordner Spam abgelegt. Dieses Standardverhalten kann je Benutzer über <strong>Univention</strong> Directory<br />
Manager Web-Frontend auf dem Reiter Mail eines Benutzerobjekts über Globalen Spam-Ordner ver-<br />
wenden verändert werden. Ist das Attribut gesetzt, werden als Spam erkannte E-Mails an die Adresse<br />
spam@ weitergeleitet und können im zugehörigen IMAP-Ordner überprüft werden, sind<br />
für den ursprünglichen Empfänger aber nicht mehr erreichbar. Die Email-Adresse des globalen Empfän-<br />
gers für Spam kann in der <strong>Univention</strong> Configuration Registry-Variable mail/antispam/globalfolder<br />
konfiguriert werden.<br />
Konfigurierbar ist auch die Punkte-Schwelle, ab der E-Mails als Spam deklariert werden. Dafür muss<br />
die <strong>Univention</strong> Configuration Registry-Variable mail/antispam/requiredhits auf eine Zahl gesetzt<br />
werden, voreingestellt ist 5. Dieser Wert ist für eine Verarbeitung mit aktiviertem Bayes-Klassifikator, der<br />
insgesamt zu höheren Punktzahlen führt, vernünftig. Je nach Erfahrung im eigenen Umfeld kann dieser<br />
Wert auch niedriger angesetzt werden, es muss dann jedoch mit mehr E-Mails gerechnet werden, die<br />
fälschlich als Spam erkannt wurden.<br />
Die Bayes-Klassifizierung wird erst aktiv, wenn vorab eine ausreichende Zahl unerwünschter (Spam) wie<br />
erwünschter (Ham) E-Mails einem Lernalgorithmus übergeben wurden. Um es den Benutzern zu ermög-<br />
lichen, ihre Spam-Mails sowie ihre falsch klassifizierten E-Mails an den Lernalgorithmus zu übergeben,<br />
bekommt jeder Benutzer bei der Erstellung des Postfachs die beiden Ordner Spam und Ham angelegt.<br />
Bei Benutzerkonten, die mit einer <strong>UCS</strong>-Version vor 2.3 angelegt wurden, müssen diese manuell angelegt<br />
werden.<br />
Wird auf dem Server die <strong>Univention</strong> Configuration Registry-Variable mail/antispam/learndaily auf<br />
yes gesetzt, durchsucht der Cyrus-Dienst täglich die Spam und Ham-Ordner aller Benutzer und des<br />
globalen Spamempfängers nach unbekannten E-Mails. Werden noch nicht erfasste oder bisher falsch<br />
klassifizierte Daten gefunden, werden die in einer gemeinsamen Datenbank erfassten statistischen Daten<br />
aktualisiert. Standardmäßig ist diese Funktion deaktiviert.<br />
Der Lernvorgang kann alternativ manuell über das Programm sa-learn aufgerufen werden. Liegen E-<br />
Mails in einer Datei im Mbox-Format, wie es häufig von Mailprogrammen verwendet oder exportiert wird,<br />
können die darin enthaltenen E-Mails durch den folgenden Aufruf als Spam klassifiziert werden:<br />
283
12 Mail<br />
sa-learn --spam --mbox <br />
beziehungsweise als Ham, also als erwünschte E-Mails, durch<br />
sa-learn --ham --mbox <br />
Für die Klassifizierung von E-Mails ist es empfehlenswert, im gleichen Verhältnis erwünschte wie uner-<br />
wünschte E-Mails vorzulegen, wie in der Praxis über den Server verarbeitet werden. Wird auf das manuelle<br />
Lernen verzichtet, lernt Spamassassin automatisch während des Filterns. Das bedeutet, dass Spamas-<br />
sassin falsch klassifizierte E-Mails auch falsch lernt.<br />
Die Spam-Filterung kann durch Setzen der <strong>Univention</strong> Configuration Registry-Variable<br />
mail/antivir/spam auf no deaktiviert, bzw. durch yes wieder aktiviert werden.<br />
Danach muss Postfix neu gestartet werden. (Siehe Kapitel 12.3.1) Bei no wird jede eingehende Mail an<br />
den jeweiligen Benutzer ohne Prüfung weitergeleitet.<br />
12.5 Virenfilter<br />
Mit dem Paket univention-antivir-mail wird das Programm Amavisd-new als Schnittstelle zwischen Post-<br />
fix und verschiedenen Virenscannern eingerichtet. Der freie Virenscanner ClamAV ist im Paket enthalten<br />
und nach der Installation sofort einsatzbereit. Alternativ oder zusätzlich können andere Virenscanner ein-<br />
gebunden werden, indem sie in die <strong>Univention</strong> Configuration Registry-Variable mail/antivir/scanner<br />
eingetragen werden. Getestet sind derzeit Kaspersky und Sweep (Sophos). Ungetestet ist die Konfigura-<br />
tion für zahlreiche andere Scanner vorbereitet, deren Einstellungen beim <strong>UCS</strong>-Support erfragt werden<br />
können.<br />
Nach der Installation ist standardmäßig der Virenscanner ClamAV aktiv. Wenn statt oder neben Cla-<br />
mAV ein anderer Virenscanner eingesetzt werden soll, ist die <strong>Univention</strong> Configuration Registry-Variable<br />
mail/antivir/scanner entsprechend zu setzen. Mehrere Virenscanner werden durch Leerzeichen<br />
getrennt. Beispiel:<br />
univention-config-registry set mail/antivir/scanner="clamav sweep"<br />
Mit der <strong>Univention</strong> Configuration Registry-Variable mail/antivir kann der Virenscanner aktiviert (yes)<br />
bzw. deaktiviert (no) werden. Änderungen von mail/antivir/scanner und mail/antivir werden erst nach<br />
einem Neustart der Dienste Postfix und Amavis wirksam.<br />
Alle ein- und ausgehenden E-Mails werden auf Viren geprüft. Erkennt einer der eingetragenen Scan-<br />
ner einen Virus, wird die E-Mail unter Quarantäne gestellt. Das bedeutet, dass die E-Mail auf dem Ser-<br />
ver unerreichbar für den Benutzer abgelegt wird. Der ursprüngliche Empfänger erhält eine Benachrichti-<br />
gung per E-Mail über diese Maßnahmen. Bei Bedarf kann der Administrator diese aus dem Verzeichnis<br />
/var/lib/amavis/virusmails wiederherstellen oder löschen. Eine automatische Löschung erfolgt<br />
nicht.<br />
284
12.6 Konfiguration von Mail-Clients<br />
12.6 Konfiguration von Mail-Clients<br />
Im Folgenden wird am Beispiel von Kontact und Outlook Express erklärt, welche Einstellungen erforderlich<br />
sind, um den <strong>UCS</strong>-Mail-Server zu verwenden. Es ist zu beachten, dass der Posteingangsserver von Cyrus<br />
die primäre E-Mail-Adresse in Kleinbuchstaben als Benutzernamen erwartet.<br />
Ausführliche Anleitungen zu den Konfigurationsmöglichkeiten finden sich in der se-<br />
parat erhältlichen Dokumentation zum <strong>Univention</strong> Groupware Server, die unter<br />
http://www.univention.de/download_doku.html erhältlich ist.<br />
12.6.1 Kontact<br />
Für die Dokumentation wurde Kontact 1.2.4 (enterprise 20071102-731871) verwendet.<br />
Nach dem Start von Kontact ist am linken Rand die Komponente E-Mail auszuwählen. Über Einstellungen<br />
➞KMail einrichten wird der Konfigurationsdialog für die Mailkomponente von Kontact aufgerufen.<br />
Hierbei sind die nachfolgend aufgeführten Einstellungen wie beschrieben und weitere Einstellungen nach<br />
Bedarf vorzunehmen<br />
• Unter Identitäten ist bereits eine Standard-Identität eingerichtet, diese kann durch Anwahl von<br />
[Ändern...] bearbeitet werden. Hier muss in das Feld E-Mail-Adresse die im <strong>Univention</strong> Directory<br />
Manager auf der Karteikarte Mail konfigurierte primäre E-Mail-Adresse des Benutzers eingetragen<br />
werden.<br />
• Unter Zugänge muss auf der Registerkarte Versand ein neues Ausgangspostfach eingerichtet wer-<br />
den. Nach der Auswahl von [Hinzufügen...] muss die Versandart SMTP gewählt werden. Im folgen-<br />
den Dialogfenster müssen alle relevanten Einstellungen für den Mailserver vorgenommen werden:<br />
Feld einzutragender Wert<br />
Name Dieser Name bezeichnet den Namen des neuen Ausgangspost-<br />
fachs und kann frei gewählt werden. Dabei sollte ein kurzer Na-<br />
me verwendet werden, der leicht erkennen lässt, dass die Mails<br />
über den <strong>UCS</strong>-Mailserver versendet werden (z.B. ’ucs-mail’).<br />
Server Der Name des <strong>UCS</strong>-Mailservers im Netzwerk. Dieser kann ent-<br />
weder nur mit dem Hostnamen, dem FQDN oder mit der IP-<br />
Adresse des Mailservers angegeben werden.<br />
Port Hier ist 25 einzutragen.<br />
Server verlangt Authentifizie-<br />
rung<br />
Dieses Feld muss aktiviert werden.<br />
Benutzer Hier ist die primäre E-Mail-Adresse, wie schon beim Bearbeiten<br />
der Identität des Benutzers, einzutragen.<br />
Passwort Das Passwort des Benutzers.<br />
285
12 Mail<br />
SMTP-Passwort speichern Wird dieses Feld aktiviert, wird das Passwort des Benutzers in<br />
einer nur für ihn zugänglichen Datei gespeichert, der Benutzer<br />
muss sein Passwort damit nicht bei jedem Versand einer Mail<br />
erneut eingeben. Das Speichern eines Passworts in einer Datei<br />
kann ein Sicherheitsrisiko darstellen.<br />
Tabelle 12.1: Konfigurationsoptionen für das neue Ausgangspostfach<br />
• Auf der Registerkarte Sicherheit sollte anschließend der Punkt [Fähigkeiten des Servers testen]<br />
gewählt und die ermittelten Werte übernommen werden. Hierbei wird möglicherweise ein Hinweis<br />
angezeigt, dass die Authentifizierung des Server-Zertifikats fehlgeschlagen ist. Nach einer Prüfung<br />
des Zertifikats über [Details] kann [Fortsetzen] und im nächsten Dialog [Dauerhaft] gewählt wer-<br />
den, um dem Zertifikat des <strong>UCS</strong>-Mailservers dauerhaft zu vertrauen.<br />
Nach Auswahl von [OK] ist die Einrichtung des neuen Ausgangspostfachs abgeschlossen. Um Mails vom<br />
<strong>UCS</strong>-Mailserver abzurufen, muss noch ein Eingangspostfach angelegt werden:<br />
286<br />
• Auf der Registerkarte Empfang ist die Schaltfläche [Hinzufügen...] auszuwählen.<br />
• Anschließend muss der Typ des neuen Postfachs ausgewählt werden. Die konkrete Auswahl ist von<br />
den eigenen Anforderungen abhängig, normalerweise sollte hier IMAP gewählt werden.<br />
• Im folgenden Dialogfenster werden alle relevanten Einstellungen für den Mailempfang vorgenom-<br />
men:<br />
Feld einzutragender Wert<br />
Name Dieser Name bezeichnet den Namen des neuen Eingangspost-<br />
fachs und kann frei gewählt werden. Dabei sollte ein kurzer Na-<br />
me verwendet werden, der leicht erkennen lässt, dass die Mails<br />
vom <strong>UCS</strong>-Mailserver abgerufen werden (z.B. ’ucs-mail’).<br />
Benutzer Hier ist die primäre E-Mail-Adresse, wie schon beim Bearbeiten<br />
der Identität des Benutzers, einzutragen.<br />
Passwort Das Passwort des Benutzers.<br />
Server Der Name des <strong>UCS</strong>-Mailservers im Netzwerk. Dieser kann ent-<br />
weder nur mit dem Hostnamen, dem FQDN oder mit der IP-<br />
Adresse des Mailservers angegeben werden.<br />
Port Hier ist für IMAP 143 anzugeben.<br />
IMAP-Passwort speichern Hier gelten die gleichen Hinweise zum Speichern von Passwör-<br />
tern wie bei der Einrichtung des Ausgangspostfachs.<br />
Tabelle 12.2: Konfigurationsoptionen für das neue Eingangspostfach<br />
• Die weiteren Optionen sind abhängig vom Typ des neuen Postfachs. Bei einem IMAP-, DIMAP oder<br />
POP3-Konto sollte auf der Registerkarte Sicherheit wieder [Fähigkeiten des Servers testen] ge-<br />
wählt und die ermittelten Werte übernommen werden.
• Mit [OK] wird die Einrichtung des neuen Posteingangskontos abgeschlossen.<br />
12.6 Konfiguration von Mail-Clients<br />
Der Einrichtungsdialog Einstellungen ➞KMail einrichten wird über die Schaltfläche [OK] beendet. Über<br />
die Schaltfläche mit dem Briefsymbol und dem grün-weißen Pfeil können jetzt E-Mails vom Mailserver<br />
abgerufen werden.<br />
12.6.2 Outlook Express<br />
Für die Dokumentation wurde Outlook Express 6 unter Windows XP Professional Service Pack 2 verwen-<br />
det.<br />
Für ein neues E-Mail-Konto muss der Assistent für den Internetzugang gestartet werden. Er öffnet sich<br />
beim Starten von Outlook Express automatisch, wenn noch kein E-Mail-Konto in Outlook Express ein-<br />
gerichtet wurde. Sonst ist er über Extras ➞Konten... ➞Karteikarte E-Mail ➞[Hinzufügen] ➞E-Mail...<br />
erreichbar. Hier sind die nachfolgend aufgeführten Einstellungen wie beschrieben und weitere Einstellun-<br />
gen nach Bedarf vorzunehmen.<br />
In das Eingabefeld E-Mail-Adresse ist die primäre E-Mail-Adresse einzugeben, die in <strong>Univention</strong> Directory<br />
Manager auf der Karteikarte Mail für diesen Benutzer eingetragen ist.<br />
In der Auswahlliste im Satz Der Posteingangsserver ist ein ... Server. muss POP3 oder IMAP markiert<br />
werden. In das Eingabefeld Posteingangsserver (POP3, IMAP oder HTTP) muss der FQDN des <strong>UCS</strong>-<br />
Mail-Servers eingetragen werden, der für den Empfang von E-Mails zuständig ist.<br />
In das Eingabefeld Postausgangsserver (SMTP) ist der FQDN des <strong>UCS</strong>-Mail-Servers einzutragen, der<br />
für den Versand von E-Mails eingerichtet ist.<br />
Im Eingabefeld Kontoname ist die E-Mail-Adresse, die in <strong>Univention</strong> Directory Manager auf der Karteikar-<br />
te Mail als primäre E-Mail-Adresse für diesen Benutzer eingetragen ist, in Kleinbuchstaben anzugeben.<br />
Im Eingabefeld Kennwort muss das Passwort, das für den Benutzer in <strong>Univention</strong> Directory Manager auf<br />
der Karteikarte Allgemein eingetragen ist, angegeben werden.<br />
Das Auswahlkästchen Anmeldung durch gesicherte Kennwortauthentifizierung (SPA) sollte nicht markiert<br />
werden.<br />
Wenn ein bereits bestehendes E-Mail-Konto für die Verwendung des <strong>UCS</strong>-Mail-Servers umkonfiguriert<br />
werden soll, ist in Outlook Express Extras > Konten... aufzurufen. Dort ist auf der Karteikarte E-Mail<br />
das Konto zu markieren und [Eigenschaften] anzuklicken. Auf der folgende Karteikarte Server müssen<br />
die Eingabefelder Posteingangsserver (IMAP oder POP3), Postausgangsserver (SMTP), Kontoname und<br />
Kennwort wie oben beschrieben ausgefüllt werden. Falls von IMAP zu POP3 oder umgekehrt gewechselt<br />
werden soll, muss ein neues E-Mail-Konto angelegt werden.<br />
287
12 Mail<br />
288
13 Druckdienste<br />
Inhaltsverzeichnis<br />
13.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289<br />
13.2 Druckserver installieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290<br />
13.2.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290<br />
13.2.2 Serversysteme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.3 Windows-Systeme als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.4 Thin Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.5 Managed/Mobile Clients als Druckserver . . . . . . . . . . . . . . . . . . . . . . . . 291<br />
13.2.6 Richtlinienbasierte Zuweisung eines Druck-Servers . . . . . . . . . . . . . . . . . . 292<br />
13.3 Druckerfreigaben konfigurieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292<br />
13.3.1 Einrichtung eines lokal angeschlossenen Druckers . . . . . . . . . . . . . . . . . . . 292<br />
13.3.2 Netzwerkdrucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293<br />
13.3.3 PDF-Drucker einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293<br />
13.3.4 Druckergruppen einrichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294<br />
13.4 Druckfreigaben unter Windows einbinden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295<br />
13.5 Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295<br />
13.5.1 Aktivierung der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296<br />
13.5.2 Erstellen einer Druck-Quota-Richtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . 297<br />
13.5.3 Auswerten der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297<br />
13.5.4 Modifizieren der Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299<br />
13.6 <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
13.1 Einführung<br />
13.6.1 Einstellungen für Druck-Clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
13.6.2 Einstellungen für die Authentifizierung an Druckerfreigaben . . . . . . . . . . . . . . 301<br />
13.6.3 Einstellungen für Druck-Freigaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
13.6.4 Einstellungen für Druck-Quota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301<br />
<strong>Univention</strong> Corporate Server beinhaltet ein Drucksystem, mit dem sich auch komplexe Umgebungen rea-<br />
lisieren lassen. Drucker und Druckergruppen lassen sich komfortabel im <strong>Univention</strong> Directory Manager<br />
anlegen und konfigurieren (siehe Abschnitt 4.5.7). Erweiterungen zur Kostenberechnung und Seiten-<br />
Limitierung können mit dem Druck-Quota-System nachinstalliert werden.<br />
Die Druckdienste basieren auf CUPS (Common Unix Printing System). Druckaufträge werden von<br />
CUPS in Warteschlangen verwaltet und bei Bedarf mit Hilfe von Filtern in ein Datenformat umgewandelt,<br />
das der jeweilige Drucker interpretieren kann. Eine Vielzahl von Filtern werden bereits über das Paket<br />
foomatic-filters bereitgestellt, sodass viele Drucker ohne zusätzlich zu installierende Treiber angespro-<br />
chen werden können.<br />
289
13 Druckdienste<br />
Nicht alle Druckaufträge werden durch CUPS umgewandelt. Druckaufträge deren Format nicht von CUPS<br />
erkannt wird oder die direkt vom Drucker interpretiert werden können, werden als Rohdaten (raw) an den<br />
Drucker weitergeleitet. Diese Eigenschaft ermöglicht auch das Drucken mit Windows-Druckertreibern über<br />
einen CUPS-Druckserver.<br />
Der Anschluss des Druckers wird über die Drucker-URI definiert. Ein Drucker am lokalen Parallelport<br />
erhält beispielsweise die Drucker-URI parallel:/dev/lp0 , die sich aus dem Protokoll parallel:<br />
und dem Ziel /dev/lp0 zusammensetzt. Weiterführende Dokumentation zu den URI-Formaten findet<br />
sich in Abschnitt 4.5.7.<br />
Die Pakete in der Übersicht:<br />
• cupsys enthält den CUPS-Druckserver.<br />
• foomatic-filters, foomatic-db, foomatic-filters-ppds stellen eine Vielzahl verschiedener Drucker-<br />
treiber und -Filter zur Verfügung.<br />
• univention-printclient erstellt die Konfiguration für Druck-Clients unter <strong>UCS</strong>.<br />
• univention-printserver bringt die Pakete cupsys und foomatic mit und erstellt die Konfiguration<br />
für Druck-Server unter <strong>UCS</strong>.<br />
• univention-winprinters ermöglicht die Übernahme von Windows-Druckfreigaben in <strong>UCS</strong>.<br />
• pykota stellt ein Quota-System für Druckdienste bereit.<br />
• univention-printquota integriert Quotaunterstützung für Druckdienste in <strong>UCS</strong>.<br />
• univention-printquotadb speichert die Informationen über Druck-Quota in einer Datenbank.<br />
• univention-printserver-pdf integriert das Paket cups-pdf in <strong>Univention</strong> Corporate Server, mit dem<br />
sich serverseitig PDF-Dokumente erstellen lassen.<br />
13.2 Druckserver installieren<br />
Als Druckserver bzw. Spoolhost können in <strong>UCS</strong> alle Rechnertypen genutzt werden. Im <strong>Univention</strong> Direc-<br />
tory Manager stehen jedoch vorerst nur Serversysteme (Master-, Backup-, Slave- und Memberserver) zur<br />
Auswahl. Über die Kommandozeile ist es möglich auch Managed- und Mobile Clients als Druckserver zu<br />
verwenden, weitere Informationen sind in der Kommandozeilen-Beschreibung von <strong>Univention</strong> Directory<br />
Manager zu finden [6].<br />
13.2.1 Voraussetzungen<br />
Voraussetzung für den Betrieb eines Druckservers ist die Installation des Paketes univention-<br />
printserver. Mit diesem Paket werden die benötigten Komponenten installiert und konfiguriert. Während<br />
der Installation der Serversysteme kann dazu die Komponente Druckserver ausgewählt werden, nach-<br />
träglich ist die Einrichtung durch univention-system-setup-software oder die Installation des Pa-<br />
ketes univention-printserver über <strong>Univention</strong> Management Console möglich (siehe Abschnitt 5.3.11).<br />
290
13.2.2 Serversysteme als Druckserver<br />
13.2 Druckserver installieren<br />
Für <strong>UCS</strong>-Serversysteme besteht die Möglichkeit, über die Druckerverwaltung im <strong>Univention</strong> Directory Ma-<br />
nager Drucker und Druckergruppen anzulegen und zu konfigurieren. Die so angelegten Drucker stehen<br />
anschließend im Netzwerk für Linux- und Windows-Clients als Druckerfreigaben zur Verfügung.<br />
13.2.3 Windows-Systeme als Druckserver<br />
Auch Druckerfreigaben auf Windows-Systemen können eingebunden werden. Eine solche Freigabe kann<br />
im <strong>Univention</strong> Directory Manager auf einem Druckserver einrichtet werden.<br />
Um beispielsweise die Druckerfreigabe laser01 des Windows-Systems win01 über den <strong>Univention</strong> Di-<br />
rectory Manager einzubinden, muss eine Druckerfreigabe mit dem Protokoll smb:// und dem Ziel<br />
win01/laser01 erstellt werden. Dabei sollten Hersteller und Modell-Typ entsprechend des verwendeten<br />
Geräts gewählt werden.<br />
Der Druckserver nutzt dabei die verwendeten Druckermodell-Einstellungen um die Druckaufträge ggf.<br />
umzuwandeln und sendet diese anschließend an die URI smb://win01/laser01. Hierbei werden keine<br />
Windows-Treiber verwendet.<br />
Unabhängig von diesen Einstellungen kann die Druckerfreigabe auch weiterhin von anderen Windows-<br />
Systemen mit den entsprechenden Druckertreibern eingebunden werden.<br />
13.2.4 Thin Clients als Druckserver<br />
Auf einem Thin Client wird standardmäßig ein Druckserver betrieben, der für den Anschluss von Druckern<br />
am Parallel- oder USB-Anschluss vorkonfiguriert ist. Dieser Druckserver leitet Druckaufträge unverändert<br />
an den jeweiligen Anschluss weiter, ohne diese umzuwandeln.<br />
Der Thin Client nimmt Druckaufträge aus dem eigenen Subnetz sowie vom Desktop-Server, auf dem<br />
die Sitzung des Thin Client gestartet wurde, entgegen. Diese Druckaufträge müssen ggf. vorher auf den<br />
Druckservern in ein für den Drucker verständliches Format gebracht werden, da Thin Clients keine Filte-<br />
rung vornehmen können.<br />
Um einen Drucker am Parallelport des Thin Client thin01 zu betreiben, wird der Drucker beispielsweise<br />
auf dem zugehörigen Desktop-Server angelegt und folgender Drucker-URI zugewiesen:<br />
ipp://thin01.firma.com/printers/lp0<br />
Für den Betrieb am USB-Anschluss entsprechend:<br />
ipp://thin01.firma.com/printers/usb0<br />
13.2.5 Managed/Mobile Clients als Druckserver<br />
Um einen Client als Druckserver zu verwenden muss zunächst das Paket univention-printserver instal-<br />
liert werden. Clients können nicht in der Druckerverwaltung des <strong>Univention</strong> Directory Manager als Server<br />
291
13 Druckdienste<br />
ausgewählt werden. Es können jedoch mit dem univention-directory-manager auf der Komman-<br />
dozeile auch Druckerfreigaben auf Clients einrichtet werden.<br />
Um beispielsweise den Drucker laser01.domain.net auf dem Client client01.domain.net als Druckfrei-<br />
gabe hinzuzufügen ist folgender Befehl einzugeben:<br />
univention-directory-manager shares/printer create --set name=laser01 \<br />
--set spoolHost=client01.domain.net \<br />
--set uri=parallel:/dev/lp0 --set model=None \<br />
--position cn=printers,dc=domain,dc=net<br />
Die angelegte Druckerfreigabe kann jetzt im <strong>Univention</strong> Directory Manager weiter konfiguriert werden.<br />
13.2.6 Richtlinienbasierte Zuweisung eines Druck-Servers<br />
Mit Hilfe der Richtlinie Drucker-Server können den verschiedenen Server- und Client-Systemen ex-<br />
plizit bestimmte Druckserver zugewiesen werden. Voraussetzung hierfür ist die Installation des Pakets<br />
univention-printclient auf dem entsprechenden System.<br />
Allgemeine Informationen zu Richtlinien finden sich in Kapitel 4.5.11.<br />
Die Änderung tritt nach der nächsten Auswertung der Richtlinien (standardmäßig einmal pro Stunde) in<br />
Kraft.<br />
Durch die Auswertung der Richtlinie wird auf dem Client-System der gesetzte Server in die <strong>Univention</strong><br />
Configuration Registry-Variable cups/server geschrieben.<br />
13.3 Druckerfreigaben konfigurieren<br />
Neue Druckerfreigaben lassen sich mit Hilfe des <strong>Univention</strong> Directory Manager komfortabel einrichten. Das<br />
<strong>Univention</strong> Directory Manager-Modul zur Druckerverwaltung wird in Abschnitt 4.5.7 detailliert beschrieben.<br />
Da sich die Art der Druckerfreigaben stark unterscheiden können, sollen folgende Beispiele einige Mög-<br />
lichkeiten darstellen.<br />
13.3.1 Einrichtung eines lokal angeschlossenen Druckers<br />
Ein HP Laserjet 2100 ist am Parallel-Anschluss des Memberservers member01.domain.net angeschlos-<br />
sen und soll als laser01 in der Domäne domain freigeben werden.<br />
Im <strong>Univention</strong> Directory Manager muss unter Drucker ➞ Hinzufügen ein neues Objekt vom Typ Dru-<br />
cker angelegt werden. Als Name ist laser01 einzutragen und der entsprechende Server der Ser-<br />
verliste hinzuzufügen. Das Protokoll parallel:/ und das Ziel dev/lp0 ergeben die Drucker-URI<br />
(parallel:/dev/lp0). Nach Auswahl des Herstellers HP und des passenden Druckermodells Laser-<br />
jet 2100 ist die Eingabe mit [OK] zu bestätigen. Dadurch wird der Drucker als laser01 in der Domäne<br />
freigegeben.<br />
Der angelegte Drucker laser01 soll auch als Druckfreigabe des Memberservers member02.domain.net<br />
eingerichtet werden. Hier soll er als laser02 bekannt sein.<br />
292
13.3 Druckerfreigaben konfigurieren<br />
Der Drucker ist lokal an member01 angeschlossen. member02 leitet seine Druckaufträge an member01,<br />
der sie dann für laser01 umwandelt und auf laser01 ausgibt.<br />
Um das Beispiel einzurichten, ist wie folgt vorzugehen:<br />
Im <strong>Univention</strong> Directory Manager muss ein neues Objekt vom Typ Drucker mit dem Na-<br />
men laser02 eingerichtet werden. Als Server sollte member02.domain.net ausgewählt wer-<br />
den. Die Drucker-URI setzt sich in diesem Fall aus dem Protokoll http:// und dem Ziel<br />
member01.domain.net:631/printers/laser01 zusammen. Als Hersteller wird misc und als Mo-<br />
dell None gewählt, wodurch kein Filter für den Drucker installiert wird und die Druckaufträge unverändert<br />
weitergeleitet werden. Nach Bestätigung der Eingabe mit [OK] ist der Drucker nun als laser01 auf mem-<br />
ber01 und als laser02 auf member02 freigegeben.<br />
Der Drucker soll nun in einem anderen Raum an ein Windows-System angeschlossen werden. Das<br />
Windows-System ist in der Domäne als win06 bekannt und gibt den Drucker als laser03 in der Domäne<br />
frei.<br />
Nach Änderung der Drucker-URI von laser01 von parallel:/dev/lp0 in smb://win06/laser03<br />
steht der Drucker weiterhin als laser01 auf member01 und als laser02 auf member02 zur Verfügung.<br />
Außerdem können Windows-Systeme mit passendem Treiber auch die Freigabe laser03 auf win06 nut-<br />
zen.<br />
13.3.2 Netzwerkdrucker einrichten<br />
Um eigenständige Netzwerkdrucker als Freigabe einzubinden, sollten diese erst als IP-Managed-Client<br />
in die Domäne eingebunden werden. Dies ist notwendig um IP-Konflikte auszuschließen und die DHCP-<br />
/DNS-Dienste nutzen zu können.<br />
Um den Netzwerkdrucker als Druckfreigabe zu konfigurieren, muss unter Angabe von Name und Server<br />
der Freigabe im <strong>Univention</strong> Directory Manager ein neues Objekt Druckfreigabe: Drucker erstellt werden.<br />
Außerdem muss das vom Netzwerkdrucker verwendete Protokoll (z.B. ipp:// oder lpd://), das Ziel<br />
(der Name des IP-Managed-Clients) und ggf. geräte-spezifische Erweiterungen konfiguriert werden.<br />
Als Beispiel soll der Netzwerkdrucker kopierer01, der das lpd-Protokoll unterstützt und laut Hersteller-<br />
<strong>Handbuch</strong> durch eine Warteschleife LPT-Aufträge entgegennimmt, freigegeben werden. Die vollständige<br />
Drucker-URI ergibt sich dann aus dem Protokoll, Name des Managed-Clients und der gerätespezifischen<br />
Erweiterung zu lpd://kopierer01/LPT.<br />
13.3.3 PDF-Drucker einrichten<br />
Durch Installation des Pakets univention-printserver-pdf wird ein Druck-Server um den speziellen Dru-<br />
ckertyp cups-pdf erweitert, der eingehende Druckaufträge in das PDF-Format umwandelt und für den<br />
jeweiligen Benutzer lesbar in ein bestimmtes Verzeichnis auf dem Druck-Server ausgibt.<br />
Beim Anlegen eines PDF-Druckers im <strong>Univention</strong> Directory Manager muss als Protokoll cups-<br />
pdf:/ ausgewählt werden, das Ziel-Feld bleibt leer. Das Zielverzeichnis wird über die <strong>Univention</strong><br />
Configuration Registry-Variable cups/cups-pdf/directory festgelegt. Standardmäßig wird sie auf<br />
/var/cache/cups-pdf/%U gesetzt, sodaß cups-pdf für jeden Benutzer ein eigenes Verzeichnis<br />
293
13 Druckdienste<br />
verwendet. Anonym eingegangene Druckaufträge werden in das durch die <strong>Univention</strong> Configuration<br />
Registry-Variable cups/cups-pdf/anonymous vorgegebene Verzeichnis ausgegeben (Standardein-<br />
stellung: /var/cache/cups-pdf).<br />
13.3.4 Druckergruppen einrichten<br />
CUPS bietet die Möglichkeit Drucker als Classes zusammenzufassen. In <strong>UCS</strong> sind diese als Drucker-<br />
gruppen implementiert. Druckergruppen werden in der Arbeitsumgebung wie Drucker bereitgestellt. Sinn<br />
einer solchen Druckergruppe ist es, eine höhere Verfügbarkeit des Druckdienstes zu schaffen. Wird auf<br />
eine Druckergruppe gedruckt, dann wird der Auftrag an den ersten verfügbaren Drucker der Druckergrup-<br />
pe geschickt. Die Auswahl der Drucker erfolgt nach dem Round-Robin-Prinzip, so dass eine gleichmäßige<br />
Auslastung angestrebt wird.<br />
Eine Druckergruppe muss mindestens einen Drucker als Mitglied haben. Es können nur Drucker vom<br />
gleichen Server als Mitglieder der Gruppe gesetzt werden.<br />
Folgende Beispiele verdeutlichen die Möglichkeiten bei der Erstellung von Druckergruppen:<br />
• Am Memberserver member01 sind vier identische Drucker angeschlossen. Diese sind als laser01,<br />
laser02, laser03 und laser04 benannt und als Druckerfreigaben eingerichtet. Diese Drucker sollen<br />
unter der Druckergruppe lasergruppe zusammengefasst werden.<br />
Hierfür ist im <strong>Univention</strong> Directory Manager unter Menüpunkt Drucker ➞ Hinzufügen der Typ<br />
Druckergruppe auszuwählen und durch Klicken auf [Weiter] zu bestätigen. Als Name wird laser-<br />
gruppe vergeben und der passende Servername der Serverliste hinzugefügt. Im Auswahlfeld Grup-<br />
penmitglieder werden nun die für diesen Druckserver bekannten Drucker aufgelistet. Dort können<br />
die Drucker einzeln der Druckergruppe hinzugefügt werden, die ausgewählten Mitglieder werden im<br />
Feld darunter aufgelistet. Nach Bestätigung der Angaben mit [OK] ist die Druckergruppe lasergrup-<br />
pe als Druckfreigabe in der Domäne verfügbar.<br />
• Die Druckerfreigaben laser01 auf member01 und tinte02 auf member02 sollen in der Drucker-<br />
Achtung:<br />
gruppe schwarzweiß auf Memberserver member03 zusammengefasst werden. Das geht nur über<br />
einen Umweg, da - wie weiter oben beschrieben - nur Drucker auf dem gleichen Server zu einer<br />
Druckergruppe zusammengefasst werden können.<br />
Auf member03 sollte eine Druckerfreigabe laser01v2 mit der Drucker-URI<br />
http://member01.domain.net:631/printers/laser01 und eine weitere Druckerfreigabe<br />
tinte01v2 mit der Drucker-URI http://member02.domain.net:631/printers/tinte02<br />
erstellt werden. Beide Druckerfreigaben werden mit Hersteller misc und Modell None eingerichtet.<br />
Nun kann wie im vorherigen Beispiel beschrieben eine neue Druckergruppe hinzugefügt und<br />
laser01v2 und tinte02v2 als Gruppenmitglieder ausgewählt werden.<br />
Die im letzten Beispiel beschriebene Fähigkeit, Druckerfreigaben von verschiedenen Druckservern in ei-<br />
ner Druckergruppe zusammenzufassen, ermöglicht es auch, Druckergruppen als Mitglieder einer Drucker-<br />
gruppe zu setzen. Eine Druckergruppe könnte sich dadurch selbst als Gruppenmitglied enthalten. Dies ist<br />
unbedingt zu vermeiden.<br />
294
13.4 Druckfreigaben unter Windows einbinden<br />
13.4 Druckfreigaben unter Windows einbinden<br />
Die im <strong>Univention</strong> Directory Manager eingerichteten Druckerfreigaben können auf Windows-Systemen als<br />
Netzwerkdrucker hinzugefügt werden. Der Netzwerkdrucker muss auf Windows-Seite lediglich mit einem<br />
Standard-PostScript-Druckertreiber eingerichtet werden. Wenn auf einen Farbdrucker zugegriffen werden<br />
soll, sollte auf Windows-Seite ein Treiber für einen PostScript-fähigen Farbdrucker verwendet werden,<br />
z.B. HP Color Laserjet 8550. Druckerfreigaben können allerdings auch mit den mitgelieferten Windows-<br />
Druckertreibern betrieben werden. Wird mit Druck-Quotas gearbeitet, ist vorher zu prüfen, ob das Daten-<br />
format des Treibers unterstützt wird (siehe auch Abschnitt 13.5).<br />
Achtung:<br />
Der Zugriff auf einen Drucker ist für einen regulären Benutzer nur möglich wenn dieser über lokale Rechte<br />
zur Treiberinstallation verfügt oder ein entsprechender Druckertreiber auf dem Drucker-Server hinterlegt<br />
wurde. Ist dies nicht der Fall kann es zu einer Windows Fehlermeldung kommen die besagt, dass die<br />
Berechtigungen nicht ausreichen, um eine Verbindung mit dem Drucker herzustellen.<br />
Um einen neuen Druckertreiber auf dem Drucker-Server zu hinterlegen, sind folgende Schritte notwendig:<br />
1. Als Administrator an Windows angemeldet kann über die Netzwerkumgebung der Drucker-Server<br />
und darin der Ordner mit Druckern geöffnet werden.<br />
2. Ein Rechtsklick in einen freien Bereich des Fensters öffnet ein Kontext-Menü, über das der Dialog<br />
Servereigenschaften geöffnet werden kann. Auf dem Reiter Treiber kann durch einen Klick auf<br />
Hinzufügen menügeführt ein Druckertreiber für die gewünschte Systemarchitektur gewählt und auf<br />
den Server geladen werden.<br />
3. Nun kann durch einen Rechtsklick auf den Drucker der Eigenschaften-Dialog aufgerufen werden.<br />
Auf dem Reiter Erweitert findet sich ein Auswahlfeld für die bereits installierten Treiber. Mit einem<br />
Klick auf [OK] wird der Treiber dem Drucker zugewiesen und auch unprivilegierte Benutzer können<br />
sich mit dem Drucker verbinden ohne einen Treiber installieren zu müssen.<br />
13.5 Druck-Quota<br />
Das Paket univention-printquota ermöglicht das Setzen von Druck-Quotas an Druckergruppen und Dru-<br />
cker. Die Quota-Richtlinien können für bestimmte Benutzer und Benutzergruppen pro einzelnem Benutzer<br />
oder pro Benutzergruppe definiert werden.<br />
Das Druck-Quota-System schaltet sich zwischen CUPS und den jeweiligen Drucker. Dabei prüft es die<br />
Berechtigung des Benutzers und dessen Druck-Limits. Außerdem werden zu jedem Druckauftrag die Kos-<br />
ten berechnet und in einer Druckauftrag-Historie protokolliert. Aus diesen gesammelten Daten können mit<br />
zugehörigen Programmen verschiedene Reports erstellt werden.<br />
Beim Betrieb eines Druckers mit Quota verliert die Druckauftrag-Historie in der CUPS-Webkonfiguration<br />
ihre Gültigkeit. Um einen störungsfreien Betrieb von CUPS zu gewährleisten, wird diesem immer ein<br />
erfolgreicher Druck zurückgemeldet.<br />
Für jeden Benutzer wird ein Seitenzähler bei jedem Druck aktualisiert. Überschreitet ein Benutzer das<br />
Soft-Limit, so wird ihm - sofern in <strong>Univention</strong> Configuration Registry konfiguriert (siehe Abschnitt 13.6.4) -<br />
295
13 Druckdienste<br />
eine Mail zugesandt, in der auf die bevorstehende endgültige Begrenzung durch das Hard-Limit informiert<br />
wird. Erreicht der Seitenzähler des Benutzers das Hard-Limit, so wird der überschreitende Druckauftrag<br />
nicht ausgeführt. In einer Mail wird der Benutzer darüber informiert, dass er nun nicht mehr auf dem ent-<br />
sprechenden Drucker drucken kann. Diese Mail wird an die primäre Mailadresse des Benutzers gesendet.<br />
Hinweis:<br />
Durch die Möglichkeit Quotas für Benutzer und Benutzergruppen an Druckern und Druckergruppen zu<br />
setzen, können unübersichtliche Quota-Richtlinien entstehen. Drucker-Quotas sollten deshalb gründlich<br />
geplant werden, um spätere Überschneidungen in den Richtlinien zu vermeiden.<br />
Das Druck-Quota-System ermittelt die Größe eines Druckauftrages während des Druckens. Hierfür wer-<br />
den die nach der Konvertierung durch CUPS, an den Drucker gesendeten Daten analysiert. Wenn das<br />
Datenformat nicht erkannt wird oder die Quota-Limits überschritten werden, wird der Druckauftrag unter-<br />
brochen. Folgende Datenformate werden korrekt ausgewertet:<br />
• PostScript<br />
• PDF<br />
• PCL1, PCL2, PCL3, PCL4, PCL5<br />
• PCLXL ( PCL6 )<br />
• ESC/P2<br />
Das Druck-Quota-System speichert alle Daten in einer Datenbank. Es verwendet hierfür eine PostgreS-<br />
QL-Datenbank, die mit dem Paket univention-printquotadb installiert wird.<br />
Wenn nun ein Benutzer druckt, werden erst die gesetzten Quotas des Benutzers für den verwendeten<br />
Drucker aus der Datenbank abgefragt. Anschließend wird geprüft, ob der Druckauftrag die Quotas über-<br />
schreitet und gegebenenfalls der Druckauftrag abgebrochen und der Benutzer per Mail benachrichtigt.<br />
Wenn es für einen Benutzer noch keine Quotas für einen Drucker in der Datenbank gibt, werden die im<br />
<strong>Univention</strong> Directory Manager gesetzten Druck-Quota-Richtlinien abgefragt. Sind hier Eintragungen für<br />
den Benutzer vorhanden werden diese in die Datenbank eingetragen und der Druckauftrag, sollte er die<br />
Quotas nicht überschreiten, durchgeführt. Ist für den Benutzer keine Richtlinie vorhanden, so wird der<br />
Druckauftrag abgebrochen.<br />
13.5.1 Aktivierung der Druck-Quota<br />
Die Aktivierung der Druck-Quota bewirkt eine interne Änderung der Drucker-URI. Wird Quota für einen<br />
Drucker auf einem Druckserver ohne univention-printquota aktiviert, so wird der Drucker beim ersten<br />
Druckauftrag deaktiviert.<br />
Um die Druck-Quota für einen Drucker zu aktivieren, muss im <strong>Univention</strong> Directory Manager über den<br />
Menüpunkt Drucker der entsprechende Drucker oder die entsprechende Druckergruppe ausgewählt und<br />
in der Karteikarte Allgemein der Eintrag Quota aktivieren ausgewählt werden. Auf der Karteikarte<br />
[Druck-Quota-Richtlinie] können nun in dem Auswahlfeld Konfiguration eine bestehende Richtlinie aus-<br />
gewählt, oder eine neue Richtlinie für die aktuelle Druckerfreigabe erstellt werden.<br />
Achtung:<br />
Das Quota-System kann für Druckerfreigaben, die in eine Datei (file:/) oder über den Parallel-Port<br />
296
13.5 Druck-Quota<br />
(parallel:/) drucken, nicht verwendet werden. Anderenfalls kann es dazu führen, dass der Drucker<br />
deaktiviert wird.<br />
13.5.2 Erstellen einer Druck-Quota-Richtlinie<br />
Um eine Druck-Quota-Richtlinie zu erstellen, kann im Richtlinien-Assistenten des <strong>Univention</strong> Directo-<br />
ry Manager ein Objekt des Typs Richtlinie: Druck-Quota hinzugefügt werden. In der sich öffnenden<br />
Eingabe-Maske muss der Name der Richtlinie festgelegt und anschließend einzelne Benutzer, Benut-<br />
zergruppen oder Gruppen pro Benutzer mit zugehörigen Seitenlimits hinzugefügt werden (siehe auch<br />
Abschnitt 4.5.11). Mit Soft-Limit kann eine Seitenzahl definiert werden, bei deren Überschreitung der Be-<br />
nutzer auf die Limitierung hingewiesen wird. Durch Hard-Limit kann die Grenze des Seitenkontingentes<br />
für den Benutzer eingestellt werden. Das Quota-System interpretiert die gesetzten Werte immer abzüglich<br />
1; bekommt also ein Benutzer ein Hard-Limit von 100, so können maximal 99 Seiten gedruckt werden.<br />
Daraus ergeben sich folgende Sonderwerte:<br />
0 - Keine Limitierung<br />
1 - Kein Seitenkontingent<br />
Die folgenden Beispiele sollen die Möglichkeiten der Druck-Quota-Richtlinien verdeutlichen:<br />
• Um jedem Benutzer der Gruppe Domain Users als Soft-Limit 200 Seiten und als Hard-Limit 250 Sei-<br />
ten für den Drucker laser01 zuzuweisen, muss im <strong>Univention</strong> Directory Manager im Modul Drucker<br />
der Drucker laser01 ausgewählt werden und auf der Karteikarte [Druck-Quota] im Feld Druck-<br />
Quota für Gruppen pro Benutzer der Gruppe Domain Users ein Soft-Limit von 201 Seiten und<br />
ein Hard-Limit von 251 Seiten zugewiesen werden. Durch Betätigen der Schaltflächen [Hinzufügen]<br />
und [OK] wird die Quota-Regelung eingetragen und die Richtlinie gespeichert.<br />
• Als Mitglied der Gruppe Domain Users unterliegt der Benutzer user01 den für Drucker laser01<br />
festgelegten Druck-Quota-Richtlinien. Wird dem Benutzer auf oben beschriebene Weise noch eine<br />
benutzerbezogene Druck-Quota mit einem Soft-Limit von 400 Seiten und einem Hard-Limit von 450<br />
Seiten zugewiesen, so kann er trotzdem nur maximal 250 Seiten drucken. Das Druck-Quota-System<br />
überschreitet das Limit der anderen Richtlinie nicht.<br />
• Jedem Benutzer der Gruppe Power Printer soll ein Soft-Limit von 1000 Seiten und ein Hard-Limit<br />
von 1200 Seiten für alle Tintenstrahldrucker in der Domäne zugewiesen werden. Hierfür ist eine<br />
Druckergruppe Tintenstrahl anzulegen und dieser alle Tintenstrahldrucker in der Domäne zuzu-<br />
weisen (siehe Abschnitt 13.3.4). Über eine Richtlinie vom Typ Richtlinie: Druck-Quota mit dem<br />
Namen PP-Limit werden nun, wie oben bereits beschrieben wurde, der Gruppe Power Printer im<br />
Feld Druck-Quota für Gruppen pro Benutzer Soft- und Hard-Limits zugewiesen. Nach Bestätigung<br />
der hinzugefügten Eingabe mit [OK] ist dann der Druckergruppe Tintenstrahl und allen Tinten-<br />
strahldruckern in der Druckerverwaltung auf der Karteikarte [Druck-Quota] die Richtline PP-Limit<br />
zuzuweisen und die Angaben mit [OK] zu bestätigen.<br />
13.5.3 Auswerten der Druck-Quota<br />
repykota generiert einen Report über die gesetzten Druck-Quota. Das Kommando kann auch von jedem<br />
297
13 Druckdienste<br />
Benutzer verwendet werden, um seinen aktuellen Seitenverbrauch abzufragen.<br />
Kommando Erklärung<br />
repykota Ausgabe aller Quotas pro Benutzer für jeden Drucker<br />
repykota -P drucker01 Ausgabe der Quotas pro Benutzer für das Gerät drucker01<br />
repykota -g -P<br />
drucker01<br />
Ausgabe der Quotas pro Benutzergruppe für das Gerät dru-<br />
cker01<br />
repykota -g Ausgabe aller Quotas pro Gruppe für jeden Drucker<br />
repykota user01 Ausgabe der Quotas für user01 auf allen Druckern<br />
repykota user*<br />
repykota -P druck*<br />
Ausgabe aller Quotas für die Benutzer deren Name mit user<br />
beginnt<br />
Ausgabe der Quotas für alle Benutzer auf den Druckern deren<br />
Name mit druck beginnt<br />
dumpykota bietet die Möglichkeit verschiedene Informationen des Druck-Quota-Systems in verschiedenen<br />
Formaten zu exportieren:<br />
dumpykota -d typ -f format -o datei<br />
Variable Erklärung<br />
typ bestimmt die auszugebenden Daten<br />
history Druckauftrag-Historie<br />
users Benutzer<br />
groups Benutzergruppe<br />
printers Drucker<br />
upquotas Benutzerquota<br />
gpquotas Benutzergruppenquota<br />
payments Kosten pro Benutzer<br />
pmembers Druckergruppenmitglieder<br />
umembers Benutzergruppenmitglieder<br />
format bestimmt das Ausgabeformat:<br />
csv Spalten separiert mit Komma<br />
ssv Spalten separiert mit Semikolon<br />
tsv Spalten separiert mit Tabulator<br />
xml Ausgabe im XML-Format<br />
Beispiel:<br />
dumpykota -d upquotas -f csv -o userquota.csv<br />
Ausgabe aller Benutzerquota im CSV-Format in die Datei userquota.csv<br />
298
13.5.3.1 pykotme<br />
13.5 Druck-Quota<br />
Mit dem Programm pykotme läßt sich der Seitenumfang einer PostScript-Datei ermitteln und die durch<br />
ihren Ausdruck anfallenden Kosten.<br />
pykotme --printer drucker01,laser01 < datei01.ps<br />
Listet die jeweiligen Kosten für den Druck von datei01.ps auf drucker01 und laser01.<br />
pykotme --printer laser01 datei01.ps datei02.ps<br />
Listet die Kosten für den Druck von datei01.ps und datei02.ps auf laser01.<br />
13.5.4 Modifizieren der Druck-Quota<br />
13.5.4.1 edpykota<br />
Mit dem Programm edpykota lassen sich direkt die Quotas einzelner Benutzer oder Gruppen manipu-<br />
lieren. Weiterhin bietet es Möglichkeiten Drucker anzulegen und Gruppenzuordnungen von Druckern und<br />
Benutzern festzulegen.<br />
Achtung:<br />
Drucker und Gruppenzuordnungen für Drucker und Benutzer sollten nach Möglichkeit nur mit <strong>Univention</strong><br />
Directory Manager festgelegt werden. Da edpykota nur Einträge im Quota-System ändert, werden diese<br />
Änderungen nicht dem CUPS-Drucksystem bekannt gemacht.<br />
edpykota [options] user1 user2 ... userN<br />
edpykota [options] group1 group2 ... groupN<br />
Parameter Erklärung<br />
-v –version Gibt die Versionsnummer aus<br />
-h –help Ausgabe der Hilfe mit Syntax und Beispielen<br />
-a –add Hinzufügen von Benutzern und/oder Druckern zur Quota-<br />
Datenbank<br />
-d –delete Entfernt Benutzer/Benutzergruppen aus der Quota-Datenbank<br />
-c –charge p[,j] Setzt den Preis pro Seite (p) und pro Auftrag (j) für einen be-<br />
stimmten Drucker. Der Preis pro Auftrag ist optional. Beim Set-<br />
zen beider Werte, werden diese mit Komma getrennt. Fließkom-<br />
mazahlen sind zulässig und werden mit Punkt angegeben (z.B.<br />
3.412).<br />
-i –ingroups g1[,g2...] Setzt einen Benutzer in jede angegebene Benutzergruppe<br />
(z.B. g1). Die Benutzergruppen müssen bereits in der Quota-<br />
Datenbank existieren.<br />
-u –users Benutzerquota bearbeiten (Standard)<br />
-P –printer p Nur die Quota für Drucker p wird bearbeitet. Es sind Wildcards<br />
(z.B. p*) zulässig. Mehrfachangaben sind mit Komma zu tren-<br />
nen.<br />
299
13 Druckdienste<br />
-G –pgroups pg1[,pg2...] Fügt den Drucker in die Druckergruppen pg1,pg2... ein. Die<br />
Druckergruppen müssen bereits existieren.<br />
-g –groups Benutzergruppen editieren.<br />
-p –prototype u|g Verwendet Benutzer u oder Benutzergruppe g als Prototyp zum<br />
Setzen der Quota.<br />
-n –noquota Es werden keine Quotas gesetzt, sondern nur Kosten und<br />
Druck-Historie aktiviert.<br />
-r –reset Setzt den Zähler des aktuellen Seitenverbrauchs zurück. Der<br />
Zähler für den Gesamtverbrauch (Life-Time-Counter) bleibt un-<br />
verändert.<br />
-R –hardreset Setzt alle Zähler für den Seitenverbrauch zurück.<br />
-S –softlimit X Setzt das Soft-Limit auf X Seiten.<br />
-H –hardlimit X Setzt das Hard-Limit auf X Seiten.<br />
edpykota --add -S 50 -H 60 user01<br />
user01 bekommt ein Soft-Limit von 50 Seiten und ein Hard-Limit von 60 Seiten auf allen Druckern. Wenn<br />
user01 noch nicht existiert, wird er im Druck-Quota-System angelegt, andernfalls wird der Eintrag ange-<br />
passt.<br />
edpykota --add --printer drucker01 -S 50 -H 60 user01<br />
user01 bekommt ein Soft-Limit von 50 Seiten und ein Hard-Limit von 60 Seiten auf drucker01. Wenn<br />
drucker01 oder user01 noch nicht existieren, werden sie angelegt, andernfalls werden die Einträge an-<br />
gepasst.<br />
edpykota --reset user01<br />
Setzt den Zähler für den aktuellen Seitenverbrauch des user01 auf allen Druckern auf 0 zurück. Der Zähler<br />
für den Gesamtverbrauch von user01 bleibt unberührt.<br />
edpykota --add -g testgruppe01<br />
Erstellt die Benutzergruppe testgruppe01 im Druck-Quota-System.<br />
edpykota -g -S 500 -H 650 testgruppe01<br />
Die Gruppe testgruppe01 bekommt ein Soft-Limit von 500 Seiten und ein Hard-Limit von 650 Seiten.<br />
edpykota -i testgruppe01 user01<br />
Fügt user01 der Gruppe testgruppe01 hinzu.<br />
edpykota --add --printer drucker01 -i testgruppe01 -S 50 -H 60 user01<br />
Setzt für user01 ein Soft-Limit von 50 Seiten und ein Hard-Limit von 60 Seiten für drucker01 und weist<br />
ihn der Gruppe testgruppe01 zu. Wenn drucker01 oder user01 im Quota-System noch nicht vorhanden<br />
sind, werden sie angelegt.<br />
edpykota --delete user01<br />
300
Entfernt user01 vollständig aus dem Quota-System.<br />
edpykota --printer lp --charge 12,7<br />
Setzt für lp den Preis pro Seite auf 12 und den Preis pro Druckauftrag auf 7.<br />
13.6 <strong>Univention</strong> Configuration Registry-Variablen<br />
13.6.1 Einstellungen für Druck-Clients<br />
13.6 <strong>Univention</strong> Configuration Registry-Variablen<br />
cups/server: Der vom System zu verwendende Drucker-Server. Dieser Wert wird von der Richtlinie:<br />
Drucker-Server überschrieben und sollte daher im <strong>Univention</strong> Directory Manager gesetzt werden.<br />
13.6.2 Einstellungen für die Authentifizierung an Druckerfreigaben<br />
cups/restrictedprinters: Eine Liste von Druckern mit Zugriffsbeschränkungen.<br />
cups/automaticrestrict: Wird diese Variable auf no gesetzt, so wird die Druckerliste in<br />
cups/restrictedprinters nicht mehr automatisch durch das Cups-Listener-Modul modifiziert,<br />
wenn Drucker angelegt, modifiziert oder gelöscht werden.<br />
13.6.3 Einstellungen für Druck-Freigaben<br />
samba/printmode/usergroup/GROUPNAME: Diese Variablen erlauben es, bestimmten Gruppen den<br />
Zugriff auf lokale Drucker über Samba Druckerfreigaben generell zu verbieten oder zu gestatten.<br />
Wird für eine Gruppe mit dem Namen GROUPNAME die entsprechende Variable auf all gesetzt, so<br />
wird sie in Samba an allen lokalen Druckerfreigaben als zugelassene Gruppe notiert. Wird statt des-<br />
sen die Variable auf none gesetzt, so wird die entsprechende Gruppe an allen lokalen Druckerfrei-<br />
gaben als ungültig eingetragen. Mit diesen <strong>Univention</strong> Configuration Registry-Variablen vergebene<br />
Zugriffsrechte gelten zusätzlich zu denen, die per <strong>Univention</strong> Directory Manager an den einzelnen<br />
Druckerobjekten auf dem Reiter Zugriffskontrolle eingestellt wurden (siehe Abschnitt 4.5.7). Durch<br />
die Art, in der Samba Freigabeberechtigungen auswertet, kann ein Benutzer, der sowohl Mitglied in<br />
einer zugelassenen Gruppe als auch in einer abgewiesenen Gruppe ist, nicht drucken.<br />
13.6.4 Einstellungen für Druck-Quota<br />
cups/quota/account: Die Quota-Informationen werden in einer PostgreSQL-Datenbank gespeichert.<br />
Über diese Einstellung wird der PostgreSQL-Benutzer für den Zugriff registriert. Die Standard-<br />
Einstellung ist pykotaadmin.<br />
cups/quota/admin/mail: Die Mail-Adresse des Quota-Administrators. Die Standard-Einstellung ist<br />
root@.<br />
cups/quota/inform: (De-)Aktiviert die Mail-Benachrichtigung bei Quota-Überschreitung. Mögliche<br />
Werte sind no (Standard) und yes.<br />
301
13 Druckdienste<br />
cups/quota/secret: Eine Pfadangabe zur Passwortdatei der Quota-Datenbank. Die Standard-<br />
Einstellung ist /etc/pykota/pykota.secret<br />
cups/quota/server/access: Die Zugriffsmethode auf die Quota-Datenbank. Die Standard-<br />
Einstellung ist local.<br />
cups/quota/server/name: Der Name des Servers, auf dem die Quota-Datenbank betrieben wird. Die<br />
302<br />
Standard-Einstellung ist localhost.
14 <strong>Univention</strong> Configuration Registry<br />
Inhaltsverzeichnis<br />
14.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303<br />
14.2 Anzeige der aktuellen Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304<br />
14.3 Übernahme von Variablen in Shell-Skripte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305<br />
14.4 Ändern von <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . . 306<br />
14.5 Anlegen neuer <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . 307<br />
14.6 Löschen von <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . . . . 307<br />
14.7 Registrierung von <strong>Univention</strong> Configuration Registry-Variablen . . . . . . . . . . . . . . . . 307<br />
14.8 Neuerzeugung von Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309<br />
14.9 Richtlinienbasierte Konfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310<br />
14.9.1 Übersicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310<br />
14.9.2 Konfiguration der Richtlinie im <strong>Univention</strong> Directory Manager . . . . . . . . . . . . . 310<br />
14.10<strong>Univention</strong> Configuration Registry in selbst erstellten Paketen . . . . . . . . . . . . . . . . . 311<br />
14.11Einbinden zusätzlicher Konfigurationsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . 313<br />
14.12Integration von Python-Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313<br />
14.1 Einführung<br />
<strong>Univention</strong> Configuration Registry ist das zentrale Werkzeug zur Verwaltung der lokalen Systemkonfigu-<br />
ration eines <strong>UCS</strong>-basierten Systems. Ähnlich anderen Betriebssystemen stellt <strong>Univention</strong> Configuration<br />
Registry einen Registrierungsmechanismus für Systemeinstellungen dar. Einzelne Einstellungen werden<br />
über die so genannten <strong>Univention</strong> Configuration Registry-Variablen verwaltet, die im Bezug auf das Set-<br />
zen und Auslesen sowie im Bezug auf ihre Einsatzmöglichkeiten mit Umgebungsvariablen der Shell ver-<br />
gleichbar sind. Die Verwaltung der <strong>Univention</strong> Configuration Registry-Variablen erfolgt über den Befehl<br />
univention-config-registry oder über die <strong>Univention</strong> Management Console.<br />
Über den <strong>Univention</strong> Configuration Registry-Mechanismus wird die Verbindung zwischen den <strong>Univention</strong><br />
Configuration Registry-Variablen und den Konfigurationsdateien verschiedener Dienste hergestellt. Der<br />
<strong>Univention</strong> Configuration Registry-Mechanismus stellt sicher, dass beim Ändern einer <strong>Univention</strong> Configu-<br />
ration Registry-Variable alle Konfigurationsdateien, auf die sich die veränderte Variable bezieht, neu erstellt<br />
werden. Dadurch wird der Systemadministrator davon entbunden, Konfigurationsdateien der verschiede-<br />
nen Dienste selbst (unter Berücksichtigung der jeweils gültigen Syntax) zu editieren. Dabei verbleiben<br />
die Konfigurationsdateien in ihrer ursprünglichen Form und können bei Bedarf unter Berücksichtigung der<br />
Funktionsweise des <strong>Univention</strong> Configuration Registry-Mechanismus manuell editiert werden.<br />
Nach der Installation eines <strong>UCS</strong>-Systems sind bereits eine Reihe von zentralen, systemnahen Einstellun-<br />
gen über <strong>Univention</strong> Configuration Registry-Variablen erfasst. Als Beispiel sei der Name eines Rechners<br />
303
14 <strong>Univention</strong> Configuration Registry<br />
genannt, der einerseits in der Systemkonfiguration selbst unter /etc/hostname aufgeführt wird, aber<br />
auch in der Konfiguration von System-Diensten wie dem LDAP-Server. Bei Bedarf können weitere Einstel-<br />
lungen und Konfigurationsdateien in den <strong>Univention</strong> Configuration Registry-Mechanismus aufgenommen<br />
werden.<br />
Neben der Verwaltung von Konfigurationsdateien können <strong>Univention</strong> Configuration Registry-Variablen sehr<br />
effizient in systemnahen Shell-Skripten verwendet werden, um auf aktuelle Einstellungen zuzugreifen.<br />
Insbesondere in Kombination mit der <strong>Univention</strong> Directory Manager-Kommandozeilenschnittstelle ergeben<br />
sich umfassende Möglichkeiten zur Verwaltung eines <strong>UCS</strong>-Systems.<br />
14.2 Anzeige der aktuellen Einstellungen<br />
Der Befehl univention-config-registry kann mit drei unterschiedlichen Parametern aufgerufen werden,<br />
um die <strong>Univention</strong> Configuration Registry-Variablen und ihre aktuellen Belegungen auszugeben. Statt<br />
univention-config-registry kann alternativ auch die Kurzform ucr angegeben werden.<br />
Mit dem Aufrufparameter dump können alle aktuell registrierten Variablen ausgegeben werden:<br />
# univention-config-registry dump<br />
admin/cmd/debug/level: 0<br />
admin/cmd/timeout: 300<br />
admin/timeout: 300<br />
admin/web/debug/level: 0<br />
admin/web/language: de<br />
apache/accessfilename: .htaccess<br />
apache/documentroot: /var/www<br />
apache/userdir: public_html<br />
auth/admin/methods: krb5 ldap unix<br />
...<br />
Pro Zeile wird eine <strong>Univention</strong> Configuration Registry-Variable und der aktuell zugewiesene Wert ausge-<br />
geben.<br />
Die Benennung der <strong>Univention</strong> Configuration Registry-Variablen folgt einer baumartigen Struktur, wobei<br />
ein Schrägstrich als Trennzeichen von Namensbestandteilen verwendet wird. Beispielsweise handelt es<br />
sich bei allen mit ldap beginnenden <strong>Univention</strong> Configuration Registry-Variablen um Einstellungen, die<br />
den lokalen Verzeichnisdienst betreffen.<br />
<strong>Univention</strong> Configuration Registry unterstützt auch die Suche nach Variablennamen über den Aufrufpara-<br />
meter search:<br />
univention-config-registry search <br />
Dieser Befehl sucht nach Variablennamen, welche die Zeichenkette enthalten und gibt diese mit<br />
den aktuellen Belegungen aus. Es kann alternativ auch nach gesetzten Variablen-Werten gesucht werden:<br />
univention-config-registry search --value <br />
# univention-config-registry search debug<br />
admin/cmd/debug/level: 0<br />
console/web/debug/level: 0<br />
304
listener/debug/level: 2<br />
samba/debug/level: 0<br />
# univention-config-registry search --value yes<br />
nsswitch/ldap: yes<br />
pkgdb/scan: yes<br />
postfix/autostart: yes<br />
sshd/permitroot: yes<br />
sshd/xforwarding: yes<br />
14.3 Übernahme von Variablen in Shell-Skripte<br />
Bei der Suche nach <strong>Univention</strong> Configuration Registry-Variablen können reguläre Ausdrücke verwendet<br />
werden, um nur Variablen auszugeben, die einem vorgegebenen Suchmuster entsprechen. <strong>Univention</strong><br />
Configuration Registry unterstützt alle regulären Ausdrücke, die vom Python-Modul re unterstützt werden.<br />
Eine umfassende Beschreibung der Syntax ist in der Dokumentation des Moduls re zu finden. Auf <strong>UCS</strong>-<br />
Systemen kann sie auf der Kommandozeile mit dem Befehl pydoc re angezeigt werden. Nachfolgend<br />
einige Beispiele:<br />
• Suche nach allen <strong>Univention</strong> Configuration Registry-Variablen, die mit ’ldap’ oder ’ssl’ beginnen:<br />
univention-config-registry search ’^(ldap|ssl)’<br />
• Suche nach allen <strong>Univention</strong> Configuration Registry-Variablen, die ’ssl’ oder ’ssh’ enthalten:<br />
univention-config-registry search ’ss(l|h)’<br />
• Suche nach allen <strong>Univention</strong> Configuration Registry-Variablen, deren aktueller Wert aus dem String<br />
’mail’, einer beliebigen Zeichenfolge und dem String ’Address’ zusammengesetzt ist. Mit dem As-<br />
terisk (*) wird festgelegt, dass das vorstehende Zeichen überhaupt nicht, einmal oder mehrmals<br />
vorkommen soll. Um den Asterisk wie in der Bash-Shell für unterschiedliche Zeichen zu verwen-<br />
den, muss er in Kombination mit dem Punkt (.) als Platzhalter für ein alphanumerisches Zeichen<br />
kombiniert werden.<br />
univention-config-registry search --value ’mail.*Address’<br />
Einzelne <strong>Univention</strong> Configuration Registry-Variablen können mit dem Aufrufparameter get ausgegeben<br />
werden. Im Unterschied zu den Aufrufparametern dump und search wird hierbei nur der aktuelle Wert<br />
der <strong>Univention</strong> Configuration Registry-Variable ohne Variablennamen ausgegeben:<br />
# univention-config-registry get ldap/server/name<br />
master.firma.de<br />
# univention-config-registry get ldap/server/ip<br />
192.168.0.2<br />
14.3 Übernahme von Variablen in Shell-Skripte<br />
Über den Aufrufparameter shell werden <strong>Univention</strong> Configuration Registry-Variablen und ihre aktuellen<br />
Belegungen in einem Format ausgegeben, das in Shell-Skripten verwendet werden kann:<br />
univention-config-registry shell<br />
Dieser Befehl gibt die Werte aller <strong>Univention</strong> Configuration Registry-Variablen zeilenweise als Paar in der<br />
Form<br />
305
14 <strong>Univention</strong> Configuration Registry<br />
variablenname="wert"<br />
aus. Dabei werden verschiedene Konvertierungen vorgenommen: Schrägstriche in Variablennamen wer-<br />
den durch Unterstriche ersetzt und in den Werten enthaltene Zeichen, die in Shell-Skripten eine besondere<br />
Bedeutung haben, werden durch Anführungszeichen geschützt.<br />
Es lassen sich auch einzelne Werte ausgeben, indem man den Parameter shell um den gewünschten<br />
Variablennamen ergänzt:<br />
univention-config-registry shell ldap/server/name<br />
Damit <strong>Univention</strong> Configuration Registry-Variablen als Umgebungsvariablen in einem Shell-Skript einge-<br />
lesen werden, muss die Ausgabe von <strong>Univention</strong> Configuration Registry durch den Befehl eval ausgeführt<br />
werden:<br />
# eval $(univention-config-registry shell ldap/server/name)<br />
# echo $ldap_server_name<br />
master.firma.de<br />
14.4 Ändern von <strong>Univention</strong> Configuration Registry-Variablen<br />
Mit dem Befehl<br />
univention-config-registry set =""<br />
kann der Wert einer Variable geändert werden. Es erfolgt dabei keine Syntax-Prüfung. Im folgenden Bei-<br />
spiel wird der Wert der Variable nameserver1 auf 192.168.0.1 gesetzt:<br />
univention-config-registry set nameserver1="192.168.0.1"<br />
Die Änderung einer <strong>Univention</strong> Configuration Registry-Variable bewirkt, dass alle Konfigurationsdateien,<br />
für die die <strong>Univention</strong> Configuration Registry-Variable registriert ist (siehe Kapitel 14.8), unmittelbar neu<br />
geschrieben werden. Die betroffenen Dateien werden an der Konsole ausgeben:<br />
# univention-config-registry set sshd/xforwarding=yes<br />
Setting sshd/xforwarding<br />
File: /etc/ssh/sshd_config<br />
Dabei ist zu beachten, dass zwar die Konfiguration eines Dienstes aktualisiert wird, der entsprechende<br />
Dienst aber nicht automatisch neu gestartet wird. Die Dienste sind in der Regel über entsprechende Init-<br />
Skripte unterhalb von /etc/init.d manuell erneut zu starten. Die Ausführung von Skripten nach der<br />
Änderung von <strong>Univention</strong> Configuration Registry-Variablen ist in Kapitel 14.10 beschrieben.<br />
Wird beispielsweise der Debug-Level des Samba-Dienstes verändert, muss dieser anschließend neu gestartet<br />
werden:<br />
# univention-config-registry set samba/debug/level=2<br />
Setting samba/debug/level<br />
Multifile: /etc/samba/smb.conf<br />
# /etc/init.d/samba restart<br />
Stopping Samba daemons: nmbd smbd.<br />
Starting Samba daemons: nmbd smbd.<br />
306
14.5 Anlegen neuer <strong>Univention</strong> Configuration Registry-Variablen<br />
Gleichzeitige Änderungen mehrerer Variablen in einer Befehlszeile sind möglich (wenn sich diese auf ein-<br />
und dieselbe Konfigurationsdatei beziehen, wird diese nur einmal neu geschrieben):<br />
# univention-config-registry set \<br />
dns/forwarder1=192.168.0.2 \<br />
sshd/xforwarding="no" \<br />
sshd/port=2222<br />
14.5 Anlegen neuer <strong>Univention</strong> Configuration Registry-Variablen<br />
Eine neue Variable kann mit univention-config-registry und dem Aufrufparameter set registriert<br />
werden. Der Name der Variable kann frei gewählt werden, darf aber ausschließlich aus Kleinbuchstaben,<br />
Punkten, Zahlen, Binde- und Schrägstrichen bestehen. Soll die neu angelegte <strong>Univention</strong> Configuration<br />
Registry-Variable außer in Shell-Skripten auch in Konfigurationsdateien verwendet werden, muss sie re-<br />
gistriert werden (siehe Kapitel 14.7).<br />
# univention-config-registry set test/variable=neu<br />
Create test/variable<br />
Auch ein bedingtes Setzen von Variablen ist möglich. Soll z.B. ein Wert nur dann in einer <strong>Univention</strong><br />
Configuration Registry-Variable gespeichert werden, wenn die Variable leer ist, kann dies durch ein Fra-<br />
gezeichen statt des Gleichheitszeichens beim Zuweisen des Wertes erreicht werden:<br />
univention-config-registry set dns/forwarder1?192.168.0.2<br />
In diesem Beispiel wird die Variable dns/forwarder1 nur auf den Wert 192.168.0.2 gesetzt, wenn sie<br />
vorher leer war. Enthält die Variable bereits einen Wert, wird dieser nicht verändert.<br />
Beim Setzen und Ändern von <strong>Univention</strong> Configuration Registry-Variablen können mehrere Variablen in<br />
einem Aufruf angegeben werden.<br />
14.6 Löschen von <strong>Univention</strong> Configuration Registry-Variablen<br />
Mit dem Aufrufparameter unset kann eine Variable entfernt werden. Das folgende Beispiel löscht die<br />
Variable dns/forwarder2. Auch hier können mehrere zu löschende Variablen übergeben werden.<br />
univention-config-registry unset dns/forwarder2<br />
Beim Löschen einer Variable gibt univention-config-registry aus, welche Dateien von der Veränderung<br />
betroffen sind und neu geschrieben werden.<br />
14.7 Registrierung von <strong>Univention</strong> Configuration Registry-Variablen<br />
Der <strong>Univention</strong> Configuration Registry-Mechanismus stellt bei Änderung einer Variable die Neugenerie-<br />
rung von Konfigurationsdateien sicher, für die diese Variable registriert wurde. Dazu werden Vorlagen, die<br />
307
14 <strong>Univention</strong> Configuration Registry<br />
so genannten <strong>Univention</strong> Configuration Registry-Templates verwendet. Ein <strong>Univention</strong> Configuration Re-<br />
gistry-Template ist im wesentlichen eine Kopie der ursprünglichen Konfigurationsdatei, in der die Zeilen, in<br />
denen der Wert einer <strong>Univention</strong> Configuration Registry-Variable verwendet werden soll, teilweise durch<br />
Programmcode ersetzt wurde.<br />
Die in Konfigurationsdateien verwendeten <strong>Univention</strong> Configuration Registry-Variablen werden unterhalb<br />
von /etc/univention/templates/info in info-Dateien registriert, die nach dem Paketnamen mit<br />
Dateiendung .info benannt werden. Ein Beispiel für das Paket univention-dhcp:<br />
Type: file<br />
File: etc/dhcp3/dhcpd.conf<br />
Variables: ldap/base<br />
Variables: dhcpd/ldap/base<br />
Variables: ldap/server/name<br />
Variables: dhcpd/enable<br />
Type: file<br />
File: etc/init.d/dhcp3-server<br />
Die Vorlagen für alle mit <strong>Univention</strong> Configuration Registry verwalteten Konfigurationsdateien, befinden<br />
sich unterhalb des Verzeichnisses /etc/univention/templates/files. Der Pfad zu den Vorlagen<br />
entspricht dem absoluten Pfad zu der Konfigurationsdatei mit vorangestelltem Pfad zum Vorlagenverzeich-<br />
nis. So findet sich zum Beispiel die Vorlage für die Konfigurationsdatei /etc/dhcp3/dhcpd.conf unter<br />
/etc/univention/templates/files/etc/dhcp3/dhcpd.conf.<br />
In den Vorlagen befinden sich Platzhalter für die in der Registrierung verwendeten Variablen. Wird der<br />
Wert einer Variable verändert, liest <strong>Univention</strong> Configuration Registry die Vorlage, ersetzt die Platzhalter<br />
durch die entsprechenden Variablen-Werte und schreibt die Konfigurationsdatei neu.<br />
Als Beispiel für eine Zeile mit Platzhalter dient der folgende Auszug aus der Vorlage für die Datei<br />
/etc/ssh/sshd_config. Als Platzhalter dient der Name der <strong>Univention</strong> Configuration Registry-Varia-<br />
ble, die von der Zeichenkette @%@ eingefasst wird.<br />
X11Forwarding @%@sshd/xforwarding@%@<br />
Die ursprüngliche Konfigurationsdatei wird beim Ändern einer registrierten <strong>Univention</strong> Configuration Re-<br />
gistry-Variable überschrieben, was bedeutet, dass Änderungen, die manuell an der Konfigurationsdatei<br />
selbst vorgenommen wurden, verloren gehen. Sollen solche Änderungen dauerhaft sein, müssen sie an<br />
den Vorlagen vorgenommen werden. Nach Änderung einer Vorlage muss die Konfigurationsdatei neu ge-<br />
schrieben werden (siehe Kapitel 14.8).<br />
Hinweis:<br />
Damit Konfigurationsdateien von <strong>Univention</strong> Configuration Registry korrekt verarbeitet werden können,<br />
müssen sie im UNIX-Format vorliegen. Werden Konfigurationsdateien z.B. unter DOS oder Windows be-<br />
arbeitet, werden Steuerzeichen zur Kennzeichnung des Zeilenumbruchs eingefügt, die die Verwendung<br />
der Datei durch <strong>Univention</strong> Configuration Registry stören.<br />
Neben der Zeichenkette @%@ für einzelne <strong>Univention</strong> Configuration Registry-Variablen kann die Zei-<br />
chenkette @!@ verwendet werden. Sie dient zur Abgrenzung von Blöcken eingebetteten Python-Codes.<br />
Der Python-Code wird ebenfalls ausgeführt, wenn eine registrierte <strong>Univention</strong> Configuration Registry-Va-<br />
riable verändert wird. Mit solchen Blöcken kann beispielsweise erreicht werden, dass beim Ändern eines<br />
308
14.8 Neuerzeugung von Konfigurationsdateien<br />
Parameters über eine Variable weitere abhängige Einstellungen automatisch in die Konfigurationsdatei<br />
aufgenommen werden. Folgende Code-Sequenz konfiguriert beispielsweise Netzwerk-Einstellungen an-<br />
hand der <strong>Univention</strong> Configuration Registry-Einstellungen:<br />
@!@<br />
for i in range(0,4):<br />
if baseConfig[’interfaces/eth%s/address’ % i]:<br />
print ’%s\tunivention-directory-manager.%s univention-directory-manager’ % \<br />
(baseConfig[’interfaces/eth%s/address’ % i],baseConfig[’domainname’])<br />
@!@<br />
Wird neuer Python-Code in die Vorlagen eingefügt oder bestehender Code so verändert, dass er zusätz-<br />
liche oder andere Variablen nutzt, so müssen die in /etc/univention/templates/info befindlichen<br />
.info-Dateien erweitert bzw. verändert werden (siehe Kapitel 14.10).<br />
Hinweis:<br />
<strong>Univention</strong> Configuration Registry-Templates sind in den entsprechenden Software-Paketen als Konfigu-<br />
rationsdateien enthalten. Bei der Aktualisierung von Paketen wird überprüft, ob Änderungen an Konfigu-<br />
rationsdateien vorgenommen wurden. Wenn Konfigurationsdateien nicht mehr im Auslieferungszustand<br />
vorliegen, werden diese nicht überschrieben. Stattdessen wird eine neue Version im selben Verzeichnis<br />
mit der Endung .debian.dpkg-new abgelegt. Sollen Änderungen an <strong>Univention</strong> Configuration Registry-<br />
Templates vorgenommen werden, werden diese Templates bei der Aktualisierung ebenfalls nicht über-<br />
schrieben und im selben Verzeichnis mit der Endung .dpkg-new oder .dpkg-dist abgelegt. Entsprechen-<br />
den Hinweise werden in die Log-Datei /var/log/univention/actualise.log geschrieben.<br />
14.8 Neuerzeugung von Konfigurationsdateien<br />
Durch den Befehl<br />
univention-config-registry commit <br />
können einzelne Konfigurationsdateien neu aus ihren Vorlagen erzeugt werden, was beispielsweise dann<br />
notwendig wird, wenn eine Konfigurationsdatei testhalber verändert oder das zugehörige <strong>Univention</strong> Con-<br />
figuration Registry-Template bearbeitet wurde.<br />
Wird beim Aufruf von univention-config-registry commit kein Dateiname angegeben, werden sämtliche<br />
durch <strong>Univention</strong> Configuration Registry verwalteten Dateien neu aus den Vorlagen erzeugt. In der Regel<br />
sollte es allerdings nicht notwendig sein, alle Konfigurationsdateien neu zu erzeugen.<br />
Mit dem Befehl<br />
univention-config-registry commit /etc/samba/smb.conf<br />
wird beispielsweise nur die Konfigurationsdatei des Samba-Dienstes neu geschrieben.<br />
309
14 <strong>Univention</strong> Configuration Registry<br />
14.9 Richtlinienbasierte Konfiguration<br />
14.9.1 Übersicht<br />
Ein Teil der in <strong>Univention</strong> Configuration Registry abgelegten Eigenschaften sind systemspezifisch (z.B. der<br />
Rechnername), viele andere Eigenschaften können jedoch auch auf mehrere Rechner angewendet wer-<br />
den. Um die Verteilung der Einstellungen automatisieren zu können, ist es möglich, <strong>Univention</strong> Configura-<br />
tion Registry-Variablen auch über Richtlinien im Verzeichnisdienst zu konfigurieren. Allgemeine Hinweise<br />
zu Richtlinien finden sich in Kapitel 4.5.11.<br />
Die Auswertung der <strong>Univention</strong> Configuration Registry-Variablen auf einem <strong>UCS</strong>-System erfolgt vierstufig:<br />
• Als Erstes werden lokale <strong>Univention</strong> Configuration Registry-Variablen ausgewertet.<br />
• Die lokalen Variablen werden von Richtlinien-Variablen überstimmt, die in der Regel per<br />
unvention-policy-result aus dem Verzeichnisdienst bezogenen werden.<br />
• Die Option schedule dient zum Setzen lokaler Variablen, die nur für einen gewissen Zeitraum gelten<br />
sollen. Diese Ebene der <strong>Univention</strong> Configuration Registry ist reserviert für lokale Einstellungen,<br />
die durch zeitgesteuerte Mechanismen in <strong>Univention</strong> Corporate Server automatisiert vorgenommen<br />
werden.<br />
• Durch Verwendung der Option force beim Setzen einer lokalen Variable werden aus den Verzeich-<br />
nisdienst übernommene Einstellung ebenso wie Variablen der Schedule-Ebene überstimmt und statt<br />
dessen der angegebene Wert für das lokale System festgelegt. Beispiel:<br />
univention-config-registry set --force mail/messagesizelimit=1000000<br />
Wird eine Variable gesetzt, die durch eine übergeordnete Richtlinie überschrieben wird, erscheint eine<br />
Warnmeldung.<br />
14.9.2 Konfiguration der Richtlinie im <strong>Univention</strong> Directory Manager<br />
Beim Anlegen des Richtlinien-Objekts muss der Typ <strong>Univention</strong> Configuration Registry ausgewählt<br />
werden. Zuerst muss für die anzulegende Richtlinie ein Name gesetzt werden, unter dem die Variablen<br />
später einzelnen Rechner-Objekten zugewiesen werden können.<br />
Ausserdem muss mindestens eine <strong>Univention</strong> Configuration Registry-Variable konfiguriert werden. Zu-<br />
erst muss unter Name der neuen Configuration Registry Variable der Name der Variable eingetragen<br />
werden. Nach einem Klick auf das Pluszeichen neben dem Eingabefeld ändert sich das Eingabefeld in<br />
Variable: NAME. Hier muss nun der zu setzende Wert eingetragen werden.<br />
Durch Klick auf Ok wird die Richtlinie gespeichert, alternativ können auch noch weitere Variablen erfasst<br />
werden.<br />
Diese Richtlinie kann dann einem Rechner-Objekt zugewiesen werden. Es ist zu beachten, dass die An-<br />
zeige der konfigurierten Werte gegenüber den übrigen Richtlinien abweicht: Die Werte werden nicht direkt<br />
im <strong>Univention</strong> Directory Manager angezeigt, sondern durch <strong>Univention</strong> Directory Policy auf den zugewie-<br />
senen Rechner geschrieben. Das dabei verwendete Zeitintervall wird durch die <strong>Univention</strong> Configuration<br />
Registry-Variable ldap/policy/cron konfiguriert und erfolgt standardmässig stündlich.<br />
310
14.10 <strong>Univention</strong> Configuration Registry in selbst erstellten Paketen<br />
14.10 <strong>Univention</strong> Configuration Registry in selbst erstellten Paketen<br />
Auch bei der Erstellung eigener Software-Pakete zur Verwendung in <strong>UCS</strong> können Konfigurationsdateien<br />
in den <strong>Univention</strong> Configuration Registry-Mechanismus integriert werden. Die komplette Vorgehensweise<br />
bei der Paketerstellung unter <strong>UCS</strong> ist in einem gesonderten Dokument beschrieben, siehe [19].<br />
In dem Verzeichnis mit den Paketquellen muss ein Unterverzeichnis mit dem Namen conffiles erzeugt<br />
werden, in das die gewünschten Konfigurationsdateien mit etwaigen Unterverzeichnissen kopiert werden.<br />
Soll beispielsweise die Datei /etc/ldap/slapd.conf durch <strong>Univention</strong> Configuration Registry verwaltet<br />
werden, kopiert man sie nach conffiles/etc/ldap/slapd.conf.<br />
Nun können Platzhalter für die Variablen und eventuell notwendiger Python-Code in die Konfigurationsda-<br />
teien unterhalb von conffiles integriert werden.<br />
In jedem Fall können Defaultwerte für die durch das jeweilige Binärpaket verwendeten Variablen in<br />
debian/postinst bzw. debian/.postinst durch bedingtes Setzen (siehe Kapi-<br />
tel 14.5) vergeben werden.<br />
In den Abschnitt install der debian/rules-Datei muss die Zeile<br />
univention-install-config-registry<br />
eingefügt werden, damit <strong>Univention</strong> Configuration Registry beim Erzeugen des Paketes mit einbezogen<br />
wird.<br />
Zusätzlich muss die Datei debian/control angepasst, das Quellpaket um eine Abhängigkeit auf<br />
univention-config-dev und alle <strong>Univention</strong> Configuration Registry nutzenden Binärpakete um eine Ab-<br />
hängigkeit auf univention-config-registry erweitert werden.<br />
Außerdem muss für jedes Binärpaket eine Datei mit dem Namen<br />
debian/.univention-config-registry angelegt werden, in der angegeben<br />
ist, welche Dateien und Skripte durch <strong>Univention</strong> Configuration Registry verwaltet werden sollen und<br />
welche Variablen in diesen enthalten sind.<br />
Die Syntax der Datei ist wie in den folgenden Beispielen ersichtlich:<br />
• Zwei Konfigurationsdateien und die in ihnen verwendeten Variablen. Die Zuordnung von Variablen<br />
zu Dateien kann entfallen, wenn kein Python-Code in der entsprechenden Konfigurationsdatei ver-<br />
wendet wird.<br />
# cat univention-dhcp.info<br />
Type: file<br />
File: etc/dhcp3/dhcpd.conf<br />
Variables: ldap/base<br />
Variables: dhcpd/ldap/base<br />
Variables: ldap/server/name<br />
Variables: dhcpd/enable<br />
Type: file<br />
File: etc/init.d/dhcp3-server<br />
• Neben Konfigurationsdateien können auch Skripte in <strong>Univention</strong> Configuration Registry integriert<br />
werden. Diese Skripte können ausgeführt werden, wenn bestimmte Variablen gesetzt werden.<br />
311
14 <strong>Univention</strong> Configuration Registry<br />
Mit Paketen installierte Skripte werden unter /etc/univention/templates/scripts abgelegt.<br />
Weitere Skripte, die einzeln erstellt und nachträglich mit <strong>Univention</strong> Configuration Registry registriert<br />
werden sollen, müssen ebenfalls in das Verzeichnis kopiert werden. Außerdem müssen zusätzli-<br />
che Skripte in die <strong>Univention</strong> Configuration Registry-Info-Dateien eingetragen werden. Sie müssen<br />
ausführbar sein und ebenfalls in das Verzeichnis conffiles kopiert werden.<br />
Im folgenden Beispiel wird bei Änderung der Werte der Variablen interfaces/eth0/address oder<br />
interfaces/eth0/network das Skript interfaces.sh ausgeführt:<br />
Type: script<br />
Script: interfaces.sh<br />
Variables: interfaces/eth0/address<br />
Variables: interfaces/eth0/network<br />
• Das folgende Beispiel zeigt eine Datei (Multifile), die aus mehreren Einzeldateien (Subfile) zusam-<br />
mengesetzt wird, wenn der Wert einer Variable geändert wird. Auf diese Art und Weise können<br />
verschiedene Pakete einzelne Teile einer Konfigurationsdatei mitbringen, die so zusammengefügt<br />
werden.<br />
Type: multifile<br />
Multifile: etc/ldap/slapd.conf<br />
Type: subfile<br />
Multifile: etc/ldap/slapd.conf<br />
Subfile: etc/ldap/slapd.conf.d/10schema-core<br />
Variables: ldap/base<br />
Type: subfile<br />
Multifile: etc/ldap/slapd.conf<br />
Subfile: etc/ldap/slapd.conf.d/20acl<br />
Variables: ldap/base<br />
Um eine Konfigurationsdatei aus mehreren Templates zu generieren, muss ein Multifile-Template erzeugt<br />
werden. Hierbei wird ein Verzeichnis angelegt, dessen Name aus dem Template-Namen und der Endung<br />
.d gebildet wird. In diesem Verzeichnis können nun mehrere Teil-Templates angelegt werden.<br />
Die Dateinamen dieser Teil-Templates müssen mit zweistelligen Ziffern beginnen, welche die Reihenfolge<br />
vorgeben, in der die Teile ausgewertet und zusammengesetzt werden. Dies ist insbesondere nützlich,<br />
wenn die einzelnen Teile von verschiedenen Paketen mitgebracht oder verwaltet werden oder eigene<br />
Erweiterungen für Konfigurationsdateien eingepflegt werden sollen.<br />
In /etc/univention/templates/files/etc/ liegt beispielsweise das Verzeichnis config.d. In<br />
diesem befinden sich die Dateien 00Header, 05Grundkonfig und 11Erweiterungen. Diese werden<br />
von <strong>Univention</strong> Configuration Registry in aufsteigender Reihenfolge ihrer numerischen Präfixe zusammen-<br />
gefügt und ausgewertet, um die Datei /etc/config zu erzeugen.<br />
Wurden die Templates (einfach oder Multifile) erstellt, so müssen sie registriert werden, bevor sie im Uni-<br />
vention Configuration Registry-Mechanismus verwendet werden können (siehe Kapitel 14.11).<br />
312
14.11 Einbinden zusätzlicher Konfigurationsdateien<br />
14.11 Einbinden zusätzlicher Konfigurationsdateien<br />
Es ist möglich, Konfigurationsdateien, die nicht aus einem Installationspaket stammen, in <strong>Univention</strong> Con-<br />
figuration Registry zu registrieren. Die folgende Beschreibung gilt nur für Konfigurationsdateien, die nicht<br />
von einem Paket installiert wurden.<br />
Zuerst müssen eine oder mehrere Vorlagendateien erzeugt bzw. angepasst und unterhalb des Verzeich-<br />
nisses /etc/univention/templates/files abgelegt werden. Syntax und genauer Speicherort der<br />
Vorlagendateien sind in Kapitel 14.7 beschrieben.<br />
Im Verzeichnis /etc/univention/templates/info muss eine Datei angelegt werden, in der die ver-<br />
wendeten Konfigurationsdateien und die in ihnen enthaltenen Variablen aufgeführt werden. Der Name<br />
der anzulegenden Datei ist frei wählbar, sie muss allerdings auf .info enden. Die Syntax entspricht dem<br />
in Kapitel 14.10 für die Datei debian/.univention-config-registry genannten<br />
Schema.<br />
Abschließend muss die Cachedatei /var/cache/univention-config/cache gelöscht werden. Die<br />
zusätzlichen Konfigurationsdateien sind beim nächsten Aufruf registriert. Sobald eine für diese Datei re-<br />
gistrierte <strong>Univention</strong> Configuration Registry-Variable verändert wird oder der Befehl univention-config-<br />
registry commit für diese Datei aufgerufen wird, wird aus der Vorlagedatei unter Berücksichtigung der<br />
<strong>Univention</strong> Configuration Registry-Variablen eine neue Konfigurationsdatei erstellt.<br />
14.12 Integration von Python-Code<br />
Wenn das Einbinden einzelner <strong>Univention</strong> Configuration Registry-Variablen für das Erzeugen einer<br />
Konfigurationsdatei nicht ausreicht, kann Python-Code direkt in die Datei integriert werden. Ein Python-<br />
Codeblock wird mit der Zeichenkette @!@ eingeleitet und abgeschlossen.<br />
Im folgenden Beispiel wird die Vorlage /etc/univention/templates/files/etc/issue (aus der<br />
die Datei /etc/issue erzeugt wird) um Python-Code erweitert. Zuvor sieht sie wie folgt aus:<br />
@!@<br />
if baseConfig[’version/version’] and baseConfig[’version/patchlevel’]:<br />
print ’<strong>UCS</strong> \%s-\%s \BS\BSn \BS\BSl’ \% \<br />
(baseConfig[’version/version’], \<br />
baseConfig[’version/patchlevel’])<br />
@!@<br />
Soll im Python-Code der Wert einer <strong>Univention</strong> Configuration Registry-Variable abgefragt werden, kann<br />
- wie im Beispiel dargestellt - das Python-Objekt baseConfig genutzt werden. Bei der Verwendung von<br />
Python-Code muss darauf geachtet werden, dass die im Python-Code genutzten Variablen beim Erstellen<br />
des Paketes angegeben werden (siehe Kapitel 14.10).<br />
Es werden nun außerhalb des Python-Codes zwei <strong>Univention</strong> Configuration Re-<br />
gistry-Variablen, hostname und domainname, hinzugefügt, indem die Vorlage<br />
/etc/univention/templates/files/etc/issue wie folgt bearbeitet wird:<br />
@!@<br />
if baseConfig[’version/version’] and baseConfig[’version/patchlevel’]:<br />
313
14 <strong>Univention</strong> Configuration Registry<br />
print ’<strong>UCS</strong> \%s-\%s \BS\BSn \BS\BSl’ \% \<br />
(baseConfig[’version/version’], \<br />
baseConfig[’version/patchlevel’])<br />
@!@<br />
Der Hostname ist: @%@hostname@%@<br />
Die Domain lautet: @%@domainname@%@<br />
Debian GNU/\s 3.0<br />
Nun kann die Datei /etc/issue durch den folgenden Befehl neu aus ihrer Vorlage erzeugt werden:<br />
univention-config-registry commit /etc/issue<br />
Wenn neue Variablen eingeführt werden, sollte das Namensschema beachtet werden (siehe Kapitel 14.5).<br />
Im folgenden Beispiel werden zwei neue Variablen eingeführt, meine/variable1 und meine/variable2:<br />
@!@<br />
if baseConfig[’version/version’] and baseConfig[’version/patchlevel’]:<br />
print ’<strong>UCS</strong> \%s-\%s \BS\BSn \BS\BSl’ \% \<br />
(baseConfig[’version/version’], \<br />
baseConfig[’version/patchlevel’])<br />
@!@<br />
Meine erste Variable: @%@meine/variable1@%@<br />
Meine zweite Variable: @%@meine/variable2@%@<br />
Debian GNU/\s 3.0<br />
Um die in Inline-Python-Code definierten neuen Variablen mit Werten füllen zu können, muss einmalig die<br />
Cachedatei von <strong>Univention</strong> Configuration Registry entfernt werden:<br />
rm /var/cache/univention-config/cache<br />
Die neuen Variablen können dann wie in Kapitel 14.5 beschrieben gesetzt werden:<br />
univention-config-registry set meine/variable1="foo" \<br />
set meine/variable2="bar"<br />
Die Datei /etc/issue wird nun neu aus ihrer Vorlage erzeugt.<br />
314
15 <strong>Univention</strong> System Setup<br />
Inhaltsverzeichnis<br />
15.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315<br />
15.2 <strong>Univention</strong> System Setup-Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316<br />
15.2.1 Basis-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316<br />
15.2.2 Tastatur-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318<br />
15.2.3 Sprach-Einstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318<br />
15.2.4 Netzwerkeinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320<br />
15.2.5 Software-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 322<br />
15.2.6 Zeitzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323<br />
15.3 <strong>Univention</strong> System Setup-Event-Registrierung . . . . . . . . . . . . . . . . . . . . . . . . . 323<br />
15.4 Konfiguration für Aufruf zum Systemstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324<br />
15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart . . . . . . . . . . 325<br />
15.1 Einführung<br />
<strong>Univention</strong> System Setup ist ein Werkzeug zur Rekonfiguration eines <strong>UCS</strong>-Systems. Es kann sowohl zur<br />
nachträglichen Anpassung von Systemeigenschaften an veränderte Umgebungen, als auch zur Vorberei-<br />
tung von Systeminstallationen verwendet werden.<br />
Die Nutzerführung erfolgt tastaturgestützt: Der momentan aktive Menüpunkt ist rot hinterlegt, mit den<br />
Pfeiltasten nach oben/unten bzw. den Tasten TAB/Shift+TAB kann zwischen den Auswahlpunkten navigiert<br />
werden.<br />
Die Eingaben für ein <strong>Univention</strong> System Setup-Modul können mit der Taste F12 beendet werden, mit<br />
der Taste F11 kann (sofern mehrere Module gestartet wurden) auf das vorhergehende Modul gewechselt<br />
werden. Mit der Taste F8 kann <strong>Univention</strong> System Setup beendet werden und Auswahlfelder lassen sich<br />
mit der Leertaste aktivieren. Die Online-Hilfe kann über die Taste F1 aufgerufen werden.<br />
Wenn auf anderen Rechnerrollen als Domänencontroller Master Informationen im Zuge von Rekonfigu-<br />
rationen nicht in den LDAP-Verzeichnisdienst geschrieben werden können, gibt <strong>Univention</strong> System Setup<br />
eine Warnmeldung aus und führt nur die Konfigurationsschritte durch, die ohne Netzzugriff möglich sind.<br />
Der Rechner muß dann später mit univention-join neu in die Domäne eingebunden werden.<br />
Fehleranalysen sind durch die Logdatei /var/log/univention/setup.log möglich.<br />
<strong>Univention</strong> System Setup basiert auf der Curses-Bibliothek, die zur terminalbasierten Bildschirmanzeige<br />
verwendet wird und benötigt bestimmte Mindestbreiten und -höhen des Terminalfensters zur Darstellung.<br />
Wenn der Start mit einer Fehlermeldung abbricht, so ist das Terminalfenster zu vergrößern.<br />
315
15 <strong>Univention</strong> System Setup<br />
Abbildung 15.1: Aktuell aktivierter Menüpunkt ist hier Europe/Berlin<br />
15.2 <strong>Univention</strong> System Setup-Module<br />
<strong>Univention</strong> System Setup ist modular aufgebaut und besteht zur Zeit aus sieben Modulen. Diese<br />
können sowohl alle zusammen (univention-setup-all) als auch einzeln gestartet werden, bspw.<br />
univention-system-setup-net für die Netzwerkeinstellungen. Desweiteren besteht die Möglichkeit<br />
eine Auswahl von Modulen zu laden: Der Befehl univention-system-setup -modules net,basis<br />
lädt beispielsweise nur die Module für die Basis- und Netzkonfiguration.<br />
15.2.1 Basis-Einstellungen<br />
Zentrale System-Eigenschaften lassen sich mit univention-system-setup-basis konfigurieren:<br />
Der Rechner- und Domänenname kann mit <strong>Univention</strong> System Setup geändert werden. Dazu werden<br />
auch Anpassungen für verschiedene Serverdienste in <strong>Univention</strong> Configuration Registry vorgenommen<br />
(z.B. Mail-Aliase im Mailserver). Auf einem Domänencontroller Master wird außerdem ein neues SSL-<br />
Zertifikat erzeugt. Andere Systemrollen beziehen vom DC Master ein neues Zertifikat.<br />
Das Ändern des Domänennamens erfordert ggf. eine Anpassung weiterer Systeme. Soll der Name der ge-<br />
samten DNS-Domäne geändert werden, so muss diese Änderung auf allen Systemen erfolgen. Wird der<br />
Domänenname einzelner Systeme geändert, so können beispielsweise Service-Records, die u.a. für das<br />
Auffinden des Domänencontroller Master verwendet werden, nicht mehr korrekt aufgelöst werden. In sol-<br />
chen Fällen müssen manuell entsprechende Service-Records im <strong>Univention</strong> Directory Manager angelegt<br />
werden. Das geänderte System sollte nach der Änderung neu gestartet werden.<br />
316
Abbildung 15.2: Basis-Einstellungen in <strong>Univention</strong> System Setup<br />
15.2 <strong>Univention</strong> System Setup-Module<br />
Die LDAP-Basis kann ebenfalls mit <strong>Univention</strong> System Setup nachträglich geändert werden. Das Ändern<br />
der LDAP-Basis erfordert die Installation einer angepassten Lizenz, das erneute Joinen sowie den Neu-<br />
start aller Systeme.<br />
Die Änderung der LDAP-Basis kann nicht in allen Szenarien repliziert werden, andere System in der<br />
Domäne müssen manuell angepasst werden.<br />
Der Wechsel des DNS-Domänennamens oder der LDAP-Basis auf dem Domänencontroller Master ändert<br />
grundlegende Parameter der übrigen Systeme der Domäne. Die Rechner-Objekte der weiteren <strong>UCS</strong>-<br />
Systeme sollten im <strong>Univention</strong> Directory Manager gelöscht werden und die Rechner erneut der Domäne<br />
beitreten (siehe dazu auch Kapitel 2.4.1).<br />
Windows-Domänennamen können geändert werden. Der Name einer Domäne sollte aus Kompatibilitäts-<br />
gründen maximal 14 Zeichen umfassen und unterscheidet nicht zwischen Groß- und Kleinschreibung.<br />
Das Passwort für den lokalen root-Nutzer kann ebenfalls über <strong>Univention</strong> System Setup geändert werden.<br />
Auf Domänencontroller Master-Systemen wird darüberhinaus das Passwort für das Administrator-Konto im<br />
LDAP geändert. Es ist zu beachten, dass hierbei keine Prüfungen hinsichtlich der Passwort-Länge/-Stärke<br />
und bereits verwendeter Passwörter durchgeführt wird. Um Folgefehler durch Tippfehler zu vermeiden,<br />
muss dass Passwort doppelt eingegeben werden.<br />
317
15 <strong>Univention</strong> System Setup<br />
15.2.2 Tastatur-Einstellungen<br />
Das auf dem Rechner verwendete Tastatur-Layout kann mit univention-system-setup-keyboard<br />
verändert werden.<br />
15.2.3 Sprach-Einstellungen<br />
Abbildung 15.3: Tastaturkonfiguration in <strong>Univention</strong> System Setup<br />
In <strong>UCS</strong> werden Lokalisierungseigenschaften für Software in Locales definiert. Konfiguriert wer-<br />
den u.a. Einstellungen wie Datums- sowie zu nutzende Währungsformate und verwendete Zeichen-<br />
sätze. Außerdem wird die verwendete Sprache für internationalisierte Programme definiert. Über<br />
univention-system-setup-language können die Locales für ein System angelegt werden.<br />
Überdies kann mit univention-system-setup-defaultlocale eine Standard-Locale festgelegt<br />
werden. Zur Auswahl stehen hier die mit univention-system-setup-language angelegten Locales.<br />
318
15.2 <strong>Univention</strong> System Setup-Module<br />
Abbildung 15.4: Sprach-Einstellungen in <strong>Univention</strong> System Setup<br />
319
15 <strong>Univention</strong> System Setup<br />
15.2.4 Netzwerkeinstellungen<br />
Mit univention-system-setup-net können Netzwerkeigenschaften eines Rechners komfortabel ge-<br />
ändert werden. Bis zu vier physische Netzwerkkarten können konfiguriert werden, sowohl mit statischer<br />
als auch dynamischer Adress-Vergabe.<br />
Abbildung 15.5: Netzwerk-Einstellungen in <strong>Univention</strong> System Setup<br />
Bei statischer Konfiguration müssen neben den IP-Adressen auch die für das Routing relevanten Einstel-<br />
lungen der Netzmaske, der Broadcast-Adresse und der Netzwerk-Adresse vorgenommen werden. Hierfür<br />
werden ausgehend von der IP-Adresse Standardwerte vorgeschlagen, um die Konfiguration zu erleichtern.<br />
Die Vergabe der IP-Adresse kann auch dynamisch über das Dynamic Host Configuration Protocol<br />
(DHCP) erfolgen. DC Master, DC Backup, DC Slave und Memberserver können ausschliesslich mit einer<br />
statischen Adressierung betrieben werden.<br />
Das Standard-Gateway lässt sich ebenfalls konfigurieren. Als Nameserver (der Eintrag mehrerer Rechner<br />
ist möglich) sollte der DC Master konfiguriert werden, weitere Server für DNS-Lookups können als DNS-<br />
Forwarder konfiguriert werden (etwa der DNS-Server des Internet Service Providers).<br />
Desweiteren kann der Zugriff über einen Web-Proxy eingestellt werden.<br />
Änderungen von Rechnereigenschaften werden im LDAP und in <strong>Univention</strong> Configuration Registry über-<br />
nommen und treten direkt in Kraft. Dies betrifft auch die Änderung von Routingeigenschaften, was beim<br />
Remote-Zugriff beachtet werden sollte.<br />
Die Änderung der IP-Adresse eines DC Master kann nicht in allen Replikations-Szenarien repliziert wer-<br />
den; andere System in der Domäne müssen in der Regel mit univention-join erneut der Domäne<br />
320
eitreten.<br />
15.2 <strong>Univention</strong> System Setup-Module<br />
Abbildung 15.6: Netzwerk-Interface-Konfiguration in <strong>Univention</strong> System Setup<br />
321
15 <strong>Univention</strong> System Setup<br />
15.2.5 Software-Komponenten<br />
Mit dem Befehl univention-system-setup-software können menügesteuert Softwarekomponen-<br />
ten nachinstalliert werden. Neben den Komponenten kann auch gezielt Einfluss auf einzelne Pakete ge-<br />
nommen werden. Ein Wechsel zwischen den Blöcken ist durch die linke und rechte Pfeiltaste möglich. Die<br />
Software-Pakete werden anschliessend aus dem Repository installiert.<br />
322<br />
Abbildung 15.7: Softwareauswahl in <strong>Univention</strong> System Setup
15.2.6 Zeitzone<br />
15.3 <strong>Univention</strong> System Setup-Event-Registrierung<br />
Mit univention-system-setup-timezone kann die Zeitzone konfiguriert werden.<br />
Abbildung 15.8: Konfiguration der Zeitzone in <strong>Univention</strong> System Setup<br />
15.3 <strong>Univention</strong> System Setup-Event-Registrierung<br />
Für Standard-Systemeigenschaften eines <strong>Univention</strong> Corporate Server-Systems werden bei Änderung<br />
einer Systemeigenschaft bereits notwendige Änderungen durchgeführt. Für lokale Erweiterungen gibt es<br />
die Möglichkeit, Shell-Skripte zu hinterlegen, die von <strong>Univention</strong> System Setup ausgeführt werden, wenn<br />
eine Systemeigenschaft geändert wird.<br />
Skripte in folgenden Verzeichnissen werden vor oder nach dem Ändern einer Systemeigenschaft in alpha-<br />
betischer Reihenfolge ausgeführt:<br />
/var/lib/univention-system-setup/hostname.pre Rechnername<br />
/var/lib/univention-system-setup/hostname.post Rechnername<br />
/var/lib/univention-system-setup/domainname.pre Domänenname<br />
/var/lib/univention-system-setup/domainname.post Domänenname<br />
/var/lib/univention-system-setup/ldapbase.pre LDAP-Basis<br />
/var/lib/univention-system-setup/ldapbase.post LDAP-Basis<br />
/var/lib/univention-system-setup/windowsdomain.pre Windows-Domäne<br />
/var/lib/univention-system-setup/windowsdomain.post Windows-Domäne<br />
323
15 <strong>Univention</strong> System Setup<br />
/var/lib/univention-system-setup/interfaces.post Netzwerkeigenschaften<br />
/var/lib/univention-system-setup/gateway.post Netzwerkgateway<br />
/var/lib/univention-setup/nameserver.post Nameserver<br />
/var/lib/univention-setup/dnsforwarder.post DNS-Forwarder<br />
/var/lib/univention-setup/httpproxy.post HTTP-Proxy<br />
Skripte, deren Dateiname auf pre endet, werden vor dem Umsetzung der Änderung ausgeführt, Skripte<br />
mit post danach. Die Dateinamen der Skripte dürfen keine zusätzlichen Punkte enthalten.<br />
An das jeweilige Shell-Skript wird der alte Wert als erster und der neue Wert als zweiter Parameter über-<br />
geben. Bei einigen Modulen müssen mehrere Werte an die Skripte übergeben werden. Diese werden in<br />
einer speziellen Syntax zu einem Wert zusammengefasst.<br />
Für Netz-Interfaces lautet die Syntax<br />
#DEVICE-IP-NETWORK-NETMASK(..)<br />
Wird beispielsweise durch den Benutzer die IP-Adresse der ersten Netzwerkkarte eth0 bei gleich bleiben-<br />
den Netzwerkeigenschaften von 10.200.3.100 auf 10.200.3.200 geändert, so würden an das Shell-Skript<br />
die Parameter #eth0-10.200.3.100-10.200.100.0-255.255.255 und #eth0-10.200.3.200-10.200.100.0-<br />
255.255.255 übergeben.<br />
Für Forwarder und Nameserver lautet die Syntax:<br />
#SERVER1#SERVER2#SERVER3<br />
Werden beispielsweise zwei Nameserver für ein System konfiguriert, so würde an das Shell-Skript der<br />
Wert #nameserver1.firma.com#nameserver2.firma.com übergeben.<br />
15.4 Konfiguration für Aufruf zum Systemstart<br />
Es besteht die Möglichkeit, <strong>Univention</strong> System Setup automatisch während des Systemstarts auszuführen.<br />
Dies geschieht durch die Installation des Pakets univention-system-setup-boot und das Setzen der<br />
<strong>Univention</strong> Configuration Registry-Variable boot/setup/start auf true.<br />
Außerdem können die zu startenden Module in der <strong>Univention</strong> Configuration Registry-Variable<br />
boot/setup/modules definiert werden. Die Werte entsprechen dabei den Dateinamensbestandtei-<br />
len hinter univention-system-setup. Sollen beispielsweise nur die Module zur Netzwerk- und<br />
Tastaturlayout-Konfiguration angezeigt werden, ist die Variable auf net,keyboard zu setzen. Wenn das<br />
Tastaturmodul ausgewählt wurde, wird es immer zuerst ausgeführt, so dass die geänderte Einstellung für<br />
die folgenden Module direkt greift.<br />
Die Sprache von <strong>Univention</strong> System Setup kann mit der <strong>Univention</strong> Configuration Registry-Variable<br />
boot/setup/language konfiguriert werden. Soll bspw. <strong>Univention</strong> System Setup während des Sys-<br />
temstarts in Deutsch gestartet werden, so sollte die Variable auf de_DE.UTF-8 gesetzt werden.<br />
324
15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart<br />
Wenn <strong>Univention</strong> System Setup zum Systemstart aufgerufen wurde, wird die <strong>Univention</strong> Configuration<br />
Registry-Variable boot/setup/start anschliessend automatisch auf false zurückgesetzt. Dies ermög-<br />
licht beispielsweise eine Vorkonfiguration eines Systems, so dass bei der Inbetriebnahme nur die lokal<br />
nötigen Parameter geändert werden müssen.<br />
15.5 Änderung von Maschinenpasswörtern/SSL-Zertifikaten beim Systemstart<br />
Für den Betrieb von vorkonfigurierten <strong>UCS</strong>-Installationen steht das Paket univention-system-setup-<br />
appliance zur Verfügung. Es bietet die Möglichkeit die SSL-Zertifikate und Rechner-Passwörter zum<br />
nächsten Systemstart neu zu generieren.<br />
Wird die <strong>Univention</strong> Configuration Registry-Variable system/setup/appliance/start auf true ge-<br />
setzt, so werden beim nächsten Durchlauf von univention-system-setup-boot die Passwörter in den<br />
Dateien /etc/ldap.secret und /etc/ldap-backup.secret neu gesetzt. Außerdem werden die<br />
Passwörter der Systembenutzer join-slave und join-backup neu geschrieben.<br />
Wenn in der <strong>Univention</strong> Configuration Registry-Variable boot/setup/modules ssl gesetzt ist, wird<br />
beim nächsten Start von univention-system-setup-boot auf einem Domänencontroller Master eine<br />
Neugenerierung des Root-Zertifikats und der Rechner-Zertifikate durchgeführt. Die Einstellung für das<br />
neue Zertifikat werden aus den <strong>Univention</strong> Configuration Registry-Variablen ssl/country, ssl/email,<br />
ssl/locality, ssl/organization, ssl/organizationalunit und ssl/state ausgelesen.<br />
325
15 <strong>Univention</strong> System Setup<br />
326
16 Häufig gestellte Fragen (FAQ)<br />
Inhaltsverzeichnis<br />
16.1 Wie ersetze ich den DC Master durch den DC Backup? . . . . . . . . . . . . . . . . . . . . 327<br />
16.2 Wie kann ich Microsoft TrueType-Fonts nachinstallieren? . . . . . . . . . . . . . . . . . . . . 328<br />
16.3 Wie ändert ein Benutzer sein Passwort? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.1 Am Linux-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.2 Am Windows-Arbeitsplatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.3 Bei der Anmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.3.4 Über <strong>Univention</strong> Directory Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 329<br />
16.4 Wie wird das Passwort von root geändert? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330<br />
16.5 Welche Kriterien muss ein Passwort erfüllen? . . . . . . . . . . . . . . . . . . . . . . . . . . 330<br />
16.6 Einzelne Webseiten können nicht erreicht werden . . . . . . . . . . . . . . . . . . . . . . . 330<br />
16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients Anmeldeprobleme auf . . 331<br />
16.8 Wie ändere ich den Timeout von <strong>Univention</strong> Directory Manager? . . . . . . . . . . . . . . . 331<br />
16.9 Warum werden NFS-Freigaben beim Boot nicht gemountet? . . . . . . . . . . . . . . . . . . 332<br />
16.10Was bedeutet ”No DB-Server-Name found.” ? . . . . . . . . . . . . . . . . . . . . . . . . . . 332<br />
16.11Rechnername und Netzwerkeinstellungen unter Windows XP Prof. . . . . . . . . . . . . . . 333<br />
16.12Doppelte Anmeldung an Windows-Terminalserver verhindern . . . . . . . . . . . . . . . . . 334<br />
Hinweise auf weitere Dokumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335<br />
16.1 Wie ersetze ich den DC Master durch den DC Backup?<br />
Um einen DC Backup zum DC Master heraufzustufen, muss auf dem DC Backup der Befehl<br />
/usr/lib/univention-ldap/univention-backup2master<br />
aufgerufen werden.<br />
Hinweis:<br />
Innerhalb einer LDAP-Domäne darf es nur einen DC Master geben. Das Skript darf nur aufgerufen werden,<br />
wenn der ursprüngliche DC Master nicht verfügbar ist.<br />
Das Skript schaltet die Replikation auf dem bisherigen DC Backup ab. Es aktiviert den WINS-Dienst,<br />
konfiguriert das System als Kerberos-Adminserver und stellt den LDAP-Server auf schreibenden Betrieb<br />
um. Anschliessend werden die Dienste OpenLDAP, Samba, Kerberos, <strong>Univention</strong> Directory Listener und<br />
<strong>Univention</strong> Directory Notifier neu gestartet.<br />
Samba arbeitet danach als als primärer Domänencontroller (PDC).<br />
Danach ersetzt das Skript im DNS-Service-Record für den Kerberos-Admin den bisherigen DC Master<br />
durch den bisherigen DC Backup. Den DNS-Service-Record _domaincontroller_master._tcp setzt es<br />
327
16 Häufig gestellte Fragen (FAQ)<br />
ebenfalls auf den bisherigen DC Backup. Soweit der bisherige DC Master in den DNS-Alias-Records für<br />
univention-directory-manager und univention-repository und als Nameserver in den SOA-Records von<br />
Forward und Reverse Zonen eingetragen ist, tauscht das Skript ihn auch dort gegen den bisherigen DC<br />
Backup aus.<br />
Achtung:<br />
Wird ein externer DNS-Dienst verwendet, müssen die Einträge dort manuell angepasst werden.<br />
Wenn der bisherige DC Master als Mail-Relay-Host im LDAP-Verzeichnis eingetragen war, ändert das<br />
Skript auch diesen Eintrag auf den bisherigen DC Backup. Diese Änderung wird mit <strong>Univention</strong> Directory<br />
Manager durchgeführt, durch die LDAP-Replikation wird auf allen Systemen die <strong>Univention</strong> Configuration<br />
Registry-Variable mail/relay automatisch angepasst.<br />
Das Skript ändert die im LDAP-Verzeichnis eingetragene Serverrolle des bisherigen DC Backup auf DC<br />
Master und löscht den bisherigen DC Master und soweit vorhanden seinen DNS-Host-Eintrag in der For-<br />
ward Lookup Zone, seinen Pointer in der Reverse Lookup Zone sowie seinen DHCP-Host-Eintrag aus dem<br />
LDAP-Verzeichnis.<br />
Es ist darauf zu achten, dass der bisherige DC Backup als Nameserver auf allen Rechnern der Domäne<br />
eingetragen ist, wenn der interne DNS-Dienst eingesetzt wird. In der Regel sollte der DC Backup bereits<br />
bei der Installation eines jeden Rechners als zweiter Nameserver neben dem DC Master eingetragen<br />
werden.<br />
Neben den automatischen Änderungen müssen einige Änderungen von Hand vorgenommen werden:<br />
1. Weitere DNS-Einstellungen, die auf den bisherigen DC Master verweisen.<br />
2. DHCP-Einstellungen, die auf den bisherigen DC Master verweisen (z.B. Nameserver und WINS-<br />
Server).<br />
3. <strong>Univention</strong> Configuration Registry-Einstellungen, die auf den bisherigen DC Master verweisen.<br />
Die entsprechenden Einträge im LDAP-Verzeichnis müssen mit <strong>Univention</strong> Directory Manager, die auf den<br />
Rechnern mit <strong>Univention</strong> Configuration Registry angepasst werden.<br />
Das Skript univention-backup2master sorgt nur dafür, dass die Domänencontroller-Master-Funktion<br />
vom DC Backup übernommen wird. Für weitere Dienste wie z.B. Groupware- oder Terminal-Services, die<br />
der bisherige DC Master möglicherweise bereitgestellt hat, richtet das Skript keinen Ersatz ein.<br />
Um erneut Ausfallsicherheit zu erhalten, sollte eine neuer DC Backup aufgesetzt werden.<br />
16.2 Wie kann ich Microsoft TrueType-Fonts nachinstallieren?<br />
Einige Anwendungen setzen standardmäßig Microsoft TrueType-Fonts ein. Wenn diese nicht zur Verfü-<br />
gung stehen, werden sie meist automatisch durch andere Schriften ersetzt.<br />
Aus lizenzrechtlichen Gründen dürfen die Microsoft TrueType-Schriften nicht auf der <strong>UCS</strong>-Installations-CD<br />
mitgeliefert werden. Während der Installation wird versucht, sie aus dem Internet von sourceforge.net<br />
herunterzuladen.<br />
328
16.3 Wie ändert ein Benutzer sein Passwort?<br />
Wenn das Herunterladen während der Installation fehlschlägt, z.B. weil keine Internetverbindung besteht,<br />
können die Schriften zu einem beliebigen späteren Zeitpunkt mit dem Befehl update-ms-fonts herun-<br />
tergeladen und nachinstalliert werden.<br />
Wurde die Installation der Microsoft TrueType-Fonts bei der Installation abgewählt, können sie durch nach-<br />
trägliche Installation des Pakets msttcorefonts verfügbar gemacht werden.<br />
16.3 Wie ändert ein Benutzer sein Passwort?<br />
Benutzer können ihr Passwort auf mehrere Arten und Weisen ändern. Es ist immer erforderlich, dass das<br />
neue Passwort den Sicherheitsanforderungen entspricht. Ist dies nicht der Fall, kommt es, je nach ver-<br />
wendetem Mechanismus, zu verschiedenen Fehlermeldungen. Bei Problemen mit der Passwortänderung<br />
sollte also als erstes überprüft werden, ob die Sicherheitsanforderungen eingehalten wurden.<br />
16.3.1 Am Linux-Arbeitsplatz<br />
Ist der Benutzer an einem Linux-Arbeitsplatz angemeldet, so kann er mit K-Menü ➞ Kontrollzentrum ➞<br />
Sicherheit und Privatsphäre ➞ Passwort & Benutzerzugang ➞ Passwort ändern das Programm öff-<br />
nen, mit dem er sein Passwort ändern kann. Das Programm fragt zunächst nach dem bisherigen Passwort<br />
und anschließend nach der zweimaligen Eingabe des neuen Passworts. Ist das neue Passwort länger als<br />
acht Zeichen, erscheint eine Warnmeldung, die durch Klick auf die Schaltfläche [Genau so benutzen]<br />
bestätigt werden sollte.<br />
Falls das Passwort nicht den Sicherheitsanforderungen entspricht, erscheint die Meldung Das Passwort<br />
wurde nicht geändert, zusammen mit einem Hinweis, aus welchem Grund die Änderung fehlgeschlagen<br />
ist.<br />
An der Kommandozeile kann ein Benutzer sein Passwort auch mit dem Befehl kpasswd ändern, der auch<br />
detailliertere Fehlermeldungen ausgibt. (siehe auch Kapitel 16.5).<br />
16.3.2 Am Windows-Arbeitsplatz<br />
Ist der Benutzer an einem Windows-Arbeitsplatz angemeldet, so kann mit ”Strg + Alt + Entf” ein Dialog<br />
zur Passwortänderung aufrufen werden.<br />
16.3.3 Bei der Anmeldung<br />
Wenn das Passwort eines Benutzers nicht mehr gültig ist und der Benutzer versucht, sich an der Domä-<br />
ne anzumelden, so erscheint automatisch ein Fenster, das ihn auffordert, sein Passwort zu ändern. Zur<br />
Einstellung der Passwortgültigkeit siehe Kapitel 4.5.11.<br />
329
16 Häufig gestellte Fragen (FAQ)<br />
16.3.4 Über <strong>Univention</strong> Directory Manager<br />
Damit ein Benutzer sein Passwort über <strong>Univention</strong> Directory Manager ändern darf, ist<br />
es erforderlich, dass auf dem DC Master die <strong>Univention</strong> Configuration Registry-Variable<br />
ldap/acl/user/password/change auf yes gesetzt ist.<br />
Nach der Anmeldung an <strong>Univention</strong> Directory Manager wird der Dialog zum Ändern des Benutzerpass-<br />
worts durch Auswahl von Passwort am linken Bildschirmrand aufgerufen. Das neue Passwort muss in die<br />
Felder Passwort (*) und Passwort (Wiederholung) (*) in identischer Schreibweise eingetragen werden.<br />
16.4 Wie wird das Passwort von root geändert?<br />
Auf jedem <strong>UCS</strong>-Rechner existiert ein root-Benutzer. Sein Passwort wird lokal auf dem Rechner mit dem<br />
Befehl passwd geändert.<br />
16.5 Welche Kriterien muss ein Passwort erfüllen?<br />
Folgende Sicherheitsanforderungen sind standardmäßig in <strong>UCS</strong> implementiert:<br />
• Das Passwort muss die Mindestlänge, die in der Passwort-Richtlinie eingestellt wird, erfüllen. Der<br />
Vorgabewert beträgt acht Zeichen.<br />
• Das Passwort darf keinem Passwort entsprechen, das in der Passwort-History des Benutzers ge-<br />
speichert ist.<br />
• Standardmässig sind keine weitergehenden Einstellungen zur Passwort-Qualität in der Passwort-<br />
Richtlinie definiert.<br />
Bei Passwortänderungen mit kdepasswd oder passwd gelten außerdem die Sicherheitsanforderungen<br />
des PAM-Moduls pam_cracklib.so. Dazu gehören unter anderem:<br />
• Das Passwort darf dem vorigen Passwort nicht zu ähnlich sein, d.h. es muss sich in einer Mindest-<br />
zahl von Zeichen vom vorigen Passwort unterscheiden. Die Mindestzahl beträgt standardmäßig zehn<br />
Zeichen oder die Hälfte der Zeichen des neuen Passworts (es gilt der kleinere von beiden Werten).<br />
• Das Passwort darf keinem ”normalen” Wort entsprechen. Dies wird anhand eines Wörterbuchs ge-<br />
prüft, das hauptsächlich englische Begriffe enthält.<br />
• Das Passwort darf sich nicht nur durch eine Änderung der Groß- und Kleinschreibung der Zeichen<br />
vom vorigen Passwort unterscheiden.<br />
Das Paket libpam_doc enthält weitere Informationen zu Cracklib.<br />
16.6 Einzelne Webseiten können nicht erreicht werden<br />
Problem:<br />
330
16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients Anmeldeprobleme auf<br />
Zu einem Teil der Webseiten kann keine Verbindung aufgebaut werden, obwohl andere Webseiten im<br />
Internet und Rechner im Intranet erreicht werden.<br />
Mögliche Ursache:<br />
Der Router zum Internet unterstützt ECN nicht.<br />
Hintergrund:<br />
ECN (Explicit Congestion Notification) ist eine Erweiterung des IP-Protokolls, die TOS abgelöst hat und<br />
heute als Standard gilt. ECN erkennt frühzeitig, wenn die Überlastung einer Netzwerkverbindung im Inter-<br />
net droht und passt die Menge der gesendeten Daten pro Zeiteinheit entsprechend an. Dadurch gehen<br />
weniger Datenpakete verloren und es müssen weniger Daten erneut gesendet werden. Der übertragene<br />
Datenmenge wird also insgesamt reduziert und der Datentransfer beschleunigt.<br />
<strong>UCS</strong> ist standardmäßig so konfiguriert, dass ECN eingesetzt wird.<br />
ECN wird von fast allen Netzwerkkomponenten (Hard- und Software) unterstützt. Beim Datenaustausch im<br />
Internet wird trotzdem sicherheitshalber von einem Rechner, der ECN verwenden möchte, in jedem Fall<br />
zunächst geprüft, ob der Kommunikationspartner ECN versteht. Versteht einer der Rechner ECN nicht,<br />
wird auf den Einsatz von ECN verzichtet.<br />
Probleme können dennoch auftreten, wenn ein Vermittlungsglied zwischen sendendem und empfangen-<br />
dem Rechner ECN nicht unterstützt und zusätzlich das Datenpaket verändert. (Normalerweise leiten Ver-<br />
mittlungsglieder das Paket unverändert weiter, so dass eine fehlende ECN-Unterstützung bei Vermittlungs-<br />
gliedern sich nicht negativ auswirkt.) Wenn es sich bei dem störenden Vermittlungsglied um Ihren Router<br />
zum Internet handelt, sind alle Webseiten, die ECN einsetzen, nicht erreichbar. Bisher ist uns dies von<br />
einem Netgear-Router berichtet worden.<br />
Lösung: Wenn es sich bei dem störenden Vermittlungsglied um Ihren Router handelt, empfiehlt es sich,<br />
die Firmware des Routers upzudaten.<br />
Außerdem kann ECN auf einem <strong>UCS</strong>-Server deaktiviert werden, indem die Zeile<br />
net/ipv4/tcp_ecn=0<br />
in die Datei /etc/sysctl.conf aufgenommen wird.<br />
16.7 In einer Domäne mit mehreren Standorten treten bei Thin Clients<br />
Anmeldeprobleme auf<br />
Wird für Thin Clients kein Authentifizierungs-Server (Kerberos-Server) in der Karteikarte Thin-Client-Kon-<br />
figuration angegeben bzw. über eine Richtlinie zugeordnet, werden diese vom Thin Client über Service-<br />
Records im DNS ermittelt. Der Thin Client versucht, sich über einen der ermittelten Kerberos-Server zu<br />
authentifizieren. Können nicht alle Benutzer über alle Kerberos-Server der Domäne authentifiziert werden,<br />
treten Anmeldeprobleme auf.<br />
Diese Situation tritt typischerweise in Organisationen mit mehreren Standorten ein, bei denen Benutzer<br />
sich nur an bestimmten Standorten anmelden dürfen, über DNS aber die Kerberos-Server aller Standorte<br />
gefunden werden. Diesem Problem wird vorgebeugt, wenn der bzw. die Kerberos-Server für den Standort,<br />
an dem der Thin Client angeschlossen ist, hier eingetragen werden.<br />
331
16 Häufig gestellte Fragen (FAQ)<br />
16.8 Wie ändere ich den Timeout von <strong>Univention</strong> Directory Manager?<br />
Der Timeout des <strong>Univention</strong> Directory Manager-Webfrontends kann mit der <strong>Univention</strong> Configuration<br />
Registry-Variable directory/manager/timeout gesetzt werden. Es ist die gewünschte Dauer in Se-<br />
kunden anzugeben. Der Befehl<br />
univention-config-registry set directory/manager/timeout=3600<br />
setzt den Timeout z.B. auf eine Stunde. Das Setzen der <strong>Univention</strong> Configuration Registry-Variable ist<br />
auch über <strong>Univention</strong> Management Console möglich.<br />
16.9 Warum werden NFS-Freigaben beim Boot nicht gemountet?<br />
Dieses Problem kann auftreten, wenn die NFS-Freigaben in der Datei /etc/fstab nicht mit der IP-<br />
Adresse, sondern mit dem Rechnernamen eingetragen sind.<br />
Beim Rechnerstart werden ganz am Anfang die Verzeichnisse, die in der Datei /etc/fstab eingetragen<br />
sind, eingebunden. Dienste wie der DNS-Dienst BIND werden erst später gestartet. Deswegen können<br />
Rechnernamen in der Datei /etc/fstab noch nicht vom internen DNS-Dienst aufgelöst werden und<br />
NFS-Freigaben ohne IP-Adresse können nicht eingebunden werden. Damit diese NFS-Freigaben künftig<br />
eingebunden werden,<br />
• muss der Rechnernamen durch die IP-Adresse ersetzt werden oder<br />
• es muss ein externer DNS-Server verwendet werden, der den Rechnernamen auflösen kann, oder<br />
• der Server muss in die Datei /etc/hosts eingetragen werden.<br />
Die Datei /etc/hosts wird unter <strong>UCS</strong> aus mehreren Dateien generiert. Der Server muss deshalb in<br />
eine kundenspezifische Datei unterhalb von /etc/univention/templates/files/etc/hosts.d/<br />
eingetragen werden.<br />
Beispiel:<br />
Die NFS-Freigabe liegt auf einem Server mit dem FQDN ucs-file-<br />
server.firma.com und der IP-Adresse 192.168.0.34. Es muss eine Datei<br />
/etc/univention/templates/files/etc/hosts.d/20-custom mit folgendem Inhalt erstellt<br />
werden:<br />
192.168.0.34 ucs-file-server.firma.com ucs-file-server<br />
Anschließend muss die neue Datei <strong>Univention</strong> Configuration Registry bekannt gemacht und die Konfigu-<br />
rationsdatei neu geschrieben werden (siehe Kapitel 14).<br />
16.10 Was bedeutet ”No DB-Server-Name found.” ?<br />
Bei der Installation von Software mit dem Befehl univention-install kann folgende Meldung erschei-<br />
nen:<br />
332
Cannot find Service-Record of _pkgdb._tcp.<br />
No DB-Server-Name found.<br />
16.11 Rechnername und Netzwerkeinstellungen unter Windows XP Prof.<br />
Die Meldung besagt, dass kein DNS-Service-Record mit dem Namen _pkgdb._tcp gefunden wurde und<br />
dem Rechner deshalb der Name des Paketstatus-Datenbank-Servers nicht bekannt ist.<br />
Standardmäßig versuchen alle <strong>UCS</strong>-Systeme, ihren Installationsstatus dem Software-Monitor mitzuteilen.<br />
Deshalb suchen sie nach der Installation von Software nach dem DNS-Service-Record der Paketstatus-<br />
Datenbank. Wird der Software-Monitor nicht verwendet, ist kein entsprechender DNS-Service-Record vor-<br />
handen und die Meldung erscheint. Mit dem Befehl<br />
univention-config-registry set pkgdb/scan=no<br />
kann der betroffene Rechner angewiesen, keine Informationen an den Software-Monitor zu senden. Die<br />
DNS-Abfrage wird dann nicht mehr ausgeführt und die Meldung erscheint nicht mehr. Es besteht aber<br />
keine Notwendigkeit zu der Einstellung, denn die fehlschlagende DNS-Abfrage nach dem Service-Record<br />
verursacht weder eine nennenswerte zeitliche Verzögerung noch eine erhebliche Netzwerklast.<br />
16.11 Rechnername und Netzwerkeinstellungen unter Windows XP Prof.<br />
Auf einem Windows-Rechner kann über Start ➞ Ausführen ➞ Öffnen ➞ cmd ➞ [OK] ➞ ipconfig<br />
/all die aktuelle Netzwerk-Konfiguration ausgegeben werden.<br />
Die MAC-Adresse wird in der Ausgabe als Physikalische Adresse bezeichnet. Dabei muss beachtet<br />
werden, dass die einzelnen Teile der MAC-Adresse in <strong>Univention</strong> Directory Manager durch Doppelpunk-<br />
te (“:”) getrennt gespeichert werden. Auch MAC-Adressen, die mit Minuszeichen (“-”) als Trennzeichen<br />
eingegeben wurden, werden später mit Doppelpunkten angezeigt.<br />
Die Ausgabe DHCP aktiviert gibt an, ob die IP-Adresse über einen DHCP-Server bezogen wird oder lokal<br />
auf dem Rechner eingetragen wurde. Die Netzwerk-Konfiguration kann wie folgt geändert werden:<br />
• Öffnen von Start ➞ Systemsteuerung ➞ Netzwerk- und Internetverbindungen ➞ Netzwerkver-<br />
bindungen ➞ LAN-Verbindung<br />
• Im sich öffnenden Dialog auf der Karteikarte Allgemein die Schaltfläche [Eigenschaften] auswäh-<br />
len.<br />
• Es öffnet sich der Dialog Eigenschaften von LAN-Verbindung auf dem Internetprotokoll (TCP/IP)<br />
selektiert und die Schaltfläche [Eigenschaften] ausgewählt werden muss.<br />
• Um die lokalen Einstellungen zu deaktivieren, müssen die Auswahlkästchen IP-Adresse automa-<br />
tisch beziehen und DNS-Serveradresse automatisch beziehen auf der Karteikarte Allgemein<br />
aktiviert und die Änderung mit [OK] bestätigt werden.<br />
Wenn der Rechner einer Domäne beitreten soll, muss außerdem der lokal eingetragene Rechnername<br />
mit dem Namen übereinstimmen, der mit <strong>Univention</strong> Directory Manager in das LDAP-Verzeichnis ein-<br />
getragen wird. Um den Rechnernamen anzupassen, muss im Startmenü mit der rechten Maustaste auf<br />
Arbeitsplatz geklickt werden, um dort den Eintrag Eigenschaften auszuwählen. Auf der Karteikarte Com-<br />
putername kann schließlich über die Schaltfläche Ändern ein Dialog zum Ändern des Rechnernamens<br />
geöffnet werden. Der neue Name ist im Eingabefeld Computername einzutragen und die Änderung mit<br />
333
16 Häufig gestellte Fragen (FAQ)<br />
OK zu bestätigen. Anschließend ist ein Neustart des Windows-Rechners notwendig, damit die Änderung<br />
wirksam wird.<br />
16.12 Doppelte Anmeldung an Windows-Terminalserver verhindern<br />
Wird an einem <strong>UCS</strong> Thin Client als Sitzungsart die Verbindung zu einem Windows Terminalserver aus-<br />
gewählt, ist es normalerweise erforderlich, dass sich der Benutzer zwei Mal anmeldet. Im ersten Schritt<br />
muss die Anmeldung am Anmeldemanager GDM erfolgen, im zweiten Schritt eine erneute Anmeldung<br />
am Terminalserver. Dies ist erforderlich, da Windows Terminalserver in der Standardeinstellung nicht er-<br />
lauben, dass das Passwort für die Benutzeranmeldung von der zugreifenden Anwendung (in diesem Fall:<br />
rdesktop) übergeben wird. Dies verhindert, dass rdesktop das vom Anmeldemanager gdm übergebene<br />
Benutzerpasswort direkt für die Anmeldung verwenden kann.<br />
Um die erneute Anmeldeaufforderung am Terminal Server zu verhindern, muss auf dem Terminal Server<br />
unter Start ➞ Verwaltung ➞ Terminaldienstkonfiguration ➞ Verbindungen (Windows 2000) bzw. Start<br />
➞ Programme ➞ Verwaltung ➞ Terminaldienstkonfiguration ➞ Verbindungen (Windows 2003) mit<br />
der rechten Maustaste die RDP-TCP-Verbindung ausgewählt werden. Unter Eigenschaften befinden<br />
sich die Anmeldeeinstellungen. Durch die Auswahl der Anmeldeeinstellungen und der Deaktivierung<br />
des Kontrollkästchen Kennwort immer anfordern wird die Änderung wirksam.<br />
Nun ist es bei Auswahl der Sitzungsart ”Windows Terminalserver” nicht mehr erforderlich, sein Passwort<br />
ein zweites Mal einzugeben.<br />
334
Literaturverzeichnis<br />
[1] <strong>Univention</strong>. Übersichtsseite der weiteren <strong>UCS</strong> Dokumentationen. 2010.<br />
http://www.univention.de/download/dokumentation/standarddokumentation/.<br />
[2] <strong>Univention</strong>. Listener/Notifier Mechanismus. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
listener-notifier.pdf.<br />
[3] <strong>Univention</strong>. <strong>UCS</strong> Profilbasierte Installation. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
installation-profil.pdf.<br />
[4] <strong>Univention</strong>. <strong>UCS</strong> Windows Installer. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
windows-installer.pdf.<br />
[5] <strong>Univention</strong>. <strong>UCS</strong> FAX-Komponente. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-fax.pdf.<br />
[6] <strong>Univention</strong>. <strong>Univention</strong> Directory Manager Kommandozeile. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/univention-<br />
directory-manager-cli.pdf.<br />
[7] <strong>Univention</strong>. <strong>Univention</strong> Directory Reports. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
directory-reports.pdf.<br />
[8] Jelmer R. Vernooij, John H. Terpstra, and Gerald (Jerry) Carter. The Official Samba 3.2.x HOWTO<br />
and Reference Guide. 2010.<br />
http://samba.org/samba/docs/Samba3-HOWTO.pdf.<br />
[9] <strong>Univention</strong>. <strong>UCS</strong> Benutzer Quota. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
benutzer-quota.pdf.<br />
[10] <strong>Univention</strong>. KDE-Desktop Profile. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-kde-<br />
profile.pdf.<br />
[11] <strong>Univention</strong>. Nagios unter <strong>UCS</strong>. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
nagios.pdf.<br />
[12] <strong>Univention</strong>. <strong>Univention</strong> Wiki - UVMM - Quickstart Guide. 2011.<br />
http://http://wiki.univention.de/index.php?title=UVMM_Quickstart.<br />
335
Literaturverzeichnis<br />
[13] <strong>Univention</strong>. <strong>Univention</strong> Wiki - UVMM - Technische Details. 2011.<br />
http://wiki.univention.de/index.php?title=UVMM_Technische_Details.<br />
[14] <strong>Univention</strong>. <strong>UCS</strong> Windows-Domänen Migration. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
windows-migration.pdf.<br />
[15] <strong>Univention</strong>. <strong>Univention</strong> Active Directory Connector. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-ad-<br />
connector.pdf.<br />
[16] Gustavo Noronha Silva. APT HOWTO . 2010.<br />
http://www.debian.org/doc/manuals/apt-howto/.<br />
[17] <strong>Univention</strong>. Kolab2 für <strong>UCS</strong>. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/kolab2-<br />
ucs.pdf.<br />
[18] <strong>Univention</strong>. Scalix für <strong>UCS</strong>. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.2/ucs-<br />
scalix.pdf.<br />
[19] <strong>Univention</strong>. <strong>Univention</strong> Paketerstellung. 2010.<br />
http://wiki.univention.de/index.php?title=Paketierung_von_Software_f%C3%<br />
BCr_<strong>UCS</strong>.<br />
[20] <strong>Univention</strong>. Übersichtsseite zu <strong>UCS</strong>@school. 2010.<br />
http://www.univention.de/produkte/schule.<br />
[21] <strong>Univention</strong>. <strong>UCS</strong>@school - <strong>Handbuch</strong> für Lehrkräfte zum alltäglichen Umgang mit der <strong>Univention</strong><br />
Management Console (UMC). 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_ucs_schule/<br />
handbuch_ucsschool_lehrer_2.4.pdf.<br />
[22] <strong>Univention</strong>. <strong>UCS</strong>@school - <strong>Handbuch</strong> für Administratoren. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_ucs_schule/<br />
handbuch_ucsschool_admins_2.4.pdf.<br />
[23] <strong>Univention</strong>. <strong>Univention</strong> Corporate Server - <strong>Handbuch</strong> für Benutzer und Administratoren. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/<br />
handbuch_ucs24.pdf.<br />
[24] <strong>Univention</strong>. Software-RAID mit <strong>UCS</strong>. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-expert-<br />
partition.pdf.<br />
[25] <strong>Univention</strong>. Web-Proxy für <strong>UCS</strong>. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
proxy.pdf.<br />
[26] <strong>Univention</strong>. <strong>UCS</strong> Backup. 2010.<br />
336<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
backup.pdf.
[27] <strong>Univention</strong>. SSL Infrastruktur unter <strong>UCS</strong>. 2010.<br />
Literaturverzeichnis<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-ssl.pdf.<br />
[28] <strong>Univention</strong>. Einbinden von Unix/Linux Systemen. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
einbindung-unix-systeme.pdf.<br />
[29] <strong>Univention</strong>. <strong>UCS</strong> Performance Guide. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.4/ucs-<br />
performance-guide.pdf.<br />
[30] <strong>Univention</strong>. <strong>UCS</strong> Szenarien. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_2.2/<br />
ucs_szenarien_22.pdf.<br />
[31] Tobias Doerffel. iTALC - Intelligent Teaching And Learning with Computers. 2010.<br />
http://italc.sourceforge.net/.<br />
[32] <strong>Univention</strong>. <strong>UCS</strong> Thin Client Services 3.1 - <strong>Handbuch</strong> zur Installation, Einsatz und Betrieb von <strong>UCS</strong><br />
Thin Client Services. 2010.<br />
http://www.univention.de/fileadmin/download/dokumentation_ucs_tcs/ucs-<br />
tcs_3_1.pdf.<br />
337