UCS-Handbuch - Univention

Weitere Magazine

Empfehlungen

Info

1 Einführung 1.2 Überblick über UCS Als Betriebssystem, das von Anfang an für den Multiuser- und Multitasking-Einsatz vorgesehen war und stets Wert auf Stabilität, Sicherheit und die Kompatibilität zu anderen Betriebssystemen legte, ist Linux prädestiniert für den Einsatz in komplexen Umgebungen. Allerdings gilt traditionell die Administration von Linux-Systemen als schwierig und wenig komfortabel. An diesem Punkt setzt UCS an. UCS ermöglicht den Einsatz von Linux als zentrale und wirtschaftliche Komponente in Ihrer IT-Infrastruktur. Alle unternehmenskritischen Anwendungen sind in ein einheitliches Konzept integriert, aufeinander abgestimmt und für den professionellen Einsatz vorkonfiguriert. Es eignet sich gleichermaßen für kleine Organi- sationen mit wenigen Servern und Clients wie für komplexe, heterogene Umgebungen, in denen mehrere zehntausend Benutzer Rechner mit verschiedenen Betriebssystemen und Aufgaben einsetzen. Der Einsatz von UCS beginnt mit der problemlosen Installation, die interaktiv oder vollautomatisch, von CD-ROM beziehungsweise DVD oder über das Netzwerk erfolgen kann. Während der Installation wird dem Rechner eine Systemrolle zugewiesen. Bei UCS sind ähnlich wie bei Windows alle Server, Clients und Benutzer in einen gemeinsamen Sicherheits- und Vertrauenskontext, die UCS-Domäne, eingebet- tet. Dementsprechend stehen als Systemrollen Domänencontroller, Memberserver und Clients zur Wahl. Ausserdem können Stand-alone-Server aufgesetzt werden, die unabhängig von einer Domäne sind. Abhängig von der Systemrolle werden neben dem Betriebssystem grundlegende Dienste wie Kerberos, OpenLDAP, Module für einen Notification-Mechanismus oder eine Root-CA (Zertifizierungsstelle) auf dem Rechner installiert und automatisch für die gewählte Systemrolle konfiguriert. Das manuelle Einrichten und Konfigurieren jedes einzelnen Dienstes und jeder einzelnen Anwendung erübrigt sich damit. Durch den modularen Aufbau lassen sich dennoch auf individuelle Bedürfnisse zugeschnittene Lösungen umsetzen. Über die Auswahl verschiedener zusätzlicher Komponenten während der Installation lässt sich der Funkti- onsumfang eines Rechners gezielt erweitern. Durch den modularen Aufbau skaliert UCS gut und lässt sich problemlos um kundenspezifische Features ergänzen. Die Komponenten können ebenfalls ohne aufwendi- ge Konfigurationsarbeiten eingesetzt werden, denn sie sind auf das Gesamtkonzept von UCS abgestimmt und fügen sich nahtlos in das Univention Management System ein. Mit dem Univention Management System können alle Bestandteile der UCS-Domäne über Rechner-, Betriebssystem- und Standortgrenzen hinweg organisationsweit zentral verwaltet werden. Es steht so- mit ein echter Single-Point-of-Administration für die Domäne zur Verfügung. Ein tragendes Element des Univention Management Systems ist ein LDAP-Verzeichnis, in dem alle verwaltungsrelevanten Daten vor- gehalten werden. Dort wird neben Benutzerkonten und Ähnlichem auch die Konfiguration von Diensten wie DHCP gespeichert. Die zentrale Datenhaltung im LDAP-Verzeichnis erspart nicht nur die wiederholte Eingabe derselben Daten in verschiedene Konfigurationsdateien, sondern verringert auch die Wahrschein- lichkeit von Fehlern und Inkonsistenzen erheblich. Ein LDAP-Verzeichnis ist eine baumartige Struktur, deren Wurzel die Basis der UCS-Domäne bildet. Die UCS-Domäne ist ein Sicherheits- und Vertrauenskontext für ihre Mitglieder. Bei Benutzern begründet ein Konto im LDAP-Verzeichnis die Mitgliedschaft in der UCS-Domäne. Rechner werden durch Beitritt Mitglied. Auch Windows-Benutzer und -Rechner können in die Domäne aufgenommen werden. Bei der Anmeldung an die Domäne wird der Benutzer gegen das LDAP-Verzeichnis authentifiziert und erhält ein Kerberos-Ticket. Anschließend kann er auf alle Ressourcen der Domäne, wie Dateien, Anwen- 12
1.2 Überblick über UCS dungen und Rechner, seinen Rechten entsprechend zugreifen, ohne sein Passwort erneut einzugeben, weil ihn sein Kerberos-Ticket intern authentifiziert (Für einige Dienste steht die Implementierung dieses Single-Sign-on noch aus). UCS setzt als Verzeichnisdienst OpenLDAP ein. Das Verzeichnis wird vom Domänencontroller Master be- reitgestellt und auf alle anderen Domänencontroller (DC) in der Domäne repliziert. Weil ein DC Backup im Notfall den DC Master ersetzen soll, wird immer das komplette LDAP-Verzeichnis auf ihn repliziert. Die Replikation auf DC Slaves kann dagegen mithilfe von ACLs (Access Control Lists) auf beliebige Berei- che des LDAP-Verzeichnisses beschränkt werden, wodurch eine selektive Replikation erreicht wird. Dies kann z.B. dann gewünscht sein, wenn Daten aus Sicherheitsgründen auf möglichst wenigen Servern gespeichert werden sollen. Damit diese und andere Daten verschlüsselt übertragen werden können, ist in UCS eine Root-CA (Zertifizierungsstelle) integriert. Der Zugang zum LDAP-Verzeichnis erfolgt über das Programm Univention Directory Manager, das über ein Web-Frontend und eine Kommandozeilen-Schnitt- stelle verfügt. Letztere eignet sich besonders, um Administrationsaufgaben mit Skripten zu erledigen. Das Web-Frontend ist eine graphische Oberfläche, die sich intuitiv bedienen lässt. Mit Univention Directory Manager kann prinzipiell von jedem beliebigen Ort aus auf das LDAP-Verzeichnis zugegriffen werden. Mit Univention Directory Manager können Daten in das LDAP-Verzeichnis eingetragen und die Daten be- trachtet, bearbeitet und gelöscht werden. Auch die Suche — gefiltert nach einer Vielzahl von Kriterien — ist möglich. Im Web-Frontend stehen Assistenten zur Verwaltung von Benutzern, Gruppen, Netzwer- ken, Rechnern, Verzeichnisfreigaben und Druckern zur Verfügung. Die Rechnerverwaltung umfasst auch umfangreiche Funktionen zur Verteilung und Aktualisierung von Software. Fortgeschrittene Einstellungen wie DHCP, DNS, Richtlinien und die Einstellungen für Univention Directory Manager selbst, sind über den Verzeichnis-Browser des Web-Frontends zugänglich. Auch hier können problemlos kundenspezifische Objektklassen und Attribute hinzugefügt werden. Richtlinien erleichtern die Administration, da eine Richtlinie die enthaltenen Einstellungen an alle mit ihr verbundenen Objekte weiter gibt. Diese Objekte wiederum vererben die Einstellungen an die ihnen nach- geordneten Objekte. Werden zum Beispiel an verschiedenen Stellen im Unternehmen Rechner mit dem gleichen Bildschirm verwendet, so müssen die Grafik-Einstellungen nur einmal in einer Richtlinie zusammengefasst und mit den betroffenen Rechnern verbunden werden. Wenn die Einstellungen für alle Rechner eines Zweigs des LDAP-Verzeichnisbaums gelten sollen, so wird die Richtlinie an den Zweig gebunden. Über den Verer- bungsmechanismus gilt die Richtlinie dann für alle darunterliegenden Rechner. Ein weiteres wesentliches Element des Univention Management Systems stellt der Listener-/Notifier- Mechanismus dar. Dadurch lösen bestimmte Einträge im LDAP-Verzeichnis definierte Aktionen auf betroffenen Rechnern aus. Wenn zum Beispiel mit Univention Directory Manager ein Verzeichnis auf einem bestimmten Server über NFS und Samba freigegeben wird, wird die Freigabe nicht nur in das LDAP- Verzeichnis eingetragen, sondern auch die NFS- und Samba-Konfigurationsdateien auf dem gewählten Server entsprechend erweitert. Außerdem wird das Verzeichnis im Dateisystem des gewählten Servers erstellt, falls es noch nicht existiert. Das Univention Management System sorgt also auch auf entfernten Rechnern automatisch für die Ausführung aller Schritte, die im Zusammenhang mit einem bestimmten Vorgang nötig sind. Der Listener-/Notifier-Mechanismus kann leicht um Module für weitere - auch kundenspezifische - Vorgänge ergänzt werden. Neben Univention Directory Manager als Zugang zum LDAP-Verzeichnis mit den Domänendaten steht mit 13
Seite 1 und 2: Univention Corporate Server Handbuc
Seite 3 und 4: Inhaltsverzeichnis 1 Einführung 11
Seite 5 und 6: Inhaltsverzeichnis 5.3.12 Neustarte
Seite 7 und 8: Inhaltsverzeichnis 10.7.2 Treiber-M
Seite 9 und 10: Inhaltsverzeichnis 14.11Einbinden z
Seite 11: 1 Einführung Inhaltsverzeichnis 1.
Seite 15 und 16: 1.4 Verwendete Symbole und Konventi
Seite 17 und 18: 2 Domänenkonzept Inhaltsverzeichni
Seite 19 und 20: 2.2 UCS-Systemrollen DC Master und
Seite 21 und 22: 2.4 Domänenbeitritt weiteren Serve
Seite 23 und 24: 2.4 Domänenbeitritt Auf der Regist
Seite 25 und 26: 2.4 Domänenbeitritt uid=Administra
Seite 27 und 28: 3 Installation Inhaltsverzeichnis 3
Seite 29 und 30: 3.2 Textbasierte Installation Unter
Seite 31 und 32: Zur Auswahl stehen: a) Domaincontro
Seite 33 und 34: Abbildung 3.3: Partitionierung der
Seite 35 und 36: Name des im Subnetz eingesetzten St
Seite 37 und 38: Weitere Informationen zum Domänenb
Seite 39 und 40: 3.2 Textbasierte Installation - Nag
Seite 41 und 42: Abbildung 3.6: Abschluss der Instal
Seite 43 und 44: Achtung: 3.4 Lizenz installieren un
Seite 45 und 46: 4 Univention Directory Manager Inha
Seite 47 und 48: Abbildung 4.1: ungesicherte Begrü
Seite 49 und 50: Abbildung 4.3: Automatische Abmeldu
Seite 51 und 52: Abbildung 4.5: Beispiel für Gruppe
Seite 53 und 54: 4.3 Univention Directory Manager-As
Seite 55 und 56: Abbildung 4.8: Verzeichnisübersich
Seite 57 und 58: Abbildung 4.10: Benutzerobjekt des
Seite 59 und 60: Passwort-History ignorieren 4.5 Uni
Seite 61 und 62: 4.5 Univention Directory Manager Mo
Seite 63 und 64:
Karteikarte ’Kontakt privat’ 4.
Seite 65 und 66:
4.5 Univention Directory Manager Mo
Seite 67 und 68:
Startprogramm Befehlszeile 4.5 Univ
Seite 69 und 70:
KolabInetOrgPerson und kolabInetOrg
Seite 71 und 72:
Karteikarte ’enthaltene Gruppen
Seite 73 und 74:
Forward Lookup Zone für DNS-Eintra
Seite 75 und 76:
• Sound • Thin Client • Windo
Seite 77 und 78:
Karteikarte ’DNS’ 4.5 Univentio
Seite 79 und 80:
Vorgabewert sieht /bin/bash als Log
Seite 81 und 82:
nicht. 4.5.4.1 Domain Trust Account
Seite 83 und 84:
arbeitet werden. Karteikarte ’Sam
Seite 85 und 86:
lesbar sind, für diesen nicht ange
Seite 87 und 88:
werden müssen. NT ACL-Support 4.5
Seite 89 und 90:
Seite 91 und 92:
tig sein, auf Oplocks zu verzichten
Seite 93 und 94:
4.5.6 Samba 4.5 Univention Director
Seite 95 und 96:
4.5.7 Druckerverwaltung 4.5 Univent
Seite 97 und 98:
Drucker-Hersteller 4.5 Univention D
Seite 99 und 100:
erlaubt. Server (*) 4.5 Univention
Seite 101 und 102:
Karteikarte ’Domänen-Passwort’
Seite 103 und 104:
Karteikarte ’Start of Authority E
Seite 105 und 106:
zeichen enthalten. Karteikarte ’M
Seite 107 und 108:
4.5.9.4 Service Record 4.5 Univenti
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Karteikarte ’Allgemein’ Server-
Seite 115 und 116:
Karteikarte ’Allgemein’ Name (*
Seite 117 und 118:
Karteikarte ’Allgemein’ Rechner
Seite 119 und 120:
Seite 121 und 122:
4.5.11.3 Richtlinien mit Containern
Seite 123 und 124:
Seite 125 und 126:
Soft-Limit (Anzahl Byte) 4.5 Univen
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
• IMPS/2 wird für Mäuse mit Mau
Seite 133 und 134:
Seite 135 und 136:
BOOTP 4.5 Univention Directory Mana
Seite 137 und 138:
Karteikarte ’[NFS-Richtlinien]’
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
4.5.12 Univention Directory Manager
Seite 145 und 146:
Druckers im Auswahlfeld Protokoll a
Seite 147 und 148:
Gesperrt bis 4.5 Univention Directo
Seite 149 und 150:
Karteikarte ’Benutzer’ Benutzer
Seite 151 und 152:
Karteikarte ’Allgemein’ Name (*
Seite 153 und 154:
Name der Karteikarte 4.5 Univention
Seite 155 und 156:
Kurzbeschreibung Eine optionale Bes
Seite 157 und 158:
Seite 159 und 160:
Seite 161 und 162:
4.6 Richtlinien gesteuerte Ansichte
Seite 163 und 164:
Ergebnistabelle leer. 4.6 Richtlini
Seite 165 und 166:
4.6 Richtlinien gesteuerte Ansichte
Seite 167 und 168:
5 Univention Management Console Inh
Seite 169 und 170:
5.2.2 Überblick Abbildung 5.1: Anm
Seite 171 und 172:
5.3 Standard-Module Das Modul setzt
Seite 173 und 174:
Abbildung 5.4: Univention Configura
Seite 175 und 176:
Abbildung 5.6: Liste der Partitione
Seite 177 und 178:
Abbildung 5.8: Übersicht der Syste
Seite 179 und 180:
5.3.12 Neustarten Mit dem Neustarte
Seite 181 und 182:
Abbildung 5.12: Online-Update: Repo
Seite 183 und 184:
der Nagios Dokumentation [11] zu fi
Seite 185 und 186:
6 Univention Virtual Machine Manage
Seite 187 und 188:
6.3 Verwaltung virtueller Maschinen
Seite 189 und 190:
6.3.2.1 Sicherungspunkte Abbildung
Seite 191 und 192:
Seite 193 und 194:
Seite 195 und 196:
7 UCS Verzeichnisdienst Inhaltsverz
Seite 197 und 198:
7.3 Timeout für inaktive LDAP-Verb
Seite 199 und 200:
7.4 Konfiguration von LDAP-ACLs •
Seite 201 und 202:
7.4 Konfiguration von LDAP-ACLs lda
Seite 203 und 204:
8 Services für Windows Inhaltsverz
Seite 205 und 206:
8.2 Univention Corporate Server und
Seite 207 und 208:
8.4 Erweiterte Konfiguration 8.4.1
Seite 209 und 210:
8.4 Erweiterte Konfiguration 5. Wen
Seite 211 und 212:
8.4 Erweiterte Konfiguration das Ei
Seite 213 und 214:
8.4.3 NETLOGON-Freigabe 8.4 Erweite
Seite 215 und 216:
8.4.5.1 Windows-Heimatverzeichnis 8
Seite 217 und 218:
8.4.5.6 Passwort-Eigenschaften für
Seite 219 und 220:
8.4 Erweiterte Konfiguration In die
Seite 221 und 222:
9 Desktop-Systeme Inhaltsverzeichni
Seite 223 und 224:
9.3 Einstellungen im Univention Dir
Seite 225 und 226:
9.3 Einstellungen im Univention Dir
Seite 227 und 228:
9.5 Thin Client-Umgebung Die standa
Seite 229 und 230:
9.5 Thin Client-Umgebung Des weiter
Seite 231 und 232:
9.5 Thin Client-Umgebung thinclient
Seite 233 und 234:
9.5.2.6 Nagios Überwachung 9.5 Thi
Seite 235 und 236:
9.6 Heimatverzeichnisse /etc/univen
Seite 237 und 238:
9.7.1.2 Windows-Einstellungen 9.7 G
Seite 239 und 240:
Abbildung 9.2: Auswahl der Sitzung
Seite 241 und 242:
10 Basis-Systemdienste Inhaltsverze
Seite 243 und 244:
10.3 Paketfilter mit Univention Fir
Seite 245 und 246:
10.3.4 Lokale Filterregeln durch ip
Seite 247 und 248:
screen screen-Terminal-Tool chfn ch
Seite 249 und 250:
10.6 Protokollierung von Systemmeld
Seite 251 und 252:
10.7 Kernel • Ein Kernel-Header-P
Seite 253 und 254:
10.9 Ausführen von wiederkehrenden
Seite 255 und 256:
10.11.2 LDAP-NSS-Modul 10.11 Namens
Seite 257 und 258:
10.13 Zeitsynchronisation 10.13 Zei
Seite 259 und 260:
11 Softwarepflege Inhaltsverzeichni
Seite 261 und 262:
11.2 UCS Updates kann zusätzlich d
Seite 263 und 264:
11.3 Paketpflege Ist das Update erf
Seite 265 und 266:
11.3 Paketpflege Ausgabe unterdrüc
Seite 267 und 268:
11.3 Paketpflege nicht beeinflusst
Seite 269 und 270:
11.3 Paketpflege vorgegebene Versio
Seite 271 und 272:
11.4 Software-Monitor Das System, a
Seite 273 und 274:
11.5.1 Anlegen eines Repository Abb
Seite 275 und 276:
11.5.5 Repository-Synchronisation 1
Seite 277 und 278:
12 Mail Inhaltsverzeichnis 12.1 Ein
Seite 279 und 280:
12.3 Einrichtung des Mail-Servers S
Seite 281 und 282:
12.3 Einrichtung des Mail-Servers m
Seite 283 und 284:
12.4 Spamfilter Auf einem UCS-Mail-
Seite 285 und 286:
12.6 Konfiguration von Mail-Clients
Seite 287 und 288:
• Mit [OK] wird die Einrichtung d
Seite 289 und 290:
13 Druckdienste Inhaltsverzeichnis
Seite 291 und 292:
13.2.2 Serversysteme als Druckserve
Seite 293 und 294:
13.3 Druckerfreigaben konfigurieren
Seite 295 und 296:
13.4 Druckfreigaben unter Windows e
Seite 297 und 298:
13.5 Druck-Quota (parallel:/) druck
Seite 299 und 300:
13.5.3.1 pykotme 13.5 Druck-Quota M
Seite 301 und 302:
Entfernt user01 vollständig aus de
Seite 303 und 304:
14 Univention Configuration Registr
Seite 305 und 306:
listener/debug/level: 2 samba/debug
Seite 307 und 308:
14.5 Anlegen neuer Univention Confi
Seite 309 und 310:
14.8 Neuerzeugung von Konfiguration
Seite 311 und 312:
14.10 Univention Configuration Regi
Seite 313 und 314:
14.11 Einbinden zusätzlicher Konfi
Seite 315 und 316:
15 Univention System Setup Inhaltsv
Seite 317 und 318:
Abbildung 15.2: Basis-Einstellungen
Seite 319 und 320:
15.2 Univention System Setup-Module
Seite 321 und 322:
eitreten. 15.2 Univention System Se
Seite 323 und 324:
15.2.6 Zeitzone 15.3 Univention Sys
Seite 325 und 326:
15.5 Änderung von Maschinenpasswö
Seite 327 und 328:
16 Häufig gestellte Fragen (FAQ) I
Seite 329 und 330:
16.3 Wie ändert ein Benutzer sein
Seite 331 und 332:
16.7 In einer Domäne mit mehreren
Seite 333 und 334:
Cannot find Service-Record of _pkgd
Seite 335 und 336:
Literaturverzeichnis [1] Univention
Seite 337:
[27] Univention. SSL Infrastruktur
Alle anzeigen

UCS-Handbuch - Univention

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?