UCS-Handbuch - Univention
UCS-Handbuch - Univention
UCS-Handbuch - Univention
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
1.2 Überblick über <strong>UCS</strong><br />
dungen und Rechner, seinen Rechten entsprechend zugreifen, ohne sein Passwort erneut einzugeben,<br />
weil ihn sein Kerberos-Ticket intern authentifiziert (Für einige Dienste steht die Implementierung dieses<br />
Single-Sign-on noch aus).<br />
<strong>UCS</strong> setzt als Verzeichnisdienst OpenLDAP ein. Das Verzeichnis wird vom Domänencontroller Master be-<br />
reitgestellt und auf alle anderen Domänencontroller (DC) in der Domäne repliziert. Weil ein DC Backup<br />
im Notfall den DC Master ersetzen soll, wird immer das komplette LDAP-Verzeichnis auf ihn repliziert. Die<br />
Replikation auf DC Slaves kann dagegen mithilfe von ACLs (Access Control Lists) auf beliebige Berei-<br />
che des LDAP-Verzeichnisses beschränkt werden, wodurch eine selektive Replikation erreicht wird. Dies<br />
kann z.B. dann gewünscht sein, wenn Daten aus Sicherheitsgründen auf möglichst wenigen Servern ge-<br />
speichert werden sollen. Damit diese und andere Daten verschlüsselt übertragen werden können, ist in<br />
<strong>UCS</strong> eine Root-CA (Zertifizierungsstelle) integriert. Der Zugang zum LDAP-Verzeichnis erfolgt über das<br />
Programm <strong>Univention</strong> Directory Manager, das über ein Web-Frontend und eine Kommandozeilen-Schnitt-<br />
stelle verfügt. Letztere eignet sich besonders, um Administrationsaufgaben mit Skripten zu erledigen. Das<br />
Web-Frontend ist eine graphische Oberfläche, die sich intuitiv bedienen lässt. Mit <strong>Univention</strong> Directory<br />
Manager kann prinzipiell von jedem beliebigen Ort aus auf das LDAP-Verzeichnis zugegriffen werden.<br />
Mit <strong>Univention</strong> Directory Manager können Daten in das LDAP-Verzeichnis eingetragen und die Daten be-<br />
trachtet, bearbeitet und gelöscht werden. Auch die Suche — gefiltert nach einer Vielzahl von Kriterien<br />
— ist möglich. Im Web-Frontend stehen Assistenten zur Verwaltung von Benutzern, Gruppen, Netzwer-<br />
ken, Rechnern, Verzeichnisfreigaben und Druckern zur Verfügung. Die Rechnerverwaltung umfasst auch<br />
umfangreiche Funktionen zur Verteilung und Aktualisierung von Software.<br />
Fortgeschrittene Einstellungen wie DHCP, DNS, Richtlinien und die Einstellungen für <strong>Univention</strong> Directory<br />
Manager selbst, sind über den Verzeichnis-Browser des Web-Frontends zugänglich. Auch hier können<br />
problemlos kundenspezifische Objektklassen und Attribute hinzugefügt werden.<br />
Richtlinien erleichtern die Administration, da eine Richtlinie die enthaltenen Einstellungen an alle mit ihr<br />
verbundenen Objekte weiter gibt. Diese Objekte wiederum vererben die Einstellungen an die ihnen nach-<br />
geordneten Objekte.<br />
Werden zum Beispiel an verschiedenen Stellen im Unternehmen Rechner mit dem gleichen Bildschirm<br />
verwendet, so müssen die Grafik-Einstellungen nur einmal in einer Richtlinie zusammengefasst und mit<br />
den betroffenen Rechnern verbunden werden. Wenn die Einstellungen für alle Rechner eines Zweigs des<br />
LDAP-Verzeichnisbaums gelten sollen, so wird die Richtlinie an den Zweig gebunden. Über den Verer-<br />
bungsmechanismus gilt die Richtlinie dann für alle darunterliegenden Rechner.<br />
Ein weiteres wesentliches Element des <strong>Univention</strong> Management Systems stellt der Listener-/Notifier-<br />
Mechanismus dar. Dadurch lösen bestimmte Einträge im LDAP-Verzeichnis definierte Aktionen auf be-<br />
troffenen Rechnern aus. Wenn zum Beispiel mit <strong>Univention</strong> Directory Manager ein Verzeichnis auf einem<br />
bestimmten Server über NFS und Samba freigegeben wird, wird die Freigabe nicht nur in das LDAP-<br />
Verzeichnis eingetragen, sondern auch die NFS- und Samba-Konfigurationsdateien auf dem gewählten<br />
Server entsprechend erweitert. Außerdem wird das Verzeichnis im Dateisystem des gewählten Servers<br />
erstellt, falls es noch nicht existiert. Das <strong>Univention</strong> Management System sorgt also auch auf entfernten<br />
Rechnern automatisch für die Ausführung aller Schritte, die im Zusammenhang mit einem bestimmten<br />
Vorgang nötig sind. Der Listener-/Notifier-Mechanismus kann leicht um Module für weitere - auch kunden-<br />
spezifische - Vorgänge ergänzt werden.<br />
Neben <strong>Univention</strong> Directory Manager als Zugang zum LDAP-Verzeichnis mit den Domänendaten steht mit<br />
13