LDAP - ACLs

german

#1

Hallo,

gibt es eine Anleitung - evtl. mit Beispielen - wie man in UCS ACLs anlegt?
Gibt es spezielle Unterschiede zu OpenLDAP-ACLs, die man beachten muss?

Wenn ich ein neues Template mit der Nummer 69 anlege, wo gebe ich danach an, dass dies bei einem ucr commit eingebunden wird?

Es geht mir darum einen neuen Benutzer oder eine neue Gruppe anzulegen, die Computer joinen kann, und die Benutzer anlegen und verwalten kann, die in einer bestimmten OU sind.

Danke,
Roland.


#2

So, meine neue Gruppe kann Benutzer in der OU (und nur dort) modifizieren - das funktioniert bereits gut mit ldapmodify.

Auch in der UMC funktioniert das bereits:
Mit einer neuen Richtlinie, die den Zugriff auf das Modul “UDM - Users” erlaubt und der Gruppe zugewiesen wurde.

Nur werden dort natürlich noch alle anderen Benutzer angezeigt, auch wenn ich diese mit dem Benutzer nicht ändern kann.
Da ist es mir noch nicht gelungen diese auszublenden.

Momentan schreibe ich meine Änderungen noch in das File 66univention-ldap-server_acl-master-uvmm, was natürlich nicht optimal ist.
Entsprechende Lese-Verbote auf andere Objekte müssen vermutlich früher gesetzt werden.
Ein anderer Ansatz wäre den Suchfilter in der UMC automatisch auf eine bestimmte OU zu setzen. Es stört mich ja nicht, dass die Gruppe alle Benutzer lesen kann - sie sollen nur nicht standardmäßig angezeigt werden.
Geht das?

Wie kommen diese Änderungen nun eigentlich auf meinen Backup- und meine Slaveserver?
Hat jemand eine Beispiel-ACL für mich, die Computer-Joins erlaubt?
Kann ich alternativ einfach das UDM-Modul Computers in der Richtlinie erlauben? Die Gruppe sollte allerdings keine Member- oder DC-Server ändern oder joinen können - nur Workstations.

Danke im voraus,

LG,
Roland.


#3

Moin,

ich kann nur einen Teil der Fragen beantworten.

Die ACLs sollten in der Tat nicht in vorhandene Dateien von Univention geschrieben werden. Sinnvoller ist es, dafür eigene Templates anzulegen und diese dem UCR-Mechanismus bekannt zu machen. Dafür müssen Sie zum einen eine Konrtrolldatei in /etc/univention/templates/info anlegen (Name beliebig, mit ».info« als Erweiterung), zum Anderen die eigentliche Templatedatei in /etc/univention/templates/files/etc/ldap/slap.conf.d. Beispiel für den Inhalt einer solchen Kontrolldatei (nennen wir sie »custom-acls.info«):

Type: multifile Multifile: etc/ldap/slapd.conf Subfile: etc/ldap/slapd.conf.d/20-custom-acls

Der Name der anzulegenden Template-Datei muss dem aus dem »Subfile:« in der Kontrolldatei entsprechen. Die Dateien werden anhand ihres Namens sortiert und ausgegeben, sodass Sie über den Namen den Ort steuern können, an dem Ihre ACLs in der Datei stehen werden.

Danach nur noch die Datei 20-custom-acls anlegen und »ucr commit /etc/ldap/slapd.conf« ausführen.

Die Synchronisation erfolgt nicht automatisch, das müssen Sie manuell machen. Da Ihre ACLs nur für Server interessant sind, in denen das LDAP-Verzeichnis auch tatsächlich geändert werden kann, müssen diese Änderungen nur auf DC Backups kopiert werden (für den Fall, dass der DC Backup mal zum DC Master hochgestuft werden muss).

Ich glaube nicht, dass es möglich ist, das Joinen nur bestimmter Servertypen zu ermöglichen.


#4

Super, danke.
Das hat funktioniert. Ich musste nur multifile durch subfile ersetzen.

Das Recht Computer zu joinen habe ich von Windows-Seite her gelöst:
wiki.samba.org/index.php/Delega … ermissions

Noch eine Frage zu Sprache der UMC:
Diese kann man in der Anmeldemaske ändern (danach scheinbar nicht mehr).
Kann man für einen bestimmten Benutzer auch eine Standard-Sprache einstellen?


#5

Soweit ich weiß zumindest nicht in der UMC. Aber die UMC nimmt standardmäßig die Sprache, die der Browser als bevorzugte Sprache mitschickt. Konfiguriert man in seinem Browser dann z.B. Deutsch vor English, so wird die UMC auch automatisch auf Deutsch angezeigt.