Hallo,
die Erstellung eigener Richtlinien bereitet mir noch Schwierigkeiten, und die Dokumentation ist leider noch etwas knapp gehalten.
Kann mir jemand ein Beispiel für folgende Richtlinien geben:
Es soll eine bestimmte Benutzergruppe geben, die nur Userkonten anlegen kann, und eine die nur Computerkonten anlegen kann.
“Sub-Admins” sollen Zugriffsrechte auf bestimmte Netzwerkfreigaben selbst verwalten können. Die Freigaben liegen auf einem SLES9 Samba Server.
Danke und Gruss,
Frank Müller
Sehr geehrter Herr Müller,
Die Richtlinien, die Sie mit dem Univention Admin anlegen können, bieten die Möglichkeit für einzelne LDAP-Objekte oder Gruppen von Objekten Voreinstellungen zu treffen.
Um Zugriffsrechte auf LDAP-Objekte, in Ihrem Fall Benutzer- und Computer-Objekte, festzulegen können die Richtlinien nicht verwendet werden. Dafür werden die ACLs (Access Control Lists) verwendet. Diese werden in der Konfigurationsdatei des slapd (/etc/ldap/slapd.conf) eingetragen und definieren Wer (anhand einer DN oder eines DN-Muster) auf welche LDAP-Objekte mit welchen Rechten Zugriff hat. Das folgende Beispiel definiert, dass das LDAP-Objekt des Benutzers Administrator nur durch die Gruppe ‘Domain Admins’, den Benutzer root und dem Benutzer Administrator selbst bearbeitet (write) werden darf. Alle anderen dürfen das Objekt nur lesen.
access to dn="uid=Administrator,cn=users,dc=13test26,dc=de"
by group/univentionGroup/uniqueMember="cn=Domain Admins,cn=groups,dc=13test26,dc=de" write
by dn.base="uid=root,cn=users,dc=13test26,dc=de" write
by self write
by * read break
Eine Lösung für Ihr erstes Problem wäre dann zwei Gruppen anzulegen und diese mit den entsprechenden Rechten (ACLs) auszustatten, damit sie die Computer- bzw. Benutzer-Objekte bearbeiten können.
Wenn Sie die ACLs bearbeiten wollen, sind dabei zwei Dinge zu beachten:
[ol]
[li] Fehler in den ACL-Definition können dazu führen, dass Unberechtigte Zugriff auf eigentlich geschützte Daten erhalten[/li]
[li] Die Konfigurationsdatei /etc/ldap/slapd.conf wird in einem Univention Baseconfig Template verwaltet, d.h. wenn Sie zusätzliche ACLs definieren wollen dann sollten Sie unter /etc/univention/templates/files/etc/ldap/slapd.conf.d/ eine neue Datei anlegen in der dann Ihre ACLs separat definiert werden können.[/li][/ol]
Zu ihrem zweiten Problem: Mit dem Univention Admin können nur Freigaben verwaltet werden, die auf einem anderen UCS System liegen.
In dem Zusammenhang eine interessante Erweiterung wird der neue Univention Admin bieten, der mit UGS 1.3 ausgeliefert wird. Wenn man mit Gruppen von Administratoren arbeitet, die unterschiedliche Rechte haben sollen, bietet der neue Univention Admin Möglichkeiten dies auch in der Ansicht im Web-Admin darzustellen.
Die neue Version bietet die Möglichkeit über Richtlinien zu definieren, wer bzw. welche Gruppe von Benutzern, welche Objekte im Univention Admin sehen kann. Dabei können einzelne Admin Module versteckt und Assistenten ausgeblendet werden.
Dies ersetzt nicht die ACLs, aber bietet eine Erweiterung und Verbesserung der Bedienbarkeit im Univention Admin.
Hallo,
wie würde denn ein ACL-Eintrag für eine Gruppe ausehen, die das Recht haben soll, auf einen Cotainer innerhalb einer OU Benutzer und Gruppen anzulegen, sowie zu modifizieren?
z.B “cn=testgruppe,cn=Groups,ou=Verwaltung,dc=test,dc=local” soll im Container
dn=“cn=User,ou=Verwaltung,dc=test,dc=local” Benutzer anlegen und modifizieren dürfen.
Würde dieser Eintrag dann in "etc/univention/templates/files/etc/ldap/slapd.conf.d/ eine eigene Konfigurationsdatei bekommen, zB. 80testgruppe und würde man mit univention-baseconfig commit /etc/ldap/slapd.conf diese Konfigurationdatei in das laufende System einbinden können?
MfG
Hallo,
Wie genau LDAP ACLs definiert werden und welche Möglichkeiten existieren können Sie am besten in der man-Page zur slapd.conf Konfigurationsdatei nachlesen bzw. unter folgender URL gibt es eine detaillierte Beschreibung zu LDAP ACLs. Weitere Beispiele können Sie auch in der slapd.conf auf einem UCS Master finden.
http://sapiens.wustl.edu/~sysmain/info/openldap/openldap_configure_acl.html
Dabei ist zu beachten, dass die LDAP ACLs, die einer Gruppe die Rechte geben Benutzer-Objekte anzulegen bzw. zubearbeiten, sich nicht nur auf den Container beschränken dürfen in dem die Objekte angelegt werden sollen. Gerade bei Benutzer-Objekten (aber auch bei Gruppen) werden noch Rechte in weiteren Containern benötigt. Beispielsweise unterhalb von cn=temporary,cn=univention, werden während des Anlegens eines Benutzers temporäre Objekte erstellt. Des weiteren werden eventuell Gruppen-Objekte verändert um dort die Mitgliedschaft des neuen Benutzers einzutragen.
Richtig ist, dass Sie die Konfigurationsdatei mit den LDAP ACLs in dem genannten Verzeichnis ablegen müssen. Dort befinden sich die Dateien, die zuammen die slapd.conf ergeben. Allerdings reicht es nicht aus eine neue Datei in das Verzeichnis zu kopieren. Diese muss zuvor mittels Univention Baseconfig registriert werden ansonsten wird sie bei der Erzeugung der Konfigurationsdatei ignoriert.
Mit freundlichen Grüßen
Andreas Büsching