User UMC Policy wird nicht beachtet,nur UMC Policy der Group

rolandb · January 28, 2014, 7:16pm

Guten Tag

Wir verwenden UCS3.2 und habe hier ein simples Problem. Zur Standard Konfiguration gehören die UMC Policies für Lehrer,Schüler,Mitarberbeiter etc.:

dn: cn=ucsschool-umc-pupils-default,cn=UMC,cn=policies,dc=test,dc=org
dn: cn=ucsschool-umc-teachers-default,cn=UMC,cn=policies,dc=test,dc=org
dn: cn=ucsschool-umc-staff-default,cn=UMC,cn=policies,dc=test,dc=org
dn: cn=ucsschool-umc-admins-default,cn=UMC,cn=policies,dc=test,dc=org

Diese Policies werden jeweils der Standard-Guppen der Schul-OU(hier heisst die Schule “schule”) angehängt hier z.B. der “lehrer-schule”:

dn: cn=lehrer-schule,cn=groups,ou=schule,dc=test,dc=org
univentionPolicyReference: cn=ucsschool-umc-teachers-default,cn=UMC,cn=policies,dc=test,dc=org

Das funktioniert soweit auch ohne Probleme. Nun müssen wir einigen speziellen Benutzer aber andere UMC Policies zuweisen. Die Policies werden erstellt und hier gespeichert:

cn=test-umc-teachers-default,cn=policies,ou=schule,dc=test,dc=org

Diesem Lehrer haben wir sie nun zugewiesen:

dn: uid=lehrer1,cn=lehrer,cn=users,ou=schule,dc=test,dc=org
univentionPolicyReference: cn=test-umc-teachers-default,cn=policies,ou=schule,dc=test,dc=org

Weil aber jeder Lehrer Mitglied der Gruppe “lehrer-schule” ist, wird unsere neue UMC-Policy nicht ausgewertet, sondern es wird immer noch die Standard Policy verwendet, welche der Gruppe zugewiesen ist.

Wie funktioniert hier die Logik? Denn wir haben danach den Account “lehrer1” aus der Gruppe “lehrer-schule” entfernt und siehe da, seine eigene Policy wurde plötzlich aktiv.

Könnte Sie uns das bitte kurz erklären wie die Policy Architektur von UCS genau funktioniert? In den Handbücher konnte ich keine Antworten finden.

Vielen Dank und Grüsse, RolandB

Best · January 31, 2014, 10:10am

Hallo,

Ihr beobachtetes Verhalten ist Korrekt: Die Richtlinien-Auswertung der UMC wertet alle UMC-Richtlinien des Benutzers und ergänzend, die der jeweiligen Gruppen des Benutzers aus. Eine Überschreibung oder Eingrenzung der Gruppenrichtlinien durch die Richtlinien am Benutzer ist momentan nicht vorgesehen.

Um dieses Problem zu Lösen müssen Sie momentan folgende Schritte vornehmen:

Erstellung einer restriktiven UMC-Richtlinie, die keine oder nur minimale UMC-Aktionen erlaubt (z.B. das Computerraum-Modul):

dn: cn=ucsschool-umc-teachers-realschule,cn=policies,ou=realschule,dc=ucs,dc=school
objectClass: univentionPolicy
objectClass: umcPolicy
univentionObjectType: policies/umc
umcPolicyGrantedOperationSet: cn=computerroom-all,cn=operations,cn=UMC,cn=univention,dc=ucs,dc=school

Diese wird der Lehrergruppe zugewiesen (anstelle der Standard-Richtlinie):

dn: cn=lehrer-realschule,cn=groups,ou=realschule,dc=ucs,dc=school
univentionPolicyReference: cn=ucsschool-umc-teachers-realschule,cn=policies,ou=realschule,dc=ucs,dc=school

Erstellung einer Gruppe, die die erweiterten Rechte, der Standard-UMC ACL’s haben soll.

dn: cn=advanced-lehrer-realschule,cn=lehrer,cn=groups,ou=realschule,dc=ucs,dc=school
univentionPolicyReference: cn=ucsschool-umc-teachers-default,cn=UMC,cn=policies,dc=ucs,dc=school

Lehrer, die weiterhin die normalen UMC-Lehrer-Berechtigungen haben sollen, sollten nun in diese Gruppe aufgenommen werden:

dn: cn=advanced-lehrer-realschule,cn=lehrer,cn=groups,ou=realschule,dc=ucs,dc=school
uniqueMember: uid=lehrer2,cn=lehrer,cn=users,ou=realschule,dc=ucs,dc=school

mit freundlichem Gruß
Florian Best

rolandb · January 31, 2014, 2:59pm

Hallo

Danke für die Erklärung. Also die Schnittmenge der beiden Policies auf die Gruppe “lehrer-schule” anwenden und danach eine zusätzliche Gruppe erstellen “lehrer-schule-spezial” dieser Gruppe eine Policy zuweisen mit den zusätzlichen UMC Modulen.
Somit fällt die Policy direkt beim Benutzer weg, was auch gut ist und man steuert alles über die Gruppen.

Finde ich eine gute Lösung. Man sollte die Dokumentation entsprechend erweitern, damit dieses Problem anderen Leuten nicht auch passiert.

Grüsse, RolandB