4.7. Richtlinien#

Richtlinien beschreiben administrative Einstellungen, die sinnvoll auf mehr als ein Objekt angewendet werden können. Sie erleichtern die Administration, in dem sie an Container gebunden werden und dann für alle in dem betreffenden Container befindlichen Objekte, sowie die in Unterordnern befindlichen Objekte gelten. Die Einstellungen werden nach dem Prinzip der Vererbung angewendet. Auf ein Objekt wird immer der Wert angewandt, der dem Objekt am nächsten liegt.

Soll z.B. für alle Benutzer eines Standorts das gleiche Passwortablaufintervall definiert werden, kann für diese Benutzer ein eigener Container angelegt werden. Nachdem die Benutzer-Objekte in den Container verschoben wurden, kann eine Passwort-Richtlinie mit dem Container verknüpft werden. Diese Richtlinie gilt für alle enthaltenen Benutzer-Objekte.

Eine Ausnahme bilden Werte, die in einer Richtlinie als festgelegte Attribute gesetzt wurden. Diese können von nachgeordneten Richtlinien nicht überschrieben werden.

Mit dem Kommandozeilenprogramm univention-policy-result kann detailliert angezeigt werden, welche Richtlinie auf ein Verzeichnisdienstobjekt greift.

Jede Richtlinie gilt für einen bestimmten UMC-Domänenobjekttyp, also z.B. für Benutzer oder DHCP-Subnetze.

4.7.1. Anlegen einer Richtlinie#

Richtlinien können über das Richtlinien-Modul der Univention Management Console verwaltet werden. Die Bedienung erfolgt analog zu den in Univention Management Console-Module beschriebenen Funktionen.

Die Attribute und Eigenschaften der Richtlinien sind in den entsprechenden Kapiteln beschrieben, also die DHCP-Richtlinien beispielsweise im Netzwerk-Kapitel.

Die Namen von Richtlinien dürfen keine Umlaute enthalten.

Unter Referenzierende Objekte findet sich eine Aufstellung aller Container oder LDAP-Objekte, mit denen diese Richtlinie aktuell verknüpft ist.

In den erweiterten Einstellungen einer Richtlinie können einige allgemeine Richtlinien-Optionen gesetzt werden, die in der Regel nur für Sonderfälle nötig sind.

LDAP Filter

Ein LDAP Filter Ausdruck kann hier angegeben werden, der die Anwendung der Richtlinie auf solche Objekte einschränkt, die dem angegebenen Filter genügen.

Benötigte Objektklassen

Hier können LDAP-Objektklassen angegeben werden, die ein Objekt besitzen muss, damit die Richtlinie auf dieses Objekt greift. Wenn etwa eine Benutzerrichtlinie nur für Windows-Umgebungen relevant ist, könnte hier die Objektklasse sambaSamAccount erzwungen werden.

Ausgeschlossene Objektklassen

Analog zur Konfiguration der benötigten Objektklassen können hier Objektklassen aufgeführt werden, die ausgeschlossen werden sollen.

Festgelegte Attribute

Hier können Attribute ausgewählt werden, deren Werte von nachgeordneten Richtlinien nicht verändert werden dürfen.

Leere Attribute

Hier können Attribute ausgewählt werden, die in der Richtlinie leergesetzt, also ohne Wert gespeichert werden sollen. Dadurch können Werte, die ein Objekt von einer übergeordneten Richtlinie ererbt hat, entfernt werden. In nachgeordneten Richtlinien können den Attributen wieder Werte zugewiesen werden.

4.7.2. Zuweisung von Richtlinien#

Richtlinien werden Objekten auf zwei unterschiedlichen Arten zugewiesen:

  • Eine Richtlinie kann der LDAP-Basis oder einem Container/OU zugewiesen werden. Dazu muss im LDAP-Verzeichnis-Browser (siehe LDAP-Verzeichnis-Browser) in den Eigenschaften des LDAP-Objekts der Reiter Richtlinien geöffnet werden.

  • In den einzelnen UMC Modulen der LDAP-Verzeichnisobjekte - sofern es für den Typ Richtlinien gibt (z.B. für Benutzer) - wird ein Reiter Richtlinien angezeigt. Eine abweichende Richtlinie für einen Benutzer kann an dieser Stelle festgelegt werden.

Der Richtlinien-Konfigurationsdialog ist funktional identisch; allerdings werden bei der Zuweisung von Richtlinien an einem LDAP-Container alle Richtlinien-Typen angeboten, während bei der Zuweisung an einem LDAP-Objekt nur die für diesen Objekt-Typ gültigen Richtlinien angeboten werden.

Unter Richtlinien-Konfiguration kann dem LDAP-Objekt oder dem Container eine Richtlinie zugewiesen werden. Die aus dieser Richtlinie resultierenden Werte werden direkt angezeigt. Die Einstellung Ererbt bedeutet, dass die Einstellungen wieder aus einer übergeordneten Richtlinie - sofern vorhanden - übernommen werden.

Wenn ein Objekt mit einer Richtlinie verbunden ist oder Richtlinien-Einstellungen erbt, die auf das Objekt nicht angewandt werden können, bleiben die Einstellungen ohne Auswirkung für das Objekt. Dadurch ist es z.B. möglich, eine Richtlinie mit der Wurzel des LDAP-Verzeichnisses zu verbinden, die dann für alle Objekte der Domäne, die diese Richtlinie anwenden können, gültig ist. Objekte, die diese Richtlinie nicht anwenden können, werden nicht beeinflusst.

4.7.3. Bearbeiten einer Richtlinie#

Richtlinien können im UMC-Modul Richtlinien bearbeitet und gelöscht werden. Die Bedienung ist in Univention Management Console-Module beschrieben.

Vorsicht

Beim Bearbeiten einer Richtlinie werden die Einstellungen für alle Objekte, die mit dieser Richtlinie verbunden sind, verändert! Diese Werte aus der geänderten Richtlinie gelten also nicht nur für Objekte, die in der Zukunft hinzugefügt werden, sondern auch für diejenigen, die bereits im System eingetragen und mit der Richtlinie verbunden sind.

Im Richtlinien-Reiter der einzelnen LDAP-Objekte findet sich außerdem die Schaltfläche Bearbeiten, mit der die aktuell für dieses Objekt gültige Richtlinie bearbeitet werden kann.