4.2. Anmelden

UCS stellt eine zentrale Anmeldeseite zur Verfügung. Sie können sich an der UCS Web-Oberfläche mit den Anmeldedaten des jeweiligen Domänenkontos anmelden. Auf dem Portal unter https://FQDN/univention/portal/ können Sie sich auf folgende Weise anmelden:

• Klicken Sie auf die Kachel Login auf der Portalseite.

• Gehen Sie zu Menu ‣ Login.

Das öffnet die Anmeldeseite wie in Abb. 4.2 gezeigt.

Abb. 4.2 UCS Anmeldeseite

Wenn eine Seite im UCS Managementsystem, z. B. ein UMC-Modul, eine Anmeldung erfordert, leitet Ihr Browser Sie zur zentralen Anmeldeseite weiter.

Wenn Sie sich am lokalen UCS-System anmelden, wird die Sitzung im Browser standardmäßig nach 8 Stunden Inaktivität geschlossen. Sie können den Timeout über die UCR-Variable umc/http/session/timeout ändern. Um eine neue Sitzung zu erhalten, muss sich der Benutzer erneut anmelden.

Um sich aus vom UCS Managementsystem abzumelden, klicken Sie im Benutzermenü auf Abmelden.

Durch die Installation einer Anwendung von Drittanbietern, wie z. B. privacyIDEA, ist es möglich, die UCS Web-Oberfläche-Authentifizierung um eine Zwei-Faktor-Authentifizierung (2FA) zu erweitern.

4.2.1. Wählen Sie das richtige Benutzerkonto

Um sich anzumelden, geben Sie in der Anmeldemaske den Benutzernamen und das Passwort des entsprechenden Domänenkontos ein.

Administrator

Wenn Sie sich mit dem Konto Administrator auf einem Primary Directory Node oder Backup Directory Node anmelden, zeigt das UCS-Managementsystem die UMC-Module für die Verwaltung und Konfiguration des lokalen Systems, sowie die UMC-Module für die Verwaltung der Daten in der Domäne an.

Sie haben das initiale Passwort für das Administrator Konto während der Installation im Setup-Assistenten festgelegt. Das Passwort entspricht dem initialen Passwort des lokalen root Kontos. Verwenden Sie das Administrator Konto für die Erstanmeldung an einem neu installierten Primary Directory Node.

root

In einigen Fällen kann es notwendig sein, sich mit dem lokalen root Konto des Systems anzumelden. Weitere Informationen hierzu finden Sie unter Administrativer Zugriff mit dem Root-Konto. Das root Konto ermöglicht nur den Zugriff auf UMC-Module für die Verwaltung und Konfiguration des lokalen Systems.

Andere Benutzerkonten

Wenn Sie sich mit einem anderen Benutzerkonto anmelden, zeigt das UCS Managementsystem die für den Benutzer zugelassenen UMC-Module an. Weitere Informationen zur Zulassung weiterer Module finden Sie unter Delegierte Administration für UMC-Module.

4.2.2. Single Sign-On

Standardmäßig ist Single Sign-On auf der Anmeldeseite für das Portal deaktiviert. Die folgenden Abschnitte beschreiben, wie Sie Single Sign-On aktivieren können. Nach erfolgreicher Anmeldung ist die Sitzung für alle UCS-Systeme der Domäne sowie für Applikationen von Drittanbietern gültig, wenn diese webbasiertes Single Sign-On unterstützen.

Bei der einmaligen Anmeldung wird die Browser-Sitzung nach 8 Stunden Inaktivität geschlossen. Um eine frische Sitzung zu erhalten, muss sich der Benutzer erneut anmelden.

Es ist möglich, die Anmeldung auf dem lokalen System zu erzwingen, indem Sie auf den Link Anmeldung ohne Single Sign On auf der Anmeldeseite klicken, wie Abb. 4.3 zu sehen.

Abb. 4.3 UCS Anmeldeseite für Single Sign-On

4.2.2.1. SAML für Single Sign-On

Bei UCS ist SAML standardmäßig aktiviert. Dieser Abschnitt beschreibt, wie man es für die Anmeldung Schaltflächen im Portal aktiviert. Weitere Informationen zu SAML finden Sie unter SAML Identity Provider.

Aktivieren

Um Single Sign-On über SAML zu aktivieren, gehen Sie wie folgt vor:

1. Stellen Sie sicher, dass alle Benutzer in Ihrer Domäne, die das Portal und das UCS-Managementsystem mit Single Sign-On nutzen wollen, ucs-sso.[Domänenname] erreichen können.

2. Ändern Sie den Univention Configuration Registry Variable portal/auth-mode auf saml mit ucr set. Der Standardwert war ucs.

3. Damit die Änderung wirksam wird, starten Sie den Portal Server mit dem folgenden Befehl neu:

   $ systemctl restart univention-portal-server.service
   

Anmeldelinks aktualisieren

Der Neustart des Portal Servers aktualisiert automatisch den Link Anmelden im Benutzermenü. Sie müssen die Kachel im Portal manuell aktualisieren. Das Standardportal hat eine vorkonfigurierte Kachel zur Anmeldung mit Single Sign-On. Verwenden Sie den Bearbeitungsmodus des Portals, um sie zu aktivieren. Um die Kachel Anmeldung durch die Kachel für die einmalige Anmeldung zu ersetzen, führen Sie die folgenden Schritte aus:

1. Öffnen Sie in der Univention Management Console das UMC-Modul Portal: Domäne ‣ Portal.

2. Um die vorkonfigurierte Kachel zur Anmeldung für SAML zu aktivieren, bearbeiten Sie den Eintrag login-saml, scrollen Sie nach unten zum Abschnitt Erweitert und aktivieren Sie die Checkbox Erweitert.

3. Um die Standard-Kachel zur Anmeldung zu deaktivieren, bearbeiten Sie den Eintrag login-ucs, scrollen Sie nach unten zum Abschnitt Advanced und deaktivieren Sie die Checkbox Advanced.

Um zur Standardanmeldung in UCS ohne Single Sign-On zurückzukehren, müssen Sie müssen Sie die Schritte zum Aktualisieren der Kachel im Portal rückgängig machen und die UCR Variable portal/auth-mode auf ucs setzen.

4.2.2.2. OpenID Connect für Single Sign-On

Warnung

Die Verwendung von OpenID Connect für die einmalige Anmeldung am Portal und am UCS-Managementsystem wird nicht vom Univention-Produktsupport abgedeckt. Verwenden Sie es nicht in Produktionsumgebungen.

Neu in Version 5.0-6-erratum-947: Mit UCS 5.0 erratum 947 haben das Portal und das UCS Management System die Möglichkeit, Single Sign-On mit OpenID Connect durchzuführen. Die Fähigkeit ist standardmäßig deaktiviert.

OpenID Connect (OIDC) ist ein Protokoll, das Single Sign-On ermöglicht. OIDC ist ein einfacheres Protokoll als SAML. Es ist eine Variante für die Verwendung von Single Sign-On im Portal und im UCS-Managementsystem. Dieser Abschnitt beschreibt, wie Sie es mit UCS verwenden.

Anforderungen

Bevor Sie OIDC für Single Sign-On verwenden können, müssen Sie die folgenden Voraussetzungen erfüllen:

1. Sie müssen mindestens UCS 5.0 erratum 947 überall in Ihrer UCS-Domäne installiert haben.

   Informationen zum Upgrade finden Sie unter Aktualisierung von UCS-Systemen.

2. Sie müssen die App Keycloak in Ihrer UCS-Domäne installiert haben.

   Informationen über die Installation von Keycloak finden Sie in Installation in Univention Keycloak app documentation [4].

Aktivieren

Zunächst müssen Sie entscheiden, auf welchen UCS-Systemen Sie Single Sign-On mit OpenID Connect aktivieren möchten. Zweitens müssen Sie die folgenden Schritte auf jedem dieser UCS-Systeme anwenden.

1. Deaktivieren Sie SAML für die Anmeldung am Portal über die UCR-Variable umc/web/sso/enabled, damit die automatische Neuanmeldung nicht zuerst SAML ausprobiert, sondern direkt OIDC verwendet.

   Ändern Sie die Univention Configuration Registry Variable umc/web/oidc/enabled auf true mit ucr set.

   $ ucr set \
      umc/web/sso/enabled=false \
      umc/web/oidc/enabled=true
   

2. Führen Sie das Join-Skript für den UMC Webserver aus:

   $ univention-run-join-scripts \
      --force \
      --run-scripts \
      92univention-management-console-web-server.inst
   

Verifizierung und Logdateien

Um zu überprüfen, ob die Einrichtung funktioniert, öffnen Sie die URL https://FQDN/univention/oidc in einem Webbrowser, z. B. Mozilla Firefox, und melden Sie sich an. Öffnen Sie ein UMC-Modul, z. B. Users, und führen Sie eine Suche durch.

Entsprechende Informationen zur Protokollierung finden Sie an den folgenden Stellen:

• Logdatei: /var/log/univention/management-console.server.log

• journald: journalctl -u slapd.service

Um die Änderungen für die Anmeldemethode im Portal zu übernehmen, müssen Sie die Kachel Anmelden manuell bearbeiten, ähnlich wie bei der Einrichtung mit SAML für Single Sign-On. Der Link muss auf /univention/oidc/ zeigen.

Deaktivieren

Zunächst müssen Sie entscheiden, für welche UCS-Systeme Sie Single Sign-On über OpenID Connect deaktivieren möchten. Zweitens müssen Sie die folgenden Schritte auf jedem dieser UCS-Systeme anwenden.

1. Deaktivieren Sie die Univention Configuration Registry Variable umc/web/oidc/enabled mit ucr unset:

   $ ucr unset umc/web/oidc/enabled
   

2. Entfernen Sie das OIDC RP aus Keycloak mit dem folgenden Befehl:

   $ univention-keycloak oidc/rp remove \
      "$(ucr get umc/oidc/$(hostname -f)/client-id)"
   

3. Setzen Sie alle Univention Configuration Registry Variablen zurück, die Sie mit den folgenden Suchen finden können:

   $ ucr search --brief --key ^umc/oidc
   $ ucr search --brief --key ^ldap/server/sasl/oauthbearer
   

4. Entfernen Sie das OIDC-Geheimnis aus dem System und starten Sie die betroffenen Dienste neu:

   $ rm -f \
      /etc/umc-oidc.secret \
      /usr/share/univention-management-console/oidc/http*
   $ systemctl restart slapd.service univention-manangement-console
   

5. Aktualisieren Sie manuell die Anmelden Kachel im Portal, so dass der Link auf /univention/login/ zeigt.