6. Benutzerverwaltung

UCS integriert ein zentrales Identity-Management. Alle Benutzerinformationen werden in UCS zentral über das UMC-Modul Benutzer verwaltet und im LDAP-Verzeichnisdienst gespeichert.

Bemerkung

Die Benutzerverwaltung ist Teil von Univention Nubus in der Directory Manager Komponente. Weitere Informationen zu Nubus finden Sie unter Was ist Univention Nubus?

Alle in die Domäne integrierten Dienste greifen dabei auf die zentralen Kontoinformationen zu, d.h. für die Benutzeranmeldung an einem Windows-Client wird die gleiche Benutzerkennung und das gleiche Passwort verwendet wie etwa bei der Anmeldung am IMAP-Server.

Die domänenweite Verwaltung von Benutzerdaten verringert den administrativen Aufwand, da Änderungen nicht auf verschiedenen Einzelsystemen nachkonfiguriert werden müssen. Darüber hinaus vermeidet dies Folgefehler, die sich durch Inkonsistenzen zwischen den einzelnen Datenbeständen ergeben können.

Arten von Benutzerkonten

In UCS gibt es drei unterschiedliche Arten von Benutzerkonten:

1. Vollwertige Benutzerkonten: Normale, vollwertige Benutzerkonten haben sämtliche verfügbaren Eigenschaften. Diese Benutzer können sich an UCS- oder Windows-Systemen anmelden und je nach Konfiguration auch an den installierten Apps. Die Benutzer können über das UMC-Modul Benutzer (siehe Verwaltung von Benutzern über Univention Management Console Modul) administriert werden.

2. Adressbucheinträge: Adressbucheinträge können für die Pflege von internen oder externen Kontaktinformationen verwendet werden. Diese Kontakte können sich nicht an UCS- oder Windows-Systemen anmelden. Adressbucheinträge können über das UMC-Modul Kontakte verwaltet werden.

3. Einfaches Authentisierungskonto: Mit einem einfachen Authentisierungskonto wird ein Benutzer-Objekt angelegt, welches ausschließlich einen Benutzernamen und ein Passwort hat. Mit diesem Konto ist ausschließlich eine Authentisierung gegen den LDAP-Verzeichnisdienst möglich, aber keine Anmeldung an UCS- oder Windows-Systemen. Einfache Authentisierungskonten können über das UMC-Modul LDAP-Verzeichnis (siehe LDAP-Verzeichnis-Browser) erstellt werden.

Empfehlung zur Definition von Benutzernamen

Ein sehr wichtiges und erforderliches Attribut für Benutzerkonten ist der Benutzername. Um Konflikte mit den verschiedenen Werkzeugen zu vermeiden, die Benutzerkonten in UCS verarbeiten, folgen Sie diesen Empfehlungen für die Definition von Benutzernamen:

• Verwenden Sie Buchstaben (a-z und A-Z), Ziffern (0-9), Punkte (..), Bindestriche (-) und Unterstriche (_) aus dem ASCII-Zeichensatz in Benutzernamen. Unicode-Zeichen und Umlaute werden ebenfalls unterstützt.

• Der Benutzername muss mit einem Buchstaben, einer Ziffer oder einem Unterstrich beginnen und mit einem Buchstaben, einer Ziffer oder einem Bindestrich enden.

• Verwenden Sie keine Leerzeichen in Benutzernamen.

• Verwenden Sie nicht @, $ oder einer der folgenden Zeichen " / \ [ ] : ; | = , + * ? < >' in Benutzernamen. Diese Zeichen führen zu Fehlern bei der Kerberos-, Active Directory- und Samba-Synchronisation.

Empfohlene Länge von Benutzernamen:

• Um eine breite Kompatibilität mit Windows-Clients und Altsystemen zu gewährleisten, halten Sie Benutzernamen zwischen 4 und 20 Zeichen. Obwohl UCS Benutzernamen mit einem einzelnen Zeichen erlaubt, unterstützen viele externe Systeme diese nicht.

• Benutzernamen mit mehr als 20 Zeichen verursachen Probleme in zwei Situationen:

  • Windows-Clients können sich nicht anmelden, da die Microsoft-Spezifikation den SAM account name auf 20 Zeichen begrenzt.

  • Die Synchronisation mit einer externen Active Directory-Domäne schlägt fehl, da AD das 20-Zeichen-Limit mit einem kritischen Fehler erzwingt.

  • Die Management UI zeigt eine Warnung an, wenn ein Benutzername 20 Zeichen überschreitet.

Die traditionelle Empfehlung folgt diesem regulären Ausdruck: ^[a-z][a-z0-9-]{2,18}[a-z0-9]$. Dieses Muster ist restriktiver als die tatsächliche Validierung im System, die auch Punkte, Unterstriche und Großbuchstaben erlaubt.

Behandeln Sie die zuvor aufgeführten Anforderungen als Richtlinien für breite Kompatibilität, nicht als strikte Durchsetzungsregeln. Beachten Sie mögliche Nebenwirkungen bei der Definition von Benutzernamen außerhalb dieser Richtlinien, besonders bei der Integration mit Altsystemen oder Windows-Clients.

Kapitelinhalte:

• 6.1. Verwaltung von Benutzern über Univention Management Console Modul
  • 6.1.1. Assistent zur Benutzererstellung
  • 6.1.2. Modul Benutzerverwaltung - Reiter Allgemein
  • 6.1.3. Modul Benutzerverwaltung - Reiter Gruppen
  • 6.1.4. Modul Benutzerverwaltung - Reiter Konto
  • 6.1.5. Modul Benutzerverwaltung - Reiter Kontakt
  • 6.1.6. Modul Benutzerverwaltung - Reiter Mail
  • 6.1.7. Modul Benutzerverwaltung - Reiter Optionen
• 6.2. Benutzeraktivierung für Apps
• 6.3. Verwaltung der Benutzerpasswörter
  • 6.3.1. Arten von Passwortrichtlinien
  • 6.3.2. Ändern des Benutzerpassworts
  • 6.3.3. Passwortrichtlinieneinstellungen in UMC
• 6.4. Passwort-Einstellungen für Windows-Clients bei Verwendung von Samba
• 6.5. Benutzer Selbstverwaltung
  • 6.5.1. Passwortwechsel über UCS Portal
  • 6.5.2. Passwort-Verwaltung über Self Service App
  • 6.5.3. Profilverwaltung
  • 6.5.4. Selbstregistrierung
    • 6.5.4.1. Kontoerstellung
    • 6.5.4.2. Verifizierungsmail
    • 6.5.4.3. Kontoverifizierung
  • 6.5.5. Selbst-Deregistrierung
• 6.6. Automatisches Sperren von Benutzern nach fehlgeschlagenen Anmeldungen
  • 6.6.1. Samba Active Directory Dienste
  • 6.6.2. PAM-Stack
  • 6.6.3. OpenLDAP
• 6.7. Benutzervorlagen
• 6.8. Overlay-Modul zur Aufzeichnung der letzten erfolgreichen LDAP-Anmeldung eines Kontos
• 6.9. Wiederverwendung von Benutzereigenschaften verhindern
  • 6.9.1. Aktivieren von Blocklisten
  • 6.9.2. Konfigurieren von Blocklisten
  • 6.9.3. Einträge in der Blockliste verwalten
  • 6.9.4. Abgelaufene Blocklisteneinträge
  • 6.9.5. LDAP ACLs für Blocklisten
• 6.10. Papierkorb
  • 6.10.1. Einschränkungen
  • 6.10.2. Papierkorb aktivieren
  • 6.10.3. Richtlinie für den Papierkorb
  • 6.10.4. Objekte im Papierkorb verwalten
  • 6.10.5. Automatisches Löschen von Einträgen im Papierkorb
  • 6.10.6. Konfiguration über UCR
  • 6.10.7. Protokollinformationen