8.1. Verwaltung der Rechnerkonten über Univention Management Console Modul#

Alle UCS-, Linux- und Windowssysteme innerhalb einer UCS-Domäne verfügen über ein Rechner-Domänenkonto, mit dem sich die Systeme untereinander authentifizieren und mit dem sie auf das LDAP-Verzeichnis zugreifen.

Das Rechnerkonto wird in der Regel automatisch beim Join des Systems zur UCS-Domäne angelegt (siehe Domänenbeitritt), das Rechnerkonto kann jedoch auch vor dem Domänenbeitritt angelegt werden.

Das Passwort für das Rechnerkonto wird beim Domänenbeitritt automatisch erzeugt und in der Datei /etc/machine.secret gespeichert. Das Passwort umfasst in der Grundeinstellung 20 Zeichen (konfigurierbar über die Univention Configuration Registry Variable machine/password/length). Das Passwort wird in festen Intervallen automatisch neu generiert (in der Grundeinstellung 21 Tage, konfigurierbar über die Univention Configuration Registry Variable server/password/interval). Die Passwortrotation kann über die Variable server/password/change auch deaktiviert werden.

Für jede Systemrolle existiert ein eigenständiger Rechnerobjekttyp. Weitergehende Hinweise zu den einzelnen Systemrollen finden sich in UCS-Systemrollen.

Rechnerkonten werden im UMC-Modul Rechner verwaltet.

In der Grundeinstellung wird zum Anlegen eines Rechners ein vereinfachter Assistent angezeigt, der nur die wichtigsten Einstellungen abfragt. Durch einen Klick auf Erweitert werden alle Attribute angezeigt. Ist dem ausgewählten Netzwerk-Objekt (siehe Netzwerk-Objekte) eine DNS-Forward-Zone und/oder eine DNS-Reverse-Zone zugeordnet (siehe Verwaltung von DNS-Daten mit BIND), wird für den Rechner automatisch ein Host-Record und/oder Pointer-Record angelegt. Ist für das Netzwerk-Objekt ein DHCP-Service konfiguriert und eine MAC-Adresse angegeben, wird ein DHCP-Rechner-Eintrag angelegt (siehe IP-Vergabe über DHCP).

Der vereinfachte Assistent kann für alle Systemrollen deaktiviert werden, indem die Univention Configuration Registry Variable directory/manager/web/modules/computers/computer/wizard/disabled auf true gesetzt wird.

Anlegen eines Rechners im UMC-Modul

Abb. 8.1 Anlegen eines Rechners im UMC-Modul#

Erweiterte Rechneransicht

Abb. 8.2 Erweiterte Rechneransicht#

8.1.1. Modul Rechnerverwaltung - Reiter Allgemein#

Tab. 8.1 Reiter Allgemein#

Attribut

Beschreibung

Name

In dieses Eingabefeld muss der Rechnername eingetragen werden.

Um die Kompatibilität mit verschiedenen Betriebssystemen und Diensten zu gewährleisten, sollten Rechnernamen ausschließlich die Buchstaben a bis z in Kleinschreibung, Zahlen, Bindestriche und Unterstriche enthalten. Umlaute und Sonderzeichen sind nicht erlaubt. Der Punkt wird als Trennzeichen zwischen den einzelnen Bestandteilen eines voll qualifizierten Domänennamens interpretiert und darf deswegen nicht innerhalb des Rechnernamens verwendet werden. Rechnernamen sollten mit einem Buchstaben beginnen.

Microsoft Windows akzeptiert nur Rechnernamen mit maximal 13 Zeichen, so dass man sich bei Rechnernamen grundsätzlich auf 13 Zeichen beschränken sollte, sofern nicht ausgeschlossen ist, dass Microsoft Windows zum Einsatz kommen wird.

Der Rechnername kann nach dem Anlegen nur bei den Systemrollen Windows Workstation/Server, macOS Client und IP-Client verändert werden.

Beschreibung

Für den Rechner kann in diesem Eingabefeld eine beliebige Beschreibung hinterlegt werden.

Inventarnummer

Hier können Inventarnummern für Rechner hinterlegt werden.

Netzwerk

Der Rechner kann einem bereits angelegten Netzwerk-Objekt zugeordnet werden. Hinweise zur IP-Konfiguration finden sich in Netzwerk-Objekte.

MAC-Adresse

An dieser Stelle kann die MAC-Adresse des Rechners eingetragen werden, z.B. 2e:44:56:3f:12:32. Soll der Rechner einen DHCP-Eintrag erhalten, ist die Angabe der MAC-Adresse zwingend erforderlich.

IP-Adresse

Hier können feste IP-Adressen für den Rechner eingegeben werden. Weitere Hinweise zur IP-Konfiguration finden sich in Netzwerk-Objekte.

Wenn auf der Karteikarte Allgemein ein Netzwerk ausgewählt wurde, wird die IP-Adresse, die dem Rechner aus dem Netzwerk automatisch zugewiesen wurde, hier angezeigt.

Eine hier (also im LDAP-Verzeichnis) eingetragene IP-Adresse kann dem Rechner nur über DHCP zugewiesen werden. Sollte kein DHCP-Server verwendet werden, so muss die IP-Adresse auch lokal auf dem Rechner konfiguriert werden, siehe Netzwerk Konfiguration.

Werden die eingetragenen IP-Adressen eines Rechners ohne Wechsel der DNS-Zonen geändert, werden diese im Rechner-Objekt und - soweit vorhanden - auch automatisch in den DNS-Einträgen in der Forward und Reverse Lookup Zone geändert. Falls die IP-Adresse des Rechners noch an anderen Stellen eingetragen wurde, müssen diese Einträge manuell geändert werden! Wurde beispielsweise in einer DHCP-Boot-Richtlinie nicht der Name des Boot-Servers, sondern seine IP-Adresse dort eingetragen, muss diese IP-Adresse manuell durch das Bearbeiten der Richtlinie angepasst werden.

Forward-Zone für DNS-Eintrag

Die DNS-Forward-Zone, in die der Rechner eingetragen wird. Die Zone dient der Auflösung des Rechnernamens in die zugewiesene IP-Adresse. Hinweise zur IP-Konfiguration finden sich in Netzwerk-Objekte.

Reverse-Zone für DNS-Eintrag

Die DNS-Reverse-Zone, in die der Rechner eingetragen wird. Mit der Zone wird die IP-Adresse des Rechners in einen Rechnernamen aufgelöst. Hinweise zur IP-Konfiguration finden sich in Netzwerk-Objekte.

Service für DHCP-Eintrag

Wenn ein Rechner seine IP-Adresse über DHCP beziehen soll, muss hier ein DHCP-Service zugeordnet werden. Hinweise zur IP-Konfiguration finden sich in Netzwerk-Objekte.

Bei der Zuweisung muss darauf geachtet werden, dass die DHCP-Server des DHCP-Service-Objekts für das physikalische Netzwerk zuständig sind.

Wurde auf der Karteikarte Allgemein ein Netzwerk ausgewählt, wird automatisch ein für das Netzwerk passender Eintrag hinzugefügt, der nachträglich manuell angepasst werden kann.

8.1.2. Modul Rechnerverwaltung - Reiter Konto#

Tab. 8.2 Reiter Konto (erweiterte Einstellungen)#

Attribut

Beschreibung

Passwort

Das Passwort des Rechnerkontos wird in der Regel automatisch erstellt und rotiert. Für Sonderfälle wie die Einbindung externer Systeme kann es in diesem Feld auch explizit konfiguriert werden.

Dasselbe Passwort muss dann auch lokal auf dem Rechner in die Datei /etc/machine.secret eingetragen werden.

Primäre Gruppe

In diesem Auswahlfeld kann die primäre Gruppe des Rechners selektiert werden. Das ist nur notwendig, wenn von den automatisch eingestellten Vorgabewerten abgewichen werden soll. Der Vorgabewert für einen Primary Directory Node oder Backup Directory Node lautet DC Backup Hosts, für einen Replica Directory Node DC Slave Hosts und für Managed Nodes Computers.

8.1.3. Modul Rechnerverwaltung - Reiter Unix-Konto#

Tab. 8.3 Reiter Unix-Konto (erweiterte Einstellungen)#

Attribut

Beschreibung

UNIX Heimatverzeichnis (*)

In diesem Eingabefeld kann ein abweichendes Heimatverzeichnis für das Rechner-Konto eingetragen werden. Der automatisch eingestellte Vorgabewert für das Heimatverzeichnis lautet /dev/null.

Login Shell

Falls eine vom Vorgabewert abweichende Login-Shell für das Rechner-Konto verwendet werden soll, kann die Login-Shell in diesem Eingabefeld manuell angepasst werden. Der automatisch eingestellte Vorgabewert sieht /bin/sh als Login-Shell vor.

8.1.4. Modul Rechnerverwaltung - Reiter Dienste#

Tab. 8.4 Reiter Dienste (erweiterte Einstellungen)#

Attribut

Beschreibung

Dienst

Mit einem Dienst-Objekt können Applikationen oder Dienste feststellen, ob auf einem Rechner oder generell in der Domäne ein Dienst verfügbar ist.

Bemerkung

Der Reiter Dienste wird nur auf UCS-Systemrollen angezeigt.

8.1.5. Modul Rechnerverwaltung - Reiter (Re)installation#

Dieser Reiter wird für den Univention Net Installer verwendet, siehe Extended installation documentation [6].

8.1.6. Modul Rechnerverwaltung - Reiter DNS-Alias#

Tab. 8.5 Reiter DNS Alias (Erweiterte Einstellungen)#

Attribut

Beschreibung

Zone für DNS-Alias

Wenn für den Rechner im Feld Forward Lookup Zone für DNS-Eintrag ein Zoneneintrag zur Vorwärtsauflösung eingerichtet wurde, können hier zusätzlich Alias-Einträge konfiguriert werden, über die der Rechner erreichbar ist.

8.1.7. Modul Rechnerverwaltung - Reiter Dienste#

Tab. 8.6 Reiter Alerts (erweiterte Einstellungen)#

Attribut

Beschreibung

Überwachungsalarme zuweisen

Legt fest, welche Monitoring Alert Prüfungen für diesen Rechner ausgeführt werden, siehe Konfiguration der Alarme.

8.1.8. Modul Rechnerverwaltung - Reiter Gruppen#

In diesem Reiter kann der Rechner in verschiedene Gruppen aufgenommen werden.

8.1.9. Modul Rechnerverwaltung - Reiter Optionen#

Der Reiter ermöglicht es, einzelne LDAP-Objektklassen für den Rechner zu konfigurieren. Die Eingabefelder für Attribute abgewählter Objektklassen werden dann nicht angezeigt. Nicht alle Objektklassen können nachträglich verändert werden.

Tab. 8.7 Reiter (Optionen)#

Attribut

Beschreibung

Kerberos Prinzipal

Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklassen krb5Principal und krb5KDCEntry nicht.

POSIX Konto

Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklasse posixAccount nicht.

Samba-Konto

Ist dieses Auswahlkästchen nicht markiert, erhält der Rechner die Objektklasse sambaSamAccount nicht.

8.1.10. Integration von Ubuntu-Clients#

Ubuntu-Clients können mit einer eigenen Rechnerrolle im UMC-Modul Rechner verwaltet werden. Die Netzwerkeigenschaften für DNS/DHCP können dabei ebenfalls dort verwaltet werden.

Die Anwendung von Richtlinien wird nicht unterstützt.

Auf den Ubuntu-Systemen müssen einige Konfigurationsanpassungen vorgenommen werden, die in Extended domain services documentation [2] beschrieben sind.