Blocklisten Modul

8.1. Blocklisten Modul#

Deployment — Kubernetes & UCS Appliance

Das Blocklisten Verwaltungsmodul erscheint in beiden Implementierungen.

Blocklisten ist ein Verwaltungsmodul, das die Konfiguration von Blocklisten für UDM Eigenschaften ermöglicht. Sie finden das Modul in der Kategorie Domäne in der Management UI.

Wenn ein Administrator oder eine Software eine UDM Eigenschaft auf einem UDM Objekt modifiziert oder entfernt, fügt die Blockliste automatisch einen Eintrag über diese Eigenschaft mit ihrem Wert in die Blockliste ein. Der Eintrag in der Blockliste verhindert, dass ein anderes UDM Objekt denselben Wert der UDM Eigenschaft verwenden kann. Blocklisten arbeiten auf der UDM Ebene.

Sie wollen z.B. verhindern, dass Nubus die Werte der UDM Eigenschaft mailPrimaryAddress der UDM Objekte user wiederverwendet. Sie konfigurieren eine Blockliste für die UDM Eigenschaft mailPrimaryAddress. Wenn Sie dann den Wert chef@example.com für die UDM Eigenschaft mailPrimaryAddress aus einem UDM Benutzerobjekt entfernen, erzeugt die UDM Blockliste einen Eintrag für diesen Wert. Wenn Sie den Wert von james@example.com auf john@example.com für die UDM Eigenschaft mailPrimaryAddress ändern, erzeugt die UDM Blockliste einen weiteren Eintrag für james@example.com. Im Beispiel verhindern die UDM Blocklisten die Wiederverwendung der Werte chef@example.com und james@example.com. Sie können sie nicht in anderen UDM Benutzerobjekten für die UDM Eigenschaft mailPrimaryAddress verwenden.

8.1.1. Blocklisten aktivieren#

Bevor Sie Blocklisten verwenden können, müssen Sie sie aktivieren.

Die UCS-Systeme, in denen Sie UDM Objekte verwalten, müssen mindestens auf Version UCS 5.0 erratum 974 oder UCS 5.2-0 sein.

Um Blocklisten zu aktivieren, müssen Sie auf allen UCS-Systemen, wo Sie UDM Objekte verwalten, die UCR-Variable directory/manager/blocklist/enabled auf den Wert true setzen.

In Nubus for Kubernetes sind Blocklisten standardmäßig aktiviert.

8.1.2. Blocklisten konfigurieren#

Sie können Blocklisteneinträge im Blocklists Verwaltungsmodul in der Management UI erstellen, auflisten und entfernen.

Für jede Blockliste müssen Sie die folgenden Eigenschaften festlegen:

Name

Definiert einen menschenlesbaren Namen für die Blockliste zur späteren Identifizierung.

Aufbewahrungszeit

Legt die Aufbewahrungszeit für Einträge in dieser Blockliste fest. Die Aufbewahrungszeit ist die Zeitspanne, die ablaufen muss, um automatisch Einträge aus der Blockliste zu entfernen. Zum Beispiel 1m 20d, was einen Monat und zwanzig Tage ergibt.

Zu blockierende Eigenschaften

Definiert die UDM Module und ihre Eigenschaften, die die Blockliste vor Wiederverwendung schützt.

8.1.3. Einträge in der Blockliste verwalten#

Sie können die Einträge in der Blockliste im Blocklisten Verwaltungsmodul verwalten.

Bei aktivierten Blocklisten erzeugt UDM automatisch Einträge in der konfigurierten Blockliste, wenn Sie einen Wert aus einer UDM Eigenschaft eines UDM Objekts entfernen. UDM löscht automatisch abgelaufene Einträge aus der Blockliste.

Jeder Blocklisteneintrag hat die folgenden Eigenschaften:

Wert

Ein SHA-256-Hash repräsentiert den Wert, den die Blockliste von der Wiederverwendung blockiert. Der UDM Eigenschaftswert ist ein Klartextwert. Bevor UDM den Blocklisteneintrag erstellt, konvertiert es den Wert in Kleinbuchstaben. Alle Groß- und Kleinbuchstabenvarianten des Wertes passen dann zum Blocklisteneintrag, wenn er von UDM geprüft wird.

Gesperrt bis

Der Zeitstempel, zu dem der Eintrag in der Blockliste abläuft. Er verwendet das GeneralizedTime-LDAP-Syntax Format.

Wenn UDM einen Blocklisteneintrag erstellt, nimmt es das aktuelle Datum und die Uhrzeit, addiert die konfigurierte Aufbewahrungszeit der entsprechenden Blockliste und schreibt das Ergebnis in Gesperrt bis.

Das Ändern der Aufbewahrungszeit der Blockliste aktualisiert nicht die Eigenschaft Gesperrt bis des Blocklisteneintrags.

ID des Ursprungs

Die ID des UDM Objekts, das den Eintrag in der Blockliste verursacht hat. Sie können weiterhin den Wert des Blocklisteneintrags für dieses UDM Objekt verwenden.

Wichtig

Die Auflistung der Blocklisteneinträge gibt Ihnen nur die Hashes der blockierten Werte.

Dennoch können Sie nach dem Klartextwert eines bestimmten Eintrags suchen, zum Beispiel, wenn Sie diesen Eintrag löschen wollen. Quellcode 8.1 zeigt die Befehle.

Quellcode 8.1 Befehle zum Auflisten und Suchen von Klartextwerten#
$ udm blocklists/entry list
DN: cn=sha256:a859cd5964b6ac...,cn=emails,cn=blocklists
DN: cn=sha256:b859cd5964b6ac...,cn=emails,cn=blocklists
DN: cn=sha256:c859cd5964b6ac...,cn=emails,cn=blocklists

$ udm blocklists/entry list --filter value=blocked_email@example.com
DN: cn=sha256:c859cd5964b6ac...,cn=emails,cn=blocklists

Nubus for Kubernetes bietet den Befehl udm nicht an, um nach dem Klartext eines bestimmten Eintrags zu suchen.

8.1.4. Abgelaufene Blocklisteneinträge#

Jeder Eintrag in einer Blockliste hat eine Eigenschaft Gesperrt bis. Blocklisteneinträge verfallen nach Ablauf des Zeitstempels. Ein Cron-Job auf dem UCS Primary Directory Node löscht abgelaufene Blocklisteneinträge.

Sie können konfigurieren, wie oft Cron den Job mit der UCR-Variable directory/manager/blocklist/cleanup/cron ausführt. Die Protokolldatei /var/log/univention/blocklist-clean-expired-entries.log listet die abgelaufenen Einträge, die UDM gelöscht hat.