8.6. Richtlinien Modul

Deployment — Kubernetes & UCS Appliance

Das Richtlinien Verwaltungsmodul erscheint in beiden Implementierungen.

Nubus bietet das Richtlinien Verwaltungsmodul, um administrative Einstellungen in Richtlinien vorzunehmen.

Richtlinien definieren administrative Einstellungen, die Sie auf mehrere Verzeichnisobjekte im Verzeichnisdienst anwenden können. Sie vereinfachen die Verwaltung, indem Sie sie mit Containern verbinden. Nubus wendet die Richtlinien dann auf alle Verzeichnisobjekte innerhalb dieses Containers und seiner Untercontainer an. Werte vererben sich in der Hierarchie der Verzeichnis-Container. Nubus wendet den Wert an, der dem Objekt am nächsten liegt.

Wenn Sie beispielsweise das gleiche Passwort-Ablaufintervall für alle Benutzer an einem Standort durchsetzen möchten, erstellen Sie einen dedizierten Container für diese Benutzer. Nach dem Verschieben der Benutzerobjekte in diesen Container weisen Sie ihm eine Passwort-Richtlinie zu. Diese Richtlinie gilt dann für alle Benutzerobjekte innerhalb des Containers.

Richtlinien definieren jedoch einige Werte als festgelegte Attribute. Untergeordnete Richtlinien können diese Werte nicht überschreiben. Jede Richtlinie gilt für einen spezifischen Typ von UMC Domänen-Objekten, wie Benutzer oder DHCP-Subnetze.

Das Richtlinien Verwaltungsmodul finden Sie in der Kategorie Domäne in der Management UI. Wenn Sie das Verwaltungsmodul öffnen, zeigt es mehrere Richtlinien an. Der Abschnitt Referenzierende Objekte in einer Richtlinie listet alle Container oder LDAP-Objekte im Verzeichnisdienst auf, für die eine Richtlinie gilt. Die erweiterten Einstellungen enthalten einige allgemeine Richtlinienoptionen, die normalerweise nur in spezifischen Situationen erforderlich sind.

Die folgende Liste verweist auf Beschreibungen von Richtlinienarten:

• Passwort-Richtlinieneinstellungen

• Konfiguration von Clients durch DHCP Richtlinien

Um die spezifischen Richtlinien zu sehen, die auf ein beliebiges Verzeichnisobjekt angewendet werden, gibt es je nach Plattform folgende Möglichkeiten.

UCS Appliance

Verwenden Sie das Kommandozeilenprogramm univention-policy-result, um die spezifischen Richtlinien anzuzeigen, die auf ein beliebiges Verzeichnisobjekt angewendet werden.

Nubus for Kubernetes

Nubus für Kubernetes verfügt nicht über einen expliziten Befehl, um spezifische Richtlinien anzuzeigen, die auf ein beliebiges Verzeichnisobjekt angewendet werden.

8.6.1. Eine Richtlinie erstellen

Sie können Richtlinien mit dem Richtlinien Verwaltungsmodul verwalten. Die Bedienung ist dieselbe wie für die in Univention Management Console-Module beschriebenen Funktionen. Die entsprechenden Kapitel beschreiben die Attribute und Eigenschaften von Richtlinien, beispielsweise für Attribute und Eigenschaften bezüglich DHCP, siehe DHCP Modul.

Wichtig

Richtliniennamen dürfen keine Umlaute enthalten.

Um eine Richtlinie zu erstellen, öffnen Sie das Verwaltungsmodul Richtlinien und klicken Sie Hinzufügen. Wählen Sie die Richtlinie und den Container für die Speicherung aus. Klicken Sie Weiter.

Der Reiter Allgemein listet Attribute auf, die vom Richtlinientyp abhängen. Der Reiter Erweiterte Einstellungen listet die folgenden Felder auf:

LDAP-Filter

Sie können einen LDAP-Filterausdruck angeben. Ein Verzeichnisobjekt muss diesem Filter entsprechen, damit Nubus die Richtlinie anwendet.

Benötigte Objektklasse

Geben Sie die LDAP-Objektklassen an, die ein Objekt haben muss, damit Nubus die Richtlinie anwendet. Wenn beispielsweise eine Benutzerrichtlinie nur für Windows-Umgebungen relevant ist, können Sie die Objektklasse sambaSamAccount voraussetzen.

Ausgeschlossene Objektklasse

Ähnlich wie bei der Konfiguration erforderlicher Objektklassen können Sie auch Objektklassen zum Ausschließen auflisten.

Festgelegtes Attribut

Wählen Sie Attribute aus, deren Werte untergeordnete Richtlinien nicht ändern können.

Leeres Attribut

Wählen Sie Attribute aus, die in der Richtlinie auf leer gesetzt werden sollen. Nubus speichert die Attribute ohne Wert. Dies ist nützlich, um Werte zu entfernen, die ein Objekt von einer übergeordneten Richtlinie geerbt hat. Untergeordnete Richtlinien können dann diesen Attributen andere Werte zuweisen.

8.6.2. Richtlinien zuweisen

Sie können Richtlinien auf folgende Arten zuweisen:

1. An die LDAP-Basis, an einen Container oder an eine Organisationseinheit (OU). Um eine Richtlinie zuzuweisen, verwenden Sie den LDAP Verzeichnis-Browser, öffnen Sie ein Verzeichnisobjekt und navigieren Sie zum Reiter Richtlinien in den Eigenschaften des Verzeichnisobjekts.

2. Die Verwaltungsmodule von Verzeichnisobjekten haben den Reiter Richtlinien. Der Reiter listet verfügbare Richtlinien auf, beispielsweise für Benutzer. Sie können hier eine bestimmte Richtlinie für einen Benutzer angeben.

Der Reiter Richtlinien funktioniert in beiden Fällen identisch. Beim Zuweisen von Richtlinien zu einem Verzeichnis-Container können Sie jedoch aus allen verfügbaren Richtlinientypen wählen. Beim Zuweisen von Richtlinien zu einem einzelnen Verzeichnisobjekt sehen Sie nur die Richtlinientypen, die für dieses Objekt anwendbar sind.

Sie weisen eine Richtlinie dem Verzeichnisobjekt oder Container innerhalb des Abschnitts Richtlinien zu. Die resultierenden Werte aus der Richtlinie werden direkt angezeigt. Wenn ein Objekt Einstellungen von einer übergeordneten Richtlinie erbt, übernimmt es diese Einstellungen, falls eine übergeordnete Richtlinie existiert.

Wenn Sie ein Verzeichnisobjekt mit einer Richtlinie verknüpfen oder es Einstellungen erbt, die nicht darauf anwendbar sind, haben diese Einstellungen keine Auswirkung. Dies ermöglicht es Ihnen, eine Richtlinie dem Basiseintrag des LDAP-Verzeichnisses zuzuweisen und sie für alle Objekte in der Domäne gültig zu machen, die die Richtlinie anwenden können. Verzeichnisobjekte, die die Richtlinie nicht anwenden können, bleiben unberührt.

8.6.3. Richtlinien bearbeiten

Sie können Richtlinien im Verwaltungsmodul Richtlinien bearbeiten und löschen. Weitere Details zur Oberfläche finden Sie unter Univention Management Console-Module.

Vorsicht

Wenn Sie eine Richtlinie bearbeiten, ändern Sie die Einstellungen für alle damit verknüpften Objekte. Die aktualisierten Richtlinienwerte gelten sowohl für bestehende als auch für zukünftige Objekte, die mit der Richtlinie verknüpft sind.

Sie können auch die aktuell angewendete Richtlinie für einzelne Verzeichnisobjekte mit dem Button Richtlinie bearbeiten auf dem Reiter Richtlinie bearbeiten.