6.2. Gruppenverwaltung#
Diese Seite beschreibt die Verwaltung von Gruppen in Nubus für UCS. Sie behandelt UCS-spezifische Aspekte der Gruppenerstellung, verschachtelte Gruppen, Caching von Gruppen, Synchronisation von Gruppen mit Active Directory und das Overlay-Modul für Gruppen. Für allgemeine Informationen zur Gruppenverwaltung in Nubus siehe Gruppenverwaltung im Nubus Handbuch 1.x [4].
Zusätzlich zu globalen Gruppen in einer Nubus Domäne gibt es auch lokale Benutzergruppen auf jedem System, die vorwiegend für den Hardware-Zugriff verwendet werden. Lokale Gruppen werden nicht über die Management UI verwaltet, sondern über die Datei /etc/group.
6.2.1. Gruppenerstellung und -zuweisung#
Um Gruppen in Nubus für UCS zu erstellen, folgen Sie dem Abschnitt Gruppenverwaltung im Nubus Handbuch 1.x [4]. Er beschreibt, wie Benutzer zu Gruppen zugewiesen werden. Für eine vollständige Referenz des Gruppen-Verwaltungsmoduls siehe Gruppen Verwaltungsmodul.
Die folgenden Abschnitte ergänzen diese Referenz mit spezifischen Details, die für Nubus für UCS gelten.
Für die Referenz siehe Name im Nubus Handbuch 1.x [4].
Standardmäßig ist es nicht möglich, eine Gruppe mit demselben Namen wie ein bestehender Benutzer zu erstellen. Wenn die UCR-Variable
directory/manager/user_group/uniquenessden Wertfalsehat, führt Nubus diese Prüfung nicht durch.
Für die Referenz siehe Windows ‣ Gruppentyp im Nubus Handbuch 1.x [4].
- Lokale Gruppen
Wenn Sie eine lokale Gruppe auf einem Windows-Server erstellen, erkennt nur dieser Server diese Gruppe. Eine lokale Gruppe ist nicht domänenweit verfügbar. Im Gegensatz dazu unterscheidet Nubus für UCS nicht zwischen lokalen und globalen Gruppen. Nach der Übernahme einer Active Directory-Domäne behandelt Nubus für UCS lokale Gruppen genauso wie Domänengruppen.
6.2.2. Verschachtelte Gruppen#
Für eine Beschreibung verschachtelter Gruppen in Nubus siehe Verschachtelte Gruppen mit Gruppen in Gruppen im Nubus Handbuch 1.x [4]. Zusätzlich gilt Folgendes für verschachtelte Gruppen in Nubus für UCS.
Nubus führt eine Plausibilitätsüberprüfung durch, um zyklische Abhängigkeiten in verschachtelten Gruppen zu erkennen. Um diese Prüfung zu deaktivieren, setzen Sie die UCR-Variable directory/manager/web/modules/groups/group/checks/circular_dependency auf den Wert no. Der Standardwert ist yes. Wenn Sie Gruppen ohne die Management UI ändern, müssen Sie manuell sicherstellen, dass es keine zyklischen Mitgliedschaften gibt.
6.2.3. Caching von Gruppen#
Nubus verwendet das NSS-Modul libnss-extrausers für das Caching von Gruppen. Das Skript /usr/lib/univention-pam/ldap-group-to-file.py exportiert Gruppeninformationen automatisch und schreibt sie in die Datei /var/lib/extrausers/group. Das NSS-Modul liest die Gruppeninformationen dann von dort.
Standardmäßig führt ein Cron-Job den Export einmal täglich aus. Zusätzlich läuft der ldap-group-to-file.py-Export auch, nachdem der Univention Directory Listener 15 Sekunden lang inaktiv war. Sie können das Intervall für die Cron-basierten Cache-Aktualisierungen in Cron-Syntax mit der UCR-Variable nss/group/cachefile/invalidate_interval konfigurieren. Für die Cron-Syntax siehe Definition eigener Cron-Jobs in /etc/cron.d/ im UCS Handbuch [3]. Sie können die Aktualisierung der Gruppen-Cache-Datei über den Univention Directory Listener mit der UCR-Variable nss/group/cachefile/invalidate_on_changes aktivieren oder deaktivieren.
Wenn das Skript ldap-group-to-file.py die Gruppen-Cache-Datei generiert, kann es prüfen, ob die Gruppenmitglieder noch im LDAP-Verzeichnisdienst existieren. Wenn Sie Methoden zur Benutzerverwaltung jenseits des Benutzer- und Gruppen-Verwaltungsmoduls verwenden, können Sie diese zusätzliche Verifizierung aktivieren, indem Sie die UCR-Variable nss/group/cachefile/check_member auf den Wert true setzen.
6.2.4. Synchronisation von Gruppen mit Active Directory#
Wenn Sie Samba in Ihrer Domäne von Nubus für UCS installiert haben, synchronisiert Nubus die Gruppenmitgliedschaften zwischen dem Samba-Verzeichnisdienst und dem OpenLDAP-Verzeichnisdienst über den Univention S4 Connector. Der Connector verknüpft jede Benutzergruppe in Nubus für UCS mit einer Benutzergruppe in Active Directory. Für Informationen über den S4 Connector siehe Univention S4 Connector im UCS Handbuch [3].
Bemerkung
Samba bietet Active Directory-kompatible Funktionalität. Es betreibt einen dedizierten LDAP-Verzeichnisdienst. Der S4 Connector synchronisiert den LDAP-Verzeichnisdienst in Samba mit dem OpenLDAP-Verzeichnisdienst in Nubus für UCS.
Pseudogruppen, auch Systemgruppen genannt, sind Ausnahmen von dieser Synchronisation. Nur Active Directory und Samba verwalten solche Pseudogruppen intern. Zum Beispiel enthält die Benutzergruppe Authenticated Users eine Liste der aktuell in der Domäne angemeldeten Benutzer. Nubus speichert Pseudogruppen in seinem Verzeichnisdienst, aber der S4 Connector synchronisiert sie nicht. Bearbeiten Sie diese Gruppen nicht. Das Verhalten gilt für die folgenden Pseudogruppen:
Anonymous LogonAuthenticated UsersBatchCreator GroupCreator OwnerDialupDigest AuthenticationEnterprise Domain ControllersEveryoneIUSRInteractiveLocal ServiceNTLM AuthenticationNetwork ServiceNetworkNobodyNull AuthorityOther OrganizationOwner RightsProxyRemote Interactive LogonRestrictedSChannel AuthenticationSelfServiceSystemTerminal Server UserThis OrganizationWorld Authority
Active Directory und Samba unterscheiden zwischen den folgenden Gruppentypen. Der S4 Connector synchronisiert diese Gruppen. Im LDAP-Verzeichnisdienst haben die Gruppen Attribute zur Kennzeichnung der Gruppentypen. Allerdings haben die Gruppentypen nur eine Bedeutung in Active Directory. Nubus wertet die Gruppentypen nicht aus.
- Lokal
Lokale Gruppen existieren nur auf einem einzelnen Host. Der S4 Connector synchronisiert in Samba erstellte lokale Gruppen. Daher erscheinen sie auch im Gruppen-Verwaltungsmodul in der Management UI. Es ist nicht erforderlich, lokale Gruppen im Gruppen-Verwaltungsmodul zu erstellen.
- Global
Globale Gruppen sind der Standardtyp, wenn Sie Gruppen im Gruppen-Verwaltungsmodul erstellen. Eine globale Gruppe gilt für eine Domäne, kann aber Mitglieder aus anderen Domänen aufnehmen. Wenn eine Vertrauensbeziehung mit einer Domäne besteht, zeigt das Gruppen-Verwaltungsmodul die Gruppen aus anderen vertrauenswürdigen Domänen an und Sie können ihnen Berechtigungen zuweisen.
Wichtig
Nubus für UCS unterstützt keine mehrfachen Domänen oder Forests oder ausgehende Vertrauensbeziehungen.
- Domain local
Domain local Gruppen können auch Mitglieder aus anderen Domänen einschließen, wenn eine Vertrauensbeziehung besteht oder wenn sie Teil eines Forests sind. Das Gruppen-Verwaltungsmodul zeigt die domain local Gruppen nur in ihrer eigenen Domäne an.
Wichtig
Nubus für UCS unterstützt keine mehrfachen Domänen oder Forests oder ausgehende Vertrauensbeziehungen.
- Universal
Universal Gruppen können Mitglieder aus allen Domänen aufnehmen und diese Mitglieder sind über alle Domänen in einem Forest hinweg sichtbar. Der globale Katalog ist ein separates Segment des Samba-Verzeichnisdienstes und speichert universal Gruppen. Der S4 Connector synchronisiert den globalen Katalog nicht mit OpenLDAP.
Die Funktionalität für Active Directory in Samba unterstützt keine Domänen-Forests.
Sie können die Gruppentypen auf die folgenden Arten von Gruppen anwenden:
- Security Groups
Administratoren verwenden sie, um Berechtigungen zuzuweisen, ähnlich wie Benutzergruppen in Nubus.
- Distribution Groups
Active Directory verwendet sie für Mailinglisten.
6.2.5. Overlay-Modul für Gruppen#
Nubus speichert die Eigenschaften von Gruppenmitgliedschaften nur in den Gruppenobjekten und nicht in den jeweiligen Benutzerobjekten im Verzeichnisdienst. Einige Anwendungen erwarten jedoch Eigenschaften über Gruppenmitgliedschaften bei den Benutzerobjekten im Attribut memberOf. Ein Overlay-Modul im OpenLDAP-Verzeichnisserver in Nubus ermöglicht es, diese Attribute automatisch basierend auf den Gruppeninformationen darzustellen. Nubus schreibt die zusätzlichen Attribute nicht in den Verzeichnisdienst. Der Verzeichnisdienst zeigt die Attribute dynamisch über das Overlay-Modul an, wenn er eine Anfrage für ein Benutzerobjekt beantwortet.