6. Identitäts- und Zugriffsverwaltung

Dieses Kapitel behandelt Konfigurationsaufgaben für Identity and Access Management (IAM) für technische Administratoren in Nubus für UCS. Es behandelt, wie sich Benutzer authentifizieren, wie Administratoren Passwörter verwalten, wie sie Gruppen strukturieren und synchronisieren und wie sie Benutzerkonten erstellen.

Passwortverwaltung

Konfigurieren Sie Passwort-Richtlinien, die Passwortlänge, Komplexität, Verlauf und Alter steuern. Nubus für UCS unterstützt zwei Richtliniensysteme – UDM und Samba-Domäne –, die Univention empfiehlt, in Samba-fähigen Domänen aufeinander abzustimmen. Dieser Abschnitt behandelt den End User Self Service, der es Benutzern ermöglicht, ihre eigenen Kontaktinformationen zu verwalten, sich zu registrieren und ihre Passwörter zurückzusetzen. Siehe Passwortverwaltung.

Gruppenverwaltung

Erstellen und verwalten Sie Gruppen in Ihrer Nubus für UCS Domäne, einschließlich verschachtelter Gruppen, Caching von Gruppen und Synchronisation von Gruppen mit Active Directory. Siehe Gruppenverwaltung.

Assistent zum Erstellen von Benutzern

Konfigurieren Sie den Assistenten zum Erstellen von Benutzern für funktionale Administratoren, einschließlich der Anforderung einer primären E-Mailadresse, der Steuerung, welche Kontoeigenschaften angezeigt werden, und der Deaktivierung des Assistenten, wenn Sie ihn nicht benötigen. Siehe Assistent zum Erstellen von Benutzern.

Benutzeraktivierung für Apps

Aktivieren und deaktivieren Sie Benutzer oder Gruppen für App Center-Apps direkt aus dem Benutzerkonto in der Management UI, einschließlich spezifischer Einstellung für Apps pro Benutzer. Siehe Benutzeraktivierung für Apps.

Kontosperrung nach fehlgeschlagenen Anmeldeversuchen

Benutzerkonten werden nach zu vielen fehlgeschlagenen Anmeldeversuchen automatisch gesperrt, um Brute-Force-Angriffe auf Passwörter zu verhindern. Nubus for UCS unterstützt drei unabhängige Sperrmechanismen – Samba und Active Directory, PAM-Stack und OpenLDAP – jeweils mit eigener Konfiguration und eigenem Geltungsbereich. Siehe Benutzerkonto-Sperrung nach fehlgeschlagenen Anmeldeversuchen.

Zeitpunkt der letzten Anmeldung erfassen, um inaktive Konten zu erkennen

Identifizieren Sie inaktive Benutzerkonten, indem Sie aufzeichnen, wann sich jedes Konto zuletzt angemeldet hat. Aktivieren Sie das OpenLDAP-lastbind-Overlay-Modul, erfassen Sie Anmeldezeitstempel von allen LDAP-Servern in der Domäne und planen Sie automatische Aktualisierungen, um die Zeitstempel aktuell zu halten. Siehe Zeitpunkt der letzten Anmeldung erfassen, um inaktive Konten zu erkennen.

Inhalt

• 6.1. Passwortverwaltung
  • 6.1.1. Passwort-Richtlinien
    • 6.1.1.1. Passwort-Richtlinientypen
    • 6.1.1.2. Benutzerpasswort ändern
    • 6.1.1.3. Passwort-Richtlinien-Einstellungen
  • 6.1.2. Samba-Domänen Passwort-Richtlinie
  • 6.1.3. Passwort-Hashes
    • 6.1.3.1. Standard Hash-Methode
    • 6.1.3.2. bcrypt Hash-Methode
    • 6.1.3.3. bcrypt Einstellungen
  • 6.1.4. End User Self Service
    • 6.1.4.1. Installation und Aktivierung
    • 6.1.4.2. Kontaktinformationen
    • 6.1.4.3. Benutzer-Registrierung
      • 6.1.4.3.1. Registrierungsformular
      • 6.1.4.3.2. E-Mail-Verifizierung
      • 6.1.4.3.3. Konto-Aktivierung
    • 6.1.4.4. Benutzer-Abmeldung
      • 6.1.4.4.1. Anfrage zur Abmeldung
      • 6.1.4.4.2. Konto-Bereinigung
• 6.2. Gruppenverwaltung
  • 6.2.1. Gruppenerstellung und -zuweisung
  • 6.2.2. Verschachtelte Gruppen
  • 6.2.3. Caching von Gruppen
  • 6.2.4. Synchronisation von Gruppen mit Active Directory
  • 6.2.5. Overlay-Modul für Gruppen
• 6.3. Assistent zum Erstellen von Benutzern
  • 6.3.1. Primäre E-Mailadresse im Assistenten zum Erstellen von Benutzern erforderlich
  • 6.3.2. Assistent zum Erstellen von Benutzern deaktivieren
  • 6.3.3. Kontoeigenschaften für die Benutzereinrichtung steuern
  • 6.3.4. UMC-Server neu starten
• 6.4. HTTP Schnittstelle für Domänenverwaltung
• 6.5. Benutzeraktivierung für Apps
  • 6.5.1. Einen Benutzer oder eine Gruppe für eine App aktivieren
  • 6.5.2. Einen Benutzer oder eine Gruppe für eine App deaktivieren
  • 6.5.3. Effekt bei Deinstallation einer App
• 6.6. Benutzerkonto-Sperrung nach fehlgeschlagenen Anmeldeversuchen
  • 6.6.1. Kontosperrung für Samba und Active Directory konfigurieren
  • 6.6.2. Kontosperrung für den PAM-Stack konfigurieren
  • 6.6.3. Kontosperrung für OpenLDAP konfigurieren
  • 6.6.4. Gesperrtes Benutzerkonto entsperren
• 6.7. Zeitpunkt der letzten Anmeldung erfassen, um inaktive Konten zu erkennen
  • 6.7.1. Overlay-Modul aktivieren
  • 6.7.2. Zeitstempel erfassen und speichern
  • 6.7.3. Automatische Aktualisierungen planen