Wie können Sie nach dem Löschen eines Kontos sicherstellen, dass bestimmte Eigenschaften wie Benutzernamen oder Mailadressen für zukünftige Accounts gesperrt bleiben? Die neuen Blocklisten machen es möglich – dieser Artikel stellt das mit Univention Corporate Server Version 5.0-6-erratum-974 eingeführte Feature ausführlich vor.
Inhaltsverzeichnis
Das Wichtigste auf einen Blick
Mit Blocklisten verhindern Administrator*innen die erneute Verwendung von Benutzer- oder Gruppeneigenschaften, blockieren also für eine bestimmte Zeit ehemals benutzte Werte wie Mailadressen oder Benutzernamen. Das ist vor allem in größeren UCS-Umgebungen hilfreich, in denen häufig neue Konten angelegt und wieder gelöscht werden.
Was sind Benutzer- oder Gruppeneigenschaften? Dazu gehören unter anderem der Benutzername (username), Vorname und Nachname (firstname, lastname), das Kennwort (password) und natürlich die primäre Mailadresse eines Benutzerkontos (mailPrimaryAddress) und die Mailadresse einer Gruppe (mailAddress).
Alle diese Eigenschaften können Sie auf einer oder mehreren Blocklisten für die Wiederverwendung sperren. Angenommen, in Ihrer Organisation gibt es eine Mitarbeiterin namens Anna Alster mit der Mailadresse a.alster@organisation.de. Anna verlässt das Unternehmen, und ihre Mailadresse wird zusammen mit dem Benutzerkonto gelöscht. Wenige Wochen später tritt eine neue Kollegin eine Stelle an. Sie heißt Anita Alster und würde (entsprechend der Unternehmensrichtlinien) ebenfalls die Mailadresse a.alster@organisation.de erhalten – eine unschöne Situation, die möglicherweise dazu führt, dass Anita „alte“ Mails von Anna lesen kann.
Die neuen Blocklisten für den Univention Directory Manager (UDM) verhindern solche Situationen. Administrator*innen definieren einfach im Vorfeld, welche Eigenschaften für welchen Zeitraum nicht wiederverwendet werden dürfen, und das System erledigt den Rest.
Dieser Artikel stellt das neue Feature ausführlich vor, zeigt, wie Sie solchen Listen über die Univention Management Console (UMC) und auf der Kommandozeile mit dem Werkzeug udm anlegen, bearbeiten und löschen.
Blocklisten aktivieren und Cronjob konfigurieren
Um das neue Feature zu nutzen, aktualisieren Sie zuerst alle UCS-Systeme, auf denen Sie UDM-Objekte verwalten. Stellen Sie sicher, dass Sie auf allen Rechnern die neueste UCS-Version 5.0-6-erratum-974 verwenden. Falls es Paket-Aktualisierungen für einen Rechner gibt, spielen Sie diese ebenfalls ein. Beides können Sie über das Modul Software-Aktualisierung der Univention Management Console erledigen.
Anschließend setzen Sie die erforderliche Konfigurationsvariable. Öffnen Sie das Modul System / Univention Configuration Registry und suchen Sie nach dem Eintrag directory/manager/blocklist/enabled. Setzen Sie die Variable auf den Wert true und speichern Sie die Änderungen.
Für jede Liste legen Sie später eine Dauer fest, bestimmen also, wie lange diese Sperre gelten soll. Nach dem von Ihnen festgelegten Zeitraum werden Einträge aus der Blockliste automatisch wieder entfernt. Verantwortlich für das Aufheben einer Sperre ist ein Skript, das ein Cronjob jeden Morgen um 8 Uhr aufruft. Um den Zeitpunkt zu ändern, bearbeiten Sie die UCR-Variable directory/manager/blocklist/cleanup/cron und geben das Zeitformat in Crontab-Syntax im Feld Wert ein.
Die nächsten beiden Abschnitte erklären, wie Sie die Blocklisten selbst konfigurieren – einmal über die Univention Management Console und einmal auf der Kommandozeile.
Blocklisten über UMC konfigurieren
Öffnen Sie das Modul Domäne / Blocklisten, um neue Blocklisten einzurichten, vorhandene zu bearbeiten oder zu löschen. Klicken Sie auf Hinzufügen, um eine neue Liste anzulegen. Für diese machen Sie die folgenden Angaben:
- Ins Feld Name tragen Sie einen frei wählbaren Bezeichner ein – am besten wählen Sie einen „sprechenden“ Namen, um später mehrere Blocklisten voneinander unterscheiden zu können.
- Ins Feld Aufbewahrungszeit tragen Sie ein, wie lange die Sperrung gelten soll. Nach Überschreiten dieser Dauer wird die Blockliste automatisch gelöscht. Zum Definieren des Zeitraums stehen Einheiten wie y (Jahre), m (Monate) und d (Tage) zur Verfügung; 2y3m1d bedeutet also, dass die Liste 2 Jahre, 3 Monate und 1 Tag aktiv ist.
- Im Abschnitt Zu blockende Eigenschaften definieren Sie nun die UDM-Module und deren Eigenschaften, die für die Wiederverwendung gesperrt sein sollen. Um beispielsweise für Benutzer-Objekte die Wiederverwendung der primären Mailadresse zu verhindern, tragen Sie users/user als Modul und mailPrimaryAddress als Eigenschaft ein.
- Direkt unter den Feldern können Sie auf das Pluszeichen klicken, um ein weiteres Modul und eine Eigenschaft für dieselbe Blockliste zu erstellen, etwa groups/group für Gruppen und mailAddress für deren Mailadresse.
Klicken Sie abschließend auf Speichern. Über das UMC-Modul Domäne / Blocklisten können Sie vorhandene Blocklisten jederzeit bearbeiten und auch löschen.
Blocklisten über die Kommandozeile einrichten
Als Alternative zur Weboberfläche können Sie auch den Univention Directory Manager (UDM) auf der Kommandozeile verwenden, um Blocklisten zu verwalten. Das dazugehörige Werkzeug heißt univention-directory-manager oder kurz udm. Sie benötigen dazu Root-Rechte. Sowohl die UMC-Module als auch der Univention Directory Manager greifen auf dieselben Module zur Administration Ihrer Domäne zu. Das bedeutet, Sie haben über das Kommandozeilen-Interface Zugriff auf alle Funktionen, die Sie auch in der Weboberfläche finden. Geben Sie den Befehl udm –help ein, um eine Übersicht aller unterstützter Parameter und Optionen einzublenden:
Zum Arbeiten mit Blocklisten verwenden Sie das Kommando udm blocklists/list, was wiederum weitere Unterkommandos kennt:
- create: Erzeugt eine neue Blockliste.
- modify: Bearbeitet eine vorhandene Blockliste.
- remove: Entfernt eine Blockliste.
- list: Listet vorhandene Blocklisten auf.
Um beispielsweise eine neue Blockliste zu erzeugen, die einen Benutzernamen ein Jahr lang von der Wiederverwendung ausschließt, definieren Sie nach dem Befehl udm blocklists/list create einen Namen für die Liste (–set name=), eine Zeitdauer für die Sperre (–set retentionTime=) und danach das UDM-Modul und die Eigenschaft (–append blockingProperties=). Ausdrücke mit Leer- und Sonderzeichen schließen Sie in doppelte Anführungszeichen ein. Der vollständige udm-Befehl sieht so aus:
udm blocklists/list create –set name=Benutzername –set retentionTime=1y –append blockingProperties=“users/user username“
Listen Sie danach vorhandene Blocklisten auf, sehen Sie in der Ausgabe nicht nur diese neue Liste, sondern auch die über die Univention Management Console angelegten Einträge.
Um eine Blockliste auf der Kommandozeile zu löschen, verwenden Sie außer dem Befehl remove den Parameter –filter name=; dahinter geben Sie den Bezeichner der Liste an:
root@ucs-7559:~# udm blocklists/list remove –filter name=Benutzername
Beachten Sie, dass diesen in doppelte Anführungszeichen einschließen müssen, falls er Sonder- oder Leerzeichen enthält.
Testlauf: Benutzernamen wiederverwenden verboten!
Versuchen Sie anschließend, eine Benutzereigenschaft zu setzen, die auf einer Blockliste steht, informiert Sie das System darüber. Das folgende Bild zeigt den Versuch, ein Konto namens hej anzulegen; eine Blockliste, die bereits vergebene Benutzernamen für ein Jahr sperrt, verhindert das:
Smarte Verwaltung leicht gemacht
Die neuen UDM-Blocklisten erweisen sich für die Benutzerverwaltung als wertvolles Feature. Administrator*innen erhalten ein leistungsstarkes Werkzeug, um die Wiederverwendung sensibler Benutzereigenschaften wie Mailadressen, Benutzernamen usw. zu steuern. Die Blocklisten helfen, mögliche Verwechslungen und Sicherheitsrisiken zu vermeiden.
Haben Sie Fragen oder Anregungen zu den neuen Blocklisten? Unser Handbuch erklärt im Kapitel Wiederverwendung von Benutzereigenschaften verhindern den Einsatz der Blocklisten; weitere Informationen zum Kommandozeilentool udm finden Sie in Kapitel Kommandozeilenschnittstelle der Domänenverwaltung (Univention Directory Manager).
Bild-Quelle: Icon created by Octopocto from flaticon.com
