SSH Login in UCS - wer darf wohin und Memberserver unbedingt absichern!
Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen . Gerne. Wir bedanken uns bei dir für deine Spende!
Hauseigenes Apt-Repo: https://apt.iteas.at
GITLAB Enterprise:
Getestet mit UCS4.4-4 errata499
Default darf nur der Domänenadmin und root sich bei UCS-Servern einloggen. Dies ist nur für Master, Slave und Backupdomaincontroller gültig. Bei Memberservern darf sich default jeder Domänenuser per SSH einloggen. Möchte man dies unterbinden darf man das sehr einfach in der Univention Config Registry erledigen. Um den gleichen Default wie Master, Slave und Backupdomaincontroller zu verwenden bedient man sich diesen Befehlen auf der CMD jedes einzellnen Memberserver, oder trägt die global in das LDAP ein. Je nachdem wie viele einzelne Berechtigungen es gibt oder nicht.
ucr set "auth/sshd/group/Domain Admins"=yes ucr set "auth/sshd/group/DC Slave Hosts"=yes ucr set "auth/sshd/group/DC Backup Hosts"=yes ucr set "auth/sshd/group/Computers"=yes ucr set auth/sshd/user/root=yes ucr set auth/sshd/restrict=yes
Zusätzliche Gruppen könnte man z.B. so definieren:
ucr set "auth/sshd/group/ldapbenutzer"=yes
Wie man oben auch sehr gut erkennen kann, geht das auch mit einzelnen Benutzern.
Referenz: https://docs.software-univention.de/handbuch-4.4.html#computers:SSH-Zugriff_auf_Systeme