SSH Login in UCS - wer darf wohin und Memberserver unbedingt absichern!

Getestet mit UCS4.4-4 errata499

Default darf nur der Domänenadmin und root sich bei UCS-Servern einloggen. Dies ist nur für Master, Slave und Backupdomaincontroller gültig. Bei Memberservern darf sich default jeder Domänenuser per SSH einloggen. Möchte man dies unterbinden darf man das sehr einfach in der Univention Config Registry erledigen. Um den gleichen Default wie Master, Slave und Backupdomaincontroller zu verwenden bedient man sich diesen Befehlen auf der CMD jedes einzellnen Memberserver, oder trägt die global in das LDAP ein. Je nachdem wie viele einzelne Berechtigungen es gibt oder nicht.

ucr set "auth/sshd/group/Domain Admins"=yes
ucr set "auth/sshd/group/DC Slave Hosts"=yes
ucr set "auth/sshd/group/DC Backup Hosts"=yes
ucr set "auth/sshd/group/Computers"=yes
ucr set auth/sshd/user/root=yes
ucr set auth/sshd/restrict=yes

Zusätzliche Gruppen könnte man z.B. so definieren:

ucr set "auth/sshd/group/ldapbenutzer"=yes

Wie man oben auch sehr gut erkennen kann, geht das auch mit einzelnen Benutzern.

Referenz: https://docs.software-univention.de/handbuch-4.4.html#computers:SSH-Zugriff_auf_Systeme