SSH Login in UCS - wer darf wohin und Memberserver unbedingt absichern!

Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen . Gerne. Wir bedanken uns bei dir für deine Spende!


Hauseigenes Apt-Repo: https://apt.iteas.at
GITLAB Enterprise:

Getestet mit UCS4.4-4 errata499

Default darf nur der Domänenadmin und root sich bei UCS-Servern einloggen. Dies ist nur für Master, Slave und Backupdomaincontroller gültig. Bei Memberservern darf sich default jeder Domänenuser per SSH einloggen. Möchte man dies unterbinden darf man das sehr einfach in der Univention Config Registry erledigen. Um den gleichen Default wie Master, Slave und Backupdomaincontroller zu verwenden bedient man sich diesen Befehlen auf der CMD jedes einzellnen Memberserver, oder trägt die global in das LDAP ein. Je nachdem wie viele einzelne Berechtigungen es gibt oder nicht.

ucr set "auth/sshd/group/Domain Admins"=yes
ucr set "auth/sshd/group/DC Slave Hosts"=yes
ucr set "auth/sshd/group/DC Backup Hosts"=yes
ucr set "auth/sshd/group/Computers"=yes
ucr set auth/sshd/user/root=yes
ucr set auth/sshd/restrict=yes

Zusätzliche Gruppen könnte man z.B. so definieren:

ucr set "auth/sshd/group/ldapbenutzer"=yes

Wie man oben auch sehr gut erkennen kann, geht das auch mit einzelnen Benutzern.

Referenz: https://docs.software-univention.de/handbuch-4.4.html#computers:SSH-Zugriff_auf_Systeme