Das Versenden der Mail an die Benutzer setzt voraus, das auf dem UCS-Rechner das Mailsystem korrekt konfiguriert ist. Der Mailserver muss in der Lage sein, E-Mails ohne Passwort zu akzeptieren und weiterzuleiten. Alternativ arbeitet der Self Service auch mit externen Programmen wie einem SMS-Gateway zusammen. Diverse UCR-Variablen, deren Namen mit umc/self-service/passwordreset/sms beginnt, richten den Versand von Textnachrichten ein.
Profile verwalten leicht gemacht
Alle Benutzerkonten im LDAP-Verzeichnisdienst speichern nicht nur den Namen und die Mailadresse, sondern auch andere persönliche Daten. Dazu gehören beispielsweise Profilbilder, private Adressen und weitere Kontaktinformationen. Der Univention Directory Manager (UDM) ermöglicht den Zugriff auf die Inhalte im LDAP-Verzeichnisdienst, also z. B. das Betrachten, Verändern, Löschen und Verschieben von Objekten (Benutzer, Gruppen, Rechner, Drucker, Freigaben usw.). Alle diese Daten darf in der Voreinstellung nur der Admin ändern. Der Self Service sorgt für mehr Flexibilität: Admins schalten gezielt Felder frei, die Benutzer dann selbst anpassen dürfen.
Welche Attribute die Anwender*innen für ihre Konten setzen dürfen, konfigurieren diese beiden UCR-Variablen:
- self-service/ldap_attributes: LDAP-Attribute, die Benutzer selbst ändern können; Variable muss auf dem Primary Directory Node (und den Backup Directory Nodes) gesetzt sein.
- self-service/udm_attributes: Benutzer dürfen diese UDM-Attribute bearbeiten; Variable muss auf allen Servern gesetzt sein, auf denen die Self-Service-App installiert ist (einschl. Primary Directory Node).
Als Werte der jeweiligen Variable folgt eine durch Kommata getrennte Liste der Attribute. In der Voreinstellung sind bereits alle Felder freigegeben, sodass Sie die Liste leicht an eigene Bedürfnisse anpassen können.
Darüber hinaus ist es möglich, einen Schreibschutz für bestimmte UDM-Attribute einzurichten. Auch diese definieren Admins als Liste in der Variablen self-service/udm_attributes/read-only – und zwar auf allen Hosts, auf denen die App installiert ist (inkl. Primary Directory Node). Zusätzlich sollten die dazugehörigen LDAP-Attribute aus der UCR-Variablen self-service/ldap_attributes entfernt werden, damit sie den Schreibschutz der UDM-Attribute nicht aushebeln.
In der Voreinstellung müssen sich Anwender*innen vor dem Bearbeiten des Profils mit ihrem Benutzernamen und dem Passwort authentisieren. Wer diese Sicherheitsvorkehrung deaktivieren möchte, setzt einfach die UCR-Variable umc/self-service/allow-authenticated-use auf false.
Selbstregistrierung: der Weg zum eigenen Benutzerkonto
Mit der Self-Service-App können Systemverwalter*innen neuen Benutzern erlauben, ein Konto für die UCS-Umgebung zu registrieren. Während das Feature eher selten in Unternehmen oder Schulen zum Einsatz kommt, ist es ideal für Community-Projekte geeignet, die ein Identity and Access Management (IAM) mit dieser Funktion benötigen. Das Feature ist nach der Installation der App deaktiviert; Admins müssen dieses explizit einschalten. Zur Konfiguration dienen diverse UCR-Variablen auf dem Backend, deren Name mit umc/self-service/account-registration/ beginnt:
- umc/self-service/account-registration/backend/enabled: (De)aktiviert die Selbstregistrierung auf dem Backend (Voreinstellung: false).
- umc/self-service/account-registration/frontend/enabled: (De)aktiviert die Kachel Konto erstellen des Self-Service auf dem Frontend.
- umc/self-service/account-registration/udm_attributes: Enthält eine durch Kommata getrennte Liste von UDM-Attributen, welche der Dialog Konto erstellen anzeigt; muss auf dem Backend gesetzt werden.
- umc/self-service/account-registration/udm_attributes/required: Definiert eine Liste von UDM-Attributen, die zwingend erforderlich sind (Backend).
Im Self-Service-Portal taucht nach der Aktivierung eine neue Kachel Konto erstellen auf, die einen Dialog öffnet, in dem neue Benutzer eine Mailadresse, ein Passwort, den Namen sowie den Benutzernamen eintragen. Ein Klick auf Konto erstellen verschickt eine Mail, die ein Token zur Verifizierung enthält. Mit diesem in der Voreinstellung 64 Zeichen langen Token können sich die Benutzer nun anmelden.
Self-Service-Funktion Konto erstellen