UCS 5.2

Aus
Wechseln zu: Navigation, Suche

User mit Mailzugang einrichten

Unter Benutzer den Nutzername auswählen und unter Allgemein eine Primäre E-Mail-Adresse (Mailbox) für den Nutzer angeben. Hier: Nutzername@domain Als nächstes unter Benutz > Erweiterte Einstellungen > Mail den Mail Home Server einrichten. Hier: maildomain Unter OX App Suite kann jetzt das Häkchen gesetzt werden für "In Open-Xchange aktivieren (Deaktivieren löscht!)".

Let's Encrypt

Unter UCS 5.2 hat sich die Konfiguration der Let's Encrypt App deutlich verändert – insbesondere die frühere Datei /etc/univention/letsencrypt/settings.cfg existiert nicht mehr. Stattdessen erfolgt die Konfiguration ausschließlich über die Univention Management Console (UMC) oder über UCR-Variablen und die App-Einstellungen direkt.

🔄 Neue Konfigurationsmethode in UCS 5.2

Die Let's Encrypt App ist weiterhin verfügbar und unterstützt die Dienste:

  • Apache Webserver
  • Postfix SMTP
  • Dovecot IMAP

Die Integration erfolgt über den ACME-Protokoll-Client, der automatisch Zertifikate erstellt, installiert und erneuert1.

🛠️ Konfiguration über die Shell (UCR-Variablen)

Du kannst die Konfiguration jetzt über UCR-Variablen vornehmen. Beispiel: 

ucr set letsencrypt/domains="mail.deine-domain.de web.deine-domain.de"
ucr set letsencrypt/services="apache,dovecot,postfix"
ucr set letsencrypt/email="admin@deine-domain.de"

Danach kannst du die Zertifikate manuell abrufen mit: 

/usr/share/univention-letsencrypt/setup-letsencrypt

🔁 Automatische Erneuerung

Die App richtet einen Cronjob ein, der die Zertifikate alle 30 Tage erneuert. Du kannst dies prüfen mit: 

cat /etc/cron.d/univention-letsencrypt

Absicherung

Um UCS 5.2 gegen Brute-Force-Angriffe abzusichern, insbesondere durch das Sperren von Benutzerkonten nach mehreren fehlgeschlagenen Login-Versuchen, kannst du die folgenden Maßnahmen direkt über die Shell und Univention Configuration Registry (UCR) umsetzen.

🔐 Automatische Kontosperrung nach Fehlversuchen aktivieren

UCS verwendet den PAM-Stack (Pluggable Authentication Modules) zur Authentifizierung. Du kannst die Sperrung nach z. B. 5 Fehlversuchen wie folgt konfigurieren:

1. Fehlversuchserkennung aktivieren 

ucr set auth/faillog=yes

2. Grenze für Fehlversuche setzen 

ucr set auth/faillog/limit=5

Damit wird ein Benutzerkonto nach 5 falschen Login-Versuchen automatisch gesperrt1.

🔄 Sperrstatus zurücksetzen

Falls ein Benutzer gesperrt wurde, kannst du den Status mit folgendem Befehl zurücksetzen: 

faillog -r -u <username>

🧩 Erweiterte Sicherheitsempfehlungen für UCS 5.2

Neben der Login-Sperre empfiehlt Univention folgende zusätzliche Maßnahmen2:

  • Keycloak als zentraler Identity Provider nutzen für moderne Authentifizierungsverfahren (SSO, SLO, OIDC, SAML).
  • Passwortrichtlinien definieren (z. B. Mindestlänge, Komplexität).
  • Blocklisten für Benutzereigenschaften aktivieren, um z. B. doppelte Mail-Adressen zu verhindern.
  • LDAP-Zugriffsrechte einschränken und protokollieren.
  • System regelmäßig aktualisieren, UCS 5.2 basiert auf Debian 12 mit Kernel 6.1 und bringt neue Exploit-Schutzmechanismen.

📘 Weitere Dokumentation

Die offizielle UCS-Dokumentation enthält ein eigenes Kapitel zur automatischen Sperrung von Benutzern:

5.2 Administratoren-Handbuch

Favicon für Browser-Tab

Das favicon.ico liegt unter /var/www/favicon.ico

SSH Absichern

Hier sind die wichtigsten Schritte und Best Practices, um den SSH-Zugriff auf UCS 5.2 abzusichern:

✅ 1. Root-Login über SSH einschränken oder deaktivieren

  • UCS bietet dafür eine UCR-Variable:
ucr set sshd/permitroot=no

Optionen:

  • yes → Root-Login erlaubt
  • without-password → nur Public-Key-Login für Root
  • no → Root-Login komplett deaktiviert (empfohlen)

Danach: 

systemctl restart ssh

Tipp: Vorher einen Admin-Benutzer mit sudo-Rechten anlegen, um nicht ausgesperrt zu werden.

✅ 2. SSH-Zugriff auf bestimmte Benutzer/Gruppen beschränken

  • UCR-Variablen:
ucr set auth/sshd/restrict=yes
ucr set auth/sshd/user/<username>=yes
ucr set auth/sshd/group/Domain\ Admins=yes

So können Sie granular festlegen, wer sich per SSH anmelden darf.

✅ 3. Starke Authentifizierung aktivieren

  • Public-Key-Authentifizierung statt Passwort:
    • In /etc/ssh/sshd_config sicherstellen:
PasswordAuthentication no
PubkeyAuthentication yes
  • Zwei-Faktor-Authentifizierung (2FA):
    • UCS 5.2 nutzt Keycloak als Identity Provider. Damit können Sie 2FA (z. B. TOTP) für Web-SSO aktivieren.
    • Für SSH: PAM-Integration mit Keycloak oder Tools wie libpam-google-authenticator möglich.

✅ 4. SSH-Konfiguration härten

  • In /etc/ssh/sshd_config:
Protocol 2
PermitEmptyPasswords no
X11Forwarding no
AllowTcpForwarding no
MaxAuthTries 3
LoginGraceTime 30
  • Kex-Algorithmen und Ciphers auf sichere Varianten beschränken (z. B. chacha20-poly1305@openssh.com, aes256-gcm@openssh.com).

✅ 5. Port und Zugriff absichern

  • SSH-Port ändern:
ucr set sshd/port=2222
systemctl restart ssh
  • Firewall (UFW oder iptables) so konfigurieren, dass SSH nur von vertrauenswürdigen IPs erreichbar ist.

✅ 6. Logging & Monitoring

  • Aktivieren Sie Fail2ban oder UCS-App „Fail2ban“ für Brute-Force-Schutz.
  • SSH-Logs überwachen:
tail -f /var/log/auth.log

✅ 7. Updates einspielen

  • UCS 5.2 basiert auf Debian 12 und bringt aktuelle OpenSSH-Versionen. Halten Sie das System aktuell:
univention-upgrade

🔐 Extra: 2FA für SSH

OX App Suite

Quota (Speicherlimt) für Drive erhöhen

Um das Quota (Speicherlimit) für OX Drive in UCS 5.2 mit OX App Suite zu erhöhen, gibt es zwei zentrale Möglichkeiten – je nachdem, ob du das gesamte Kontext-Quota oder individuelle Benutzerlimits anpassen möchtest.

🧱 1. Kontextweites Quota erhöhen (empfohlen bei UCS-Standardinstallation)

Da UCS in der Regel nur einen Kontext für alle Benutzer verwendet, wird das Quota auf Kontextebene gesetzt. Das betrifft alle Benutzer gemeinsam. 🔧 Befehl zum Anpassen: 

/opt/open-xchange/sbin/changecontext -c <Kontext-ID> -q <Quota-in-MB> -A oxadminmaster -P <OXAdminMasterPassword>

Hinweis 1: Argumente -A oxadminmaster -P <OXAdminMasterPassword> nicht vergessen!!!

Hinweis 2: cat /etc/ox-secrets/master.secret (User oxadmin sein PW ist unter /etc/ox-secrets/context10.secret)

  • Beispiel für 10 GB:
/opt/open-xchange/sbin/changecontext -c 1 -q 10240 -A oxadminmaster -P <OXAdminMasterPassword>
  • Kontext-ID findest du mit:
/opt/open-xchange/sbin/listcontext -A oxadminmaster -P <OXAdminMasterPassword>

Hinweis: -1 als Wert für -q bedeutet unbegrenztes Quota.

👤 2. Benutzerbezogenes Quota (nicht direkt unterstützt)

OX App Suite unterstützt standardmäßig keine individuellen Benutzerquotas für OX Drive. Alle Benutzer teilen sich das Quota des Kontexts.

Wenn du dennoch differenzieren möchtest, kannst du:

  • Benutzer in separate Kontexte verschieben (nur mit Multi-Tenant-Setup sinnvoll)
  • Oder über externe Mechanismen (z. B. Dateisystem-Quotas oder Policies) Einschränkungen setzen

📍 Speicherort der Quota-Daten

OX Drive nutzt den sogenannten Filestore, der auch für andere Funktionen verwendet wird (z. B. E-Mail-Anhänge, Signaturen, Kalenderdateien). Daher ist es wichtig, das Quota nicht zu niedrig anzusetzen.

✅ Zusammenfassung

Ziel Methode Befehl
Quota für alle Benutzer erhöhen change context/opt/open-xchange/sbin/changecontext -c 1 -q 10240
Quota unbegrenzt setzen changecontext /opt/open-xchange/sbin/changecontext -c 1 -q -1
Benutzer-individuelles Quota Nicht direkt möglich Nur über Kontexttrennung oder externe Tools
Abgerufen von „http://www.dontexist.de/index.php?title=UCS_5.2&oldid=107