2021年7月10日 星期六

[經驗分享] UCS 常用 CLI 指令整理 (持續更新)

 


UCS (Univention Corporate Server) 是開源界中最好用的網域及目錄服務伺服器之一,不僅可以當做 LDAP 目錄服務伺服器,甚至可以做為取代 AD 的網域控制站角色,應用能力非常強大,而且 Web 管理介面功能完整。

UCS 在管理上也提供了許多實用指令方便管理者以 script 進行自動化操作,本文整理我這幾年較常使用的指令,提供分享。











前置作業

請準備好 UCS 的 CLI 或 Console 連線,進入後以 root 帳戶進行操作。(UCS 的 Web 管理介面則是使用 Administrator 做為管理者帳戶名稱)









指令列表

以下將分類整理不同對象的指令,其中的 user 請替換為您的帳戶,dc=domain,dc=local 請替換為您的 DN 名稱。


開放防火牆連接埠

# 防火牆開放 SNMPD 服務連接埠
ucr set security/packetfilter/udp/161/all=ACCEPT


# 防火牆開放 Check_MK Agent 服務連接埠
ucr set security/packetfilter/tcp/6556/all=ACCEPT


# 防火牆開放 SSH 服務連接埠
ucr set security/packetfilter/tcp/22/all=ACCEPT


# 防火牆開放 PostgreSQL 服務連接埠
ucr set security/packetfilter/tcp/5432/all=ACCEPT


# 防火牆設定調整完成後,要重啟防火牆服務
service univention-firewall restart

更換自有 SSL 憑證

# 修改 SSL 憑證檔案位置
ucr set apache2/ssl/certificate="/etc/myssl/cert.pem" apache2/ssl/key="/etc/myssl/private.key"


# 修改 SSL 憑證串鏈檔案位置
ucr set apache2/ssl/certificatechain="/etc/myssl/chain.pem"


# 重新啟動 Apache2 服務以生效
service apache2 restart

啟用 LDAP 異動記錄

# 查看 LDAP 記錄層級
ucr get ldap/debug/level


# 修改 LDAP 記錄層級
ucr set ldap/debug/level=256


# 重新啟用 LDAP 服務
systemctl restart slapd


# 查看 LDAP Bind 繫結記錄
grep 'err=49' -B1 /var/log/syslog


設定將 Syslog 傳輸至 Log 伺服器

# 設定 Log 伺服器位置
ucr set syslog/remote=@192.168.100.100:514


# 重新啟用 Rsyslog 及防火牆服務
/etc/init.d/rsyslog restart
/etc/init.d/univention-firewall restart


停用 Mail Domain 要求

# 關閉 mailPrimaryAddress 的檢查
ucr set directory/manager/web/modules/users/user/properties/mailPrimaryAddress/syntax=string


# 重新啟用 LDAP 服務
service univention-management-console-server restart
service univention-management-console-web-server restart







參考資料