ucs_dhcp-pools_und_mac-deney

UCS DHCP-Pools und MAC-Deney

Über die Web-GUI lassen sich leider keine Deny-Regeln für MAC-Ranges einpflegen. Für den Betrieb von SIP-Telefonanlagen ist dies aber zwingend erforderlich. Zunächst legt man im LDAP-Browser einen DHCP-Pool für das gewünschte Netz an:

Dann muss eine Erweiterung des UCS-LDAP-Schemas vorgenommen werden:

eval $(ucr shell)
udm settings/extended_attribute create --position "cn=custom attributes,cn=univention,$ldap_base" \
 --set name=dhcpPermitList --set objectClass=univentionDhcpPool \
 --set module="dhcp/pool" --set shortDescription="dhcpPermitList" \
 --set ldapMapping=dhcpPermitList --set syntax=string \
 --set longDescription="permit list" --set tabName="DHCP permit list" \
 --set multivalue=1 --set mayChange=1

Dies fügt dem Pool die „dhcpPermitList“ hinzu.

Die Klassen definiert man im Moment im Subnet unter „Erweiterte Einstellungen“ (Haken unter „Optionen“ → „Allow custom DHCP options“ setzen!) → „Lowlevel DHCP configuration“ → „DHCP Statements“, da es unter dem Pool wegen eines Bugs nicht geht.

Im konkreten Fall von MobyDick tragen wir in unserem Pool folgendes ein:

class "denySNOM" {
        match if substring(hardware,1,3) = 00:04:13;
}
class "denyMITEL" {
        match if substring(hardware,1,3) = 00:08:5D;
}
class "denyYEALINK" {
        match if substring(hardware,1,3) = 00:15:65;
}

class "denyAUERSWALD" {
        match if substring(hardware,1,3) = 00-09-52;
}

class "denySIEMENS1" {
        match if substring(hardware,1,3) = 00-01-E3;
}

class "denySIEMENS2" {
        match if substring(hardware,1,3) = 00-1A-E8;
}

Im Pool tragen wir dann in der Permitlist die hier angelegten Klassen ein:

:!: Alle anderen DHCP-Einstellungen für das Netzt müssen jetzt auch am Pool vorgenommen werden :!:

Siehe auch:
http://forum.univention.de/viewtopic.php?f=48&t=3524
https://docs.software-univention.de/handbuch-4.1.html#ip-config:Verwaltung_von_DHCP-Pools
http://forum.univention.de/viewtopic.php?f=48&t=3524
http://docs.software-univention.de/manual-4.1.html#central:extendedattrs
https://forge.univention.org/bugzilla/show_bug.cgi?id=32557

  • ucs_dhcp-pools_und_mac-deney.txt
  • Zuletzt geändert: 2018/02/06 12:54
  • von matthias