Dies ist eine alte Version des Dokuments!
UCS DHCP-Pools und MAC-Deney
Über die Web-GUI lassen sich leider keine Deny-Regeln für MAC-Ranges einpflegen. Für den Betrieb von SIP-Telefonanlagen ist dies aber zwingend erforderlich. Zunächst legt man im LDAP-Browser einen DHCP-Pool für das gewünschte Netz an:
Dann muss eine Erweiterung des UCS-LDAP-Schemas vorgenommen werden:
udm settings/extended_attribute create \ --position "cn=custom attributes,cn=univention,$(ucr get ldap/base)" \ --set name=dhcpOption \ --set objectClass=dhcpOptions \ --set ldapMapping=dhcpOption \ --set module=dhcp/service \ --set module=dhcp/pool \ --set module=dhcp/host \ --set module=dhcp/shared \ --set module=dhcp/sharedsubnet \ --set module=dhcp/subnet \ --set shortDescription='DHCP Option' \ --set translationShortDescription='"de_DE" "DHCP Optionen"' \ --set longDescription='Additional options for DHCP' \ --set translationLongDescription='"de_DE" "Zusätzliche Optionen für DHCP"' \ --set tabName='Low-level DHCP configuration' \ --set translationTabName='"de_DE" "Experten DHCP Konfiguration"' \ --set tabAdvanced=1 \ --set syntax=string \ --set mayChange=1 \ --set multivalue=1 \ --set deleteObjectClass=1 udm settings/extended_attribute create \ --position "cn=custom attributes,cn=univention,$(ucr get ldap/base)" \ --set name=dhcpStatements \ --set objectClass=dhcpOptions \ --set ldapMapping=dhcpStatements \ --set module=dhcp/service \ --set module=dhcp/pool \ --set module=dhcp/host \ --set module=dhcp/shared \ --set module=dhcp/sharedsubnet \ --set module=dhcp/subnet \ --set shortDescription='DHCP Statements' \ --set translationShortDescription='"de_DE" "DHCP Anweisungen"' \ --set longDescription='Additional statements for DHCP' \ --set translationLongDescription='"de_DE" "Zusätzliche Anweisungen für DHCP"' \ --set tabName='Low-level DHCP configuration' \ --set translationTabName='"de_DE" "Experten DHCP Konfiguration"' \ --set tabAdvanced=1 \ --set syntax=TextArea \ --set fullWidth=1 \ --set mayChange=1 \ --set multivalue=1 \ --set deleteObjectClass=1Dies erzeugt sowohl im DHCP-Netz als auch im Pool die neue Option „Low-level DHCP Configuration“. Dort lassen sich beliebige DHCP-Config-Optionen einfügen. Im konkreten Fall von MobyDick tragen wir in unserem Pool folgendes ein:
class "denySNOM" { match if substring(hardware,1,3) = 00:04:13; } class "denyMITEL" { match if substring(hardware,1,3) = 00:08:5D; } class "denyYEALINK" { match if substring(hardware,1,3) = 00:15:65; } class "denyAUERSWALD" { match if substring(hardware,1,3) = 00-09-52; } class "denySIEMENS1" { match if substring(hardware,1,3) = 00-01-E3; } class "denySIEMENS2" { match if substring(hardware,1,3) = 00-1A-E8; }
Im Pool tragen wir dann in der Permitlist die hier angelegten Klassen ein:
Alle anderen DHCP-Einstellungen für das Netzt müssen jetzt auch am Pool vorgenommen werden
Siehe auch:
http://forum.univention.de/viewtopic.php?f=48&t=3524
https://docs.software-univention.de/handbuch-4.1.html#ip-config:Verwaltung_von_DHCP-Pools
http://forum.univention.de/viewtopic.php?f=48&t=3524
http://docs.software-univention.de/manual-4.1.html#central:extendedattrs
https://forge.univention.org/bugzilla/show_bug.cgi?id=32557