Übersicht UniFi Benutzerkonzept?

Es gibt 5 Antworten in diesem Thema, welches 1.471 mal aufgerufen wurde. Der letzte Beitrag () ist von iTweek.

    Moin,


    ausgehend von diesem Faden: dringend: kein login mehr möglich stellt sich mir die Frage, ob es vielleicht irgendwo eine verständliche Übersicht über das UniFi Benutzer- und Berechtigungskonzept gibt? Ich bin ja auch noch recht neu in der Materie und weiß bisher, daß es Rollen wie "Owner" und "Admin" gibt (und noch weitere) und daß es wohl auch einen Unterschied macht, ob man sich über unifi.ui.com anmeldet oder lokal auf dem Controller.

    Meine speziellen Fragen sind: welche Berechtigungen haben die einzelnen Rollen genau und wie sehe ich, als welcher Benutzer ich gerade genau eingeloggt bin (also speziell: welche Rolle ich habe)? Gerne auch unter Berücksichtigung der verschiedenen Applikationen wie Network, Protect, Access, Talk usw. Hintergrund ist, daß ich zwar meine, alles richtig eingerichtet zu haben, aber ich würde gerne verifizieren, ob die Realität meinen Erwartungen entspricht, oder ob ich ggf. irgendwo nachjustieren sollte, um nicht bei einem Providerwechsel (der in wahrscheinlich absehbarer Zeit auf mich zukommen wird, da vorgestern der symbolische erste Spatenstich für den Ausbau des Glasfasernetz in unserer Stadt stattgefunden hat) auf einmal in ein ähnliches Problem zu laufen wie der TO des verlinkten Threads.

  • Zum Hilfreichsten Beitrag springen

    Zitat von McCavity

    Meine speziellen Fragen sind: welche Berechtigungen haben die einzelnen Rollen genau und wie sehe ich, als welcher Benutzer ich gerade genau eingeloggt bin (also speziell: welche Rolle ich habe)

    Ich will es mal versuchen, bitte korrigiert mich wenn ich Blödsinn oder falsches schreibe!


    Ich meine mich erinnern zu können das ich zu Beginn meiner UDM-Pro Zeit bei der Erstinstallation mich 1m vor meiner Werksfrischen UDM-Pro befunden habe und ich aufgefordert wurde mein handy via Bluetooth mit der UDM-Pro zu verbinden. Es wurden einige Daten abgefragt und dann kam die Aufforderung ich solle das Modem jetzt auf WAN1 anstecken damit sich die UDM-Pro mit dem Internet verbinden kann und in weiterer Folge mit dem Unifi-Server.

    Dann hat es kurz gedauert und ab diesem Zeitpunkt konnte ich mich via Unifiserver oder mit lokaler IP Adresse der UDM-Pro verbinden.


    Ich meine, dass die Verwaltung der Admins und ihre Rollen und Einstellungen und Rechte direkt im Unifi Account erfolgt sind.

    Irgendwann haben sie das aber aus dem Unifi Account entfernt und das ganze in UniFi OS ausgelagert.

    Dort kann ich jetzt unter Admins, meine Admins anlegen, deren Rollen vergeben (auch selber Rollen erstellen mit eignem Namen) und deren Rechte auf die einzelnen APPs vergeben.

    Nach m.W. ist nur ein OWNER möglich! Ich meine das war der User der bei der Bluetoothverbindung zwischen handy und UDM-Pro damals angelegt wurde.

    Superadmins und Admins sind mehrere möglich.


    Wie du gerade eingeloggt bist wird in der Userzeile mit dem Icon "YOU" angezeigt, (DU).


    Bei mir sieht das momentan so aus:


    Das Einloggen funktioniert bei mir entweder über den Unifi Account und über den Unifiserver auf die UDM-Pro

    ODER

    direkt lokal mit meiner lokalen UDM-Pro IP Adresse 192.168.1.1 direkt im heimischen Netzwerk, dann erscheint bei mir das UniFi OS, siehe Bild oben.

    Von dort starte ich dann in den Applications den NetworkController, die APPs usw und unter Admins auf der linken Seite die Verwaltung der Admins und deren Rechte.

    Wie gesagt, früher war das sicherlich anders, jetzt aktuell ist das in UniFi OS und das erreichst du so lange du im heimischen Netzwerk deine UDM-Pro erreichen kannst über ihre interne heimische lokale Netzwerk IP.


    Gib mir mal paar Minuten zum Zeichnen, dann erkläre ich das mit den Rollen und den Berechtigungen mit Bildern, dann wird es sofort verständlich für dich.


    Du bist als Admin OWNER oder Superadmin LOKAL auf deiner UDM-P angemeldet 192.168.1.1 im heimischen Netzwerk.

    Du siehst die Unifi OS Seite der UDM-P.

    RECHTS OBEN mit dem Kopf-Icon siehe Kreis im Bild unten legst du bei Bedarf neue "Rollen" an:



    du kommst dann zur Seite mit den Rolleneinstellungen:

    hier bestimmst du also welche Rechte diese Rolle für die einzelnen APPS erhalten soll, die Auswahl oben soll nur die verschiedenen Möglichkeiten zeigen.

    Damit hast du also eine neue Rolle mit neuem Rollennamen und mit diversen Rechten ausgestattet angelegt.

    Du kannst diese Rolle jetzt für neue Admins verwenden, dann musst du beim Anlegen von neuen Admins nicht immer alles dort noch mal einstellen sondern wählst nur die "Rolle" vom neuen Admin aus (Hilfsadmin 1) oder wie immer du ihn nennen magst.

    Damit ist das Thema Rollen, Rollen Verwaltung und Rechtevergabe dieser Rolle beendet.


    Kommen wir zu den Admins.

    RECHTS OBEN im Unifi OS (du bist als OWNER oder SUPERADMIN eingeloggt!) auf das PLUS Zeichen klicken:


    HIER legst du jetzt bei Bedarf zusätzliche Admins mit ROLLENRECHTEN an ODER du stellst für den Admin alles selber noch mal ein, nach Klicken auf das Plus kommst du auf diese Seite:

    entweder für den neuen Admin alles separat Einstellen oder ganz am Ende hinunterscrollen zum Eintrag und diese Einstellungen als neue Rolle speichern.

    Die Rollen weisst du dann bei Bedarf einem neuen Admin zu indem du in seiner Zeile auf den Adminnamen klickst und bei "Role" die gewünschte, angelegte Rolle zuteilst.


    Wie schon oben erwähnt, bitte ergänzt meine Erklärungen bzw. korrigiert sie falls sie Fehler enthalten sollten.

    DANKE



    btw:

    Ich habe das Thema mit dem Adminproblem noch nicht gelesen, aber so lange man sich im eigenen, heimischen Netzwerk befindet und die lokale IP der UDM-P vom eigenen Netzwerk kennt (im Normalfall wird das die 192.168.1.1 sein) dann einfach in den Webbrowser diese IP eintippen, einloggen mit den Userdaten die man bisher verwendet hat und man ist jederzeit auf der Unifi OS Seite dieser UDM-P und kann alle beliebigen Einstellungen vornehmen, selbst wenn es keinen aktiven www Zugang gibt auf WAN der UDM-P. Man ist ja lokal mit der UDM-P verbunden, also heimischer PC auf heimische UDM-P, direkt.

    Dankeschön, das hilft mir schon einmal viel weiter! Ich habe mir jetzt mal die Masken sowohl auf unifi.ui.com und lokal auf der UDM SE angeschaut und bei beiden kann ich über "UniFi OS => Admins" die gleiche Maske sehen - derzeit ist bei mir derzeit nur der Owner eingerichtet, mit den Daten, die ich damals beim Einrichten des UniFi Kontos verwendet habe (bevor ich die UDM SE hatte, hatte ich schon mit einem Controller (Docker Image), sowie ein paar PoE Switchen und APs experimentiert). Wenn ich mir die Details dieses einzigen Benutzers ansehe, sehe ich zusätzlich zu der "Owner" Information auch die "Local Credentials" mit Benutzername und Paßwort. Interessanterweise benutze ich sowohl zur Anmeldung an der lokalen Web UI (interne IP-Adresse der UDM SE), als auch zur Anmeldung auf der unifi.ui.com Webseite in beiden Fällen die "Local Credentials", melde mich also zum Beispiel nicht über die Mailadresse als Benutzernamen an - das scheint keinen Unterschied zu machen?

    Die wichtigste Frage jetzt: ich habe meine "Local Credentials", die auch leidlich funktionieren - aber ich bin halt auch - zumindet zur Zeit und als Standard - ständig mit dem Internet verbunden. Auch bei kurzen Unterbrechungen, die mein Provider gelegentlich hat (siehe andere Threads von mir), kann ich nach wie vor mit der UDM kommunizieren und mich auch einloggen, falls ich gerade keine Session offen haben sollte. Daher gehe ich davon aus, daß das auch ausreichen sollte für den Fall, daß ich, z.B. wegen Providerwechsels, längere Zeit vom Internet getrennt bin?

    Darüber hinaus bleibt meine Eingangsfrage, jetzt nur eher der Neugier halber und nach Ansicht der Admin-Oberfläche etwas detaillierter: gibt es irgendwo eine Beschreibung, was die die Einzelnen Berechtigungen, die ich beim Anlegen weiterer Rollen so auswählen kann, jeweils bewirken? Am liebsten wäre mir ja so eine Matrix, in der zeilenweise die Berechtigungen und in den Spalten die jeweiligen Rollen aufgeführt sind (zum Beispiel für Network "Full Management", "Hotspot Operator", "View Only" oder "Site Admin") und an den jeweiligen Feldern dann darf / darf nicht - oder sowas ähnliches, daß man leicht vergleichen kann, welche Rolle welche Berechtigungen enthält. Gibt es sowas irgendwo?

    Und, neue Frage: ich habe jetzt nur den Owner. Es sieht so aus, als reiche das für meine Zwecke (ich manage derzeit nur und ausschließlich mein eigenes Heimnetzwerk) völlig aus. Ist es trotzdem sinnvoll, weitere Benutzer anzulegen? Ich komme aus der Unix Welt, daher kenne ich das "least privilege" Prinzip sehr gut - aber hier walze ich ja quasi jetzt als root durch das System. Gibt es bei UniFi eine Möglichkeit, bzw. ist es sinnvoll, einen unprivilegierten Benutzer anzulegen, dessen Privilegien man bei Bedarf erweitern kann - ähnlich wie per "sudo" in Unix? Oder muß ich mir darüber zum Beispiel erst Gedanken machen, wenn ich - zum Beispiel für Familienmitglieder - ebenfalls UniFi Netzwerke einrichten und diese von mir zuhause aus verwalten wollte (und dabei auch den Familienmitgliedern eigenen Zugriff geben) und davor reicht mein "root" Benutzer für mein einsames UniFi Netzwerk aus?

    Danke auf jedenfall schonmal für die Unterstützung, ich lerne hier echt viel dazu (auch durch stilles Mitlesen sind hier oft Wissensperlen abzustauben)!

    • Hilfreich
    Zitat von McCavity

    gibt es irgendwo eine Beschreibung, was die die Einzelnen Berechtigungen, die ich beim Anlegen weiterer Rollen so auswählen kann, jeweils bewirken? Am liebsten wäre mir ja so eine Matrix, in der zeilenweise die Berechtigungen und in den Spalten die jeweiligen Rollen aufgeführt sind

    Workspace-Level Permissions - Default Admin Roles and Permissions


    Site-Level Permissions - Default Admin Roles and Permissions

    Zitat von Kurt-oe1kyw

    https://wiki.ui.com/1-0/docs/workspace-level-permissions


    https://wiki.ui.com/docs/site-level-permissions

    Danke, das waren genau die Dokumente, die ich gesucht hatte :red_heart:



    Das wäre was fürs wiki von uns

    LG Michael aka iTweek

    Gefällt mir 3