Dateiformat ldap.cfg

Online bearbeiten

Zweck

Die clientseitige secldapclntd LDAP-Dämonkonfigurationsdatei.

Beschreibung

Die Datei /etc/security/ldap/ldap.cfg enthält Informationen zum Starten und ordnungsgemäßen Funktionieren des Dämons secldapclntd sowie Informationen zur Optimierung der Leistung des Dämons. Der Befehl mksecldap bei der Clientkonfiguration aktualisiert die Datei /etc/security/ldap/ldap.cfg .

Die Datei /etc/security/ldap/ldap.cfg kann die folgenden Felder enthalten:
Element Beschreibung
ldapservers Gibt eine durch Kommas getrennte Liste von LDAP-Sicherheitsinformationsservern (LDAP = Lightweight Directory Access Protocol) an Diese Server können entweder der primäre Server oder das Replikat des primären Servers sein. Der erste Server in der Liste hat die höchste Priorität.
binddn Gibt den DN-LDAP an, der für die Bindung an einen oder mehrere LDAP-Sicherheitsinformationsserver verwendet wird.
bindpwd Gibt das Kennwort für binddnan.
authtype Gibt das zu verwendende Authentifizierungsverfahren an. Die gültigen Werte sind unix_auth und ldap_auth. Der Standardwert ist unix_auth.
  • unix_auth -Ruft das Benutzerkennwort aus LDAP ab und authentifiziert den Benutzer lokal.
  • LDAP-Authentifizierung -Bindung an den LDAP-Server als authentifizierender Benutzer für die Authentifizierung.
    Hinweis: Für das Authentifizierungsverfahren ldap_auth wird das Kennwort in Klartext an den LDAP-Server gesendet. Die Verwendung von SSL wird empfohlen.
useSSL Gibt an, ob die SSL-Kommunikation verwendet werden soll. Gültige Werte sind yes, SSL, TLS, NONE und no. Der Standardwert ist no.
Hinweis: Sie benötigen den SSL-Schlüssel und das Kennwort für den Schlüssel, um diese Funktion zu aktivieren.
ldapsslkeyf Gibt den vollständigen Pfad des SSL-oder TLS-Schlüssels an.
ldapsslkeypwd Gibt das Kennwort des SSL-oder TLS-Schlüssels an.
Anmerkung: Setzen Sie diese Zeile auf Kommentar, um das verdeckte Kennwort zu verwenden. Die Kennwortstashdatei muss sich in demselben Verzeichnis wie der SSL-oder TLS-Schlüssel befinden. Die Kennwortstashdatei muss denselben Namen wie die Schlüsseldatei haben, jedoch mit der Erweiterung .sth anstelle von .kdb.
useKRB5 Gibt an, ob Kerberos für die erste Bindung an den Server verwendet wird. Gültige Werte sind Ja oder Nein. Der Standardwert ist no.
Anmerkung: Zum Aktivieren dieser Funktion sind der Kerberos , der Schlüsselpfad und das kinit -Befehlsverzeichnis erforderlich. Wenn die Kerberos -Bindung aktiviert ist, sind binddn und bindpwd nicht erforderlich.
krbprincipal Gibt den Kerberos -Principal an, der für die Bindung an den Server verwendet wird
krbkeypath Gibt den Pfad zum Kerberos -Chiffrierschlüssel an. Der Standardwert ist /etc/security/ldap/krb5.keytab.
krbcmddir Gibt das Verzeichnis an, das den kinit -Befehl Kerberos enthält. Der Standardwert ist /usr/krb5/bin/.
pwdalgorithm Gibt den Kennwortverschlüsselungsalgorithmus an, der für den Modus unix_auth verwendet wird Der Modus LDAP-Authentifizierung ignoriert dieses Attribut. Der gültige Wert ist crypt oder system. Der Standardwert ist Kryptografie.
Verschlüsselung
Gibt den Algorithmus für traditionelle Verschlüsselung (DES) an.
System
Gibt an, dass der in der Datei /etc/security/login.cfg konfigurierte systemweite Kennwortalgorithmus verwendet werden soll. Um den systemweiten Kennwortalgorithmus zu verwenden, muss die Kennwortverschlüsselung des LDAP-Servers inaktiviert werden, um eine doppelte Verschlüsselung zu vermeiden. Doppelte Verschlüsselung kann das Kennwort unbrauchbar machen. Stellen Sie sicher, dass alle Clients des LDAP-Servers den verwendeten Algorithmus verstehen.
userattrmappath Gibt den vollständigen Pfad zur AIX®-LDAP-Attributzuordnung für Benutzer an.
groupattrmappath Gibt den vollständigen Pfad zur AIX-LDAP-Attributzuordnung für Gruppen an.
idattrmappath Gibt den vollständigen Pfad zur AIX-LDAP-Attributzuordnung für IDs an. Diese IDs werden vom Befehl mkuser verwendet, um LDAP-Benutzer zu erstellen.
userbasedn Gibt den Basis-DN des Benutzers an Weitere Informationen finden Sie unter Detaillierte Informationen.
groupbasedn Gibt den Gruppenbasis-DN an. Weitere Informationen finden Sie unter Detaillierte Informationen.
idbasedn Gibt den Basis-DN der ID an. Weitere Informationen finden Sie unter Detaillierte Informationen.
hostbasedn Gibt den Basis-DN des Hosts an Weitere Informationen finden Sie unter Detaillierte Informationen.
servicebasedn Gibt den Basis-DN des Service an Weitere Informationen finden Sie unter Detaillierte Informationen.
protocolbasedn Gibt den Basis-DN des Protokolls an. Weitere Informationen finden Sie unter Detaillierte Informationen.
networkbasedn Gibt den Basis-DN des Netzes an. Weitere Informationen finden Sie unter Detaillierte Informationen.
netgroupbasedn Gibt den Basis-DN der Netzgruppe an Weitere Informationen finden Sie unter Detaillierte Informationen.
rpcbasedn Gibt den RPC-Basis-DN an. Weitere Informationen finden Sie unter Detaillierte Informationen.
aliasbasedn Gibt den Basis-DN des Aliasnamens an Weitere Informationen finden Sie unter Detaillierte Informationen.
automountbasedn Gibt den Automount-Basis-DN an Weitere Informationen finden Sie unter Detaillierte Informationen.
bootparambasedn Gibt den Basis-DN für Bootparameter an. Weitere Informationen finden Sie unter Detaillierte Informationen.
etherbasedn Gibt den Etherbase-DN an. Weitere Informationen finden Sie unter Detaillierte Informationen.
authbasedn Gibt den Basis-DN für die Berechtigung an Weitere Informationen finden Sie unter Detaillierte Informationen.
rolebasedn Gibt den Basis-DN für Rollen an. Weitere Informationen finden Sie unter Detaillierte Informationen
privcmdbasedn Gibt den Basis-DN für privilegierte Befehle an. Weitere Informationen finden Sie unter Detaillierte Informationen
privdevbasedn Gibt den Basis-DN für privilegierte Einheiten an Weitere Informationen finden Sie unter Detaillierte Informationen
privfilebasedn Gibt den Basis-DN für privilegierte Dateien an. Weitere Informationen finden Sie unter Detaillierte Informationen
domainbasedn Gibt den Basis-DN der Domäne an Weitere Informationen finden Sie unter Detaillierte Informationen
domobjbasedn Gibt den Basis-DN des Domänenobjekts an Weitere Informationen finden Sie unter Detaillierte Informationen
tsddatbasedn Gibt den Basis-DN der Trusted Signature Database an. Weitere Informationen finden Sie unter Detaillierte Informationen.
tepoliciesbasedn Gibt den Basis-DN der vertrauenswürdigen Ausführungsrichtlinien der Maschine an. Weitere Informationen finden Sie unter Detaillierte Informationen.
userclasses Gibt eine durch Kommas getrennte Liste von Objektklassen an, die für den Benutzereintrag verwendet werden. Weitere Informationen finden Sie unter Detaillierte Informationen.
groupclasses Gibt eine durch Kommas getrennte Liste mit Objektklassen an, die für den Gruppeneintrag verwendet werden. Weitere Informationen finden Sie unter Detaillierte Informationen.
ldapversion Gibt die Protokollversion des LDAP-Servers an Der Standardwert ist 3.
ldapport Gibt den Port an, an dem der LDAP-Server empfangsbereit ist Der Standardwert ist 389. TLS verwendet diesen Port auch als Standardport.
ldapsslport Gibt den SSL-Port an, an dem der LDAP-Server empfangsbereit ist Der Standardwert ist 636.
followaliase Gibt an, ob Aliasnamen folgen sollen. Gültige Werte sind NEVER, SEARCHING, FINDINGund ALWAYS. Der Standardwert ist NEVER.
usercachesize Gibt die Größe des Benutzercache an. Gültige Werte sind 100-65536 Einträge. Der Standardwert ist 1000.
groupcachesize Gibt die Größe des Gruppencache an. Gültige Werte sind 10-65536 Einträge. Der Standardwert ist 100.
cachetimeout Gibt die Lebensdauer des Cache (Lebensdauer) für Benutzer und Gruppen an. Der Wert muss größer-gleich 0 Sekunden sein. Der Standardwert ist 300. Geben Sie 0 an, um das Caching zu inaktivieren.
Hinweis: Das Feld cachetimeout ist ein veraltetes Attribut. Sie können stattdessen die Attribute usercachetimeout und groupcachetimeout verwenden.
usercachetimeout Gibt die Lebensdauer des Caches (Lebensdauer) für Benutzer an. Der Wert muss größer-gleich 0 Sekunden sein. Der Standardwert ist 300. Auf 0 setzen, um das Benutzercaching zu inaktivieren. Wenn dieser Wert angegeben wird, überschreibt er die Einstellung cachetimeout .
groupcachetimeout Gibt die Lebensdauer (TTL, Time to Live) des Cache für Gruppen an. Der Wert muss größer-gleich 0 Sekunden sein. Der Standardwert ist 300. Auf 0 setzen, um Gruppencaching zu inaktivieren. Wenn dieser Wert angegeben wird, überschreibt er die Einstellung cachetimeout .
ldapsizelimit Gibt die maximale Anzahl der Einträge an, die für den LDAP-Server in einer ALL-Abfrage angefordert werden. Der Standardwert ist 0 (keine Begrenzung). Wenn die ldapsizelimit größer als die Servergrößenbegrenzung ist, begrenzt die Servergröße die Anzahl der zurückgegebenen Einträge. Wenn Sie ldapsizelimit auf einen niedrigeren Wert setzen, erhöht sich die Leistung einiger Befehle. Beispiel: der Befehl lsuser -R LDAP ALL .
heartbeatinterval Gibt das Intervall (in Sekunden) an, in dem der Client den Serverstatus vom Server anfordert. Gültige Werte sind 5-3.600 Sekunden. Der Standardwert ist 300.
numberofthread Gibt die Anzahl der Threads für den Dämon secldapclntd an. Gültige Werte sind 1-256. Der Standardwert ist 10.
nsorder Gibt die Reihenfolge der Hostnamensauflösung durch den secldapclntd -Dämon an. Die Standardreihenfolge ist dns, nis, local. Weitere Informationen zu gültigen Resolvern finden Sie unter TCP/IP Name Resolution.
Hinweis: Verwenden Sie nis_ldap nicht, da dies zu einer Blockierung des Dämons secldapclntd führen könnte.
searchmode Gibt die Gruppe von Benutzer- und Gruppenattributen an, die abgerufen werden sollen. Dieses Attribut soll aus Leistungsaspekten verwendet werden. Die AIX -Befehle sind möglicherweise nicht für die Unterstützung aller Nicht-Betriebssystemattribute aktiviert. Gültige Werte sind ALL und OS. Der Standardwert ist ALL.
  • ALL: Ruft alle Attribute eines Eintrags ab.
  • OS: Ruft nur die vom Betriebssystem benötigten Attribute eines Eintrags ab. Attribute, die vom Betriebssystem nicht benötigt werden, wie z. B. Telefonnummer, werden keine binären Images zurückgegeben.
    Hinweis: Verwenden Sie OS nur, wenn Einträge viele nicht für das Betriebssystem erforderliche Attribute oder Attribute mit großen Werten (z. B. Binärdaten) haben, um den Sortieraufwand durch den LDAP-Server zu reduzieren.
defaultentrylocation Gibt die Position des Standardeintrags an. Die gültigen Werte sind ldap und local. Der Standardwert ist ldap.
  • ldap: Verwendet den Standardeintrag in LDAP für alle Attributstandardwerte.
  • local: Verwendet die Standardzeilengruppe aus der lokalen Datei /etc/security/user für alle Attributstandardwerte.
ldaptimeout Gibt das Zeitlimitintervall in Sekunden für LDAP-Clientanforderungen an den Server an. Dieser Wert bestimmt, wie lange der Client auf eine Antwort vom LDAP-Server wartet. Der gültige Bereich liegt zwischen 0 und 3600 (1 Stunde). Die Standardeinstellung sind 60 Sekunden. Setzen Sie diesen Wert auf 0, um das Zeitlimit zu inaktivieren.
connectionsperserver Gibt die maximale Anzahl von Verbindungen zum LDAP-Server an. Wenn der angegebene Wert größer als der Wert im Feld numberofthread ist, verwendet das Feld secldapclntd stattdessen den Wert des Felds numberofthread . Der secldapclntd -Dämon beginnt mit einer Verbindung und fügt bei hohem LDAP-Anforderungsbedarf dynamisch neue Verbindungen im Feld connectionsperserver hinzu. Die inaktiven Verbindungen werden bei geringem Bedarf geschlossen. Gültige Werte für dieses Feld sind 1 bis 100. Der Standardwert ist 10.
connectionmissratio Gibt den Prozentsatz der LDAP-Operationen an, die ein LDAP-Handle beim ersten Versuch verpassen können (Handle-Miss). Wenn die Anzahl der verpassten Versuche diesen Wert erreicht, fügt der secldapclntd -Dämon eine neue Verbindung hinzu. Die Gesamtzahl der Verbindungen überschreitet nicht den Wert des Felds connectionsperserver . Gültige Werte für dieses Feld sind 10 bis 90. Der Standardwert ist 50.
newconnT Gibt das Intervall an, in dem das Verbindungsfehlerverhältnis (connectionmissratio) geprüft wird, um festzustellen, ob eine neue Verbindung erstellt werden muss.
connectiontimeout Gibt die Zeit in Sekunden an, die eine LDAP-Verbindung zum Server inaktiv sein kann, bevor der secldapclntd -Dämon sie schließt. Der gültige Wert ist 5 Sekunden oder größer. Der Standardwert ist 300.
serverschematype Gibt den Schematyp des LDAP-Servers an Der Befehl mksecldap legt das Feld serverschematype bei der Konfiguration des LDAP-Clients fest. Dieses Attribut darf nicht geändert werden. Gültige Werte sind rfc2307aix, rfc2307, aix, sfu30und sfur2.
enableutf8_xlation Dieses Feld ermöglicht das Speichern von Daten auf dem LDAP-Server im UTF-8 -Format. Gültige Werte sind yes und no. Der Standardwert ist no.
rbacinterval Gibt das Zeitintervall (in Sekunden) an, in dem der Dämon secldapclntd den Befehl setkst aufruft, um die RBAC -Kerneltabellen zu aktualisieren. Der Wert muss größer als 60 Sekunden sein. Setzen Sie den Wert auf 0 , um den setkst -Befehl zu inaktivieren. Der Standardwert ist 3600.
useprivport Gibt an, ob lokale privilegierte Ports für die Verbindung zu LDAP-Servern verwendet werden sollen. Gültige Werte sind Ja und Nein. Der Standardwert ist no. Das Attribut useprivport ist nur mit einer früheren Version kompatibel.
memberfulldn Gibt an, ob der DN oder der Accountname für Gruppenmitglieder verwendet werden soll. Gültige Werte sind Ja und Nein. Der Standardwert ist no. Wenn Sie Accountnamen verwenden, ändern Sie normalerweise nicht den Wert des Attributs memberfulldn . Wenn Sie Gruppenmitglieder im DN-Format wünschen, setzen Sie den Wert auf yes. Wenn der LDAP-Server Active Directoryist, wird das Gruppenmitgliedsattribut aus Gründen der Kompatibilität mit einer früheren Version dem Mitglied msSFU30PosixMember zugeordnet. Der secldapclntd -Dämon verwendet unabhängig von dieser Einstellung immer das DN-Format.
pwdpolicydn Gibt den DN der globalen Kennwortrichtlinien des LDAP-Servers an. Der Dämon secldapclntd verwendet diesen Richtlinieneintrag, um den Benutzer über den Fehler zu informieren, wenn ein nicht konformes Kennwort verwendet wird. Wenn Kennwortrichtlinien angegeben werden, werden die angegebenen Richtlinien anstelle der globalen Richtlinien verwendet.
usrkeystorebasedn Gibt den Basis-DN des EFS PKCS#12 -Keystores des Benutzers an Weitere Informationen finden Sie unter Detaillierte Informationen.
grpkeystorebasedn Gibt den Basis-DN des Keystores der Gruppe EFS PKCS#12 an. Weitere Informationen finden Sie unter Detaillierte Informationen.
efscookiesbasedn Gibt den Basis-DN des EFS -Cookie an. Weitere Informationen finden Sie unter Detaillierte Informationen.
admkeystorebasedn Gibt den Basis-DN des PKCS#12 -Keystores des EFS -Administrators an Weitere Informationen finden Sie unter Detaillierte Informationen.
followreferrals Gibt an, ob der AIX -LDAP-Client die vom LDAP-Server empfangenen Verweise verfolgen muss. Die gültigen Werte sind am und Aus. Der Standardwert ist "chase the referrals".
caseExactAccountName Gibt an, ob bei Accountnamen die Groß-/Kleinschreibung beachtet werden muss oder nicht. Die meisten LDAP-Server behandeln Kontonamen als von der Groß-/Kleinschreibung unabhängig. Daher werden Accountnamen wie foo, Foo, FOound FOO als derselbe Benutzer behandelt, und diese Server lassen nur einen in LDAP definierten Server zu. Die gültigen Werte sind im Folgenden beschrieben:
no
Gibt an, dass der Kontoname, der mit dem angeforderten Namen übereinstimmt, ohne Beachtung der Groß-/Kleinschreibung zurückgegeben werden soll. Beispiel: Die Abfrage des Benutzers foo kann foo, Foo, FOound FOOzurückgeben. Diese Option ist der Standardwert.
Ja
Gibt an, dass der Kontoname, der mit dem angeforderten Namen übereinstimmt, unter Beachtung der Groß-/Kleinschreibung zurückgegeben werden soll. Beispiel: Die Abfrage eines Benutzers foo schlägt fehl, wenn einer der Namen Foo, FOooder FOO in LDAP anstelle von foo vorhanden ist.
auditpolicy Gibt die Aktion an, die ausgeführt werden muss, wenn sich die Prüfkonfiguration in LDAP ändert. Sie ist nur wirksam, wenn ein Attribut auditrefreshed festgelegt ist. Sie hat die folgenden beiden Werte:
WARN
Meldet die Nachricht in der syslog-Datei auf dem LDAP-Client an, wenn eine Änderung in der Prüfkonfiguration auf dem LDAP erfolgt, sodass der Administrator die Prüfung auf dem LDAP-Client startet.
RESTART
Startet automatisch die Prüfung auf dem LDAP-Client, wenn sich die Prüfkonfiguration auf LDAP ändert.
auditrefreshed Gibt das Zeitintervall (in Sekunden) oder die Zeit im 24-Stunden-Format an, in dem der secldapclntd -Dämon entsprechend dem Attribut auditpolicy agiert. Wenn das Attribut auditpolicy nicht festgelegt ist, ist das Attribut inaktiviert. Das Zeitintervall wird in Sekunden angegeben. Der Wert muss größer als 60 Sekunden sein. Setzen Sie den Wert auf 0, um ihn zu inaktivieren. Der Standardwert ist 3600. Wenn die Zeit im 24-Stunden-Format angegeben wird, muss sie mit dem Buchstaben T beginnen.
DisplayNetgroupUserInfo Gibt an, ob nicht privilegierte Benutzer den Befehl lsldap -a passwd ausführen können oder nicht, um Benutzer anzuzeigen, die zu einem für Netgroup aktivierten LDAP-Modul gehören Geben Sie den Standardwert yesan, um Benutzer aus dem für Netgroup aktivierten LDAP-Modul anzuzeigen. Geben Sie no an, wenn Sie keine Benutzer aus dem für Netgroup aktivierten LDAP-Modul anzeigen möchten. Diese Option wirkt sich nicht auf root -Benutzer oder Benutzer mit der Berechtigung aix.security.ldap aus.
reconnT Gibt die Zeit in Sekunden an, die ein LDAP-Verbindungsversuch wartet, bevor das Zeitlimit überschritten wird. Der gültige Wert für dieses Feld liegt zwischen 5 und 3600 Sekunden. Der Standardwert ist 75 Sekunden.

Ausführliche Informationen

Mehrere Basis-DNs
Alle Basis-DN-Attribute akzeptieren mehrere Werte, wobei jedes <basedn>: <value> -Paar in einer separaten Zeile angezeigt wird. Um Benutzern in den ou=dept1users,cn=aixdata -Basis-DNs und den ou=dept2users,cn=aixdata -Basis-DNs die Anmeldung am System zu ermöglichen, können Sie das Attribut userbasedn wie folgt angeben:
userbasedn: ou=dept1users,cn=aixdata
userbasedn: ou=dept2users,cn=aixdata
Sie können bis zu 10 Basis-DNs für jede Entität in der Datei /etc/security/ldap/ldap.cfg angeben. Die Basis-DNs werden in der Reihenfolge priorisiert, in der sie in der Datei /etc/security/ldap/ldap.cfg erscheinen. Die folgende Liste beschreibt das Systemverhalten in Bezug auf mehrere Basis-DNs:
  • Abfrageoperationen wie der Befehl lsuser werden entsprechend der angegebenen Basis-DN-Reihenfolge ausgeführt, bis ein übereinstimmendes Konto gefunden wird. Ein Fehler wird nur zurückgegeben, wenn alle Basis-DNs durchsucht werden, ohne eine Übereinstimmung zu finden.
  • Änderungsoperationen, z. B. der Befehl chuser , werden für das erste übereinstimmende Konto ausgeführt.
  • Löschoperationen wie der Befehl rmuser werden für das erste übereinstimmende Konto ausgeführt.
  • Erstellungsoperationen, wie beispielsweise der Befehl mkuser , werden nur bis zum ersten Basis-DN ausgeführt.
Domänen-RBAC-Basis-DNs
#domainbasedn:ou=domains,cn=aixdata
#domobjbasedn:ou=domobjs,cn=aixdata
Das Zeitintervall in Minuten gibt die Häufigkeit an, mit der die RBAC-Kerneltabellen und die RBAC-Domänentabellen aktualisiert werden. Der Wert 0 inaktiviert die automatische Aktualisierung.
rbacinterval: 0
Format des erweiterten Basis-DN
Sie können optionale Parameter des Suchbereichs und Suchfilters für Basis-DN-Attribute angeben. Sie können die Parameter mit durch Fragezeichen (?) getrennten Feldern an den Basis-DN anhängen. Die folgende Liste enthält die gültigen Basis-DN-Formate:
  • Das folgende Format stellt das Standardformat dar, das der secldapclntd -Dämon verwendet:
    userbasedn: ou=people, cn=aixdata
  • Dieses Format begrenzt die Suche nach einem Bereichsattribut:
    userbasedn: ou=people, cn=aixdata?scope

    Die gültigen Werte für das Bereichsattribut sind sub, oneund base. Wenn Sie das Bereichsattribut nicht angeben, lautet der Standardwert sub.

  • Dieses Format begrenzt die Suche nach einem Filterattribut.
    userbasedn: ou=people, cn=aixdata??filter
    Das Filterattribut begrenzt die Einträge, die im LDAP-Server definiert sind. Mit diesem Filter können Sie nur Benutzer mit bestimmten Eigenschaften für das System sichtbar machen. Die folgende Liste enthält einige gültige Filterformate, wobei attribute der Name eines LDAP-Attributs ist und Wert die Suchkriterien angibt, bei denen es sich um ein Platzhalterzeichen (*) handeln kann.
    • (attribute=value)
    • (&(attribute=value)(attribute=value))
    • (|(attribute=value)(attribute=value))
  • Dieses Format verwendet sowohl ein Bereichsattribut als auch ein Filterattribut.
    userbasedn: ou=people, cn=aixdata?scope?filter
Objektklassen

Die erste Objektklasse in der Liste ist die Schlüsselobjektklasse, die für Suchoperationen verwendet wird. Standardmäßig wird hierfür das Attribut keyobjectclass in der Attributzuordnungsdatei verwendet. Wenn die Zuordnungsdatei nicht vorhanden ist oder das Attribut keyobjectclass nicht in der Zuordnungsdatei vorhanden ist, wird die erste Objektklasse in dieser Liste verwendet.