Best Practices für den Benutzerzugriff auf IGEL UMS Server

Ab der IGEL Universal Management Suite (UMS) Version 12.07.100 können Sie den Benutzer definieren, unter dem die UMS-Tomcat-Dienste ausgeführt werden sollen.
Die Verwendung eines Nicht-Root-Benutzers ermöglicht es, Sicherheitsanforderungen flexibler zu erfüllen. In diesem Artikel erfahren Sie, wie Sie den Benutzerzugriff definieren und warum es nicht empfohlen wird, die UMS-Tomcat-Dienste als Root- oder Administrator-Benutzer zu starten.

Der Dienstbenutzer kann nur während einer Erstinstallation der UMS festgelegt werden, nicht im Rahmen eines Updates.

Die Installation der IGEL UMS selbst muss unter einem Root- bzw. Administrator-Benutzer durchgeführt werden. Aus Sicherheitsgründen wird jedoch dringend davon abgeraten, die UMS-Tomcat-Dienste dauerhaft unter Root- oder Admin-Rechten auszuführen. Die Verwendung eines dedizierten Benutzers mit minimal notwendigen Berechtigungen für das Betriebssystem reduziert Sicherheitsrisiken erheblich.

Wir empfehlen ausdrücklich, einen Benutzer mit minimalen Rechten zu verwenden, um dem Prinzip der minimalen Berechtigung zu folgen und die Systemsicherheit zu erhöhen.

So geben Sie den Benutzer bei der Windows-Installation an

1. Erstellen Sie vor Beginn der UMS Installation einen Benutzer, der zum Starten der UMS-Tomcat-Dienste verwendet werden kann.

   • Der Dienstbenutzer darf keine Root-Rechte besitzen.

   • Der Benutzer muss über ein gültiges Passwort verfügen.

   • Weitere Berechtigungen sind nicht erforderlich, da alle notwendigen Rechte während der Installation vergeben werden.

2. Wählen Sie den Dienstbenutzer während der UMS-Installation aus. Weitere Details finden Sie unter IGEL UMS unter Windows installieren.

3. Authentifizieren Sie den Benutzer über die Passwortabfrage.
   Alle UMS-Tomcat-Dienste werden nun mit diesem Benutzer gestartet.

 So geben Sie den Benutzer bei der Linux-Installation an

1. Erstellen Sie vor Beginn der UMS-Installation einen Benutzer, der zum Starten der Dienste verwendet werden kann.

   • Der Dienstbenutzer darf keine Root-Rechte besitzen.

   • Der Benutzer muss über ein gültiges Passwort verfügen.

   • Weitere Berechtigungen sind nicht erforderlich, da alle notwendigen Rechte während der Installation vergeben werden.

2. Wählen Sie den Dienstbenutzer während der UMS-Installation aus. Weitere Details finden Sie unter IGEL UMS unter Linux installieren.

Der Watchdog-Dienst (verwendet in UMS High Availability) benötigt unter Linux Root-Benutzerrechte. Daher wird dieser Dienst unter Linux als Root gestartet.

3. Authentifizieren Sie den Benutzer über die Passwortabfrage.
   Alle UMS-Tomcat-Dienste werden nun mit diesem Benutzer gestartet.

Für die Passwortabfrage wird das Modul „pamtester“ auf Ihrem System benötigt. Dieses Modul wird automatisch im Rahmen des Installationsprozesses heruntergeladen. Wenn Sie sich gegen die Installation entscheiden, ist die Installation nur für den Root-Benutzer funktionsfähig.