Best Practices für den Benutzerzugriff auf IGEL UMS Server

Ab IGEL Universal Management Suite (UMS) Version 12.07.100 können Sie den Benutzer festlegen, unter dem die UMS Tomcat-Dienste laufen sollen. Die Verwendung eines Nicht-Root-Benutzers ermöglicht es Ihnen, Sicherheitsstandards mit größerer Flexibilität zu erfüllen. In diesem Artikel erfahren Sie, wie Sie den Benutzerzugriff definieren und warum es nicht empfehlenswert ist, die UMS Tomcat-Dienste als Root- oder Admin-Benutzer zu starten.

Der Dienstbenutzer kann nur während einer UMS-Erstinstallation festgelegt werden, nicht während einer Update-Installation.

Die Installation von IGEL UMS selbst muss unter einem Root/Admin-Benutzer durchgeführt werden, aber aus Sicherheitsgründen wird nicht empfohlen, die UMS Tomcat-Dienste als Root/Admin-Benutzer auszuführen. Die Verwendung eines dedizierten Benutzers mit den minimal notwendigen Berechtigungen für das Betriebssystem reduziert die Sicherheitsrisiken erheblich.

Wir empfehlen dringend, einen Benutzer mit minimalen Berechtigungen zu verwenden, um dem Prinzip der geringsten Privilegien zu folgen und die Systemsicherheit zu erhöhen.

Wie man den Benutzer bei der Windows-Installation angibt

1. Erstellen Sie einen Benutzer, der verwendet werden kann, um die UMS Tomcat-Dienste zu starten, bevor die UMS-Installation gestartet wird.

   • Der Dienstbenutzer sollte keine Root-Rechte haben.

   • Der Benutzer muss über ein gültiges Kennwort verfügen.

   • Es sind keine zusätzlichen Berechtigungen erforderlich, da alle erforderlichen Berechtigungen während des Installationsprozesses erteilt werden.

2. Wählen Sie den Dienstbenutzer während der UMS-Installation. Einzelheiten finden Sie unter IGEL UMS Installation unter Windows .

3. Authentifizierung des Benutzers durch Passwortverifizierung.
   Alle UMS Tomcat-Dienste werden nun mit diesem Benutzer gestartet.

 Wie man den Benutzer bei der Linux-Installation angibt

1. Erstellen Sie einen Benutzer, der zum Starten der Dienste verwendet werden kann, bevor die UMS Installation gestartet wird.

   • Der Dienstbenutzer sollte keine Root-Rechte haben.

   • Der Benutzer muss über ein gültiges Passwort verfügen.

   • Es sind keine zusätzlichen Berechtigungen erforderlich, da alle notwendigen Berechtigungen während des Installationsprozesses gewährt werden.

2. Wählen Sie den Dienstbenutzer während der UMS-Installation. Einzelheiten finden Sie unter IGEL UMS Installation unter Linux .

Der Watchdog-Dienst (der in UMS High Availability verwendet wird) benötigt unter Linux Root-Rechte. Daher wird dieser Dienst unter Linux als root gestartet.

3. Authentifizierung des Benutzers durch Passwortverifizierung.
   Alle UMS Tomcat-Dienste werden nun mit diesem Benutzer gestartet.

Für die Passwortüberprüfung ist das Modul "pamtester" auf Ihrem System erforderlich. Dieses Modul wird automatisch als Teil des Installationsprozesses heruntergeladen. Wenn Sie es nicht installieren, wird die Installation nur für den Root-Benutzer funktionieren.