Ab Version 12.07.100 der IGEL Universal Management Suite (UMS) können Sie den Benutzer definieren, unter dem die UMS Tomcat Dienste ausgeführt werden sollen. Die Verwendung eines Nicht-Root-Benutzers ermöglicht es Ihnen, Sicherheitsstandards flexibler einzuhalten. In diesem Artikel erfahren Sie, wie Sie den Benutzerzugriff definieren und warum es nicht empfohlen wird, die UMS Tomcat Dienste als Root-Benutzer oder Administrator auszuführen.
Der Dienstbenutzer kann nur während einer Erstinstallation der UMS festgelegt werden, nicht während einer Update-Installation.
Die Installation der IGEL UMS selbst muss unter einem Root-/Administrator-Benutzer durchgeführt werden. Aus Sicherheitsgründen wird jedoch nicht empfohlen, die UMS Tomcat Dienste als Root-/Administrator-Benutzer auszuführen. Die Verwendung eines dedizierten Benutzers mit den minimal erforderlichen Berechtigungen für das Betriebssystem reduziert Sicherheitsrisiken erheblich.
Wir empfehlen dringend, einen Benutzer mit minimalen Berechtigungen zu verwenden, um das Prinzip der geringsten Privilegien einzuhalten und die Systemsicherheit zu erhöhen.
So geben Sie den Benutzer bei der Windows Installation an
-
Erstellen Sie vor dem Start der UMS Installation einen Benutzer, der zum Starten der UMS Tomcat Dienste verwendet werden kann.
-
Der Dienstbenutzer sollte keine Root-Rechte besitzen.
-
Der Benutzer muss über ein gültiges Passwort verfügen.
-
Es sind keine zusätzlichen Berechtigungen erforderlich, da alle notwendigen Berechtigungen während des Installationsprozesses vergeben werden.
-
Hinweis für Domänenumgebungen
Der während der Installation angegebene Dienstbenutzer wird automatisch zur lokalen Sicherheitsrichtlinie Log on as a service hinzugefügt. In Active Directory Umgebungen kann dieses Recht zentral über Gruppenrichtlinienobjekte (GPOs) verwaltet werden, die lokale Einstellungen überschreiben können. Stellen Sie sicher, dass dem Dienstkonto auch in den entsprechenden GPOs explizit das Recht Log on as a service zugewiesen wird. Andernfalls kann der Dienst nicht gestartet werden.
-
Wählen Sie während der UMS Installation den Dienstbenutzer aus. Details finden Sie unter IGEL UMS unter Windows installieren.
-
Authentifizieren Sie den Benutzer durch Passwortüberprüfung.
Alle UMS Tomcat Dienste werden nun mit diesem Benutzer gestartet.
So geben Sie den Benutzer bei der Linux Installation an
-
Erstellen Sie vor dem Start der UMS Installation einen Benutzer, der zum Starten der Dienste verwendet werden kann.
-
Der Dienstbenutzer sollte keine Root-Rechte besitzen.
-
Der Benutzer muss über ein gültiges Passwort verfügen.
-
Es sind keine zusätzlichen Berechtigungen erforderlich, da alle notwendigen Berechtigungen während des Installationsprozesses vergeben werden.
-
-
Wählen Sie während der UMS Installation den Dienstbenutzer aus. Details finden Sie unter IGEL UMS unter Linux installieren.
Der Watchdog Dienst (verwendet in UMS High Availability) benötigt unter Linux Root-Berechtigungen. Daher wird dieser Dienst unter Linux als Root gestartet.
-
Authentifizieren Sie den Benutzer durch Passwortüberprüfung.
Alle UMS Tomcat Dienste werden nun mit diesem Benutzer gestartet.
Für die Passwortüberprüfung wird das Modul „pamtester“ auf Ihrem System benötigt. Dieses Modul wird automatisch als Teil des Installationsprozesses heruntergeladen. Wenn Sie sich gegen die Installation entscheiden, funktioniert die Installation nur für den Root-Benutzer.