Änderungen am User Administrator


#1

Hallo,

wir würden dem Nutzer Administrator gerne einige Rechte entfernen. WIe viel darf weggenommen werden, um sich nachher nicht auszusperren? Welche Gruppenzugehörigkeiten müssen bleiben? Falls man sich doch ausgesperrt hat, kann hier noch der root User helfen? Gibt es Probleme, wenn der Administrator umbenannt wird?


#2

Huhu,

Ja. Man kann sich als root am DC Master anmelden und dann mit udm den Account beliebig bearbeiten. Das geht, weil udm zur Modifikation des LDAPs den eigenen Rechneraccount nimmt, und der DC-Master-Rechneraccount hat volle Schreibrechte.

Zu allerletzter Not kann man sich auch direkt mit ldapmodify versuchen. Dazu nimmt man cn=admin,$(ucr get ldap/base) als Account und das Passwort aus /etc/ldap.secret als Passwort. Dieser Account ist praktisch der root des LDAPs.

Zu den anderen Punkten kann ich nicht viel sagen, halte von solchen Maßnahmen aber nicht viel. Viel sinnvoller wäre es, dem Administrator-Account schlicht ein echt sicheres Passwort zu geben (und Sicherheit skaliert hier primär über die Länge, nicht über Sonderzeichen & Groß-/Kleinschreibung).

Gruß
mosu


#3

Prima, danke erst mal für die Info.

Warum nicht? Ist es nicht sicherer, den Account zu löschen oder umzubennen und sonst die Rechte auf einen oder mehrere User zu verteilen?


#4

Vor welchen Szenarien soll das denn schützen?


#5

Gegen Brute-Force-Attacken auf den Standarduser Administrator zum Beispiel.


#6

Jegliches zufälliges Passwort mit einer anständigen Länge (z.B. 20 Zeichen) lässt Brute-Force-Angriffe komplett ineffektiv sein. Dazu muss man den Account nicht löschen oder umbenennen.

Eine UCS-Domäne benötigt definitiv einen Account mit Domänen-Admin-Rechten; da kommt man nicht drum rum (z.B. zum Joinen von Windows-Rechnern, zum Laufenlassen von Join-Scripten auf UCS-Servern…).

Inwiefern man sich Probleme einhandelt, wenn man den Account umbenennnt — keine Ahnung.


#7

OK, dann lasse ich es erst mal so und setze ein entsprechend strakes Passwort. Hat die Gruppe Domain Admins volle Rechte über die Domäne, könnte also auch andere User Gruppen zuweisen?


#8

Ja klar. Daher heißt die Gruppe so, wie sie heißt.