Änderungen am User Administrator

Uwe · May 13, 2018, 5:38pm

Hallo,

wir würden dem Nutzer Administrator gerne einige Rechte entfernen. WIe viel darf weggenommen werden, um sich nachher nicht auszusperren? Welche Gruppenzugehörigkeiten müssen bleiben? Falls man sich doch ausgesperrt hat, kann hier noch der root User helfen? Gibt es Probleme, wenn der Administrator umbenannt wird?

Moritz_Bunkus · May 15, 2018, 7:31am

Huhu,

Ja. Man kann sich als root am DC Master anmelden und dann mit udm den Account beliebig bearbeiten. Das geht, weil udm zur Modifikation des LDAPs den eigenen Rechneraccount nimmt, und der DC-Master-Rechneraccount hat volle Schreibrechte.

Zu allerletzter Not kann man sich auch direkt mit ldapmodify versuchen. Dazu nimmt man cn=admin,$(ucr get ldap/base) als Account und das Passwort aus /etc/ldap.secret als Passwort. Dieser Account ist praktisch der root des LDAPs.

Zu den anderen Punkten kann ich nicht viel sagen, halte von solchen Maßnahmen aber nicht viel. Viel sinnvoller wäre es, dem Administrator-Account schlicht ein echt sicheres Passwort zu geben (und Sicherheit skaliert hier primär über die Länge, nicht über Sonderzeichen & Groß-/Kleinschreibung).

Gruß
mosu

Uwe · May 16, 2018, 5:00pm

Prima, danke erst mal für die Info.

Warum nicht? Ist es nicht sicherer, den Account zu löschen oder umzubennen und sonst die Rechte auf einen oder mehrere User zu verteilen?

Moritz_Bunkus · May 17, 2018, 6:57am

Vor welchen Szenarien soll das denn schützen?

Uwe · May 18, 2018, 12:30pm

Gegen Brute-Force-Attacken auf den Standarduser Administrator zum Beispiel.

Moritz_Bunkus · May 18, 2018, 12:33pm

Jegliches zufälliges Passwort mit einer anständigen Länge (z.B. 20 Zeichen) lässt Brute-Force-Angriffe komplett ineffektiv sein. Dazu muss man den Account nicht löschen oder umbenennen.

Eine UCS-Domäne benötigt definitiv einen Account mit Domänen-Admin-Rechten; da kommt man nicht drum rum (z.B. zum Joinen von Windows-Rechnern, zum Laufenlassen von Join-Scripten auf UCS-Servern…).

Inwiefern man sich Probleme einhandelt, wenn man den Account umbenennnt — keine Ahnung.

Uwe · May 18, 2018, 12:37pm

OK, dann lasse ich es erst mal so und setze ein entsprechend strakes Passwort. Hat die Gruppe Domain Admins volle Rechte über die Domäne, könnte also auch andere User Gruppen zuweisen?

Moritz_Bunkus · May 18, 2018, 12:52pm

Ja klar. Daher heißt die Gruppe so, wie sie heißt.