Udm (cli) als nicht-root user

Hallo Forum,

ich habe hier ein Script, das als User www-data läuft und /usr/sbin/udm aufruft. (Sicherheit ist hier kein Thema :wink:

Nach dem Update von UCS 2.x auf 3.2 liefert jeder Aufruf von /usr/sbin/udm als nicht-Administrator und nicht-root die Meldung:

E: Permission denied, try --logfile, --binddn and --bindpwd

Die Optionen --binddn und --bindpwd übergibt das Script korrekt, die Option --logfile bleibt als nicht-root User ohne Effekt. Das Loglevel in der ucr Variable directory/manager/cmd/debug/level habe ich auch bereits hochgestellt, aber das hat auch nur eine Wirkung wenn root udm aufruft.

Die Dateirechte von /usr/sbin/udm bzw. usr/share/univention-directory-manager-tools/univention-cli-client habe ich auch bereits überprüft.

Hat jemand eine Idee woran das liegen könnte?

Beste Grüße

Gerd Wilhelm

Hallo,

Hintergrund ist hier dass ein unpriveligierter Benutzer nicht in die Standard-Logdatei (/var/log/univention/directory-manager-cmd.log) schreiben darf, daher muss eine alternative Logdatei angegeben werden (in die der Benutzer schreiben darf), z.B.:/usr/sbin/udm users/user list --binddn uid=Administrator,cn=users,dc=schoolmulti-s4,dc=qa --bindpwd univention --logfile /tmp/udm.log

Das die Option ohne Effekt bleibt kann ich in meinen Tests nicht nachvollziehen.

Mit freundlichen Grüßen
Janis Meybohm

Hallo Herr Meybohm,

danke fürs ausprobieren. Bei mir geht es leider nicht:

als root:

/usr/sbin/udm users/user list --binddn="cn=admin,dc=ali-giessen,dc=local" --bindpwd="XXXXXXX" --filter=username=gerd --logfile /tmp/rootslogfile

funktioniert und legt die Logdatei /tmp/rootslogfile an.

Aber:

su www-data - /usr/sbin/udm users/user list --binddn="cn=admin,dc=ali-giessen,dc=local" --bindpwd="XXXXXXX" --filter=username=gerd --logfile /tmp/www-datas-logfile

ergibt wie bisher:

E: Permission denied, try --logfile, --binddn and --bindpwd

und die Datei /tmp/www-datas-logfile wird nicht angelegt.

Ich habe das Problem inzwischen mit sudo umgangen, ist also nicht mehr so dringend.

Beste Grüße

Gerd Wilhelm

Hallo,

bitte beachten Sie die Optionen ohne “=” anzugeben (wie in meinem Beispiel). Dann sollte das auch als “www-data” funktionieren.

Mit freundlichen Grüßen
Janis Meybohm

Tatsächlich. Vielen Dank.

Da wär ich nie darauf gekommen, da als root die Optionen ja klaglos angenommen werden.

Beste Grüße

Gerd Wilhelm