Xrdp remote login als root

german

#1

Hallo UCS-Gemeinde,

ich habe aktuell einen UCS-Domänencontoller (UCS 4.1-3) aufgesetzt und möchte gerne für die
erste Zeit einen Zugang per xrdp als root einrichten (Verbindung mit OS X 10.7.5 über
eine VPN-Verbindung). XRDP is aus dem App-Center installiert und der Zugang als
Administrator funktioniert auch, nur leider nicht als root.

Wo muss ich was umstellen um dies zu ermöglichen.
(Soll nur temporär sein, bis der Server richtig läuft)

Viele Grüße
Frank


#2

Moin,

X als root laufen zu lassen ist generell eine schlechte Idee. Sich unter UCS XRDP als root einzuloggen ist sogar recht schwierig. Ohne, dass ich’s mal konkret gemacht hätte, sehe ich zumindest die folgenden Probleme:

[ul][li]Man muss XRDP konfigurieren, damit root überhaupt erlaubt wird. Das geht mit der Option »AllowRootLogin« im Abschnitt »Security« in »/etc/xrdp/sesman.ini«. Der Default, der auch unter UCS aktiv ist, verhindert das.[/li]
[li]Die »sesman.ini« wird vom Univention-Template-Mechanismus gemanaget. Das bedeutet, dass manuelle Änderungen der Datei überschrieben werden, wenn die Datei das nächste Mal aus einem Template neu gebaut wird. Für die erwähnte Option gibt es auch keine UCR-Variable.[/li]
[li]Weiterhin gibt es dort Einstellungen, welche Gruppen als User und Admins erlaubt sind. Dafür gibt’s sogar UCR-Variablen. Das Problem ist aber, dass hier LDAP-Gruppen angegeben sind, der User »root« aber ein lokaler User ist, der nicht in LDAP-Gruppen aufgenommen werden kann.[/li]
[li]Weiterhin kann es anschließend durchaus mit PAM zu Problemen kommen — das vermag ich nicht einzuschätzen.[/li][/ul]

Auch aus diesen Gründen rate ich sehr davon ab.

Die Frage ist aber: brauchen Sie das wirklich? Ich könnte mir vorstellen, dass Sie deshalb eine Session als »root« haben wollen, um einfach Dateien editieren zu können oder so. Aber dafür müssen Sie nicht komplett X(RDP) als »root« laufen lassen. Statt dessen können Sie eine Session als normaler User starten und darin dann einzelne Programme als »root« starten, z.B. via »sudo« (vorher den Account in die lokale Gruppe »sudo« stecken).

Gruß,
mosu


#3

Selbst das ist nicht nötig. Man kann sudo für Domain Admins auch per UCR freischalten:

ucr set auth/sudo=true