Administrativer Zugriff und Authentifizierung

7.2. Administrativer Zugriff und Authentifizierung#

Diese Seite beschreibt, wie Administratoren auf ein Nubus für UCS-System zugreifen. Sie beschreibt außerdem, wie Sie die Authentifizierung für ausgewählte Dienste steuern. Sie behandelt das lokale root-Konto, den SSH-Zugriff und Beschränkungen für ausgewählte Dienste basierend auf PAM.

7.2.1. Administrativer Zugriff mit dem Root-Konto#

Jedes Nubus für UCS-System hat ein root-Konto für den vollständigen administrativen Zugriff. Der Installer setzt das Passwort während der Installation. Nubus für UCS speichert den Benutzer root nicht im LDAP-Verzeichnis, sondern in der lokalen Kontendatenbank.

Um das Passwort für den Benutzer root zu ändern, führen Sie den passwd-Befehl aus. Der Befehl prüft weder die Passwortlänge noch vergleicht er das neue Passwort mit zuvor gesetzten Passwörtern.

Siehe auch

Root-Passwort festlegen

für Informationen zum Setzen des Passworts für den Benutzer root während der Installation.

7.2.2. SSH-Anmeldung an Systemen#

Nubus für UCS installiert standardmäßig einen SSH-Server. SSH stellt verschlüsselte Verbindungen zu entfernten Rechnern bereit. Es überprüft die Identität von Rechnern mit kryptografischen Rechnerschlüsseln. Sie können die Anmeldung per SSH mit dem Benutzer root, X11-Forwarding und den Port für SSH über die Univention Configuration Registry konfigurieren.

Standardmäßig erlaubt SSH dem privilegierten Benutzer root die Anmeldung. Sie können zum Beispiel ein neu installiertes System von einem entfernten Standort aus konfigurieren, wenn noch keine Benutzer vorhanden sind.

  • Um für den Benutzer root nur die schlüsselbasierte SSH-Anmeldung zuzulassen, hinterlegen Sie den öffentlichen Schlüssel auf dem entfernten System und führen Sie den Befehl in Listing 7.19 aus.

    Listing 7.19 Nur SSH-Anmeldung mit öffentlichem Schlüssel für Root zulassen#
    $ ucr set sshd/permitroot=without-password

  • Um die SSH-Anmeldung für den Benutzer root zu verbieten, führen Sie den Befehl in Listing 7.20 aus.

    Listing 7.20 SSH-Anmeldung für Root verbieten#
    $ ucr set auth/sshd/user/root=no

Um die Konfigurationsänderungen an SSH anzuwenden, starten Sie den SSH-Dienst wie in Listing 7.21 gezeigt neu.

Listing 7.21 Den SSH-Dienst nach Konfigurationsänderungen neu starten#
$ systemctl restart ssh

7.2.2.1. X11-Forwarding#

Wenn X11-Forwarding aktiviert ist, können Benutzer grafische Programme auf einem entfernten Computer ausführen. Sie verbinden sich mit dem Befehl ssh -X TARGETHOST. Ersetzen Sie TARGETHOST durch den Rechnernamen des entfernten Systems.

  • Um X11-Forwarding über SSH zu aktivieren, führen Sie den Befehl in Listing 7.22 aus.

    Listing 7.22 X11-Forwarding über SSH aktivieren#
    $ ucr set sshd/xforwarding=yes

  • Um X11-Forwarding über SSH auszuschalten, führen Sie den Befehl in Listing 7.23 aus.

    Listing 7.23 X11-Forwarding über SSH ausschalten#
    $ ucr set sshd/xforwarding=no

Um die Konfigurationsänderungen an SSH anzuwenden, starten Sie den SSH-Dienst wie in Listing 7.21 gezeigt neu.

7.2.2.2. Den Standardport für SSH ändern#

Der Standardport für SSH ist TCP-Port 22. Stellen Sie vor dem Ändern des Ports sicher, dass die Firewall Verbindungen zum neuen Port zulässt. Lassen Sie die aktuelle SSH-Sitzung geöffnet, bis Sie den Zugriff über den neuen Port überprüft haben.

Um einen anderen Port zu verwenden, führen Sie den Befehl in Listing 7.24 aus. Ersetzen Sie PORT durch die Nummer für den TCP-Port, die der SSH-Server für eingehende Verbindungen verwendet.

Listing 7.24 Den Port für SSH ändern#
$ ucr set sshd/port=PORT

Um die Konfigurationsänderungen an SSH anzuwenden, starten Sie den SSH-Dienst wie in Listing 7.21 gezeigt neu.

Um den Zugriff über den neuen Port zu überprüfen, öffnen Sie mit dem Befehl in Listing 7.25 eine neue SSH-Sitzung. Ersetzen Sie USERNAME durch Ihren Benutzernamen und HOSTNAME durch den Hostnamen des entfernten Systems.

Listing 7.25 SSH-Zugriff über einen benutzerdefinierten Port überprüfen#
$ ssh -p PORT USERNAME@HOSTNAME

7.2.3. Authentifizierung mit PAM#

Nubus für UCS verwendet Pluggable Authentication Modules (PAM) für Authentifizierungsdienste. PAM stellt eine gemeinsame Schnittstelle für Anmeldemethoden bereit. Anwendungen müssen nicht für jede Methode geändert werden.

Standardmäßig können sich nur der Benutzer root und Mitglieder der Gruppe Domain Admins per SSH aus der Ferne und lokal an einem tty anmelden.

Um den Zugriff auf einen PAM-Dienst zu beschränken, wählen Sie einen Dienstbezeichner aus der Liste aus. Ersetzen Sie die folgenden Platzhalter:

  • SERVICE durch den Dienstbezeichner.

  • USERNAME durch den Benutzernamen.

  • GROUPNAME durch den Gruppennamen.

Sie können den Zugriff auf diese Dienste beschränken:

  • SSH mit sshd

  • Anmeldung an einem tty mit login

  • Entfernte Anmeldung mit rlogin

  • PPP mit ppp

  • Andere Dienste mit other

Um den Zugriff auf einen Dienst zu beschränken, führen Sie den Befehl in Listing 7.26 aus.

Listing 7.26 Zugriff auf einen PAM-Dienst beschränken#
$ ucr set auth/SERVICE/restrict=yes

Um einem Benutzer Zugriff zu gewähren, führen Sie den Befehl in Listing 7.27 aus.

Listing 7.27 Einem Benutzer Zugriff auf einen PAM-Dienst gewähren#
$ ucr set auth/SERVICE/user/USERNAME=yes

Um einer Gruppe Zugriff zu gewähren, führen Sie den Befehl in Listing 7.28 aus.

Listing 7.28 Einer Gruppe Zugriff auf einen PAM-Dienst gewähren#
$ ucr set auth/SERVICE/group/GROUPNAME=yes

Die Befehle in Listing 7.29 beschränken den SSH-Zugriff auf ausgewählte Gruppen.

Listing 7.29 SSH-Zugriff auf ausgewählte Gruppen beschränken#
$ ucr set "auth/sshd/group/Administrators=yes"
$ ucr set "auth/sshd/group/Computers=yes"
$ ucr set "auth/sshd/group/DC Backup Hosts=yes"
$ ucr set "auth/sshd/group/DC Slave Hosts=yes"
$ ucr set "auth/sshd/group/Domain Admins=yes"
$ ucr set "auth/sshd/restrict=yes"
Auf dieser Seite