Direktanmeldung mit einer Administratorenrolle

Gelegentlich ist es wünschenswert, dass sich normale Benutzer an der Konsole oder per SSH als Ad­ministratoren anmelden können. Dies kann erforderlich sein, wenn mehrere Personen als Administrator tätig sind, das zentrale Passwort einer bestimmten Administratorenrolle in verteilten Organisations­strukturen jedoch nicht einem größeren Personenkreis zugänglich gemacht werden soll. Sofern ein Benutzer einer bestimmten, eigens dafür vorgesehenen Benutzergruppe auf TightGate-Pro angehört, kann dieser sich unmittelbar mit seinem regulären Passwort anmelden und erhält automa­tisch die Privilegien der jeweiligen Administratorenrolle.

Zu diesem Zweck muss der Administrator maint zunächst die notwendigen, speziellen Gruppen in der Gruppenverwaltung von TightGate-Pro anlegen. Diese Gruppen müssen, entsprechend ihrer Zweckbestimmung, zwingend die folgenden Bezeichnungen beginnend mit "tgadmin" tragen:

GruppeBeschreibung
tgadminconfigGruppenmitglieder können als Administrator config arbeiten.
tgadminmaintGruppenmitglieder können als Administrator maint arbeiten.
Ausnahme: Grup­penmitglieder können keine Gruppen zur Direktanmeldung mit einer Administrato­renrolle anlegen oder ändern.
tgadminupdateGruppenmitglieder können als Administrator update agieren.
tgadminbackuserGruppenmitglieder können als Administrator backuser agieren.
tgadminsecurityGruppenmitglieder können als Administrator security agieren.
tgadminrootGruppenmitglieder können als Administrator root agieren.

Alle Benutzerkennungen, die auch zu einer Anmeldung mit einer Administratorenrolle berechtigt sein sollen, sind den jeweiligen Gruppen hinzuzufügen. Dies darf ausschließlich der tatsächliche Administ­rator maint bewerkstelligen, nicht etwa ein Mitglied der bestehenden Gruppe tgadminmaint.

Anschließend kann sich der Benutzer mit allen Administratorenrollen anmelden, die durch seine Zuge­hörigkeit zu den jeweiligen tgadmin-Gruppen festgelegt sind. Statt seiner Benutzerkennung benutzer allein wird beim Login-Prompt eine Kennung nach dem Schema benutzer+adminrolle angegeben, beispielsweise also testbenutzer+maint. Das zu verwendende Passwort entspricht dem regulären Passwort des Benutzers. Das Passwort der eigentlichen Administratorenrolle adminrolle ist zur An­meldung eines regulären Benutzers nicht erforderlich.

Hinweis

Die Zugriffe eines auf diese Weise mit erhöhten Privilegien angemeldeten Benutzers werden protokolliert.