Direktanmeldung mit einer Administratorenrolle
Gelegentlich ist es wünschenswert, dass sich normale Benutzer an der Konsole oder per SSH als Administratoren anmelden können. Dies kann erforderlich sein, wenn mehrere Personen als Administrator tätig sind, das zentrale Passwort einer bestimmten Administratorenrolle in verteilten Organisationsstrukturen jedoch nicht einem größeren Personenkreis zugänglich gemacht werden soll. Sofern ein Benutzer einer bestimmten, eigens dafür vorgesehenen Benutzergruppe auf TightGate-Pro angehört, kann dieser sich unmittelbar mit seinem regulären Passwort anmelden und erhält automatisch die Privilegien der jeweiligen Administratorenrolle.
Zu diesem Zweck muss der Administrator maint zunächst die notwendigen, speziellen Gruppen in der Gruppenverwaltung von TightGate-Pro anlegen. Diese Gruppen müssen, entsprechend ihrer Zweckbestimmung, zwingend die folgenden Bezeichnungen beginnend mit "tgadmin" tragen:
| Gruppe | Beschreibung |
|---|---|
| tgadminconfig | Gruppenmitglieder können als Administrator config arbeiten. |
| tgadminmaint | Gruppenmitglieder können als Administrator maint arbeiten. Ausnahme: Gruppenmitglieder können keine Gruppen zur Direktanmeldung mit einer Administratorenrolle anlegen oder ändern. |
| tgadminupdate | Gruppenmitglieder können als Administrator update agieren. |
| tgadminbackuser | Gruppenmitglieder können als Administrator backuser agieren. |
| tgadminsecurity | Gruppenmitglieder können als Administrator security agieren. |
| tgadminroot | Gruppenmitglieder können als Administrator root agieren. |
Alle Benutzerkennungen, die auch zu einer Anmeldung mit einer Administratorenrolle berechtigt sein sollen, sind den jeweiligen Gruppen hinzuzufügen. Dies darf ausschließlich der tatsächliche Administrator maint bewerkstelligen, nicht etwa ein Mitglied der bestehenden Gruppe tgadminmaint.
Anschließend kann sich der Benutzer mit allen Administratorenrollen anmelden, die durch seine Zugehörigkeit zu den jeweiligen tgadmin-Gruppen festgelegt sind. Statt seiner Benutzerkennung benutzer allein wird beim Login-Prompt eine Kennung nach dem Schema benutzer+adminrolle angegeben, beispielsweise also testbenutzer+maint. Das zu verwendende Passwort entspricht dem regulären Passwort des Benutzers. Das Passwort der eigentlichen Administratorenrolle adminrolle ist zur Anmeldung eines regulären Benutzers nicht erforderlich.
Hinweis
Die Zugriffe eines auf diese Weise mit erhöhten Privilegien angemeldeten Benutzers werden protokolliert.