UCS Admin out of control?

19/07/2016 - 00:42 von Kay Martinen | Report spam
Hallo

inzwischen scheine ich die 2. Testinstallation von UCS verheizt zu
haben. Es ist etwas geschehen was ich; bei dem "perfekten" look der
WebUI nicht für möglich gehalten habe.

Der Reihe nach:

Ich habe einen user 'Sysop' angelegt und diesen den DomainAdmins
zugeordnet damit ich damit auch in Nagios einloggen kann. Das ging IMHO
schon nicht oder ich hab es dann vergessen zu testen.

Dann hatte ich mir die Gruppen angesehen. Und dort stelle ich fest das
der 'Administrator' mit dem man sich an der UMC (Management-UI) anmeldet
NICHT als Mitglied von 'Domain Admins' auftaucht. Und das wo der UCS mit
AD und Samba4 installiert wurde.
Ich habe also den Administrator hinzu gefügt. Die Gegenprüfung im
Benutzer-Manager zeigte dann das Administrator nun doch, aber ZWEImal
mitglied von Domain Admins ist. Als ordentlicher Mensch habe ich den 2.
Eintrag (im glauben er sei der letzte und doppelt) gelöscht.

Ergebniss: Irgendeine Fehlermeldung der UMC und dann verschwand der
komplette Bereich SYSTEM und Domain auch.

Ich versuchte es dann mit einem Relogin, und dann einem Reboot aber es
blieb dabei. Offenbar habe ich mich erfolgreich aus dem Admin-Bereich
ausgesperrt und keine Möglichkeit dies zurück zu nehmen.
D.h. ich kann mich zwar einloggen, und sehe nur noch Favoriten,
Benutzer, Domain bekomme aber "forbidden" Meldungen wenn ich dort rein
gehen will.

Der SSH-Zugang dürfte auch ausscheiden weil nach meinen Bisherigen
Erfahrungen dort nicht mal der Admin-account wirklich root-rechte hat.
D.h. man kann sich zwar als Administrator anmelden, steht aber nicht in
sudoers und kann demnach keine sudo-kommandos ausführen die root-rechte
brauchen. Damit ist auch 'sudo passwd root' nicht möglich um sich z.B.
direkt als root ein loggen zu können. Ein 'su -' scheitert ebenso weil
kein root-password da ist.

Das obige "Irgendeine Fehlermeldung" war übrigens NICHT die Warnung das
man sich damit ausperren würde (das hàtte ich erwartet wenn dem so wàre)
sondern irgend etwas anderes - an das ich mich nicht mehr erinnere.

Schade. UCS macht so einen Schicken, eigentlich sauber organisierten
Eindruck. Aber das man sich als Admin selbst aus dem Admin-Bereich
aussperren kann - ohne eine Entsprechende Warnmeldung... so was DARF
einfach nicht vor kommen.

Da kann/sollte ich wohl doch besser wieder alles von hand einrichten und
das natürlich als real-root (wenn nötig). UCS wàre damit obsolet.

N.B. Ähnliches passierte vor 1-2 Jahren beim Test von Zentyal, nach
Versehentlichem Aktivieren des Captive-Portals. Kein Admin-login mehr
möglich = mv /dev/null

Weiß jemand noch einen Rat wie ich das beheben kann? Die FAQ und
Forum-Seiten gaben mir zu diesem Problem leider nichts her. Ich weiß
auch nicht ob das Problem jetzt im ldap-tree steckt oder schlicht in
groups, passwd oder shadow. Und wenn ldap, damit habe ich keine
Erfahrung. Hàtte ich die, bràuchte ich UCS wohl nicht.

Kay
https://www.linuxcounter.net/cert/224140.png
 

Lesen sie die antworten

#1 Marcel Mueller
19/07/2016 - 08:39 | Warnen spam
On 19.07.16 00.42, Kay Martinen wrote:
Dann hatte ich mir die Gruppen angesehen. Und dort stelle ich fest das
der 'Administrator' mit dem man sich an der UMC (Management-UI) anmeldet
NICHT als Mitglied von 'Domain Admins' auftaucht. Und das wo der UCS mit
AD und Samba4 installiert wurde.
Ich habe also den Administrator hinzu gefügt. Die Gegenprüfung im
Benutzer-Manager zeigte dann das Administrator nun doch, aber ZWEImal
mitglied von Domain Admins ist. Als ordentlicher Mensch habe ich den 2.
Eintrag (im glauben er sei der letzte und doppelt) gelöscht.



Keine Ahnung, was UCS ist, aber ich tippe auf eine indirekte
Mitgliedschaft (Gruppe in Gruppe). Das zeigen die meisten Programme
nicht bzw. nicht übersichtlich an. (Wir haben uns dafür extra etwas
geschrieben.)

Vielleicht sollte man da einfach nicht dran herum spielen. Da wird schon
ein Bug irgendwie mit beteiligt sein, dass er dann zweimal auftaucht.


Der SSH-Zugang dürfte auch ausscheiden weil nach meinen Bisherigen
Erfahrungen dort nicht mal der Admin-account wirklich root-rechte hat.
D.h. man kann sich zwar als Administrator anmelden, steht aber nicht in
sudoers und kann demnach keine sudo-kommandos ausführen die root-rechte
brauchen. Damit ist auch 'sudo passwd root' nicht möglich um sich z.B.
direkt als root ein loggen zu können. Ein 'su -' scheitert ebenso weil
kein root-password da ist.



Die gàngige Lösung bei Linuxen in einem solchen Fall ist im Single User
Mode booten oder, wenn die Platte nicht verschlüsselt ist, einfach mit
einem anderen Linux einen User root-fàhig zu machen (sudoers oder
passwd/shadow).


Das obige "Irgendeine Fehlermeldung" war übrigens NICHT die Warnung das
man sich damit ausperren würde (das hàtte ich erwartet wenn dem so wàre)
sondern irgend etwas anderes - an das ich mich nicht mehr erinnere.



Vermutlich schon ein Folgefehler.


Schade. UCS macht so einen Schicken, eigentlich sauber organisierten
Eindruck. Aber das man sich als Admin selbst aus dem Admin-Bereich
aussperren kann - ohne eine Entsprechende Warnmeldung... so was DARF
einfach nicht vor kommen.



Willkommen außerhalb der eingezàunten Welt von Windows - aber selbst da
bekommt man das hin. Wenn der Administrator sich auch nicht auskennt,
geht halt schon mal etwas schief.


Weiß jemand noch einen Rat wie ich das beheben kann? Die FAQ und
Forum-Seiten gaben mir zu diesem Problem leider nichts her.



Im Zweifel den Hersteller fragen.


Marcel

Ähnliche fragen