Univention Bugzilla – Bug 29292
Implementation Guideline: Use service specific LDAP accounts
Last modified: 2020-07-03 20:54:00 CEST
Derzeit nutzen relativ viele Dienste/Skripte den internen "cn=admin"-Account für Zugriffe auf das LDAP, insbesondere alle Services die auf den UDM oder dessen Skript-API zugreifen. Debugging/Analyse von Abläufen wird dadurch sehr erschwert, da man hinterher nicht mehr anhand der Informationen im LDAP trennen kann wer die Modifikation vorgenommen hat. Zusätzlich ist es nicht einfach möglich, Berechtigungen der Tools bei LDAP-Zugriffen via ACLs einzuschränken. Wir sollten als Implementierungsrichtlinie vorgeben, das je Service/Tool ein eigener Funktionsaccount eingerichtet und mit korrekten Berechtigungen versehen wird; evtl. sogar ein Funktionsaccount je Service und Host. Beispiele: - UDM Skriptschnittstelle ("udm"-Aufrufe als root) - S4-Connector - AD-Connector - UCS@school-Importe - Samba3 auf DC Master/Backup 3rd-Party-Tools sollten sich daran dann auch halten. Möglicher Accountname: cn=<host>-<service>,cn=service-accounts,cn=univention,$ldap_base cn=admin könnte dann zu UCS 4.0 entfernt werden....
Für verschiedene Kerberos-Service-Prinzipale verwenden wir aktuell <service>-<hostname> als Kontonamen (dns-, http-, zarafa-). Lizenzzählung ist hier dann zu berücksichtigen.
This issue has been filed against UCS 3. UCS 3 is out of the normal maintenance and many UCS components have vastly changed in UCS 4. If this issue is still valid, please change the version to a newer UCS version otherwise this issue will be automatically closed in the next weeks.
There is a Customer ID set so I set the flag "Enterprise Customer affected".
This issue has been filed against UCS 4.2. UCS 4.2 is out of maintenance and many UCS components have changed in later releases. Thus, this issue is now being closed. If this issue still occurs in newer UCS versions, please use "Clone this bug" or reopen it and update the UCS version. In this case please provide detailed information on how this issue is affecting you.