Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für die Anbindung Unix-basierter Zielsysteme

Verwalten von Unix-basierten Zielsystemen Einrichten der Synchronisation mit einem Unix-basierten Zielsystem Basisdaten für Unix-basierte Zielsysteme Unix Host Unix Benutzerkonten Unix Gruppen Berichte über Unix Objekte Anhang: Konfigurationsparameter für die Verwaltung einer Unix-Umgebung Anhang: Standardprojektvorlage für Unix-basierte Zielsysteme

Privilegierte Benutzerkonten

Privilegierte Benutzerkonten werden eingesetzt, um Personen mit zusätzlichen privilegierten Berechtigungen auszustatten. Dazu gehören beispielsweise administrative Benutzerkonten oder Dienstkonten. Die Benutzerkonten werden mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) gekennzeichnet.

Hinweis: Die Kriterien anhand derer Benutzerkonten automatisch als privilegiert erkannt werden, sind als Erweiterungen zur Sichtdefinition (ViewAddOn) an der Tabelle TSBVAccountIsPrivDetectRule (Tabelle vom Typ "Union") definiert. Die Auswertung erfolgt im Skript TSB_SetIsPrivilegedAccount.

Um privilegierte Benutzerkonten über Kontendefinitionen zu erstellen

  1. Erstellen Sie eine Kontendefinition. Erstellen Sie einen neuen Automatisierungsgrad für privilegierte Benutzerkonten und weisen Sie diesen Automatisierungsgrad an die Kontendefinition zu.
  2. Wenn Sie verhindern möchten, dass die Eigenschaften für privilegierte Benutzerkonten überschrieben werden, setzen Sie für den Automatisierungsgrad die Eigenschaft IT Betriebsdaten überschreibend auf den Wert "Nur initial". In diesem Fall werden die Eigenschaften einmalig beim Erstellen der Benutzerkonten befüllt.
  3. Legen Sie für den Automatisierungsgrad fest, wie sich die zeitweilige Deaktivierung, die dauerhafte Deaktivierung, das Löschen und die Sicherheitsgefährdung einer Person auf deren Benutzerkonten und die Gruppenmitgliedschaften auswirken soll.
  4. Erstellen Sie eine Abbildungsvorschrift für die IT Betriebsdaten.

    Mit der Abbildungsvorschrift legen Sie fest, nach welchen Regeln die IT Betriebsdaten für die Benutzerkonten gebildet werden, beispielsweise ob der Container für ein Benutzerkonto über die Abteilung, die Kostenstelle, den Standort oder die Geschäftsrolle einer Person gebildet wird, und welche Standardwerte genutzt werden, wenn keine IT Betriebsdaten über primären Rollen einer Person ermittelt werden können.

    Welche IT Betriebsdaten erforderlich sind, ist abhängig vom Zielsystem. Für privilegierte Benutzerkonten werden folgende Einstellungen empfohlen:

    • Verwenden Sie in der Abbildungsvorschrift für die Spalte IsPrivilegedAccount den Standardwert "1" und aktivieren Sie die Option Immer Standardwert verwenden.
    • Zusätzlich können Sie eine Abbildungsvorschrift für die Spalte IdentityType festlegen. Die Spalte besitzt verschiedene zulässige Werte, die privilegierte Benutzerkonten repräsentieren.
    • Um zu verhindern, das privilegierte Benutzerkonten Gruppen des Standardbenutzers erben, definieren Sie eine Abbildungsvorschrift für die Spalte IsGroupAccount mit dem Standardwert "0" und aktivieren Sie die Option Immer Standardwert verwenden.
  5. Erfassen Sie die wirksamen IT Betriebsdaten für das Zielsystem.

    Legen Sie an den Abteilungen, Kostenstellen, Standorten oder Geschäftsrollen fest, welche IT Betriebsdaten bei der Einrichtung eines Benutzerkontos wirksam werden sollen.

  6. Weisen Sie die Kontendefinition direkt an die Personen zu, die mit privilegierten Benutzerkonten arbeiten sollen.

    Durch die Zuweisung der Kontendefinition an eine Person wird über die integrierten Vererbungsmechanismen und anschließende Prozessverarbeitung ein neues Benutzerkonto erzeugt.

Hinweis: Wenn es unternehmensspezifisch erforderlich ist, dass die Anmeldenamen privilegierter Benutzerkonten einen definierten Namensschema folgen, legen Sie die Bildungsregel fest, nach denen Anmeldenamen gebildet werden.

Um ein Präfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\Unix\Accounts\PrivilegedAccount\AccountName_Prefix". Um ein Postfix für den Anmeldenamen zu verwenden, aktivieren Sie im Designer den Konfigurationsparameter "TargetSystem\Unix\Accounts\PrivilegedAccount\AccountName_Postfix".

Diese Konfigurationsparameter werden in der Standardinstallation ausgewertet, wenn Sie ein Benutzerkonto, mit der Eigenschaft Privilegiertes Benutzerkonto (IsPrivilegedAccount) kennzeichnen. Die Anmeldenamen der Benutzerkonten werden entsprechend der Bildungsregeln umbenannt. Dies erfolgt auch, wenn die Benutzerkonten über den Zeitplan "Ausgewählte Benutzerkonten als privilegiert kennzeichnen" als privilegiert gekennzeichnet werden.

Verwandte Themen

Erfassen der Stammdaten für Unix Benutzerkonten

Erfassen der Stammdaten für Unix Benutzerkonten

Ein Benutzerkonto kann im One Identity Manager mit einer Person verbunden sein. Ebenso können Sie die Benutzerkonten getrennt von Personen verwalten.

Hinweis: Um Benutzerkonten für die Personen eines Unternehmens einzurichten, wird der Einsatz von Kontendefinitionen empfohlen. Einige der nachfolgend beschriebenen Stammdaten werden dabei über Bildungsregeln aus den Personenstammdaten gebildet.

Hinweis: Sollen Personen ihre Benutzerkonten über Kontendefinitionen erhalten, müssen die Personen ein zentrales Benutzerkonto besitzen und über die Zuordnung zu einer primären Abteilung, einem primären Standort oder einer primären Kostenstelle ihre IT Betriebsdaten erhalten.

Um die Stammdaten eines Benutzerkontos zu bearbeiten

  1. Wählen Sie die Kategorie Unix | Benutzerkonten.
  2. Wählen Sie in der Ergebnisliste das Benutzerkonto und führen Sie die Aufgabe Stammdaten bearbeiten aus.

    - ODER -

    Klicken Sie in der Ergebnisliste .

  3. Bearbeiten Sie die Stammdaten des Benutzerkontos.
  4. Speichern Sie die Änderungen.

Um ein Benutzerkonto für eine Person manuell zuzuweisen oder zu erstellen

  1. Wählen Sie die Kategorie Personen | Personen.
  2. Wählen Sie in der Ergebnisliste die Person und führen Sie die Aufgabe Unix Benutzerkonten zuweisen aus.
  3. Weisen Sie ein Benutzerkonto zu.
  4. Speichern Sie die Änderungen.
Detaillierte Informationen zum Thema
Verwandte Themen

Allgemeine Stammdaten eines Unix Benutzerkontos

Allgemeine Stammdaten eines Unix Benutzerkontos

Auf dem Tabreiter Allgemein erfassen Sie folgende Stammdaten.

Tabelle 25: Allgemeine Stammdaten eines Benutzerkontos
Eigenschaft Beschreibung

Host

Host des Benutzerkontos.

Person

Person, die das Benutzerkonto verwendet. Wurde das Benutzerkonto über eine Kontendefinition erzeugt, ist die Person bereits eingetragen. Wenn Sie das Benutzerkonto manuell erstellen, können Sie die Person aus der Auswahlliste wählen. Wenn Sie die automatische Personenzuordnung nutzen, wird beim Speichern des Benutzerkontos eine zugehörige Person erzeugt und in das Benutzerkonto übernommen.

Kontendefinition

Kontendefinition, über die das Benutzerkonto erstellt wurde.

Die Kontendefinition wird benutzt, um die Stammdaten des Benutzerkontos automatisch zu befüllen und um einen Automatisierungsgrad für das Benutzerkonto festzulegen. Der One Identity Manager ermittelt die IT Betriebsdaten der zugeordneten Person und trägt sie in die entsprechenden Eingabefelder des Benutzerkontos ein.

Hinweis: Die Kontendefinition darf nach dem Speichern des Benutzerkontos nicht geändert werden.

Um das Benutzerkonto manuell über eine Kontendefinition zu erstellen, tragen Sie im Eingabefeld Person eine Person ein. Es können alle Kontendefinitionen ausgewählt werden, die dieser Person zugewiesen sind und über die noch kein Benutzerkonto für diese Person erstellt wurde.

Automatisierungsgrad

Automatisierungsgrad des Benutzerkontos. Wählen Sie einen Automatisierungsgrad aus der Auswahlliste. Den Automatisierungsgrad können Sie nur festlegen, wenn Sie auch eine Kontendefinition eingetragen haben. In der Auswahlliste werden alle Automatisierungsgrade der gewählten Kontendefinition angeboten.

Login-Shell

Shell die ausgeführt wird, wenn ein Benutzer sich mittels Terminal-basierter Anmeldung am Unix anmeldet.

Benutzername

Name des Benutzerkontos zur Anmeldung an einem Unix Host. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch mit dem zentralen Benutzerkonto der Person ausgefüllt.

Benutzer-ID

Benutzer-ID des Benutzerkontos im Unix Host.

Kennwort

Kennwort für das Benutzerkonto. Abhängig vom Konfigurationsparameter "Person\UseCentralPassword" wird das zentrale Kennwort der zugeordneten Person auf das Kennwort des Benutzerkontos abgebildet. Wenn Sie ein initiales Kennwort für Benutzerkonten verwenden, wird dieses automatisch bei Erstellen eines Benutzerkontos eingetragen.

Hinweis: Beim Prüfen eines Benutzerkennwortes werden die One Identity Manager Kennwortrichtlinien beachtet. Stellen Sie sicher, dass die Kennwortrichtlinie nicht gegen die Anforderungen des Zielsystems verstößt.

Kennwortbestätigung

Kennwortwiederholung.

Primäre Gruppe ID ID der primären Gruppe des Benutzerkontos.
Primäre Gruppe

Bezeichnung der primären Gruppe des Benutzerkontos. Diese Angabe bestimmt den Gruppenbesitz von Dateien, die vom Benutzer erstellt werden.

Die primäre Gruppe eines Benutzerkontos wird folgendermaßen gebildet:

  • Wenn am Host eine primäre Gruppe eingetragen ist, wird diese Gruppe als primäre Gruppe beim Erzeugen eines Benutzerkontos verwendet.
  • Wenn Sie am Host keine primäre Gruppe eintragen, wird beim Erzeugen eines neuen Benutzerkontos ein neue Gruppe mit dem Anzeigenamen des Benutzerkontos erzeugt und als primäre Gruppe zugewiesen.

Homeverzeichnis

Kompletter Pfad zum Homeverzeichnis des Benutzers, zum Beispiel /home/user001.

Risikoindex (berechnet)

Maximalwert der Risikoindexwerte aller zugeordneten Gruppen. Die Eigenschaft ist nur sichtbar, wenn der Konfigurationsparameter "QER\CalculateRiskIndex" aktiviert ist. Ausführliche Informationen finden Sie im One Identity Manager Administrationshandbuch für Risikobewertungen.

Kategorie

Kategorien für die Vererbung von Gruppen an das Benutzerkonto. Wählen Sie aus der Auswahlliste eine oder mehrere Kategorien. Gruppen können selektiv an die Benutzerkonten vererbt werden. Dazu werden die Gruppen und die Benutzerkonten in Kategorien eingeteilt.

Kommentar (GECOS)

Freitextfeld für zusätzliche Erläuterungen. Zusätzliche Informationen über das Benutzerkonto, die im GECOS in /etc/password gefunden werden. Haben Sie eine Kontendefinition zugeordnet, wird dieses Eingabefeld abhängig vom Automatisierungsgrad automatisch mit dem internen Namen der Person ausgefüllt.

Identität

Typ der Identität des Benutzerkontos.

Tabelle 26: Zulässige Werte für die Identität
Wert Beschreibung
Primäre Identität Standardbenutzerkonto einer Person.
Organisatorische Identität Sekundäres Benutzerkonto, welches für unterschiedlichen Rollen in der Organisation verwendet wird, beispielsweise bei Teilverträgen mit anderen Unternehmensbereichen.
Persönliche Administratoridentität Benutzerkonto mit administrativen Berechtigungen, welches von einer Person genutzt wird.
Zusatzidentität Benutzerkonto, das beispielsweise zu Trainingszwecken genutzt wird.
Gruppenidentität Benutzerkonto mit administrativen Berechtigungen, welches von mehreren Personen genutzt wird.
Dienstidentität Dienstkonto.

Gruppen erbbar

Angabe, ob das Benutzerkonto Gruppen über die Person erben darf. Ist die Option aktiviert, werden Gruppen über hierarchische Rollen oder IT Shop Bestellungen an das Benutzerkonto vererbt.

  • Wenn Sie eine Person mit Benutzerkonto beispielsweise in eine Abteilung aufnehmen und Sie dieser Abteilung Gruppen zugewiesen haben, dann erbt das Benutzerkonto diese Gruppen.
  • Wenn eine Person eine Gruppenmitgliedschaft im IT Shop bestellt hat und diese Bestellung genehmigt und zugewiesen ist, dann erbt das Benutzerkonto der Person diese Gruppe nur, wenn die Option aktiviert ist.

Privilegiertes Benutzerkonto

Angabe, ob es sich um ein privilegiertes Benutzerkonto handelt.

Verwandte Themen

Stammdaten eines Benutzerkontos für AIX Systeme

Für Benutzerkonten in einem IBM AIX System können Sie zusätzliche Stammdaten, wie Grenzwerte, Kennwortdaten, Sicherheitsinformationen oder Informationen zum verschlüsselnden Dateisystem erfassen. Diese Daten werden angezeigt, wenn der Host mit der Option AIX System gekennzeichnet ist.

Detaillierte Informationen zum Thema
Related Documents