Bei der Server-Installation von Sentinel Rapid Deployment werden der Systembenutzer und eine Gruppe erstellt, die Eigentümer der installierten Dateien im <Installationsverzeichnis> sind. Wenn der Benutzer nicht vorhanden ist, dann wird er erstellt und sein Basisverzeichnis wird auf <Installationsverzeichnis> festgelegt. Wenn ein neuer Benutzer erstellt wird, wird das Passwort aus Sicherheitsgründen nicht standardmäßig festgelegt. Wenn Sie sich bei dem System als der Benutzer anmelden möchten, der während der Installation erstellt wurde, müssen Sie dem Benutzer im Anschluss an die Installation ein Passwort zuweisen.
Abhängig von dem Betriebssystem, auf dem der Collector-Manager installiert ist, können die Sicherheitsstufen der Systembenutzer variieren.
Linux: Das Installationsprogramm fordert Sie auf, den Namen des Systembenutzers anzugeben, der Eigentümer der installierten Dateien sein soll. Außerdem fragt es nach dem Speicherort, an dem das Basisverzeichnis für diesen Benutzer erstellt werden soll. Standardmäßig ist der Systembenutzer esecadm. Sie können jedoch den Namen dieses Systembenutzers ändern. Wenn der Benutzer nicht vorhanden ist, wird er zusammen mit seinem Basisverzeichnis erstellt. Wenn ein neuer Benutzer erstellt wird, wird das Passwort während der Installation aus Sicherheitsgründen nicht festgelegt. Wenn Sie sich bei dem System als dieser Benutzer anmelden möchten, müssen Sie dem Benutzer im Anschluss an die Installation ein Passwort zuweisen. Die Standardgruppe ist esec.
Wenn der Benutzer während der Client-Installation bereits vorhanden ist, dann werden Sie vom Installationsprogramm nicht erneut nach dem Benutzer gefragt. Dieses Verhalten ähnelt dem Verhalten beim Deinstallieren oder erneuten Installieren von Software. Sie können jedoch dafür sorgen, dass das Installationsprogramm erneut nach dem Benutzer fragt:
Löschen Sie den Benutzer und die Gruppe, die bei der ersten Installation erstellt wurden.
Löschen Sie die ESEC_USER-Umgebungsvariablen aus /etc/profile.
Windows: Es werden keine Benutzer erstellt.
Die Passwortrichtlinien für Systembenutzer werden durch das verwendete Betriebssystem bestimmt.
Alle Anwendungsbenutzer von Sentinel Rapid Deployment sind native Datenbankbenutzer, und ihre Passwörter sind durch Verfahren geschützt, die sich nach der nativen Datenbankplattform richten. Diese Benutzer haben lediglich Lesezugriff auf bestimmte Tabellen in der Datenbank, sodass sie Abfragen der Datenbank durchführen können.
Das Installationsprogramm erstellt und konfiguriert eine PostgreSQL-Datenbank mit folgenden Benutzern:
admin: Bei dem Benutzer „admin“ handelt es sich um den Administrator-Benutzer, der sich bei allen Sentinel-Anwendungen anmelden kann.
dbauser: Der Benutzer „dbauser“ wird als Superuser erstellt, der die Datenbank verwalten kann. Das Passwort für den Benutzer „dbauser“ wird während der Installation des Sentinel Rapid Deployment-Servers festgelegt. Dieses Passwort ist in <user home directory>/.pgpass gespeichert. Das System befolgt die Passwortrichtlinien für PostgreSQL-Datenbanken. Weitere Informationen finden Sie unter Abschnitt 5.3.3, Erzwingen der Einhaltung einer Passwortrichtlinie für Benutzer.
appuser:
Bei dem Benutzer „appuser“ handelt es sich um einen Nicht-Superuser, der von den Sentinel-Anwendungen für die Verbindungen zur Datenbank verwendet wird. Standardmäßig verwendet der Benutzer „appuser“ ein Passwort, das während der Installation per Zufallsgenerator erstellt und verschlüsselt in den XML-Dateien (das_core.xml, das_binary.xml und advisor_client.xml) gespeichert wird, die sich im Verzeichnis „<Installationsverzeichnis>/config“ befinden. Zum Ändern des Passworts für den appuser können Sie das Dienstprogramm <Installationsverzeichnis>/bin/dbconfig verwenden. Weitere Informationen finden Sie unter Data Container Files
(Datencontainerdateien) im Sentinel Rapid Deployment Reference Guide (Sentinel Rapid Deployment Referenzhandbuch).
HINWEIS:Es gibt auch einen PostgreSQL-Datenbankbenutzer, der Eigentümer der gesamten Datenbank einschließlich der Systemdatenbanktabellen ist. Standardmäßig ist der PostgreSQL-Datenbankbenutzer auf NOLOGIN gesetzt, sodass sich keiner als der PostgreSQL-Benutzer anmelden kann.
Sentinel Rapid Deployment verwendet auf Standards basierende Mechanismen, um die Durchsetzung der Passwortrichtlinieneinhaltung zu erleichtern.
Das Installationsprogramm erstellt und konfiguriert eine PostgreSQL-Datenbank mit folgenden Benutzern:
dbauser: Der Eigentümer der Datenbank (Datenbankadministrator-Benutzer). Das Passwort wird bei der Installation festgelegt.
appuser: Dies ist der Anwendungsbenutzer, der für die Anmeldung bei der Datenbank von Sentinel Rapid Deployment verwendet wird. Das Passwort wird bei der Installation zufällig generiert und ist nur für interne Benutzer gedacht.
admin: Der Berechtigungsnachweis für den Administrator kann für die Anmeldung bei der Weboberfläche von Sentinel Rapid Deployment verwendet werden. Das Passwort wird bei der Installation festgelegt.
Standardmäßig werden Benutzerpasswörter innerhalb der in Sentinel Rapid Deployment eingebetteten PostgreSQL-Datenbank gespeichert. PostgreSQL bietet die Möglichkeit, verschiedene standardbasierte Authentifizierungsmechanismen einzusetzen, wie im Abschnitt Client Authentication (Client-Authentifizierung) der PostgreSQL-Dokumentation beschrieben.
Die Verwendung dieser Mechanismen betrifft alle Benutzerkonten in Sentinel Rapid Deployment, d. h. die Benutzer der Webanwendung sowie Konten, die ausschließlich von Backend-Diensten verwendet werden, z. B. dbauser und appuser.
Einfacher ist es, Webanwendungsbenutzer mittels eines LDAP-Verzeichnisses zu authentifizieren. Informationen dazu, wie dies auf einem Sentinel Rapid Deployment-Server ermöglicht wird, finden Sie in Abschnitt 3.7, LDAP-Authentifizierung. Diese Option wirkt sich nicht auf von Backend-Diensten verwendete Konten aus, die, solange Sie nicht die Konfigurationseinstellungen für PostgreSQL ändern, weiterhin über PostgreSQL authentifiziert werden.
Sie können die Einhaltung von Sentinel Rapid Deployment-Passwortrichtlinien zuverlässig erzwingen, wenn Sie diese standardbasierten Mechanismen und die in Ihrer Umgebung vorhandenen Mittel, beispielsweise Ihr LDAP-Verzeichnis, nutzen.