ADX02 - Privileged und Unprivileged Mode beim UNIX Agent
Automic UNIX Agent privileged und unprivileged Mode verstehen
Beim Automic UNIX Agent ist der Unterschied zwischen privileged und unprivileged Mode ein zentrales Sicherheitsthema. Er entscheidet darüber, ob ein Agent Jobs mit einem echten User-Context-Switch starten kann oder ob alle Ausführungen im Kontext des Agent-Users bleiben. Genau diese Unterscheidung ist wichtig, wenn du Automic Jobs auf UNIX-Systemen sicher betreiben, Login-Objekte richtig einordnen und Least-Privilege-Anforderungen sauber umsetzen willst.
In diesem Beitrag lernst du praxisnah, wie du den Laufzeitkontext eines UNIX Agents prüfst und woran du erkennst, ob ein User-Switch tatsächlich stattfindet. Dabei geht es nicht nur um Theorie, sondern um konkrete Beobachtungen im System: Prozessliste, Dateirechte, SUID-Bit, LOGIN_CHECK, Login-Objekte und Job-Reports.
Wann braucht ein Automic UNIX Agent den privileged Mode?
Der privileged Mode ist relevant, wenn Jobs auf demselben UNIX Agent unter unterschiedlichen OS-Usern laufen sollen. In diesem Modus kann der Agent einen User-Context-Switch durchführen, zum Beispiel von einem technischen Agent-User auf einen fachlichen Batch-User. Das ist mächtig, muss aber bewusst abgesichert werden.
Du erfährst unter anderem:
- wie du
privilegedundunprivilegedbeim Automic UNIX Agent praktisch unterscheidest - welche Rolle
LOGIN_CHECKin der Agent-INI spielt - wie Login-Objekte mit dem tatsächlichen OS-User zusammenhängen
- warum ein Listener-Prozess allein noch kein ausreichender Sicherheitsnachweis ist
- wie du erlaubte Ziel-User über
[GLOBAL],[USERID]unduserid_typebegrenzen kannst
Unprivileged Mode, Anonymous Mode und Host-Charakteristik
Im unprivileged Mode kann der Automic UNIX Agent keinen User-Context-Switch durchführen. Der Agent muss deshalb gemäß Dokumentation im Anonymous Mode betrieben werden. Dafür sind LOGIN_CHECK=N in der Agent-Konfiguration und die passenden ANONYMOUS_JOB, ANONYMOUS_FT und ANONYMOUS_FE Werte in der zugeordneten UC_HOSTCHAR_* Variable wichtig.
Wenn du nach einer verständlichen Erklärung zu Automic Agent Security, UNIX Agent User-Switch, Anonymous Mode, UC_HOSTCHAR_DEFAULT, LOGIN_CHECK oder Least Privilege suchst, bekommst du hier eine klare Orientierung. Der Beitrag hilft dir, die richtige Betriebsart für deinen UNIX Agent zu wählen und typische Fehlinterpretationen im Automic Betrieb zu vermeiden.
Automic lernen mit PEM
Möchtest du mehr über Automic lernen, ohne deshalb für Workshops durchs Land reisen zu müssen? Bei PEM entscheidest du, wann und wie du dich weiterbilden möchtest! In interaktiven Kursen, Tutorials und Videos lernst du alles Wissenswerte rund um Automic. Und via Live-Sessions, Kommentarfunktion oder E-Mail sind wir jederzeit für dich da.
Hört sich das interessant an? Dann lege heute noch los mit PEM, dem Automic Training 2.0 und einer ganzjährigen Automic-Betreuung!
FAQ zum Automic Training auf PEM
PEM ist die innovativste und größte deutschsprachige Automic-Lernplattform. Sie bietet den PEM-Mitgliedern ein umfassendes Online-Schulungsangebot, auf das 24/7 und von überall aus zugegriffen werden kann. Die Plattform umfasst Hunderte Videos und interaktive Kurse und richtet sich an Einsteiger und Profis gleichermaßen.
Um verschiedene Bedürfnisse zu erfüllen, gibt es bei PEM verschiedene Arten von Inhalten: Kurse, Tutorials, Lernpfade, Labore, Tools und Live-Sessions.
- In den Kursen und Tutorials lernst du in kurzweiligen und interaktiven Videos alles über Automic.
- Die Lernpfade bieten eine vollumfängliche Ausbildung zu einem bestimmten Automic-Thema. Als Anfänger eignet sich beispielsweise der 11-teilige Operator-Lernpfad. Bist du bereits Automic-Experte? Dann lernst sicher auch du noch etwas mit dem Datenbank-SQL Lernpfad.
- Labore sind Automic-Umgebungen, die auf Knopfdruck bereitgestellt werden und in denen das Gelernte in die Praxis umgesetzt werden kann.
- Auf PEM werden regelmäßig Tools mit passender Anleitung bereitgestellt. Damit lassen sich Automic-Prozesse noch weiter automatisieren und vereinfachen.
- In regelmäßigen Abständen finden Live-Sessions statt, bei denen wir aktuelle News und bestimmte Automic-Themen besprechen, und Fragen unserer Member beantworten.
Bei normalen Automic-Schulungen steht dir der Trainer ein paar Tage zur Verfügung. Wenn du Glück hast, kannst du vielleicht schon vor der Schulung Input liefern, und wenn du besonders viel Glück hast, dann kannst du in den Wochen nach der Schulung noch 1-2 Fragen nachschießen.
Unsere Mitglieder können uns jederzeit eine E-Mail schicken. Kleine Fragen beantworten wir gleich per E-Mail, größere Fragen nehmen wir mit in die nächste Live-Session und beantworten sie dort. Bei Fragen zu bestimmten Themen steht unseren Membern außerdem die Kommentarfunktion zur Verfügung. Das nennen wir “ganzjährige Automic Betreuung”.
Für die direkte Kommunikation gibt es bei uns die Live-Sessions: 24 Live-Sessions pro Jahr. Admin-Member dürfen bei jedem teilnehmen, Designer bei jedem zweiten, und Operator vier Mal im Jahr. In den Live-Sessions sind Fragen zu jedem Automic-Thema herzlich willkommen! Member haben die Möglichkeit, ihre Fragen vorab zu stellen, damit wir uns auf die Antwort und die Diskussion vorbereiten können.
Außerdem bieten wir sogenanntes Online Consulting. Das sind exklusive Videokonferenz-Session mit unseren Automic-Experten. Das Beste daran: Member, die über ein Kontingent für Online-Consulting verfügen, haben jederzeit Zugriff auf die Kalender unserer Spezialisten, und können dort direkt ihre Sessions buchen.
Enterprise-Kunden haben automatisch ein Kontingent dabei. Alle anderen können das dazu buchen.
Die Membership schließt du immer für ein Jahr ab. Danach verlängert sie sich normalerweise automatisch.
Bis einen Monat vor Ablauf kannst du jederzeit mit einer einfachen E-Mail kündigen. Natürlich kannst du die Membership bereits bei Vertragsbeginn auf ein Jahr beschränken.