Übung 1: Einen privilegierten Agenten praktisch prüfen und den User-Switch nachweisen

In dieser Übung arbeitest du mit dem bestehenden Agenten UNIX01. Du startest zuerst einen Testjob mit LOGIN.UNIX, legst danach den OS-User batch und das Login-Objekt LOGIN.BATCH an und prüfst den User-Switch im Report.

🧭 Ziel der Übung

  • Du weist praktisch nach, dass der Agent “UNIX01" Jobs unter unterschiedlichen OS-Usern starten kann
  • Du erkennst in der Prozessliste den zusätzlichen privilegierten Helper-Prozess daran, dass ein Teil des Agent-Kontexts unter root läuft
  • Du belegst den User-Switch praktisch über den Vergleich zwischen LOGIN.UNIX und LOGIN.BATCH

🧪 Schritt-für-Schritt-Anleitung

  1. In Mandant 1000 anmelden
    • Melde dich in Automic im Mandant 1000 an
    • Die Zugangsdaten findest du auf dem Desktop in der Datei Passwords.txt
  2. Testjob anlegen
    • Erstelle einen neuen UNIX Job, zum Beispiel JOBS.UNIX.WHOAMI.TEST
  3. Script eintragen
    • Trage in den Job genau diesen Inhalt ein:
whoami
id
  1. Job speichern
    • Trage in der Job-Definition den Agenten UNIX01 und das Login-Objekt LOGIN.UNIX ein
    • Speichere den Job
  2. Ersten Testlauf mit LOGIN.UNIX starten
    • Starte den Job auf dem Agenten UNIX01 mit dem Login-Objekt LOGIN.UNIX
  3. Report prüfen
    • Öffne den Report des Runs und prüfe die Ausgabe von whoami und id
    • Beobachtung: whoami zeigt automic und id zeigt den Kontext des Users automic
  4. OS-User batch am Linux-Host anlegen
    • Lege jetzt den OS-User batch an. Diesen User brauchst du gleich für das zweite Login-Objekt und für den Vergleich mit dem ersten Run.
    • Führe diese Kommandos am Host aus. Dabei setzt du für den User batch das Passwort Batch123!.
sudo useradd -m -s /bin/bash batch
echo 'batch:Batch123!' | sudo chpasswd
id batch
getent passwd batch
sudo su - batch -c 'whoami'
  1. Wieder in Mandant 1000 anmelden
    • Gehe zurück in Automic im Mandant 1000
  2. LOGIN.BATCH anlegen
    • Erstelle ein neues UNIX Login-Objekt mit dem Namen LOGIN.BATCH
    • Trage als Benutzer batch ein
    • Hinterlege das Passwort Batch123!
    • Speichere das Objekt
      image-20260413-112719.png
  3. Zweiten Testlauf mit LOGIN.BATCH starten und prüfen
  • Starte denselben Job erneut auf UNIX01, diesmal mit LOGIN.BATCH
  • Öffne den Report des zweiten Runs und prüfe wieder die Ausgabe von whoami und id
  • Beobachtung: whoami zeigt batch und id zeigt den Kontext des Users batch
  1. Zwischenfazit festhalten
  • Halte für dich fest: Der Agent kann Jobs unter unterschiedlichen OS-Usern starten
  1. In das bin-Verzeichnis wechseln
  • Wechsle in das bin-Verzeichnis des bestehenden Agents:
cd /opt/Automic/Automation.Platform/Agents/unix/bin
  1. Prozessliste prüfen
  • Prüfe, unter welchem OS-User der Agent läuft, und suche gleichzeitig nach dem privilegierten Helper-Prozess:
ps -ef | egrep 'ucxjlx6|user_service_pkg'
  1. Dateirechte prüfen
  • Prüfe zusätzlich Eigentümer und Rechte der Binärdatei:
ls -l ucxjlx6
stat ucxjlx6
  1. Beobachtung einordnen
  • Beobachtung: ucxjlx6 läuft unter automic
  • Beobachtung: Zusätzlich läuft user_service_pkg unter root

🧩 Zusammenfassung

  • UNIX01 kann im privileged Betrieb Jobs unter unterschiedlichen OS-Usern starten
  • Der zusätzliche Prozess user_service_pkg unter root macht den User-Switch möglich
  • Der User-Switch zeigt sich praktisch im Vergleich zwischen LOGIN.UNIX und LOGIN.BATCH

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert