Übung 2: Einen privileged Agenten gezielt auf erlaubte User begrenzen 🚫👤
In dieser Übung begrenzt du den bestehenden privileged Agenten so, dass automic nicht mehr als Ziel-User verwendet werden darf. Der Agent bleibt dabei technisch privileged, aber seine erlaubten Ziel-User werden bewusst eingeschränkt.
🧭 Ziel der Übung
- Du begrenzt den Agenten so, dass
LOGIN.BATCHweiter funktioniert - Du verhinderst gleichzeitig, dass
LOGIN.UNIXmit dem Userautomicnoch zulässig ist - Du erkennst, dass technischer User-Switch und erlaubte Ziel-User zwei getrennte Dinge sind
🧪 Schritt-für-Schritt-Anleitung
- 1. Agent-INI öffnen
- Öffne die Agent-INI in einem grafischen Editor aus der Kommandozeile:
gedit ucxjlx6.ini
- 2.
userid_typesetzen- Setze im Abschnitt
[GLOBAL]diesen Wert:
- Setze im Abschnitt
userid_type=EXCL
Diese Einstellung bewirkt, dass der Zugriff für die in (USERID) angegebenen Benutzer verweigert wird. Alle anderen Benutzer können Jobs starten.
- 3.
automicsperren- Lege im Abschnitt
[USERID]diesen Eintrag an oder ergänze ihn:
- Lege im Abschnitt
automic=NO_START
automic=NO_START in Kombination mit userid_type EXCL hat zur Folge, dass der Agent keine Jobs mit dem User “automic” durchführt
- 4. Datei speichern
- Speichere die Datei
- 5. INI-Einträge prüfen
- Prüfe die gesetzten Werte direkt in der INI-Datei:
grep -in 'userid_type\|automic=' ucxjlx6.ini
- 6. Agent neu starten
- Starte den Agenten neu, damit die Änderung wirksam wird. Verwende dafür am besten PASDI.

- Starte den Agenten neu, damit die Änderung wirksam wird. Verwende dafür am besten PASDI.
- 7. Prozessliste erneut prüfen
- Prüfe nach dem Neustart erneut die laufenden Prozesse:
ps -ef | grep 'ucxjlx6|user_service_pkg'
- 8. Run mit
LOGIN.BATCHwiederholen und prüfen- Starte den Testjob auf
UNIX01erneut mitLOGIN.BATCH - Öffne den Report und prüfe, dass der Run erfolgreich ist
- Starte den Testjob auf
- 9. Run mit
LOGIN.UNIXwiederholen und prüfen- Starte denselben Testjob danach mit
LOGIN.UNIX - Prüfe im Report oder in der Ausführungsmeldung, dass dieser Run nicht zulässig ist
- Beobachtung: Der Run mit
LOGIN.BATCHfunktioniert weiterhin - Beobachtung: Der Run mit
LOGIN.UNIXist nicht mehr zulässig
- Starte denselben Testjob danach mit
🧩 Zusammenfassung
- Mit
userid_type=EXCLundautomic=NO_STARTbleibt der Agent technischprivileged, aberautomicist als Ziel-User nicht mehr erlaubt LOGIN.BATCHbleibt zulässig,LOGIN.UNIXdagegen nicht
