Übung 2: Einen privileged Agenten gezielt auf erlaubte User begrenzen 🚫👤

In dieser Übung begrenzt du den bestehenden privileged Agenten so, dass automic nicht mehr als Ziel-User verwendet werden darf. Der Agent bleibt dabei technisch privileged, aber seine erlaubten Ziel-User werden bewusst eingeschränkt.

🧭 Ziel der Übung

  • Du begrenzt den Agenten so, dass LOGIN.BATCH weiter funktioniert
  • Du verhinderst gleichzeitig, dass LOGIN.UNIX mit dem User automic noch zulässig ist
  • Du erkennst, dass technischer User-Switch und erlaubte Ziel-User zwei getrennte Dinge sind

🧪 Schritt-für-Schritt-Anleitung

  • 1. Agent-INI öffnen
    • Öffne die Agent-INI in einem grafischen Editor aus der Kommandozeile:
gedit ucxjlx6.ini
  • 2. userid_type setzen
    • Setze im Abschnitt [GLOBAL] diesen Wert:
userid_type=EXCL

Diese Einstellung bewirkt, dass der Zugriff für die in (USERID) angegebenen Benutzer verweigert wird. Alle anderen Benutzer können Jobs starten.

  • 3. automic sperren
    • Lege im Abschnitt [USERID] diesen Eintrag an oder ergänze ihn:
automic=NO_START

automic=NO_START in Kombination mit userid_type EXCL hat zur Folge, dass der Agent keine Jobs mit dem User “automic” durchführt

  • 4. Datei speichern
    • Speichere die Datei
  • 5. INI-Einträge prüfen
    • Prüfe die gesetzten Werte direkt in der INI-Datei:
grep -in 'userid_type\|automic=' ucxjlx6.ini
  • 6. Agent neu starten
    • Starte den Agenten neu, damit die Änderung wirksam wird. Verwende dafür am besten PASDI.
      CleanShot 2026-04-13 at 13.23.37-20260413-112506.gif
  • 7. Prozessliste erneut prüfen
    • Prüfe nach dem Neustart erneut die laufenden Prozesse:
ps -ef | grep 'ucxjlx6|user_service_pkg'
  • 8. Run mit LOGIN.BATCH wiederholen und prüfen
    • Starte den Testjob auf UNIX01 erneut mit LOGIN.BATCH
    • Öffne den Report und prüfe, dass der Run erfolgreich ist
  • 9. Run mit LOGIN.UNIX wiederholen und prüfen
    • Starte denselben Testjob danach mit LOGIN.UNIX
    • Prüfe im Report oder in der Ausführungsmeldung, dass dieser Run nicht zulässig ist
    • Beobachtung: Der Run mit LOGIN.BATCH funktioniert weiterhin
    • Beobachtung: Der Run mit LOGIN.UNIX ist nicht mehr zulässig

🧩 Zusammenfassung

  • Mit userid_type=EXCL und automic=NO_START bleibt der Agent technisch privileged, aber automic ist als Ziel-User nicht mehr erlaubt
  • LOGIN.BATCH bleibt zulässig, LOGIN.UNIX dagegen nicht
Vorherige Lektion
Zurück zum Kurs
Nächste Lektion

Einen Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert