Hi Folks,

ich habe z.Zt. folgendes Problem, zwar in einer W2k Umgebung, aber das ist, denke ich, auch auf LinuX anzuwenden:

In Firma X gibt es Zahlreiche Systeme, wie z.B. CRM, ERP, UM, BaaN, usw....
Diese stellen alle bestimmte Dienste zur Verfügung, die mit Systemaccounts laufen.
Leider brauchen grade solche Dienste häufig Rechte auf Root/ Domänen-Admin Ebene.

Da kommt dann der geneigte Netz-Admin und fordert, die Kennwörter solcher Accounts ebenso regelmäßig zu ändern, wie die der User.

Dann kommt der Sys-Admin um die Ecke und verprügelt den Netz-Admin, weil der Sys-Admin dann im System oder der Umgebung die Kennwörter an X Stellen eintragen muss, evtl. eine Stelle vergisst und das System oder der Dienst liegt auf der Nase.

In diesem ganzen Szenario stehen sich natürlich wie immer die Kosten für den administrativen Aufwand und die Sicherheit gegenüber.

Meine Frage, wie wird dieses Problem in anderen Firmen behandelt?
Grade weil diese Accounts oft Admin/ Domänen Admin Rechte haben sehe ich das eher kritisch!

hi,

doof geregelt die struktur ;)

es gibt eine klare trennung. soweit wie möglich grundsätzlich alles in einer chroot-umgebung, wenn denn.
zum anderen kann man unter unix resp. linux systaccounts einstellen, die gewisse rechte bekommen. klar, am anfang hoher aufwand, bis man weiß, welcher dienst / operator / sysadmin welche rechte benötigt. zum anderen kommt dann noch zentrale accountverwaltung hinzu.
ab einer gewissen vertrauensstellung fallen auch die passwörter weg.

hinweis: alle user die rootrechte benötigen, sofern vertrauensstellung besteht in eine gruppe tun, die dementsprechende root rechte hat. d.h aber auch, das die gruppenrechte angepaßt werden müßen. am einfachsten ist, wenn man die umgebung neu aufbaut. eine bestehen umzustrukturiern ist schwer bis teilweise unmöglich.

so allgemein, ist es schwer eine allgemeine aussage zu treffen, aber vielleicht war es ja eine anregung.