Udm (cli) als nicht-root user

UCS - Univention Corporate Server
#1

Hallo Forum,

ich habe hier ein Script, das als User www-data läuft und /usr/sbin/udm aufruft. (Sicherheit ist hier kein Thema :wink:

Nach dem Update von UCS 2.x auf 3.2 liefert jeder Aufruf von /usr/sbin/udm als nicht-Administrator und nicht-root die Meldung:

E: Permission denied, try --logfile, --binddn and --bindpwd

Die Optionen --binddn und --bindpwd übergibt das Script korrekt, die Option --logfile bleibt als nicht-root User ohne Effekt. Das Loglevel in der ucr Variable directory/manager/cmd/debug/level habe ich auch bereits hochgestellt, aber das hat auch nur eine Wirkung wenn root udm aufruft.

Die Dateirechte von /usr/sbin/udm bzw. usr/share/univention-directory-manager-tools/univention-cli-client habe ich auch bereits überprüft.

Hat jemand eine Idee woran das liegen könnte?

Beste Grüße

Gerd Wilhelm

#2

Hallo,

Hintergrund ist hier dass ein unpriveligierter Benutzer nicht in die Standard-Logdatei (/var/log/univention/directory-manager-cmd.log) schreiben darf, daher muss eine alternative Logdatei angegeben werden (in die der Benutzer schreiben darf), z.B.:/usr/sbin/udm users/user list --binddn uid=Administrator,cn=users,dc=schoolmulti-s4,dc=qa --bindpwd univention --logfile /tmp/udm.log

Das die Option ohne Effekt bleibt kann ich in meinen Tests nicht nachvollziehen.

Mit freundlichen Grüßen
Janis Meybohm

#3

Hallo Herr Meybohm,

danke fürs ausprobieren. Bei mir geht es leider nicht:

als root:

/usr/sbin/udm users/user list --binddn="cn=admin,dc=ali-giessen,dc=local" --bindpwd="XXXXXXX" --filter=username=gerd --logfile /tmp/rootslogfile

funktioniert und legt die Logdatei /tmp/rootslogfile an.

Aber:

su www-data - /usr/sbin/udm users/user list --binddn="cn=admin,dc=ali-giessen,dc=local" --bindpwd="XXXXXXX" --filter=username=gerd --logfile /tmp/www-datas-logfile

ergibt wie bisher:

E: Permission denied, try --logfile, --binddn and --bindpwd

und die Datei /tmp/www-datas-logfile wird nicht angelegt.

Ich habe das Problem inzwischen mit sudo umgangen, ist also nicht mehr so dringend.

Beste Grüße

Gerd Wilhelm

#4

Hallo,

bitte beachten Sie die Optionen ohne “=” anzugeben (wie in meinem Beispiel). Dann sollte das auch als “www-data” funktionieren.

Mit freundlichen Grüßen
Janis Meybohm

#5

Tatsächlich. Vielen Dank.

Da wär ich nie darauf gekommen, da als root die Optionen ja klaglos angenommen werden.

Beste Grüße

Gerd Wilhelm

Mastodon