sticky Wichtig Userverwaltung beim Speedtouch/Thomson


Mehr
17 Dez 2008 15:53 - 10 Feb 2014 22:12 #2493 von zid
Rollenspiele - die Privilegien der User
Jeder User, der auf dem St/TG konfiguriert wird, hat eine sog. "role", das ist die Gesamtheit aller Privilegien, über die der betreffende User verfügt. Beim St/TG sind schon einige "roles" vorkonfiguriert, in der Regel kommt man mit den folgenden aus:

root
Ein User mit role root darf einfach alles machen, das ist die höchst privilegierte role.

TechnicalSupport
Die role TechnicalSupport darf wanseitig auf alle Dienste und Befehle des St/TG zugreifen, lanseitig hat TechnicalSupport keinen Zugriff auf das Gerät.

Administrator
Als Administrator darf man lanseitig auf alle Dienste und Befehle des St/TG zugreifen, wanseitig hat Administrator keinen Zugriff auf das Gerät. Da die role Administrator in der Privilegienhierarchie tiefer angesiedelt ist als die role TechnicalSupport, kann ein Administrator keinen User mit role TechnicalSupport anlegen (das ist ein genereller Sachverhalt, sonst würde ja das gesamte Rechtesystem ausgehebelt werden).


Anlegen von Usern
Die Konfiguration von Usern über das Webgui funktioniert oft nicht zuverlässig (das TG585v7 ist z.b. bekannt dafür), sodaß es vorkommen kann, daß man sich aussperrt und resetten muß. Es ist gemütlicher User über das CLI zu konfigurieren, das funktioniert erstens zuverlässiger und bei Problemen lassen sich die Änderungen durch einfaches Aus- und Einschalten wieder rückgängig machen, da die Autosave Funktion beim CLI nicht aktiv ist.
Deshalb ist vor dem Anlegen von Usern die Konfiguration zu sichern!


Welche(n) User soll ich anlegen?
In dem üblichen privaten Umfeld ist es nicht unbedingt notwendig einen User anzulegen, weil der Zugriff auf das Modem meist sowieso nur aus dem Lan möglich ist. Falls ein User für den lanseitigen Zugriff erwünscht ist, genügt eine role Administrator:

=>user add name <Name-des-Users> role Administrator password <Administrator-Passwort>

Wird ein Fernzugriff auf das Modem benötigt, dann sollte man aus Sicherheitsgründen User anlegen. Die zwei einfachsten Möglichkeiten sind:

1. Man legt nur einen User mit role root an. Da root alles darf, kann man mit diesem User sowohl aus dem Lan als auch aus dem Wan auf das Modem zugreifen. Dieser Ansatz wird z.B. von der Telekom Austria beim St 608 verwendet.

=>user add name <Name-des-Users> role root password <root-Passwort>

2. Man legt einen User mit role Administrator für den lanseitigen und einen zweiten User mit role TechnicalSupport für den wanseitigen Zugriff an. Die Konfiguration dieser User hat in einer Telnet Sitzung zu erfolgen (Vorsicht!), über das Webgui kann man diese Konfiguration gar nicht so ohne weiteres vornehmen!

=>user add name <Name-des-Users> role Administrator password <Administrator-Passwort>
=>user add name <Name-des-Users> role TechnicalSupport password <TechnicalSupport-Passwort>


Dann HTTPs wanseitig öffnen, unsichere Dienste wie HTTP, Telnet usw. sollten wanseitig nicht geöffnet werden...
Fernwartung von Speedtouch und Thomson Modems
...und testen, ob vom Lan und Wan auf das Gerät zugegriffen werden kann. Wenn alles klappt:

=>saveall


Hinweis
Bei der aontv.ini der Telekom Austria für das ST546/585v6 sind die Wartungsports, bei der aontv.ini für das TG585v7 sind alle privilegierten Ports (1-1024) für die Supportrechner der Telekom geöffnet, außerdem ist beim TG585v7 noch eine eigene "MANAGEMENT" Schnittstelle (routed EthoA auf PVC 8.80) eingerichtet, die über DHCP konfiguriert wird.
Diese Fernwartungsvorkehrungen der Telekom werden unwirksam, sobald nur *ein* User mit role Administrator angelegt wird. Selbst wenn dem Supportmitarbeiter das Passwort von "Administrator" bekannt ist, kann er nicht remote auf das St/TG zugreifen, weil die role Administrator nicht die Privilegien dazu hat.
M. a. W. es muß mindestens ein User mit role TechnicalSupport oder root vorhanden sein, um den Support der Telekom grundsätzlich einen Zugang zum Modem zu ermöglichen. Das entsprechende Passwort muß dann trotzdem noch dem Supporter vorher mitgeteilt werden.
Bei den clean.inis im Download Bereich dieses Forums sind keine Wartungsports offen, eine Fernwartung durch die Telekom ist nicht vorgesehen.
Letzte Änderung: 10 Feb 2014 22:12 von andi.

Bitte Anmelden oder Registrieren um der Konversation beizutreten.

Moderatoren: andifrm1912enjoyherby68benderrwhomegeko
Ladezeit der Seite: 0.268 Sekunden
Powered by Kunena Forum