Ein neuer administrativer Nutzer in Wazuh entsteht in drei klar getrennten Schritten: Zuerst wird ein interner Benutzer im Wazuh Indexer angelegt, anschließend erhält dieser Benutzer über eine Rolle alle notwendigen Rechte, und zum Schluss wird er per Role-Mapping als Wazuh-Administrator mit der API verknüpft. Die folgenden Abschnitte orientieren sich direkt an der offiziellen Wazuh-Dokumentation zum RBAC und beschreiben die Umsetzung Schritt für Schritt.
Zunächst lohnt sich ein kurzer Blick auf die Rollenverteilung in Wazuh. Der Wazuh Indexer verwaltet interne Benutzer und deren Zugriffsrechte auf Indizes und Suchfunktionen. Das Wazuh-RBAC wiederum steuert, welche Aktionen diese Benutzer über die Wazuh-API ausführen dürfen, beispielsweise das Verwalten von Agenten oder das Ändern von Konfigurationen. Ein administrativer Nutzer kombiniert also eine mächtige Indexer-Rolle mit der Wazuh-Rolle `administrator`.
Schritt 1: Neuen internen Nutzer anlegen
Im ersten Schritt meldet man sich mit einem vorhandenen Administrator am Wazuh-Dashboard an. Über das Menü-Symbol oben links öffnet man den Bereich „Indexer management“, wählt dort „Security“ und anschließend „Internal users“. In dieser Ansicht legt man einen neuen internen Benutzer an, vergibt einen aussagekräftigen Benutzernamen und ein sicheres Passwort und schließt den Dialog mit „Create“ ab. Damit existiert ein Konto, das sich am Dashboard anmelden kann, aber noch keine speziellen Rechte besitzt.
Schritt 2: Berechtigungen auf Indexer-Ebene vergeben
Im zweiten Schritt erhält dieser Benutzer alle administrativen Berechtigungen auf Indexer-Ebene. Dafür wechselt man im gleichen Security-Bereich des Dashboards auf die Seite „Roles“. In der Rollenliste sucht man nach der Rolle `all_access` und öffnet deren Detailansicht. Diese Rolle ist als reservierte Rolle vorgesehen und sollte nicht direkt verändert werden. Daher nutzt man die in der Dokumentation empfohlene Vorgehensweise und klickt auf „Duplicate role“. Dem Duplikat wird ein eigener Name gegeben, beispielsweise `wazuh_admin_internal`, und die Erstellung wird mit „Create“ bestätigt .
Danach wählt man die neu erzeugte Rolle aus, ruft den Reiter „Mapped users“ auf und klickt auf „Manage mapping“. In dieser Ansicht wird der zuvor angelegte interne Benutzer „wazuh_admin“ ausgewählt und der Zuordnungsvorgang mit „Map“ abgeschlossen. Ab diesem Moment besitzt der Benutzer dieselben weitreichenden Index-Rechte wie `all_access`, allerdings über eine eigene, anpassbare Rolle.
Schritt 3: Berechtigungen auf Server-Ebene vergeben
Im dritten Schritt erfolgt die Verknüpfung mit dem Wazuh-RBAC, damit der Benutzer auch auf API-Ebene als Administrator agieren kann. Dazu öffnet man wieder das Menü-Symbol und erweitert diesmal den Bereich „Server management“. Dort wird „Security“ gewählt und anschließend im rechten Teil die Rubrik „Roles mapping“. Auf dieser Seite legt man ein neues Role-Mapping an. Im Feld für den Namen wird ein eindeutiger Bezeichner für dieses Mapping eingetragen, etwa `wazuh_admin_mapping`. Im Feld „Roles“ wird die Wazuh-Rolle `administrator` ausgewählt. Im Feld „Internal users“ wird der zuvor angelegte interne Benutzer ausgewählt, der bereits mit der duplizierten `all_access`-Rolle verknüpft ist. Nach einem Klick auf „Save role mapping“ ist die Zuordnung vollständig: Der Benutzer ist sowohl im Indexer als auch in der Wazuh-API als Administrator bekannt.
Damit diese Zuordnung überhaupt wirksam wird, muss eine letzte technische Voraussetzung stimmen. In der Datei `/usr/share/wazuh-dashboard/data/wazuh/config/wazuh.yml` befindet sich die Einstellung `run_as`. Diese Einstellung muss laut Dokumentation auf `true` gesetzt sein, damit das Dashboard die Benutzerrechte aus dem Wazuh-RBAC korrekt durchsetzt. Nach einer Änderung der Datei startet man den Wazuh-Dashboard-Dienst neu und leert im Browser Cache und Cookies. Erst dann werden neue Role-Mappings zuverlässig angewendet.
hosts:
- default:
url: https://127.0.0.1
port: 55000
username: wazuh-wui
password: "9i2x6mzwL?xxxx.MgP?tRxxxxxFrUmQQ"
run_as: true
Im Ergebnis steht ein neuer administrativer Nutzer zur Verfügung, der sich mit seinem eigenen Konto am Wazuh-Dashboard anmeldet. Das Konto authentifiziert sich über den internen Benutzer im Indexer, erhält seine umfangreichen Lese- und Schreibrechte über die duplizierte `all_access`-Rolle und wird durch das Wazuh-Role-Mapping als Administrator der Wazuh-API anerkannt. Auf dieser Grundlage lässt sich das Berechtigungskonzept im Blog weiterführen, etwa durch zusätzliche Read-only-Konten oder fein granulierte Rollen für einzelne Teams.