Hallo Holger, hallo Jürgen,
recht herzlichen Dank für eure Antworten. Mir ging es nur darum deutlich
zu machen, dass es durchaus auch andere Argumentationen gibt und das
vielleicht sogar der häufigere Fall ist. (eine Wertung sollte das auf
keinen Fall sein, zudem habe ich in der Schule keine Linux-Clients im
Einsatz und habe deshalb in der Schule den root-Account im LDAP selbst
"unbrauchbar" gemacht.)
Am 12.10.2015 um 16:37 schrieb Holger Baumhof:
Hallo Hans-Dietrich,
danke für deine Gedankengänge.
Ich verstehe, dass man sich das Arbeiten am Client etwas einfacher
machen kann, wenn man jeden Benutzer als Domänenbenutzer behandelt: auch
root.
m.E. ist es nicht nur einfacher, sondern (bei uns!) wohl auch sicherer.
Ich verwende zur Administration für unsere Windows-Clients nur den
Administrator-Account im LDAP. Die lokalen Administrator-Accounts (win7)
wurden schon mehrfach geknackt bzw. ausgehebelt, denn wer an die
Festplatte kommt, ist sowieso root und mit Knoppix und Anleitungen im
Netz kann ja jeder das lokale Passwort zurücksetzen. Dass das bei euch
wegen der Linux-Clients und Dank PXE nicht relevant ist, ist mir bewußt.
Wie Jürgen schon sagt, ist das rootkonto aber auf dem Ubuntuclient
deaktiviert.
ist mir auch bekannt und ich weiss inzwischen aus eigener Erfahrung,
dass bei Debian Jessie auch das root-Konto sofort deaktiviert wird, wenn
man bei der Installation kein Passwort angibt. (bin ich leider selbst
drüber gestolpert)
Ich mag es auch sehr, wenn solche Administrativen Benutzerkennwörter zu
keiner Zeit über das Netz gehen.
Kann ich nachvollziehen. Trotzdem, als Argument für die andere Richtung:
wenn ich Windows-Clients in die Domäne aufnehme, dann muss (bei uns) das
Passwort vom Administrator übers Netz gehen. Ich sehe da auch keine
Alternative - die Verschlüsselung MUSS (hinreichend) sicher sein. Und
dieser Account "Administrator" (haben wir einfach so genannt, weil er
bei einem Windows-Server auch so heißt) ist eben für Windows-Clients
genau dass, was für Linux-Clients dieser von smbldap-populate im LDAP
angelegte root-Account darstellt.
Ich habe mittels:
smbldap-userinfo root
nachgeschaut und bekomme folgende Meldung:
/usr/sbin/smbldap-userinfo: user root doesn't exist
Es gibt ihn also nicht.
Die Schlussfolgerung ist korrekt.
Nochmals meinen Dank für eure Antworten.
Viele Grüße
Hans-Dietrich
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user