Re: [lmn] Fragen zu Linuxmusterclient Trusty

Mon, 12 Oct 2015 11:19:48 -0700 

Hallo Holger, hallo Jürgen,
recht herzlichen Dank für eure Antworten. Mir ging es nur darum deutlich zu machen, dass es durchaus auch andere Argumentationen gibt und das vielleicht sogar der häufigere Fall ist. (eine Wertung sollte das auf keinen Fall sein, zudem habe ich in der Schule keine Linux-Clients im Einsatz und habe deshalb in der Schule den root-Account im LDAP selbst "unbrauchbar" gemacht.) 


Am 12.10.2015 um 16:37 schrieb Holger Baumhof:

Hallo Hans-Dietrich,

danke für deine Gedankengänge.
Ich verstehe, dass man sich das Arbeiten am Client etwas einfacher
machen kann, wenn man jeden Benutzer als Domänenbenutzer behandelt: auch
root.



m.E. ist es nicht nur einfacher, sondern (bei uns!) wohl auch sicherer. 
Ich verwende zur Administration für unsere Windows-Clients nur den 
Administrator-Account im LDAP. Die lokalen Administrator-Accounts (win7) 
wurden schon mehrfach geknackt bzw. ausgehebelt, denn wer an die 
Festplatte kommt, ist sowieso root und mit Knoppix und Anleitungen im 
Netz kann ja jeder das lokale Passwort zurücksetzen. Dass das bei euch 
wegen der Linux-Clients und Dank PXE nicht relevant ist, ist mir bewußt.



Wie Jürgen schon sagt, ist das rootkonto aber auf dem Ubuntuclient
deaktiviert.



ist mir auch bekannt und ich weiss inzwischen aus eigener Erfahrung, 
dass bei Debian Jessie auch das root-Konto sofort deaktiviert wird, wenn 
man bei der Installation kein Passwort angibt. (bin ich leider selbst 
drüber gestolpert)



Ich mag es auch sehr, wenn solche Administrativen Benutzerkennwörter zu
keiner Zeit über das Netz gehen.



Kann ich nachvollziehen. Trotzdem, als Argument für die andere Richtung: 
wenn ich Windows-Clients in die Domäne aufnehme, dann muss (bei uns) das 
Passwort vom Administrator übers Netz gehen. Ich sehe da auch keine 
Alternative - die Verschlüsselung MUSS (hinreichend) sicher sein. Und 
dieser Account "Administrator" (haben wir einfach so genannt, weil er 
bei einem Windows-Server auch so heißt) ist eben für Windows-Clients 
genau dass, was für Linux-Clients dieser von smbldap-populate im LDAP 
angelegte root-Account darstellt.



Ich habe mittels:
  smbldap-userinfo root

nachgeschaut und bekomme folgende Meldung:

/usr/sbin/smbldap-userinfo: user root doesn't exist

Es gibt ihn also nicht.


Die Schlussfolgerung ist korrekt.


Nochmals meinen Dank für eure Antworten.

Viele Grüße
Hans-Dietrich
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user


























					Antwort per Email an