AW: Gemeinsame Benutzerverwaltung?
Hi Christian :) Von: Christian Schmidt [mailto:[EMAIL PROTECTED] Gesendet: Dienstag, 20. Dezember 2005 12:05 SMTP-Auth stuende hier primaer nicht zur Debatte... Gut so: Ein Problem weniger ;) Naja - ich bilde mir ein, dass sich die Lookups im Zusammenhang mit dem MTA doch eigentlich auf Nachfragen der Art Gibt es den Benutzer? sowie Gibt es den Alias? beschraenken sollten, oder? Dem ist ziemlich anders... Da pro Lookup-Tabelle mehrer Notationsvarianten möglich sind, werden auch pro Variante ein Lookup abgesetzt. Wenn also z.B. Ziel [EMAIL PROTECTED] ist, passieren (bei Misserfolg) folgende Abfragen: - [EMAIL PROTECTED] - @chemie.uni-hamburg.de - christian.schmidt Natürlich wird das abgebrochen wenn eines zutrifft... Auf dem Weg eines Mails (via virtual aliases) wird das Mail nun also diverse Lookups durchgehen: - myorigin (statische liste bei mir) - virtual_domains (LDAP) - virtual_aliases (LDAP, allenfalls mehrere, da man häufig so was wie alias - alias - mailbox hat in Realität) - local_recipients (LDAP) - allenfalls transport_maps (LDAP) ... Mit jeder Erweiterung des Schemas eine mehr ;-) Irgendwie mag ich diesen Wald voll Anfragen wegen jedem Mail einfach nicht, aber das soll Geschmackssache sein, und wenn die Ressourcen-Frage nicht gestellt wird ... was solls! Was mein Problem war mit den LDAP-Lookups: Pro Lookup kann man nur einen Wert als Resultat nutzen. Da LDAP Rollenbasiert ist, heisst das Ein Query/Lookup pro Rolle und selbst dann sind gewisse Aufgaben unmöglich. Wenn man z.B. auf dem LDAP-Server ein Schema einsetzt welches bei aliasen andere Felder für das from/to verwendet wie bei mailboxen, wird man bei den aliases einmal nach mailboxen einen lookup machen (wenn man keine Blindeinträgt pro Mailbox in den aliases hat) um auch catchalls zu supporten. Danach wird man nach aliases ein lookup machen. Dabei ist zu bemerken: Heisst das addressierte Ziel gleich wie die Zieladresse, wird man mit aliases niemals ein Mail duplizieren können und an weitere Ziele senden, da das zweite aliases-Lookup nie gemacht würde. Wenn man noch andere konzeptionelle solche Tabellen hat, kann es durchaus sein, dass weitere Lookups hinzukommen könnten, welche dann gegeineinander ausgeschlossen würden aufgrund der lookup-methode. Deshalb habe ich das Script für das zusammenbacken aller Quellen in einen indexierten lokalen hash gewählt. Schema ändern, script ändern ... fertig Neue Idee, Neue Entität, script ergänzen ... fertig Der MTA Funktioniert dabei immer gleich. MTA austauschen, script ändern ... fertig ;-) (hab ich aber nicht vor)! :-) Ansatz deckend mit deinen Gedanken? Gute Frage... Auf jeden Fall hast Du eine interessante Variante praesentiert. Danke! Na denn viel Spass! Miro
Re: Gemeinsame Benutzerverwaltung?
Hallo Miro, Miro Dietiker, MD Systems, 20.12.2005 (d.m.y): Ich habe gerade ein solches Setup hinter mir.. LDAP verwende ich dabei als Directory, jedoch habe ich einige Services (obwohl sie teils direkt auf LDAP zugreifen könnten) nicht so konfiguriert, sondern einige Perl-Scripts geschrieben, welche die Maschinen regelmässig synchronisieren. Interessant. Als MTA verwende ich Postfix und Cyrus für die Boxen. Da Postfix hässlich viele LDAP lookups generieren würde, habe ich mich entschieden alle diese Lookups via Hashtables zu machen und die Hashtables in einem Loop zu dumpen / inkrementell erweitern. Ebenfalls die Mailboxen in Cyrus muss man von hand - sprich also mit einem solchen Script erstellen. Die Systemuser habe ich direkt im LDAP server drin und mit libnss-ldap und das login mit libpam_ldap an den LDAP server gebunden. Dieselbe Authentication im MTA habe ich mit saslauthd implementiert. SMTP-Auth stuende hier primaer nicht zur Debatte... Sämtliche Passwortdaten sind demnach immer im LDAP server und werden nie irgendwo hin synchronisiert. Damit wäre das Hauptproblem gelöst und die Tools verhalten sich optimal schnell als wäre das lookup lokal. Mag sein, dass einige finden das sei der falsche Ansatz, aber ich finde es toll.. Mitunter ein Grund für diesen Ansatz ist, dass häufig die Gestaltung der Datensätze im LDAP Server man sich an der Applikation ausrichten muss. Wenn man es dumpt, kann man auf dem LDAP-Server konzeptionell korrekt bleiben und entsprechend Konzeptionelle Entitäten (Mailbox, Alias, ...) bilden, und nicht solche welche Exim/Postfix-Orientiert sind. Die Lookup-Fähigkeiten sind nämlich häufig beschränkt. Naja - ich bilde mir ein, dass sich die Lookups im Zusammenhang mit dem MTA doch eigentlich auf Nachfragen der Art Gibt es den Benutzer? sowie Gibt es den Alias? beschraenken sollten, oder? Wenn man mal ein Teilchen austauscht, braucht man dann nicht das Directory anzupassen, sondern das sync-script. Apache synchronisiere ich auch so... (Schreiben von virtualhosts in configs) Gewisse Services sind dadurch auch nicht mehr so eng an LDAP gebunden, dass sie noch gut funktionieren wenn das Directory sich mal verschluckt hat und das gefällt auch so. Auf LDAP greife ich zu mit: libnet-ldap-perl :-) Ansatz deckend mit deinen Gedanken? Gute Frage... Auf jeden Fall hast Du eine interessante Variante praesentiert. Danke! Gruss, Christian Schmidt -- Christian Schmidt | Germany No HTML Mails, please!
Gemeinsame Benutzerverwaltung?
Hallo miteinander, demnaechst werde ich zwei Server einrichten. Einer davon soll outbound services abdecken (WWW, eMail), der andere nach innen im wesentlichen als Samba-Fileserver dienen. Die Benutzer werden auf beiden Seiten die gleichen sein, so dass eine gemeinsame Benutzerverwaltung naheliegt. Aktuell bedient man sich IMO dafuer wohl der Faehigkeiten eines LDAP-Servers, oder? Ich stelle mir das so vor: - Server intern haelt via LDAP die Benutzerdaten vor. - Auf Server extern wird zur Mailzustellung sowie zur Authentifizierung eine LDAP-Anfrage an intern generiertund ausgewertet. - Auch eMail-Aliases sollen via LDAP verwaltet werden. An Software soll eingesetzt werden: Debian Sarge, exim4, dovecot und (auf intern) eben samba. Bekomme ich das auch als Einsteiger in das Thema LDAP hin? Oder wuerdet Ihr eine komplett andere Herangehensweise empfehlen? An Doku zur Verheiratung von (u.a.) Samba und LDAP habe ich ein IMO recht gelungenes Howto auf http://www.idealx.org gefunden; was die Zusammenarbeit mit exim anbelangt, bin ich noch auf der Suche... Habt Ihr sonst noch Hinweise auf lesenswerte Anleitungen, Do-s, Don't-s etc.? Es sei Euch schon im Voraus gedankt. Gruss, Christian Schmidt -- Ich bin nicht an allem schuld, sondern nur an einigem. -- Klaus Knopper signature.asc Description: Digital signature
AW: Gemeinsame Benutzerverwaltung?
Hi! Ich habe gerade ein solches Setup hinter mir.. LDAP verwende ich dabei als Directory, jedoch habe ich einige Services (obwohl sie teils direkt auf LDAP zugreifen könnten) nicht so konfiguriert, sondern einige Perl-Scripts geschrieben, welche die Maschinen regelmässig synchronisieren. Als MTA verwende ich Postfix und Cyrus für die Boxen. Da Postfix hässlich viele LDAP lookups generieren würde, habe ich mich entschieden alle diese Lookups via Hashtables zu machen und die Hashtables in einem Loop zu dumpen / inkrementell erweitern. Ebenfalls die Mailboxen in Cyrus muss man von hand - sprich also mit einem solchen Script erstellen. Die Systemuser habe ich direkt im LDAP server drin und mit libnss-ldap und das login mit libpam_ldap an den LDAP server gebunden. Dieselbe Authentication im MTA habe ich mit saslauthd implementiert. Sämtliche Passwortdaten sind demnach immer im LDAP server und werden nie irgendwo hin synchronisiert. Damit wäre das Hauptproblem gelöst und die Tools verhalten sich optimal schnell als wäre das lookup lokal. Mag sein, dass einige finden das sei der falsche Ansatz, aber ich finde es toll.. Mitunter ein Grund für diesen Ansatz ist, dass häufig die Gestaltung der Datensätze im LDAP Server man sich an der Applikation ausrichten muss. Wenn man es dumpt, kann man auf dem LDAP-Server konzeptionell korrekt bleiben und entsprechend Konzeptionelle Entitäten (Mailbox, Alias, ...) bilden, und nicht solche welche Exim/Postfix-Orientiert sind. Die Lookup-Fähigkeiten sind nämlich häufig beschränkt. Wenn man mal ein Teilchen austauscht, braucht man dann nicht das Directory anzupassen, sondern das sync-script. Apache synchronisiere ich auch so... (Schreiben von virtualhosts in configs) Gewisse Services sind dadurch auch nicht mehr so eng an LDAP gebunden, dass sie noch gut funktionieren wenn das Directory sich mal verschluckt hat und das gefällt auch so. Auf LDAP greife ich zu mit: libnet-ldap-perl :-) Ansatz deckend mit deinen Gedanken? Freundliche Grüsse! +---+ +---+ | Miro Dietiker | | MD Systems Miro Dietiker | +---+ +---+ -Ursprüngliche Nachricht- Von: Christian Schmidt [mailto:[EMAIL PROTECTED] Gesendet: Montag, 19. Dezember 2005 17:44 An: Debian-User-german Betreff: Gemeinsame Benutzerverwaltung? Hallo miteinander, demnaechst werde ich zwei Server einrichten. Einer davon soll outbound services abdecken (WWW, eMail), der andere nach innen im wesentlichen als Samba-Fileserver dienen. Die Benutzer werden auf beiden Seiten die gleichen sein, so dass eine gemeinsame Benutzerverwaltung naheliegt. Aktuell bedient man sich IMO dafuer wohl der Faehigkeiten eines LDAP-Servers, oder? Ich stelle mir das so vor: - Server intern haelt via LDAP die Benutzerdaten vor. - Auf Server extern wird zur Mailzustellung sowie zur Authentifizierung eine LDAP-Anfrage an intern generiertund ausgewertet. - Auch eMail-Aliases sollen via LDAP verwaltet werden. An Software soll eingesetzt werden: Debian Sarge, exim4, dovecot und (auf intern) eben samba. Bekomme ich das auch als Einsteiger in das Thema LDAP hin? Oder wuerdet Ihr eine komplett andere Herangehensweise empfehlen? An Doku zur Verheiratung von (u.a.) Samba und LDAP habe ich ein IMO recht gelungenes Howto auf http://www.idealx.org gefunden; was die Zusammenarbeit mit exim anbelangt, bin ich noch auf der Suche... Habt Ihr sonst noch Hinweise auf lesenswerte Anleitungen, Do-s, Don't-s etc.? Es sei Euch schon im Voraus gedankt. Gruss, Christian Schmidt -- Ich bin nicht an allem schuld, sondern nur an einigem. -- Klaus Knopper
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Ulf Volmer [EMAIL PROTECTED] writes: On Thu, Aug 12, 2004 at 07:39:51PM +0200, Sven Hartge wrote: ja, so soll es sein. Wenn ich das richtig verstehe, glaubt der exportierende Rechner jedem anderen Rechner, ohne es zu überprüfen, die angegebene ip, oder? Der exportierende Rechner glaubt alles, er baut darauf, das auf dem mountenden Rechner die passenden Checks gelaufen sind. man arp man ifconfig -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Thu, Aug 12, 2004 at 07:39:51PM +0200, Sven Hartge wrote: ja, so soll es sein. Wenn ich das richtig verstehe, glaubt der exportierende Rechner jedem anderen Rechner, ohne es zu überprüfen, die angegebene ip, oder? Der exportierende Rechner glaubt alles, er baut darauf, das auf dem mountenden Rechner die passenden Checks gelaufen sind. man arp cu ulf -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Peter Holm wrote: On Tue, 10 Aug 2004 14:10:08 +0200, Werner Opriel [EMAIL PROTECTED] wrote: Sicherheit ist relativ. Es sind aber nicht nur MinAge / MaxAge die ich vermisse, auch Quality und MinLength fehlen usw. uff, das ist aber ein ganz dicker Hund, und etwas, was man ich bisher noch nicht in den vielen LDAP-howtos gefunden habe, danke. Genau das nervt immer enorm, nirgendwo steht, was eigentlich NICHT geht... das merkt man dann erst, wenn es zu spät ist... Eigentlich will ich ja nur ein sicheres nis. Also eine Gruppe von Rechnern soll eine zentrale Benutzerverwaltung haben. Das interne Netz ist nicht vertrauenswürdig, deshalb habe ich ja Probleme mit NIS. Um NIS durch ein OpenLDAP basierendes System abzuloesen, gibt es etliche Infos im Netz. Und wie Uwe Laverenz erwaehnte kann man ja auch Kerberos einsetzen. vgl. auch folgende Links: http://www.kegel.com/linux/edu/fileserving.html http://www.skills-1st.co.uk/papers/security-with-ldap-jan-2002/security-with-ldap.html http://www.bayour.com/LDAPv3-HOWTO.html http://www.daasi.de/staff/norbert/thesis/html/node10.html Ich wollte aber darauf hinweisen, das OpenLDAP nativ noch keine Password-Policy bieten kann. Mit Kerberos kenne ich mich noch nicht wirklich aus, vielleicht kann Uwe dazu noch ein paar Hinweise geben. Ich habe kein vorhandenes NIS abzubilden, sondern moechte unseren Windows-Usern ueber OpenLDAP EINEN kontrollierten Zugang zu Linux basierenden Diensten wie: - Cyrus-Imap - evt. SMTP-AUTH Postfix - Squid-Proxy - CMS-Apache - SQL-DB - SAMBA . gewaehren. Ueber eine TLS-Verbindung kann ich die Zugriffe zwar absichern, aber wie ich feststellen musste, fehlt eine echte Password-Policy in OpenLDAP. Diese wird wohl erst in der naechsten Version verfuegbar sein: http://www.rfc-editor.org/internet-drafts/draft-behera-ldap-password-policy-07.txt Wenn allerdings solche fundamentalen Sachen mit LDAP noch nicht funktionieren, frage ich mich, wie das in der Praxis funktionieen soll... bleibe da ziemlich ratlos... Wie oben erwaehnt, ueber zusaetzliche Authentifizierungsprotokolle. Was ist eigentlich von nfs in diesem Zusammenhang zu halten? Das soll auch nicht sicher sein? Was nimmt man denn dann??? Vielleicht: http://www.openafs.org/ in Verbindung mit Kerberos. Gruss Werner Opriel
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Peter Holm [EMAIL PROTECTED] wrote: schnell findet man hierfür die wohl klassische Lösung: nis + nfs Allerdings liest mna dann auch wieder oft, dass nfs und nis überhaupt nicht sicher seien. Sicher soll es schon sein. zumindest wäre es witzlos, benutzeraccounts einzurichten, wenn jeder dem anderen ins Homeverzeichnis reinschreiben kann... Wenn die Client-Rechner im Netz alle unter deine Kontrolle stehen und _nur_ du root bist, kann NFS hinreichend sicher sein. Ist jeder User sein eigener root, dann nicht, weil dieser dann einfach su - andereruser machen kann und damit sofort die Daten des anderenuser manipulieren kann. S° -- Letzte Worte eines Politikers: Zu keiner Zeit besteht irgendeine Gefahr für die Bevölkerung! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Michelle Konzack [EMAIL PROTECTED] wrote: Vor allem: Es gibt kein HOWTO dafür, wie man es macht... Ich weiss ja nicht, _was_ du rauchst, Michelle, aber es scheint dir nicht zu bekommen. S° -- Fachbegriffe der Informatik - Einfach erklärt 22: Interaktives Fernsehen Fernsteuerung mit Taste 'Bezahlen' statt 'Aus'. ('Standpay'-Taste) (nach Peter Berlich) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Sven Hartge wrote: Michelle Konzack [EMAIL PROTECTED] wrote: Vor allem: Es gibt kein HOWTO dafür, wie man es macht... Ich weiss ja nicht, _was_ du rauchst, Michelle, aber es scheint dir nicht zu bekommen. War _das_ nötig? -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, 10 Aug 2004 14:10:08 +0200, Werner Opriel [EMAIL PROTECTED] wrote: Sicherheit ist relativ. Es sind aber nicht nur MinAge / MaxAge die ich vermisse, auch Quality und MinLength fehlen usw. uff, das ist aber ein ganz dicker Hund, und etwas, was man ich bisher noch nicht in den vielen LDAP-howtos gefunden habe, danke. Genau das nervt immer enorm, nirgendwo steht, was eigentlich NICHT geht... das merkt man dann erst, wenn es zu spät ist... Eigentlich will ich ja nur ein sicheres nis. Also eine Gruppe von Rechnern soll eine zentrale Benutzerverwaltung haben. Das interne Netz ist nicht vertrauenswürdig, deshalb habe ich ja Probleme mit NIS. Völlig unverständlich für mich, dass es NIS in der Form überhaupt noch gibt. Warum? Wenn allerdings solche fundamentalen Sachen mit LDAP noch nicht funktionieren, frage ich mich, wie das in der Praxis funktionieen soll... bleibe da ziemlich ratlos... Was ist eigentlich von nfs in diesem Zusammenhang zu halten? Das soll auch nicht sicher sein? Was nimmt man denn dann??? Danke für die Infos! Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Thu, 12 Aug 2004 10:10:09 +0200, Sven Hartge [EMAIL PROTECTED] wrote: Wenn die Client-Rechner im Netz alle unter deine Kontrolle stehen und _nur_ du root bist, kann NFS hinreichend sicher sein. ja, so soll es sein. Wenn ich das richtig verstehe, glaubt der exportierende Rechner jedem anderen Rechner, ohne es zu überprüfen, die angegebene ip, oder? Und nis ist unsicher, weil sich jeder die Passwort-Db herunterziehen kann? Das ist zumindest das, was ich bisher gefunden habe, stimmt das so? Nein, ich bin nicht interessiert daran, andere Rechner zu knacken, hab schon genug arbeit mit meinen eigenen. Ich will verstehen, was genau das Problem ist und wie man es umgehen kann. Danke! Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Sicherheit ist relativ. Es sind aber nicht nur MinAge / MaxAge die ich vermisse, auch Quality und MinLength fehlen usw. Wofür sind eigentlich die LDAP-Attributtypen shadowMin shadowMax? Warum gibt es eigentlich ein PAM-Modul das Qualität/Länge eines neu zu setzenden Passwortes überwacht? -- Mit freundlichen Gruessen Bjoern Schmidt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Peter Holm [EMAIL PROTECTED] wrote: On Thu, 12 Aug 2004 10:10:09 +0200, Sven Hartge [EMAIL PROTECTED] wrote: Wenn die Client-Rechner im Netz alle unter deine Kontrolle stehen und _nur_ du root bist, kann NFS hinreichend sicher sein. ja, so soll es sein. Wenn ich das richtig verstehe, glaubt der exportierende Rechner jedem anderen Rechner, ohne es zu überprüfen, die angegebene ip, oder? Der exportierende Rechner glaubt alles, er baut darauf, das auf dem mountenden Rechner die passenden Checks gelaufen sind. NFS basiert eben auf Vertrauen-per-IP und nicht auf Vertrauen-per-User, wie z.B. SMB. S° -- BOFH excuse #68: only available on a need to know basis -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Hallo nach einigem Suchen und lesen bin ich, wie so oft mit Linux, gar nicht mehr so sicher, was denn nun ruichtig ist oder nicht. Was ich möchte: in einem kleinen netz alle logins zentral verwalten mit home-verzeichnissen auf einem server. schnell findet man hierfür die wohl klassische Lösung: nis + nfs Ich kann dir da auch LDAP empfehlen und wenn den Clientrechnern vertraut werden kann NFS. Mit SSL läßt sich die Kommunikation auch verschlüsseln, dass habe ich aber aus Zeitgründen noch nicht am laufen. Wenn du die Homeverzeichnisse auf dem Server auf 0700 setzt, dann kann auch nur der entsprechende user da reinschreiben. Und natürlich root des Servers kommt da rein. Alles in allem finde ich das eine feine Sache. MfG Torsten
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Torsten Zumpf [EMAIL PROTECTED] wrote: Hallo nach einigem Suchen und lesen bin ich, wie so oft mit Linux, gar nicht mehr so sicher, was denn nun ruichtig ist oder nicht. Was ich möchte: in einem kleinen netz alle logins zentral verwalten mit home-verzeichnissen auf einem server. schnell findet man hierfür die wohl klassische Lösung: nis + nfs Ich kann dir da auch LDAP empfehlen und wenn den Clientrechnern vertraut werden kann NFS. Mit SSL läßt sich die Kommunikation auch verschlüsseln, dass habe ich aber aus Zeitgründen noch nicht am laufen. Ich kann dir sagen, LDAP+SSL ist nicht schwer. Allerdings scheint der OpenLDAP aus Testing keine CA-losen Zertifikate zu mögen (also self-signed), zumindest erst, als ich das Zertifikat mit meiner Dummy-CA gesignt hatte, wollte er mitspielen. Wenn du die Homeverzeichnisse auf dem Server auf 0700 setzt, dann kann auch nur der entsprechende user da reinschreiben. Und natürlich root des Servers kommt da rein. Alles in allem finde ich das eine feine Sache. NFS steht und fällt eben mit dem Vertrauen in den Client-Rechner. S° -- BOFH excuse #8: static buildup -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Hallo Peter, begin * Peter Holm schrieb [09-08-04 23:15]: Was ich möchte: in einem kleinen netz alle logins zentral verwalten mit home-verzeichnissen auf einem server. schnell findet man hierfür die wohl klassische Lösung: nis + nfs Oder du nimmst LDAP. Linux/Unix kann aus LDAP versorgt werden und via Samba sogar Windows Clients. Sicher soll es schon sein. zumindest wäre es witzlos, benutzeraccounts einzurichten, wenn jeder dem anderen ins Homeverzeichnis reinschreiben kann... Dann setze die Rechte entsprechend. Wenn die Rechte so sind, daß man schreiben kann, dann haben Admin und/oder User Fehler gemacht. end Gruss Udo -- Ohne Signatur! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Hallo Udo, Am 2004-08-10 10:15:22, schrieb Udo Mueller: Hallo Peter, Oder du nimmst LDAP. Linux/Unix kann aus LDAP versorgt werden und via Samba sogar Windows Clients. Ein Witz ? Ich habe auf dem Linuxtag 2004 mit dem Entwickler gesprochen... Eins ist sicher, so einfach läßt sich openldap nicht zur authentifizierung einsetzen... LDAP ist nur ein Datenspeicher... Kann von sich aus nur EINE uniqe ID verwalten... Du benötigst aber bei der UNIX-Userverwaltung zwei uniques ID's Den USERNAMEN und seine numerische ID Entweder Du zerbrichste Dir jedesmal den kopf, welche numerische ID ODEr named ID noch frei ist oder Du bastelst Dir ein Progi was das kann... Vor allem: Es gibt kein HOWTO dafür, wie man es macht... Gruss Udo Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, Aug 10, 2004 at 11:26:20AM +0200, Michelle Konzack wrote: Oder du nimmst LDAP. Linux/Unix kann aus LDAP versorgt werden und via Samba sogar Windows Clients. Ein Witz ? Ich habe auf dem Linuxtag 2004 mit dem Entwickler gesprochen... Eins ist sicher, so einfach läßt sich openldap nicht zur authentifizierung einsetzen... Aha, dann sollte man ihm schleunigst mal sagen, dass das viele erfolgreich tun, es gibt bei OpenLDAP sogar schon mitgelieferte fertige Schemata für u. a. Unix-Accounts. LDAP ist nur ein Datenspeicher... Nein. LDAP ist primär ein Protokoll, worauf die Abkürzung hinweist, insbesondere das P. Wie die Daten gespeichert werden, ist dabei schnurz. Kann von sich aus nur EINE uniqe ID verwalten... Du benötigst aber bei der UNIX-Userverwaltung zwei uniques ID's Unfug. Die Zuordnung ist eindeutig. Man macht bei LDAP einen dn, der eindeutig sein muss. Diesen kann man z.B. aus dem Usernamen ableiten. Jedem dn ordnet man dann eindeutig eine numerische uid zu (so heißt das Attribut nun auch rein zufällig). Da das dann, wenn man Unix-Accounts verwalten will, eine 1:1-Beziehung ist, gibt es keine Probleme. Entweder Du zerbrichste Dir jedesmal den kopf, welche numerische ID ODEr named ID noch frei ist oder Du bastelst Dir ein Progi was das kann... Das ist doch ziemlich easy zu lösen und absolut kein Grund für geht nicht. Vor allem: Es gibt kein HOWTO dafür, wie man es macht... Dein mangelndes Verständnis für die Materie ist aber kein Grund für obige Aussage, dass OpenLDAP sich nicht zur Authentifizierung einsetzten lässt. Bei solchen Äußerungen muss ich spontan an den Satz von Dieter Nuhr denken. Grüße, Torsten
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Hallo Michelle, begin * Michelle Konzack schrieb [10-08-04 11:26]: Am 2004-08-10 10:15:22, schrieb Udo Mueller: Hallo Peter, Oder du nimmst LDAP. Linux/Unix kann aus LDAP versorgt werden und via Samba sogar Windows Clients. Ein Witz ? Hab ich gelacht? Ich habe auf dem Linuxtag 2004 mit dem Entwickler gesprochen... Entwickler wovon? Eins ist sicher, so einfach läßt sich openldap nicht zur authentifizierung einsetzen... Ach ne? So ein Mist. Womit authentifiziere ich mich denn in der Firma und auch zu Hause? LDAP ist nur ein Datenspeicher... Was auch sonst. Ist eine SQL-Datenbank auch und auch die /etc/passwd ist _nur_ ein Datenspeicher (eine Datei). Was willst du also damit ausdrücken. Kann von sich aus nur EINE uniqe ID verwalten... Du benötigst aber bei der UNIX-Userverwaltung zwei uniques ID's Den USERNAMEN und seine numerische ID Was redest du? Unter Linux/Unix wird der User nur über 1 Merkmal identifiziert: Seine ID. Mehrere IDs braucht man nicht. Entweder Du zerbrichste Dir jedesmal den kopf, welche numerische ID ODEr named ID noch frei ist oder Du bastelst Dir ein Progi was das kann... smbldaptools. Vor allem: Es gibt kein HOWTO dafür, wie man es macht... Wenn man nicht sucht... Fazit: Du sabbelst wieder über Dinge, über die du keine Ahnung hast. Lass das doch endlich mal bleiben. Nur weil jemand eine Mail an diese Liste schreibt, musst du dich nicht gezwungen fühlen, darauf zu antworten. end Gruss Udo -- Ohne Signatur! pgpVCvvL3oJ13.pgp Description: PGP signature
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, Aug 10, 2004 at 11:26:20AM +0200, Michelle Konzack wrote: Ein Witz ? Nein, wieso? Ich habe auf dem Linuxtag 2004 mit dem Entwickler gesprochen... Mit dem Entwickler von was? Eins ist sicher, so einfach läßt sich openldap nicht zur authentifizierung einsetzen... Ja klar, und die Erde ist eine Scheibe... LDAP ist nur ein Datenspeicher... Kann von sich aus nur EINE uniqe ID verwalten... Du benötigst aber bei der UNIX-Userverwaltung zwei uniques ID's UNIX interessiert sich nicht für Namen, nur für die numerische ID. Der Name ist nur für den menschlichen Konsum interessant. Entweder Du zerbrichste Dir jedesmal den kopf, welche numerische ID ODEr named ID noch frei ist oder Du bastelst Dir ein Progi was das kann... Es gibt für die komplette Userverwaltung sehr gute Tools und für jeden Anwendungszweck LDAP-Schemata. Vor allem: Es gibt kein HOWTO dafür, wie man es macht... Wie man _was_ macht? Es gibt genügend HOWTOs, auch und vor allem im Zusammenhang Unix+Samba (single source of sign in). Jedenfalls weisst Du offensichtlich wieder nicht, worüber Du redest. Eine zentrale Userverwaltung via LDAP für verschiedene Linux-/Unix- und Windows- Systeme ist hier und bei vielen anderen schon lange Alltag. Also: mach Dich schlau oder halt Dich mit Deinen unqualifizierten Kommentaren zurück. Es nervt! cu, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Udo Mueller wrote: Oder du nimmst LDAP. Linux/Unix kann aus LDAP versorgt werden und via Samba sogar Windows Clients. Klar, aber er schrieb Sichere... In der derzeitigen OpenLdap Version (auch die von Sarge) fehlt allerdings eine echte Password Policy! Die wird es wohl erst in der naechsten Version geben vgl. behera-ldap-password-policy-07.txt Gruss Werner Opriel -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Am 2004-08-10 11:49:49, schrieb Udo Mueller: Hallo Michelle, begin * Michelle Konzack schrieb [10-08-04 11:26]: Am 2004-08-10 10:15:22, schrieb Udo Mueller: Hallo Peter, Oder du nimmst LDAP. Linux/Unix kann aus LDAP versorgt werden und via Samba sogar Windows Clients. Ein Witz ? Hab ich gelacht? Ich habe auf dem Linuxtag 2004 mit dem Entwickler gesprochen... Entwickler wovon? OpenLDAP Eins ist sicher, so einfach läßt sich openldap nicht zur authentifizierung einsetzen... Ach ne? So ein Mist. Womit authentifiziere ich mich denn in der Firma und auch zu Hause? Habe da ganz nette proprietäre Tools gefunden, mit denen man samba, netatalk und nfs-kernel-server sogar über sladp parallel administrieren kann... Was redest du? Unter Linux/Unix wird der User nur über 1 Merkmal identifiziert: Seine ID. Mehrere IDs braucht man nicht. Seit wann kannst Du einen Benutzernamen mehrfach vergeben ? smbldaptools. samba ? Da brauche ich noch nicht einmal UNIX uid's end Gruss Udo Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, 10 Aug 2004 12:00:21 +0200, Uwe Laverenz [EMAIL PROTECTED] wrote: Jedenfalls weisst Du offensichtlich wieder nicht, worüber Du redest. Eine zentrale Userverwaltung via LDAP für verschiedene Linux-/Unix- und Windows- Systeme ist hier und bei vielen anderen schon lange Alltag. Ok, openLDAP ist also schon mal die grobe Richtung. ich hab einiges an Infos gefunden, aber das ist ja wirklich umfangreich... schluck... nis war ja wirklich simpel im Vergleich dazu. Gibt es keine sichere versin von nis? Es wäre nett, wenn Ihr mir Hinweise geben könntet, wie man sowas am besten einrichtet. Gibt es dafür ein aktuelles Debian-HOWTO? Danke! Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Hallo Michelle, begin * Michelle Konzack schrieb [10-08-04 12:35]: Am 2004-08-10 11:49:49, schrieb Udo Mueller: begin * Michelle Konzack schrieb [10-08-04 11:26]: Ich habe auf dem Linuxtag 2004 mit dem Entwickler gesprochen... Entwickler wovon? OpenLDAP Seit wann ist der dabei? Oder ist er nur für die Datenhaltung in LDAP zuständig und kümmert sich nicht um Authentifizierung? Eins ist sicher, so einfach läßt sich openldap nicht zur authentifizierung einsetzen... Ach ne? So ein Mist. Womit authentifiziere ich mich denn in der Firma und auch zu Hause? Habe da ganz nette proprietäre Tools gefunden, mit denen man samba, netatalk und nfs-kernel-server sogar über sladp parallel administrieren kann... Wieso denkst du, ich nutze proprietäre Tools: [EMAIL PROTECTED]:~$ apt-cache search ldap | egrep (pam|nss) libnss-ldap - NSS module for using LDAP as a naming service libpam-ldap - Pluggable Authentication Module allowing LDAP interfaces apt-cache show kennst du ja... Was redest du? Unter Linux/Unix wird der User nur über 1 Merkmal identifiziert: Seine ID. Mehrere IDs braucht man nicht. Seit wann kannst Du einen Benutzernamen mehrfach vergeben ? Wofür will ich das? smbldaptools. samba ? Da brauche ich noch nicht einmal UNIX uid's Da sprüht wiedermal deine ausgedehnte Erfahrung und dein breites Wissen aus dir heraus. end Gruss Udo -- Ohne Signatur! pgpLjKzmB1gFt.pgp Description: PGP signature
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, Aug 10, 2004 at 11:26:39AM +0200, Werner Opriel wrote: Klar, aber er schrieb Sichere... In der derzeitigen OpenLdap Version (auch die von Sarge) fehlt allerdings eine echte Password Policy! Naja, nur weil die User nicht gezwungen werden, alle x Tage ihr Passwort zu ändern, ist die Sache ja nicht unsicher. Und wer will, kann immer noch Kerberos mit ins Boot nehmen. cu, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, Aug 10, 2004 at 12:35:39PM +0200, Michelle Konzack wrote: Was redest du? Unter Linux/Unix wird der User nur über 1 Merkmal identifiziert: Seine ID. Mehrere IDs braucht man nicht. Seit wann kannst Du einen Benutzernamen mehrfach vergeben ? Wer hat denn das behauptet? Jeder User hat einen eindeutigen Usernamen, das ist unabhängig davon, ob die Usernamen nun in einem LDAP-Verzeichnis oder im /etc/passwd abgelegt werden. Aber auch das ASCII-File /etc/passwd ist keine Garantie dafür, dass Usernamen und UIDs eindeutig sind, sondern viel mehr ist dies Aufgabe der Tools, die das File verwalten - wobei UIDs noch nicht einmal eindeutig sein müssen, man kann mehreren Usern die selbe UID zuordnen, das sind dann zwar de facto identische User, funktioniert aber. Prominentestes Beispiel ist der manchmal vorhandene User toor. Bei LDAP kann man übrigens wesentlich besser dafür sorgen, dass UIDs eindeutig sind, man fordert dies einfach in der Definition des Schemas. Im OpenLDAP-Schema nis.schema ist dies schön demonstiert: |attributetype ( 1.3.6.1.1.1.1.0 NAME 'uidNumber' |DESC 'An integer uniquely identifying a user in an administrative domai' |EQUALITY integerMatch |SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE ) Grüße, Torsten
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, Aug 10, 2004 at 12:15:26PM +0200, Peter Holm wrote: Ok, openLDAP ist also schon mal die grobe Richtung. ich hab einiges an Infos gefunden, aber das ist ja wirklich umfangreich... schluck... nis Ist nicht so schlimm, wie es aussieht, aber ein wenig Einarbeitung muss schon sein. war ja wirklich simpel im Vergleich dazu. Gibt es keine sichere versin von nis? IMHO nein. Der einzige würgaround, von dem ich gehört habe, ist, allen NIS-Traffic innerhalb des Netzes über VPNs zu fahren. Es wäre nett, wenn Ihr mir Hinweise geben könntet, wie man sowas am besten einrichtet. Gibt es dafür ein aktuelles Debian-HOWTO? Für Debian gibt es eins, daß ich aber eher unübersichtlich und wenig einsteigerfreundlich finde: http://www.bayour.com/LDAPv3-HOWTO.html Nicht für Debian, aber ein guter Einstieg: http://www.idealx.org/prj/samba/samba-ldap-howto.pdf Für das Thema LDAP allgemein kann ich noch folgenden O'Reilly-Titel empfehlen: http://www.oreilly.de/catalog/ldapsa/index.html cu, Uwe -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Uwe Laverenz wrote: Naja, nur weil die User nicht gezwungen werden, alle x Tage ihr Passwort zu ändern, ist die Sache ja nicht unsicher. Und wer will, kann immer noch Kerberos mit ins Boot nehmen. Sicherheit ist relativ. Es sind aber nicht nur MinAge / MaxAge die ich vermisse, auch Quality und MinLength fehlen usw. Werner Opriel -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
* Torsten Schneider ([EMAIL PROTECTED]) [040810 13:10]: Bei LDAP kann man übrigens wesentlich besser dafür sorgen, dass UIDs eindeutig sind, man fordert dies einfach in der Definition des Schemas. Im OpenLDAP-Schema nis.schema ist dies schön demonstiert: |attributetype ( 1.3.6.1.1.1.1.0 NAME 'uidNumber' |DESC 'An integer uniquely identifying a user in an administrative domai' |EQUALITY integerMatch |SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE ) Auch daneben. SINGLE-VALUE sagt nur, daß ein Benutzer nur eine uidNumber hat, nicht, daß diese eindeutig über alle Benutzer sein muß. Das spricht aber nicht dagegen, LDAP als Benutzerverwaltung zu verwenden; für die debian-Rechner wird dies beispielsweise gemacht. Zum Kernproblem: Was ist sicher für den Autor? Sicher gegen root auf den lokalen Rechnern? Oder nur gegen Leute, die sich ans Netzwerk anklemmen? Für die richtige Antwort auf die Frage braucht es eine Spezifikation des Problems. Grüße, Andi -- http://home.arcor.de/andreas-barth/ PGP 1024/89FB5CE5 DC F1 85 6D A6 45 9C 0F 3B BE F1 D0 C5 D1 D9 0C -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
On Tue, Aug 10, 2004 at 02:14:52PM +0200, Andreas Barth wrote: Auch daneben. SINGLE-VALUE sagt nur, daß ein Benutzer nur eine uidNumber hat, nicht, daß diese eindeutig über alle Benutzer sein muß. Zugegeben - die Hitze drückt offensichtlich aufs Hirn. ;) Ändert aber nichts daran, dass Michelles Ausführungen hanebüchener Unsinn sind. Grüße, Torsten -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Sichere zentrale Benutzerverwaltung - wie geht das?
Hallo Leute, * Torsten Schneider wrote on Tue, 10 Aug 2004 at 11:45 +0200: On Tue, Aug 10, 2004 at 11:26:20AM +0200, Michelle Konzack wrote: Du benötigst aber bei der UNIX-Userverwaltung zwei uniques ID's Nö. Unfug. Ack ;-) Die Zuordnung ist eindeutig. Man macht bei LDAP einen dn, der eindeutig sein muss. Diesen kann man z.B. aus dem Usernamen ableiten. Jedem dn ordnet man dann eindeutig eine numerische uid zu (so heißt das Attribut nun auch rein zufällig). Da das dann, wenn man Unix-Accounts verwalten will, eine 1:1-Beziehung ist, gibt es keine Probleme. Genau genommen muss es gar keine 1:1 Beziehung sein, man kann problemlos zwei verschiedenen Logins dieselbe UID zuordnen. Linux/Unix stört das überhaupt nicht. Ob es Sinn macht ist eine andere Frage. Ein Anwendungbeispiel fällt mir allerdings schon ein: Ein Root-kit mit dem User root2 und der UID 0. Viele Grüße, -Dirk -- Linux - The choice of a GNU generation pgpYci6o4I2vG.pgp Description: PGP signature
Sichere zentrale Benutzerverwaltung - wie geht das?
hallo, nach einigem Suchen und lesen bin ich, wie so oft mit Linux, gar nicht mehr so sicher, was denn nun ruichtig ist oder nicht. Was ich möchte: in einem kleinen netz alle logins zentral verwalten mit home-verzeichnissen auf einem server. schnell findet man hierfür die wohl klassische Lösung: nis + nfs Allerdings liest mna dann auch wieder oft, dass nfs und nis überhaupt nicht sicher seien. Sicher soll es schon sein. zumindest wäre es witzlos, benutzeraccounts einzurichten, wenn jeder dem anderen ins Homeverzeichnis reinschreiben kann... Kann mir hier jemand einen Tip geben oder auf ein halbwegs aktuelles Tutorial verweisen? Wie realisiere ich eine zentrale Benutzerverwaltung, die auch sicher ist? Am besten sogar mit verschlüsseltem $HOME... DANKE!!! Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzerverwaltung
Kyp / YK [EMAIL PROTECTED] wrote: ich würde gerne einen benutzer anlegen der sich nur in seinem Homedir bewegen kann und durch symlinks auf ordner außerhalb gelenkt wird. [...] http://www.dcoul.de/faq/html/2.html#2.usereinsperren cu andreas
Benutzerverwaltung
Hiho ich würde gerne einen benutzer anlegen der sich nur in seinem Homedir bewegen kann und durch symlinks auf ordner außerhalb gelenkt wird. Nen Benutzer anlegen ist kein prob aber wie bekomm ich den rest hin? Danke schon mal Yannick -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzerverwaltung
Kyp / YK schrieb: Hiho ich würde gerne einen benutzer anlegen der sich nur in seinem Homedir bewegen kann und durch symlinks auf ordner außerhalb gelenkt wird. Nen Benutzer anlegen ist kein prob aber wie bekomm ich den rest hin? Mit symlinks nicht, aber evtl. mit einer kombination von chroot und mount --bind: beim login chroot auf /home/baduser (IMHO gibt's da ein PAM modul). erlaubte verzeichnisse mit mount --bind reinmounten: mount --bind /data/dir /home/baseuser /dir Nur? Wozu der ganze Aufwand? -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzerverwaltung
On Wed, Jun 02, 2004 at 02:30:50PM +0100, Philipp Meier wrote: Kyp / YK schrieb: Hi, ich würde gerne einen benutzer anlegen der sich nur in seinem Homedir bewegen kann und durch symlinks auf ordner außerhalb gelenkt wird. Nen Benutzer anlegen ist kein prob aber wie bekomm ich den rest hin? Mit symlinks nicht, aber evtl. mit einer kombination von chroot und mount --bind: beim login chroot auf /home/baduser (IMHO gibt's da ein PAM modul). erlaubte verzeichnisse mit mount --bind reinmounten: mount --bind /data/dir /home/baseuser /dir Nur? Wozu der ganze Aufwand? Um Shell Accounts an andere User zu verteilen? Allerdings wuerde ich dann ein chroot aufbauen wo auch nur die Programme verfuegbar sind die die User unbedingt benoetigen. Dazu dann noch eine restricted shell, process accouting, limits und fertig ist das ganze. Na ja zumindest so im groben. Ggf. bietet sich auch der chroot patch fuer den sshd an, das mueste man dann mal ausprobieren was in dem Anwendungscenario besser passt. Wenn es nur um Datenaustausch geht gibt es auch noch scponly. Gruesse, Sven -- If God passed a mic to me to speak I'd say stay in bed, world Sleep in peace [The Cardigans - No sleep] -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Benutzerverwaltung
Moin, On Wed, Jun 02, 2004 at 11:52:43AM +0200, Kyp / YK wrote: [...] Nen Benutzer anlegen ist kein prob aber wie bekomm ich den rest hin? /bin/rbash als login-shell sollte dies tun ... Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)