PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ypcat


403
20.09.06, 17:50
Hallo :)

Zufällig kenne ich ein Netzwerk das noch mit NIS/YP läuft. Eine Migrierung
auf LDAP ist geplant, aber ...

Nun kann aktuell jeder User %ypcat passwd aufrufen.

1) Wie kann man das am besten einschraenken?
2) Wie kann man Zugriffe am besten loggen (Host/User)?

Ich hatte schon daran gedacht, einen Wrapper zu basteln der User a b c und
d durchlässt und allen anderen eine gefakte yppasswd geben damit sie dann
ordentlich was zu tun haben :ugly: :D
Harry
23.09.06, 12:15
Hi,

die von Dir beschriebene Sicherheitsproblematik ist gerade einer der Gründe, warum NIS/YP heutzutage fast nirgends mehr zu finden ist. Die passwd-Map muss nunmal für jeden Host sichtbar sein (und damit auch für jeden User auf den Hosts), sonst kann sich ein Benutzer auf dem Host eben nicht authentifizieren.

Für sicherere Anforderungen hat SUN der Welt später das NIS+ gegeben; dafür gibt es m.W. jedoch keinen Server unter Linux und dessen Konfiguration ist dermassen komplex, dass es sich nicht mal im Ansatz durchgesetzt hat.

Ich kann Dir eigentlich nur empfehlen, mit der geplanten Migration auf LDAP so früh wie möglich und so spät wie nötig zu starten - bis dahin müsst Ihr wohl mit dem "unsicheren" NIS leben.

Harry
403
25.09.06, 19:41
Hi,

die von Dir beschriebene Sicherheitsproblematik ist gerade einer der Gründe, warum NIS/YP heutzutage fast nirgends mehr zu finden ist. Die passwd-Map muss nunmal für jeden Host sichtbar sein (und damit auch für jeden User auf den Hosts), sonst kann sich ein Benutzer auf dem Host eben nicht authentifizieren.

Für sicherere Anforderungen hat SUN der Welt später das NIS+ gegeben; dafür gibt es m.W. jedoch keinen Server unter Linux und dessen Konfiguration ist dermassen komplex, dass es sich nicht mal im Ansatz durchgesetzt hat.

Ich kann Dir eigentlich nur empfehlen, mit der geplanten Migration auf LDAP so früh wie möglich und so spät wie nötig zu starten - bis dahin müsst Ihr wohl mit dem "unsicheren" NIS leben.

Harry

Das waere auch alles einzusehen, die Frage ist ob es technisch machbar ist YP Request anhand der Userid auf Protokoll Ebene umzubiegen. Und wer weiss wie lange sie noch mit ihrem Update brauchen :rolleyes: