Hi

Ich will etwas mittelmäßig krankes machen ;): Bei mir läuft eine LDAP-Datenbank, die derzeit zum Login abgefragt wird. Ich würde dieses System gerne wieder abschaffen und auf ein passwd/shadow-System zurückmigrieren, um netzwerkunabhängig zu sein.

Jetzt die alles entscheidende Fragen: Habe ich die Chance dazu? (Passwörter)

Ich habe bereits herrausgefunden dass passwd -> ldap einfach ist, da ldap einen passwdhash mit "{crypt}..." akzeptiert. Nun habe ich in meiner LDAP-Datenbank viele Hashes mit {SSHA} und {SMD5} drin. Können die irgendwie übernommen werden?

System: SuSE 10.x

jolz

Nun habe ich in meiner LDAP-Datenbank viele Hashes mit {SSHA} und {SMD5} drin. Können die irgendwie übernommen werden?
Von beiden Hash-Arten hab ich zu meiner Schande noch nie was gehört.
Sofern es keine schmutzige Methode gibt, diese Hashtypen der shadow(5) beizubringen, siehts nicht gut aus.
Da würdest Du dann den Umweg über Klartexte gehen müssen, also aus den Klartextpasswörtern die neuen Hashtypen neu berechnen. Wie man am einfachsten an die Klartextpasswds kommt, sei mal dahingestellt... ;)

Und noch rein interessehalber:

Bei mir läuft eine LDAP-Datenbank, die derzeit zum Login abgefragt wird. Ich würde dieses System gerne wieder abschaffen und auf ein passwd/shadow-System zurückmigrieren, um netzwerkunabhängig zu sein.
Du willst also vom zentralen LDAP-System zurück zum dezentralen lokalen Login? Warum?

Du willst also vom zentralen LDAP-System zurück zum dezentralen lokalen Login? Warum?
...zumal du den LDAP Server ja auch ohne Netwerkabhängigkeit (das war ja dein Argument im ersten Post) auf derselben Box laufen lassen kannst, oder?

Greetz
Thomas

Das ist der Grund warum ich LDAP nur noch auf meinem Server und in Verbindung mit Webmail, IMAP usw nutze. Ich hatte irgendwann keine Lust mehr mich nicht mehr anmelden zu können, wenn ich mit meinem Notebook unterwegs war. Möglichkeit wäre natürlich gewesen einen lokalen LDAP aufzusetzen und die beiden LDAP Bäume zu synchronisieren. Aber der Aufwand lohnt sich nicht.

...zumal du den LDAP Server ja auch ohne Netwerkabhängigkeit (das war ja dein Argument im ersten Post) auf derselben Box laufen lassen kannst, oder?

Greetz
Thomas

Jap, hab ich ganz überlesen zuerst ;)

Sofern es keine schmutzige Methode gibt, diese Hashtypen der shadow(5) beizubringen, siehts nicht gut aus.
Danke, ich hatte soetwas schon befürchtet.


Du willst also vom zentralen LDAP-System zurück zum dezentralen lokalen Login? Warum?
Weil einzelne Rechner - auch vom Firmennetz abgekoppelt (quasi offline) - benutzbar sein sollen. Der hier vorgeschlagene Umweg über einen lokalen LDAP-Server wird dann möglicherweise der sinnvolle Ausweg bleiben. Nur halte ich einen Lokalen LDAP-Server für einen Rechner eigentlich für ziemlich unnötig!

Oder halt die Leute neue Passwörter eintippen lassen und alles als {crypt} in LDAP (möglicherweise zusätzlich) speichern, um eine Zentrale Passwortstelle zum Verteilen zu haben.....

Ich bin mir nicht sicher in wie weit dir der NSCD helfen kann. Aber ich glaube der Cache geht beim Neustart flöten. Alternativ die User lokal in der /etc/passwd pflegen oder /etc/passwd, /etc/group und /etc/passwd mit dem LDAP Verzeichnis abgleichen. Dann könntest du über die nsswitch.conf was drehen. Da kannst du ihm ja Vorgaben über die Reihenfolge mitgeben.

PAM und nsswitch ist das alles machbar, primäre laufen die Logins dann über LDAP und man kann sich Fallbacks auf lokale Files definieren.

Dazu gibts massig Howtos.

mfg
cane

PAM und nsswitch ist das alles machbar, primäre laufen die Logins dann über LDAP und man kann sich Fallbacks auf lokale Files definieren.
Dann habe ich aber im "offline-Modus" massig Timeouts! Darf nicht sein, das ein "ls -l" mal so 30 sec dauert.....

Dann hast Du irgendwas falsch gemacht...

mfg
cane

Dann hast Du irgendwas falsch gemacht...

Ähm, nein, da ist noch eine kleine Nebenbedingung. Es ist gefordert, dass wenn ich das Netzwerkkabel abziehe, ich noch lokal mit den Daten weiterarbeien können muss.

Abgesehen davon. Wenn ich mittels der nsswitch.conf ldap als Fallback installiere, brauch ich ja doch den LDAP-Server irgendwie. Auch wenn mein User das Notbook im Wald ohne WLAN anmacht.

???

LDAP soll primär verwendet werden und die lokalen Files nur sekundär!

mfg
cane

LDAP soll primär verwendet werden und die lokalen Files nur sekundär!
Mein Ziel ich, dass die Rechner ohne Netzwerkanbinding voll funktionsfähig sind. Dann benötige ich zumindest keinen LDAP-Server, weil wenn der da ist, habe ich ja mein Ziel verfehlt.

Mein Problem ist ja, die Passwörter von der LDAP-Datenbank in die lokale passwd bzw. shadow zu transportieren. Ist es vielleicht möglich, dass mit jedem Login (der via LDAP funktioniert) das Passwort glich in die lokale shadow-Datei geschrieben wird? Dann könnte zumindest jeder, der sich einmal im online-Modus angemeldet hat, auch an diesem einen Rechner offline anmelden.