Hallo !

Ich würde gerne Passwörter zentral auf einem Server verwalten und den Zugriff für Windows-Desktop und Linux-Desktop/Server Systeme erlauben.

Kennt jemand von euch ein System was das abdecken kann und vor allem sicher ist ?

Gruß
Exe

wenn sich auch windows an dem ding authentifizieren soll, dann wird diese diskussion sehr schnell in richtung active directory laufen...

//richard

Ich versuche eigentlich den AD zu ignorieren :)

Der nächste Gedanke wäre auch ein Key-Authentifzierung, um Scripten den Zugang zu Passwörtern zu erlauben - wäre das mit AD machbar ?

Der nächste Gedanke wäre auch ein Key-Authentifzierung, um Scripten den Zugang zu Passwörtern zu erlauben - wäre das mit AD machbar ?

passworte zugänglich machen?
ich dachte du willst eine sichere lösung?

ich denke nicht, dass da der ad mitspielen wird.
(bin aber kein ad-experte)

//richard

Ja, das ist bei mir etwas verzwickt.

Einerseits habe ich persönliche Zugänge, dann habe ich "globale"-Zugänge wo mehrere User Zugriff haben sollen und dann gibt es noch System-Passwörter z.B. für Skripte - das ganze kann man aber nicht genau trennen...

Dann haben wir hier auch noch 5 verschiedene Plattformen ...

Alle bis dato gefunden Lösungen sind immer per Dateifreigabe und IMHO Stand mitte 80er Jahre und kommen noch nicht einmal mit "leichten" Einschränkungen an mein Problem ...

Verflixtes Thema :)

OpenLDAP!!!!!

klingt für mich nicht so, als ob eine "ootb Lösung" möglich ist, wenn ich es richtig verstehe geht es nicht darum, dass die Platformen ihre Benutzerverwaltung darüber erledigen, sondern darum, dass bestimmte Nutzer bestimmte Passworte
abrufen können, richtig ?
Dann kann man die Passworte in einer DB organisieren, ein entsprechendes Client Frontend ist mit jeder Plattform schnell erstellt.
Oder du machst es (EDIT: wie schon bemerkt wurde) richtig und befasst dich mit Verzeichnisdiensten, also mit dem Thema LDAP - http://www.linuxhaven.de/dlhp/HOWTO/DE-LDAP-HOWTO.html. Da gibt es für eigentliche jede Plattform Clients, die dann Passworte abfragen würden, auch hier müsste bzw. sollte ein Frontend erstellt werden.

Du kannst natürlich auch Probieren, alles im LDAP abzubilden, um sowas wie "single sign on" zu ermöglichen. Das wird alleine aber nichts (einen kleinen Vorgeschmack bekommt man hier (http://forum.ubuntuusers.de/topic/suche-howto-activedirectory-mit-open-ldap-bac/#post-2159736)), außer du bist ein LDAP Nerd und kennst dich bestens mit den Anmeldevorgängen deiner Plattformen aus, was wahrscheinlich nicht der Fall ist ;) => Consulting Kosten

Davon ab, wenn es lediglich um Zugriffe vom Client auf Linux-Systeme geht, dann verteile doch einfach SSH-Schlüssel-Dateien.

OpenLDAP!!!!!

windows an openldap anbinden?
hast du das schon mal gemacht?

//richard

OpenLDAP & Samba 4 & Kerberos ;) so funktionierts bei Kollegen von mir. Kerberos muss man nicht unbedingt haben, außer man hat noch irgendwelche internen Anwendungen, dann hat man ein schönes Single-Sign On

samba4, ok. also nichts für produktiv-betrieb.

//richard

Aber wenn man jetzt nicht umbedingt ne komplette AD Abbildung braucht, dürfte Samba 3 als PDC doch auch ausreichen?

Aber wenn man jetzt nicht umbedingt ne komplette AD Abbildung braucht, dürfte Samba 3 als PDC doch auch ausreichen?

ein pdc ist auf dem level von windows nt4.
steinzeit lässt grüßen...

selbst winxp an sowas anbinden ist gruselig.
geschweige denn sicher.

//richard

Vielleicht ist NIS was fuer Dich

Gruss Stefan

Danke für die Infos !

Ich möchte Plattform übergreifend die Zugänge verwalten können. Jeder User soll letztlich auf seiner Win, Mac und Linux Plattform eine art KWallet haben - mit einem Public-Bereich mit Berechtigungsstruktur und Gruppierung und einem Privaten.

Wenn ich/wir dann ein Passswort z.B. für die DB ändern, sollen alle User letztlich darüber das Neue erhalten und, mein persönlicher Traum :), die Skripte sollen sich dort stehts die Zugänge holen können.

Mit LDAP kenne ich mich, bis auf Dump rein oder raus, nicht aus ... daher ist die Frage, ob ich mein obiges Abbild damit abbilden kann - bevor ich mit auf das Thema einlasse ... :)

Jo das würde gehen, die Frage ist was leichter ist.

LDAP schickt die Daten unverschlüsselt über das Netz, die Passworte müssen also verschlüsselt hinterlegt werden und am Client entschlüsselt werden (und umgekehrt, wenn vom Client aus geändert werden kann). Man müßte also für jede Plattform einen de- und encrypter schreiben, jedenfalls wenn die PWs gesalzen seien sollen, was ich dringend empfehlen würde.

Im Gegensatz dazu, könnte eine Webseite geschaffen werden, die nur über https erreichbar ist, da kann man die PWs dann auch klar Text schicken, denn der Verkehr ist ja generell verschlüsselt, außerdem braucht man keinen "Client de- und encrypter". Als Frontend reicht ein einfacher Browser der https kann, das vermutlich die schnellere Lösung. Auf Webseiten kann man auch toll mit Scripten zugreifen (genauso wie auf LDAP), auch das wäre also machbar.

Ich blick noch nicht ganz so durch. Kannst du deine Architektur was du haben willst, näher beschreiben?