PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Password-Sync



mbo
28.06.02, 10:13
moin moin,

ich bin auf der suche nach verschiedenen lösungen für die snychronisation von nt-passwörtern (pdc) und linuxpasswörtern.
im endeffekt sollte es reichen, wenn sichergestellt ist, daß die passwörter spätestens morgens umd 6 gleich sind.
bdc unter samba erscheint mir zu aufwendig dafür, ldap dann ebenso.
mir würd es ja reichen, wenn ich am pdc das passwort ändere und dann ein script meinetwegen morgens oder abends das password an linux "übergibt" und es dann in der /etc/shadow oder so eingetragen wird. das eigentlich problem ist das auslesen des passwortes aus der sam.
die eingabe per script auf dem linux, dürft dann ja problemlos werden ... hoff ich.

hat da jemand schon etwas, bzw eine idee?

thx im voraus

[WCM]Manx
28.06.02, 10:40
Hi!

Wenn ich's richtig verstanden habe, möchtest Du die Passwörter von einem Windows NT Server mit einem Linux-Samba-Server synchron halten.
(unter Linux nur die smbpasswd oder auch die Linux-Passwörter?)

Ich kann jetzt nicht testen, wie die smbpasswd normal ausschaut, da mein Samba mit LDAP läuft.
Die Hasches aus Windows kriegst Du mit pwdump2.

Mal als Anregung!

Grüße

Manx

mbo
28.06.02, 23:01
ich möchte meinem squid die userauthentifizierung übergeben. allerdings soll es mit den passwörtern der domäne geschehen, daß heißt, er müßte den pdc fragen, ob das password von dem user so richtig ist. smb_auth is mir zu lapp, der fragt ja nur, ob der user existiert, ohne gruppenrechte. ncsa is ne nette sache, wenn es den weg von pdc zum linux gäbe ... das mit pwdump wäre ja ein anfang. ldap wäre noch ne idee, nur zu aufwendig, da is passwörter merken userfreundlicher ;) ein bdc fällt in die gleiche kategorie ...

aber das mit der hasches mach mich neugierig ... nerv mich damit mal :))

thx

henning.rahlf
08.07.02, 17:40
ganz kurz mal:

mit smb_auth kannst du doch genau die gruppen festlegen, welche zugriff haben sollen. was brauchst du denn da noch ncsa??
Und langsamer ist es auch nicht viel...

mfg

henning

ComSubVie
08.07.02, 20:51
es gibt doch ein samba-pam-modul. wenn das auch mit einem NT-Server funktioniert (sollte es eigentlich schon, oder?) wäre das problem recht einfach zu lösen, ansonsten hab ich auch keine idee...

[HO]Xerxes
08.07.02, 22:52
Original geschrieben von mbo
ich möchte meinem squid die userauthentifizierung übergeben. allerdings soll es mit den passwörtern der domäne geschehen, daß heißt, er müßte den pdc fragen, ob das password von dem user so richtig ist. smb_auth is mir zu lapp, der fragt ja nur, ob der user existiert, ohne gruppenrechte. ncsa is ne nette sache, wenn es den weg von pdc zum linux gäbe ... das mit pwdump wäre ja ein anfang. ldap wäre noch ne idee, nur zu aufwendig, da is passwörter merken userfreundlicher ;) ein bdc fällt in die gleiche kategorie ...

aber das mit der hasches mach mich neugierig ... nerv mich damit mal :))

thx

ich würde auch smb_auth nehmen.
ich hab unseren schul-squid auch damit eingerichtet und das klappt super.
und für die internetauthentifizierung reicht es ja aus zu wissen, ober user existiert und ob sein passwort richtig ist.
wir haben dazu auch irgendow noch ein script, dass ständig die smb-passwörter mit den unix-passwörtern abgleicht (oder andersrum?).


ps: hallo csv!! :) schön, dich mal wieder zu sehen. :)=

henning.rahlf
08.07.02, 22:56
man kann mit smb_auth aber vor allen dingen auch nur ne bestimmte benutzergruppe zulassen:
die datei, die in dem benötigeten share liegt, bekommt einfach eine benutzergruppe zugewiesen, die darauf zugreifen kann, und schon passt es!!!
Leute, die nicht mehr surfen dürfen, werden aus der Gruppe genommen, und kriegen prompt die authentifizierung (blödes wort) verweigert.

@xerxes: und warum killen wir dann eigentlich immer die ganzen user???? *denkdenkdenk*


Viel Spass damit!!

[HO]Xerxes
08.07.02, 23:00
k.a. eigentlich hab ich mich ja am anfang drüber gefreut, dass man sie dann nur aus der gruppe nehmen muss - hab dann aber nicht mehr dran gedacht :confused:
aber im prinzip ändern wir ja nur deren pwd, dass sie sich nicht mehr einloggen können... http://haloorbit.gamesurf.tiscali.de/forum/images/smiles/icon_eg.gif

mbo
12.07.02, 13:43
moin moin,

erstmal: seit wann kann smb_auth gruppenrechte abfragen? ist nicht eigentlich so, daß er den pdc nur fragt, ob der user existiert?
die gruppenrechte sind ja mein problem dabei:
ich habe drei gruppen:
1. gruppe darf alles
2. gruppe darf alles ohne downloads
3. gruppe darf nichts
die user sollen sich authentifizieren und je nach einstufung in der gruppe ihre rechte bekommen.

meine eingebung war, entsprechende userlisten anzulegen, dazu die entsprechenden gruppen in ein textfile exportieren und nach unix convertieren, schon habe ich die user der einzelnen gruppen.
als nächstes ist natürlich das password unter nt ein problem. hier wurde pwdump2 angesprochen. weiß jemand wie das funktioniert? es wäre ja blöd, für jeden user ein password anzulegen.

wenn es unter smb_auth möglich sein sollte, entsprechende user mit seinen gruppenrechten beim pdc abzufragen und das password zu überprüfen, wäre es ja bedeutend einfacher. dann ... wäre auch blödsinn, ich bräuchte ja im squidguard immer noch die userliste.

also eigentlich ist es peng, ob ich es über nsca_auth mache oder über smb_auth, die userlisten muß ich eh unter squidguard anlegen.

also stellen sich wirklich nur zwei fragen:
1.) kann ich aus den gruppen auf dem pdc die user in ein textfile exportieren, so daß ich also im endeffekt drei user-files habe?
2.) wie funktioniert das mit dem hash-file, also pwdump2?

thx

thonix
15.07.02, 15:18
beim samba ist ein tool namens winbindd dabei - das könnte dir vielleicht helfen.

Es legt alle user aud deiner Domäne auf dem Linux server temporär an und hört auch auf domänen syncs und so ....

mbo
22.07.02, 09:48
Moin moin,

erst einmal danke für die hilfen. für mich war entscheidend, daß der proxy 5 usergruppen berücksichtigen sollte. da squidguard aber seine eigene userlisten verwendet, spielt es keine rolle, ob squid nur eine gruppe oder 70 abfragen kann.

diesbezüglich reichte also das smb_auth für squid. da der parameter -U die ip-adresse eines domänencontrollers festlegt, ist wohl richtig, daß, sofern ich nur -W domäne stehen lasse, er automatisch broadcastet und den domänencontroller fragt, den er als erstes findet.

das winbind brächte mir nur etwas, wenn ich auf der linuxmaschinen einen pdc/bdc aufgesetzt hätte, wäre aber der gleiche aufwand wie ldap gewesen und hätte aufgrund der squidguardkonventionen keine vorteile gebracht.

thx und viel spaß

nullvolt
22.07.02, 20:21
winbindd legt die benutzer nicht temporär auf der linuxbox an.

die authentifizierung wird durch winbind transparent am pdc durchgeführt.
somit müssen benutzer UND gruppen nur noch am pdc gepflegt werden (synchronisieren entfällt ebenfalls). und das beste: es funktioniert :D