Passwort-Vorgaben LDAP und PAM

To: user@skolelinux.de
Subject: Passwort-Vorgaben LDAP und PAM
From: Dirk Wenzel <der-wenzel@online.de>
Date: Wed, 15 Dec 2004 12:33:21 +0100
Message-id: <[🔎] 1F993954-4E8D-11D9-9A8D-000393CABFEA@online.de>
In-reply-to: <[🔎] 20041214230840.GB9847@lukas.schuldei.com>
References: <20041214110008.E8508EB8E5@mail.gnu-tec.de> <[🔎] 927BCD16-4DDA-11D9-8970-000393CABFEA@online.de> <[🔎] 1103052976.20007.4.camel@localhost.localdomain> <[🔎] 20041214221721.GA16327@schuldei.org> <[🔎] 1103064307.22931.14.camel@localhost.localdomain> <[🔎] 20041214230840.GB9847@lukas.schuldei.com>

Hallo Liste,

leider bringe ich keine fertige Lösung für das Paßwortvorgabenproblem,aber ich hoffe zumindest zum Verständis beitragen zu können und dieRichtung einer Lösung anzudeuten.


<Vermutung>

Skolelinux verwendet LDAP zur _Speicherung_ und Verwaltung vonPaßwörtern. Die Authentifizierung erfolgt vermittels PAM.

</Vermutung>

Es laufen verschieden Dienste auf dem System, die eineAuthentifizierung der Benutzer verlangen (ftp, login, etc...). Jederdieser Dienste kann eigene Methoden (Unix, Kerberos, LDAP, Smartcard,...) zur Authentifizierung verlangen. Die könnten sich im Laufe derZeit auch noch ändern.

Um unterschiedliche Methoden mit den verschiedenen Dienstenzusammenzubringen und das Ganze für den Administrator konfigurierbar zuhalten, wurde PAM eingeführt.PAM (Pluggable Authentication Modules) sitzt zwischen Diensten auf dereinen und Methoden auf der anderen Seite. EineAuthenfifizierungsanfrage seitens eines Dienstes wird durch PAMabgefangen, das passende Modul (realisiert als shared library)aufgerufen (z.B. pam_ldap.so), durch das Modul die Authentizitätüberprüft (z.B. durch Suche passender Einträge in LDAP) und dann dieentsprechende Antwort an die Anwendung zurückgegeben.

Der Schlüssel für das Vorgabenproblem sollte also in denKonfigurationsdateien des PAM-Dienstes liegen.Leider ist das ganze alles andere als übersichtlich. Früher wurde dasVerhalten des PAM in einer einzelnen Datei (/etc/pam.conf) geregelt.Heute verwendet man verschiedene Dateien (in /etc/pam.d/). Wenn die/etc/pam.conf gefunden wird, werden ihre Einträge verarbeitet, jedochspäter ggf. durch die Einträge der Einzeldateien überschrieben.

In der Datei /etc/pam.d/login-debian-edu (auf die die Datei/etc/pam.d/login gelinkt ist, findet sich die Zeile

password required pam_unix.so nullok obscure min=4 max=5 md5

<Vermutung>

Hier wird - u.a - die Länge der Paßwörter geregelt. Wahrscheinlich hatldap eigene Einstellungen, die erst zum Tragen kommen, wenn dasPasswort geändert wird, denn beim Erzeugen ist es ja noch nicht in LDAPeingetragen.Verantwortlich für die Vorgaben bei der Erzeugung wäre damit das Modulpam_unix.so.

</Vermutung>


Über die Generierung eines Benutzernamens hab ich noch nix gefunden.

Eine einigermaßen übersichtliche Einführung zum Thema PAM findet sichunter http://wwwbs.informatik.htw-dresden.de/svortrag/ai96/Baehr/


Gruß
Dirk

Reply to:

Follow-Ups:
- Re: Passwort-Vorgaben LDAP und PAM
  - From: Ralf Gesel|ensetter <rgx@gmx.de>

References:
- Re: Ändern der Passwort-Vorgaben?
  - From: Dirk Wenzel <der-wenzel@online.de>
- Re: Ändernder Passwort-Vorgaben?
  - From: Martin Kurz <martin@kurz.net>
- Re: ÄndernderPasswort-Vorgaben?
  - From: andreas@schuldei.org (Andreas Schuldei)
- Re: ÄndernderPasswort-Vorgaben?
  - From: Martin Kurz <martin@kurz.net>
- Re: ÄndernderPasswort-Vorgaben?
  - From: Andreas Schuldei <andreas@schuldei.org>

Prev by Date: Re: Tipps: Homeverzeichnisse aufräumen - Berichtigung
Next by Date: Re: Passwort-Vorgaben LDAP und PAM
Previous by thread: Re: ÄndernderPasswort-Vorgaben?
Next by thread: Re: Passwort-Vorgaben LDAP und PAM
Index(es):
- Date
- Thread