Passwort-Vorgaben LDAP und PAM
Hallo Liste,
leider bringe ich keine fertige Lösung für das Paßwortvorgabenproblem,
aber ich hoffe zumindest zum Verständis beitragen zu können und die
Richtung einer Lösung anzudeuten.
<Vermutung>
Skolelinux verwendet LDAP zur _Speicherung_ und Verwaltung von
Paßwörtern. Die Authentifizierung erfolgt vermittels PAM.
</Vermutung>
Es laufen verschieden Dienste auf dem System, die eine
Authentifizierung der Benutzer verlangen (ftp, login, etc...). Jeder
dieser Dienste kann eigene Methoden (Unix, Kerberos, LDAP, Smartcard,
...) zur Authentifizierung verlangen. Die könnten sich im Laufe der
Zeit auch noch ändern.
Um unterschiedliche Methoden mit den verschiedenen Diensten
zusammenzubringen und das Ganze für den Administrator konfigurierbar zu
halten, wurde PAM eingeführt.
PAM (Pluggable Authentication Modules) sitzt zwischen Diensten auf der
einen und Methoden auf der anderen Seite. Eine
Authenfifizierungsanfrage seitens eines Dienstes wird durch PAM
abgefangen, das passende Modul (realisiert als shared library)
aufgerufen (z.B. pam_ldap.so), durch das Modul die Authentizität
überprüft (z.B. durch Suche passender Einträge in LDAP) und dann die
entsprechende Antwort an die Anwendung zurückgegeben.
Der Schlüssel für das Vorgabenproblem sollte also in den
Konfigurationsdateien des PAM-Dienstes liegen.
Leider ist das ganze alles andere als übersichtlich. Früher wurde das
Verhalten des PAM in einer einzelnen Datei (/etc/pam.conf) geregelt.
Heute verwendet man verschiedene Dateien (in /etc/pam.d/). Wenn die
/etc/pam.conf gefunden wird, werden ihre Einträge verarbeitet, jedoch
später ggf. durch die Einträge der Einzeldateien überschrieben.
In der Datei /etc/pam.d/login-debian-edu (auf die die Datei
/etc/pam.d/login gelinkt ist, findet sich die Zeile
password required pam_unix.so nullok obscure min=4 max=5 md5
<Vermutung>
Hier wird - u.a - die Länge der Paßwörter geregelt. Wahrscheinlich hat
ldap eigene Einstellungen, die erst zum Tragen kommen, wenn das
Passwort geändert wird, denn beim Erzeugen ist es ja noch nicht in LDAP
eingetragen.
Verantwortlich für die Vorgaben bei der Erzeugung wäre damit das Modul
pam_unix.so.
</Vermutung>
Über die Generierung eines Benutzernamens hab ich noch nix gefunden.
Eine einigermaßen übersichtliche Einführung zum Thema PAM findet sich
unter http://wwwbs.informatik.htw-dresden.de/svortrag/ai96/Baehr/
Gruß
Dirk
Reply to: