Re: Benutzerkonten beschränken

To: Georg Damm <Georg.Damm@web.de>
Cc: user@skolelinux.de
Subject: Re: Benutzerkonten beschränken
From: Christian Kuelker <christian.kuelker@cipworx.org>
Date: Sun, 03 May 2009 15:38:22 +0200
Message-id: <[🔎] 49FD9E4E.4020800@cipworx.org>
In-reply-to: <200904280744.03324.Georg.Damm@web.de>
References: <200904280744.03324.Georg.Damm@web.de>

Hallo Georg,

Georg Damm wrote:
> gibt es eine Möglichkeit, die LDAP-Accounts auf bestimmte IPs zu 
> beschränken. Ich würde gerne Gruppenaccounts für samba einrichten, 
> die aber nur von bestimmten Rechnern nutzbar sein sollen.

* Generell bieten IP basierte Sicherheitsmaßnahmen keine Sicherheit.

* Accounts im LDAP haben keine IP Information.

* Bei Samba Accounts bin ich mir nicht ganz sicher, aber da Samba
auch mit UDP basierte Kommunikation funktioniert, greifen hier IP
basierte Regeln moeglicherweise nicht.

Da die Authentifizierung i.d.R. ueber PAM gehandhabt wird, stehen
bei der Anfrage nur Login, und Passwort im Request zur Verfuegung.
PAM und somit LDAP haben zu diesem Zeitpunkt keine Information, von
woher der Request kam, zumal die Aussage ueber IP oder Rechnernahme
sowieso nicht valide ist. (solange man keinen erheblichen Aufwand
treibt)

Du weisst das vermutlich besser als ich, im Samba LDAP Schema gibt
es, glaube ich, keine Felder, die auf diese Art der
Restriktionsmoeglichkeit schliessen lassen, oder?

In der Vergangenheit habe ich mal von Loesungen gehoert, die z.B.
die user surfer1, ..., surfer16 auf jeweils Rechner1, ..., Rechner16
beschraenkt haben. Dieses wurde, soweit ich mich recht erinnere,
aber durch Skript basierte Filter an den jeweiligen Loginmanagern
(z.B. KDM) geloest. Sprich, wenn Login Nummer und Rechner Nummer
nicht identisch ist, dann brich das Login ab.

Zum Zeitpunkt, an dem der KDM Login Request generiert wird, stehen
alle Informationen, auf der lokalen Maschine zur Verfuegung. (Zum
Beispiel, wie sie heisst) Auch wenn das nicht 100% sicher ist, so
scheint mir es jedoch eine Moeglichkeit zu sein. Was ein solches
Skript abfragen muesste waere lediglich, ob das Login einer
bestimmten Gruppe angehoert. Dieses Koenntest du mit ldapsearch,
einem Phyton Skript oder einer CipUX task:
cipux_task_client -t cipux_list_member_of_class_share -o nosamba
(3.4.x Syntax) machen.

Wenn du die Namen der Rechner ebenfalls flexibel halten wuerdest
wollen, koenntest du die Rechner ebenfalls einer Gruppe zuordnen und
diese ebenfalls abfragen.

Whitelist: Wenn Gruppe und Rechner erlaubt, dann leite Login Request
weiter, sonst abbrechen.

oder

Blacklist: Wenn Gruppe und Rechner verboten, dann brich Login
Request ab, sonst weiterleiten.

Gruss
C.

Reply to:

Follow-Ups:
- Re: Benutzerkonten beschränken
  - From: Maximilian Wilhelm <max@rfc2324.org>
- Re: Benutzerkonten beschränken
  - From: Christian Kuelker <christian.kuelker@cipworx.org>
- Re: Benutzerkonten beschränken
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

Prev by Date: Re: Benutzerkonten beschränken
Next by Date: Re: Benutzerkonten beschränken
Previous by thread: Re: Benutzerkonten beschränken
Next by thread: Re: Benutzerkonten beschränken
Index(es):
- Date
- Thread