Re: Benutzerkonten beschränken

To: user@skolelinux.de
Subject: Re: Benutzerkonten beschränken
From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
Date: Sun, 03 May 2009 17:31:39 +0200
Message-id: <[🔎] 49FDB8DB.4070602@gmx.de>
In-reply-to: <[🔎] 49FD9E4E.4020800@cipworx.org>
References: <200904280744.03324.Georg.Damm@web.de> <[🔎] 49FD9E4E.4020800@cipworx.org>

Hallo Georg, hallo Christian,

Christian Kuelker schrieb:

Hallo Georg,

Georg Damm wrote:
gibt es eine Möglichkeit, die LDAP-Accounts auf bestimmte IPs zubeschränken. Ich würde gerne Gruppenaccounts für samba einrichten,die aber nur von bestimmten Rechnern nutzbar sein sollen.


da es um *Samba* geht:
- du kannst im LDAP die Accounts auf bestimmte Rechner beschränken
- du kannst im LDAP die Accounts *NICHT* auf bestimmte IPs beschränken

ich gehe mal davon aus, dass es dir darum geht, bestimmte(?) Accounts
auf bestimmte Rechner zu beschränken. Das kann Samba/LDAP von Haus aus.

* Generell bieten IP basierte Sicherheitsmaßnahmen keine Sicherheit.

* Accounts im LDAP haben keine IP Information.


das mag sein, aber man kann zum (Samba-)Account Rechner hinterlegen.

aus dem Samba-Schema kopiert:

attributetype ( 1.3.6.1.4.1.7165.2.1.36 NAME 'sambaUserWorkstations'
	DESC 'List of user workstations the user is allowed to logon to'
	EQUALITY caseIgnoreMatch
	SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{255} SINGLE-VALUE )


unter http://gertranssmb3.berlios.de/output/passdb.html findet man:

sambaUserWorkstations	

<kopie>
Hier können Sie eine komma-getrennte Liste von Maschinen angeben, an
denen sich der Benutzer anmelden darf. Es könnten Probleme auftreten,
wenn Sie sich an einem Samba-Domänen-Mitglied anzumelden versuchen. Weil
Domänen-Mitglieder nicht in dieser Liste sind, werden die
Domänencontroller sie zurückweisen. Wo dieses Attribut weggelassen wird,
setzt die Standard-Einstellung keinerlei Einschränkungen.
</kopie>

Es ist also doch eher trivial, für diese betreffenden Accounts die
Rechner vorzugeben, wo sich dieser Account anmelden darf. ansonsten gibt
es die angegebenen Probleme, was ja dann gewünscht ist ;)

* Bei Samba Accounts bin ich mir nicht ganz sicher, aber da Samba
auch mit UDP basierte Kommunikation funktioniert, greifen hier IP
basierte Regeln moeglicherweise nicht.

Da die Authentifizierung i.d.R. ueber PAM gehandhabt wird, stehen
bei der Anfrage nur Login, und Passwort im Request zur Verfuegung.
PAM und somit LDAP haben zu diesem Zeitpunkt keine Information, von
woher der Request kam, zumal die Aussage ueber IP oder Rechnernahme
sowieso nicht valide ist. (solange man keinen erheblichen Aufwand
treibt)


Das sehe ich nicht so, sofern die Anmeldung an der Domäne erfolgt.
Dann ist der Rechnername doch valide! die Anmeldung des Rechners erfolgt
doch vor der Anmeldung des Nutzers.

Du weisst das vermutlich besser als ich, im Samba LDAP Schema gibt
es, glaube ich, keine Felder, die auf diese Art der
Restriktionsmoeglichkeit schliessen lassen, oder?


siehe oben.

In der Vergangenheit habe ich mal von Loesungen gehoert, die z.B.
die user surfer1, ..., surfer16 auf jeweils Rechner1, ..., Rechner16
beschraenkt haben. Dieses wurde, soweit ich mich recht erinnere,
aber durch Skript basierte Filter an den jeweiligen Loginmanagern
(z.B. KDM) geloest. Sprich, wenn Login Nummer und Rechner Nummer
nicht identisch ist, dann brich das Login ab.


warum Lösungen suchen, die mit Scripten etwas nachbauen, was Samba eh
schon kann?

Mit freundlichen Grüßen
Hans-Dietrich

Reply to:

Follow-Ups:
- Re: Benutzerkonten beschränken
  - From: Christian Kuelker <christian.kuelker@cipworx.org>

References:
- Re: Benutzerkonten beschränken
  - From: Christian Kuelker <christian.kuelker@cipworx.org>

Prev by Date: Re: Benutzerkonten beschränken
Next by Date: Re: Benutzerkonten beschränken
Previous by thread: Re: Benutzerkonten beschränken
Next by thread: Re: Benutzerkonten beschränken
Index(es):
- Date
- Thread