Re: Passwort an WS ändern

[Klaus Knopper <skolelinux@knopper.net>]

Hallo allerseits,

On Tue, Sep 07, 2010 at 08:51:28AM +0200, Philipp Huebner wrote:
> Hallo,
> 
> > Am 06.09.2010 16:10, schrieb Philipp Huebner:
> >> Nein, das ist bei Skolelinux standardmäßig nicht implementiert.
> > 
> > verstehe ich nicht. Dafür sind m.E. folgende Zeilen in der smb.conf bei
> > *unserem* Server verantwortlich:
> > 
> >         pam password change = yes
> >         unix passwd sync    = yes
> >         passwd program      = /usr/sbin/smbldap-passwd %u
> >         passwd chat         = *Enter\snew\s*\spassword ...
> > 
> > 
> > bei *Skolelinux* steht da (zumindest auf der Seite wenige Zeilen drunter
> > angegebenen Seite):
> > 
> >         pam password change = yes
> >         unix password sync = no
> >         passwd program = /usr/bin/passwd %u
> >         passwd chat = *new*password %n\n *new*password %n\n *changed*
> > 
> > 
> > und da bei Skolelinux das Programm 'passwd' doch wohl vorhandenen ist,
> > ist das schon implementiert. m.E. eben nur nicht ganz korrekt.
> 
> Wie ich sagte ist das bei Skolelinux standardmäßig nicht implentiert.
> Die genannte Seite ist ein Lösungsversuch aus Rheinland-Pfalz. Der
> Standard sieht so aus:
> 
> tjener:~$ cat /etc/samba/smb.conf | grep passw
>    encrypt passwords = true
> # Disable changing of password using samba
>   unix password sync = yes
>   passwd program = /bin/false

Für mich zum Verständnis: Das bedeutet, dass die Vorgabe von
Skolelinux-5 vorsieht, dass das Ändern von Unix-Passwörtern von Windows
aus nicht möglich ist, korrekt?

Gibt es eine Debian-Policy-konforme Möglichkeit, wie wir dies lösen
können? Wir erstellen ja durch die neuen Vorgaben kein eigenes
Installationssystem mehr, sondern müssen die Skolelinux-5 CD als
Installationsbasis nehmen.

Der Wunsch einiger Projektschulen ist es, Windows7-Clients mit dem
Skolelinux-Tjeners zu verwenden, inklusive Ändern aller Passwörter von
Windows aus. Dieses Ziel wurde als Task ausgeschrieben.

> >>> Jedenfalls haben wir jetzt laut der rp-Anleitung auf
> >>> https://rp.skolelinux.de/rlp-wiki/bin/view/RlpSkolelinuxPublic/WindowsClients
> >>>
> >>
> >> Ist nach meinem Stand von mehreren Leuten unabhängig als nur teilweise
> >> funktionierend befunden worden.
> > 
> > wenn ich nicht wieder falsch liege, dann würde ich das auch so sehen.
> > Also die erste Zeile haben wir genauso. Das passwd programm ist bei uns
> > ein Script der smbldap-Tools und die greifen bekanntermaßen auf den LDAP
> > zu. Ihr verwendet /usr/bin/passwd. Ich dachte immer, dass dieses
> > Programm die Passwörter in der shadow ändert. Für mich ist es damit
> > zwangsläufig so, dass damit die Passwortänderung (vom Windows-Client
> > aus) bei euch nicht funktionieren kann, denn die Passwörter stehen bei
> > euch doch auch im LDAP.
> 
> Das mit shadow ist korrekt, gemeint ist aber nicht zwangsläufig die
> Datei. Die Angabe dazu steht in /etc/nsswitch.conf:
> 
> passwd: files ldap
> group:  files ldap
> shadow: files ldap
> 
> `passwd` ändert problemlos das Unix Passwort, auch wenn
> Benutzer+Passwort im LDAP liegen.

"passwd" wird aber ja in Standard Skolelinux-5 gar nicht aufgerufen.

Nun gut, Policy hin oder her, wir brauchen kurzfristig eine Lösung, mit
der Windows-7 Clients leben können.

Gruß
-Klaus