Re: Passwort an WS ändern
Hallo allerseits,
On Tue, Sep 07, 2010 at 08:51:28AM +0200, Philipp Huebner wrote:
> Hallo,
>
> > Am 06.09.2010 16:10, schrieb Philipp Huebner:
> >> Nein, das ist bei Skolelinux standardmäßig nicht implementiert.
> >
> > verstehe ich nicht. Dafür sind m.E. folgende Zeilen in der smb.conf bei
> > *unserem* Server verantwortlich:
> >
> > pam password change = yes
> > unix passwd sync = yes
> > passwd program = /usr/sbin/smbldap-passwd %u
> > passwd chat = *Enter\snew\s*\spassword ...
> >
> >
> > bei *Skolelinux* steht da (zumindest auf der Seite wenige Zeilen drunter
> > angegebenen Seite):
> >
> > pam password change = yes
> > unix password sync = no
> > passwd program = /usr/bin/passwd %u
> > passwd chat = *new*password %n\n *new*password %n\n *changed*
> >
> >
> > und da bei Skolelinux das Programm 'passwd' doch wohl vorhandenen ist,
> > ist das schon implementiert. m.E. eben nur nicht ganz korrekt.
>
> Wie ich sagte ist das bei Skolelinux standardmäßig nicht implentiert.
> Die genannte Seite ist ein Lösungsversuch aus Rheinland-Pfalz. Der
> Standard sieht so aus:
>
> tjener:~$ cat /etc/samba/smb.conf | grep passw
> encrypt passwords = true
> # Disable changing of password using samba
> unix password sync = yes
> passwd program = /bin/false
Für mich zum Verständnis: Das bedeutet, dass die Vorgabe von
Skolelinux-5 vorsieht, dass das Ändern von Unix-Passwörtern von Windows
aus nicht möglich ist, korrekt?
Gibt es eine Debian-Policy-konforme Möglichkeit, wie wir dies lösen
können? Wir erstellen ja durch die neuen Vorgaben kein eigenes
Installationssystem mehr, sondern müssen die Skolelinux-5 CD als
Installationsbasis nehmen.
Der Wunsch einiger Projektschulen ist es, Windows7-Clients mit dem
Skolelinux-Tjeners zu verwenden, inklusive Ändern aller Passwörter von
Windows aus. Dieses Ziel wurde als Task ausgeschrieben.
> >>> Jedenfalls haben wir jetzt laut der rp-Anleitung auf
> >>> https://rp.skolelinux.de/rlp-wiki/bin/view/RlpSkolelinuxPublic/WindowsClients
> >>>
> >>
> >> Ist nach meinem Stand von mehreren Leuten unabhängig als nur teilweise
> >> funktionierend befunden worden.
> >
> > wenn ich nicht wieder falsch liege, dann würde ich das auch so sehen.
> > Also die erste Zeile haben wir genauso. Das passwd programm ist bei uns
> > ein Script der smbldap-Tools und die greifen bekanntermaßen auf den LDAP
> > zu. Ihr verwendet /usr/bin/passwd. Ich dachte immer, dass dieses
> > Programm die Passwörter in der shadow ändert. Für mich ist es damit
> > zwangsläufig so, dass damit die Passwortänderung (vom Windows-Client
> > aus) bei euch nicht funktionieren kann, denn die Passwörter stehen bei
> > euch doch auch im LDAP.
>
> Das mit shadow ist korrekt, gemeint ist aber nicht zwangsläufig die
> Datei. Die Angabe dazu steht in /etc/nsswitch.conf:
>
> passwd: files ldap
> group: files ldap
> shadow: files ldap
>
> `passwd` ändert problemlos das Unix Passwort, auch wenn
> Benutzer+Passwort im LDAP liegen.
"passwd" wird aber ja in Standard Skolelinux-5 gar nicht aufgerufen.
Nun gut, Policy hin oder her, wir brauchen kurzfristig eine Lösung, mit
der Windows-7 Clients leben können.
Gruß
-Klaus
Reply to: