Re: Ersetzen von passwd durch yppasswd bei nis

[Joerg Sommer <joerg@alea.gnuu.de>]

Hallo Klaus,

Klaus <nospam@gr7.com> wrote:
> Joerg Sommer escribió:
>
>> Nochmal drei Schritte zurück: Wenn du schon über Samba deine Accounts mit
>> verwaltest, warum verwendest du dann nicht gleich Samba? Habe ich dich
>> irgendwie falsch verstanden?
>> 
> Wir haben hier im Netz augenblicklich überwiegend Rechner die mit Win98 
> und XP arbeiten.
> Die Vorgabe ist aber, nach und nach auf Linux (Guadalinex -> leicht 
> verändertes Ubuntu) umzusteigen.

Heißt das, Windows wird eingestampft (für deutsche Verhältnisse sehr
ungewöhnlich an Schulen) oder soll es ein gemischte Umgebung bleiben?

Wenn ja, dann würde ich Samba als den zentralen Dienst für Accounts und
Homes ausbauen. Sprich, du solltest für PAM libpam-smbpass verwenden.
Laut Beschreibung des Pakets kannst du damit auch problemlos deine
bestehenden Accounts migrieren. Und du solltest die Homes über Samba
ranholen (mount -t smb ...).

Wenn Windows komplett entfallen soll, einestages, welches Dateisystem
soll dann für Linux verwendet werden? NFS? 

> Daher würde mich interessieren, ob die Umstellung große Eingriffe in das 
> System verlangt und ob es sich ohne große Umstände machen lässt, die 
> vorhanden User komplett in die Datenbank von ldap zu übernehmen.

Ich würde denken, dass es mittelgroße Umstände macht, die Benutzer
irgendwohin zu migrieren, wenn es nicht besondere Unterstützung wie oben
genannte gibt. Aber die Umstellung sollte keine großen Eingriffe
bedürfen. Halt nur PAM anpassen.

Wenn du dich nicht bereits mit LDAP auskennst und nicht übermäßig viel
Zeit hast, dann lass die Finger davon. Das ist nicht so ganz trivial und
erfordert Verständnis von der Sache. Also wenn die Zeit nicht sehr
reichlich bemessen ist, würde ich mit LDAP nicht neu anfangen.

> An Christian:
> Ich stelle die Frage nach der Sicherheit des ssh-Zugriffs im lokalen 
> Netz weil ich die Antwort nicht weiß! Ich würde annehmen, dass normale 
> user am Server eigentlich nichts kaputt machen können, oder?

man RootExploids

Ein lokaler Root-Exploit kann nur ausgenutzt werden, wenn ein Nutzer
lokalen Zugriff, sprich in deinem Fall ssh-Zugriff, hat.

> Der einzige der sich wirklich auskennt (wie, weit seht Ihr ja an meinen
> dummen Fragen) bin ich. Alle anderen user wissen noch weniger!

...oder sie sind so klug und lassen dich glauben, dass sie dümmer sind.
Ich habe meinem Admin in der Schule auch nicht unter die Nase gerieben,
welche Schwachstellen alle im System waren, dafür erschienen sie mir zu
nützlich in bestimmten Situationen.

Schöne Grüße, Jörg.
-- 
Manchmal denke ich, das sicherste Indiz dafür, daß anderswo im Universum
intelligentes Leben existiert, ist, daß niemand versucht hat, mit uns
Kontakt aufzunehmen.                           (Calvin und Hobbes)