Re: Debian Lenny Samba PDC Howto mit LDAP-Backend
[anonymisiert] schrieb:
> Hallo!
>
> Danke dass du das Wissen mit uns teilst. Gute Doku ist oft schwer zu finden.
> Aber ich habe zu deiner Lösung mal noch einige Fragen:
Versuche ich gerne zu beantworten. Schade, dass diese Mail nicht
direkt an die Liste adressiert wurde.
> 1. Wie zwingst du die Benutzer dazu regelmäßig ihr Passwort zu ändern?
> (Passwort Ablaufdatum / Expire / Max Password Age)
Hier fällt mir natürlich gleich die Zeile defaultMaxPasswordAge in
smbldap.conf ein, welche eine grundsätzliche Möglichkeit bietet.
Hierzu wird vermutlich in LDAP ein Eintrag generiert, welcher durch
die passenden PAM-Module abgefragt wird. Wie dies im Detail
umgesetzt ist, habe ich mir bis dato noch nicht angesehen.
> 2. Wie erreichst du es, dass sich der "neue" Benutzer beim ersten Login
> unabhängig davon WO er sich einloggt (per SSH auf der Linux console oder
> am Windows PC) zum Password wechsel gezwungen wird? (Force user to
> change password on first login OR force user to change his password if
> reset by administrator)
Hier spielt es grundsätzlich erstmal keine Rolle, wo er sich
anmeldet, da alles mit PAM und LDAP als Backend realisiert ist. In
der Standardeinstellung meines Setups, wird der Benutzer unter
Windows bei der ersten Anmeldung zum Passwortwechsel gezwungen.
Dieser Eintrag landet natürlich im LDAP und ist somit auch für
zukünftige Logins durch andere Dienste gültig. Ich bin mir ziemlich
sicher, dass es durch PAM eine Möglichkeit zum gezwungenen
Passwortwechsel gibt.
>
> 3. Wie erreichst du es dass die Benutzer nicht immer und immer wieder
> die gleichen Passwörter verwenden ? (Password History auf SSH UND SAMBA
> Seite mit gleicher history)
Hab ich mir noch keine Gedanken gemacht. Es gibt keine
Unterscheidung ob Samba oder SSH, alles landet im selben Backend (LDAP).
> 4. Wie zwingst du die Benutzer eine gewisse Passwort-Qualität
> einzuhalten ? (Password complexity check, natürlich auf beiden Seiten >>
> Linux Console (SSH) und Windows PC gleichermaßen)
Hab ich mir noch keine Gedanken gemacht.
> 5. Wie erreichst du es, dass der Benutzer sein Passwort "überall" und
> selbstständig jederzeit ändern kann und dabei die Passwörter (Linux
> Console und Samba) synchron bleiben?
Unter Windows reicht ein STRG+ALT+DEL um das Kennwort zu ändern.
Hierzu greift die ldap passwd sync = yes Einstellung in smb.conf um
dies im LDAP abzulegen. Alle am System angelegten Benutzer befinden
sich ausschließlich in LDAP. D.h. ich pflege an genau einer Stelle
meine Benutzer und Kennwörter.
> 6. Wie stellst du sicher, dass nach dem anlegen eines neuen
> User-Accounts das Homeverzeichniss automatisch angelegt wird?
Gibt es wohl nichts mit Boardmitteln. Man könnte das im phpldapadmin
Menü hinterlegen - Bugreport / Wishlistreport an phpldapadmin wäre
angebracht.
> 7. Wie hast du es gelöst, dass du einen Benutzer jederzeit "sperren"
> kannst (auf Console und Samba gleichzeitig)?
Siehe Nachricht auf dieser Liste mit Betreff: "Re: LDAP
Authentifizierung -> Kontendeaktivierung"
> 8. Wie hast du es geschafft einen Benutzer nach X erfolglosen
> Loginversuchen (auf der Console UND Samba Seite) für eine Zeit Y (oder
> für immer) auszusperren ? (Stichwort Intruder Lockout / max failed login
> attempts)
Hab ich mir noch keine Gedanken gemacht. Es gibt aber mit 99%iger
Sicherheit eine passende Option im PAM-Modul.
Gruß
--
stefan
Reply to: