Re: getpwnam auf NIS-Clients

To: debian-user-german@lists.debian.org
Subject: Re: getpwnam auf NIS-Clients
From: Axel Freyn <axel-freyn@gmx.de>
Date: Mon, 16 Nov 2009 14:27:20 +0100
Message-id: <20091116132720.GP3847@axel>
Mail-followup-to: debian-user-german@lists.debian.org
In-reply-to: <20091116132310.501326b2.Christoph.Pleger@cs.tu-dortmund.de>
References: <20091116132310.501326b2.Christoph.Pleger@cs.tu-dortmund.de>

Hallo Christoph,
On Mon, Nov 16, 2009 at 01:23:10PM +0100, Christoph Pleger wrote:
> ich habe gerade festgestellt, dass man sich auf einem Debian-NIS-Client
> (auf dem Server läuft Solaris) mit Hilfe der C-Funktion getpwnam die
> verschlüsselten Kennwörter der NIS-Accounts anschauen kann. Das ist
> natürlich ziemlich unerwünscht. Kann man die Anzeige der NIS-Kennwörter
> verhindern?
Soweit ich weiß, bist du da ziemlich chancenlos. Das Problem ist, dass
es (meiner Meinung nach...) in NIS keine Möglichkeit gibt, die
Kennwort-Überprüfung vom Server machen zu lassen: in NIS ist immer der
Client dafür zuständig, die Benutzer zu identifizieren - und der Server
glaubt dem Client dann. Das heißt dann aber auch: der Client MUSS
Zugriff auf die verschlüsselten Passwörter haben - sonst kann er sie ja
nicht überprüfen.
Was du verhindern kannst, ist, dass "normale" User ohne root-Account auf
die verschlüsselten Passwörter zugreifen können (->shadow im NIS
aktivieren) - aber gegen einen lokalen root-Account hilft das nichts...

Die einzige Chance, die ich dagegen kenne, ist: die Überprüfung der
Passwörter vom Server machen zu lassen - z.B. per Kerberos.


Viele Grüße,

Axel

Reply to:

References:
- getpwnam auf NIS-Clients
  - From: Christoph Pleger <Christoph.Pleger@cs.tu-dortmund.de>

Prev by Date: Re: Miese Übertragungsrate via WLAN
Next by Date: Re: [OT] Software Webbasiert zur Dokumentation und Diskussion (Informationssammlung) gesucht
Previous by thread: getpwnam auf NIS-Clients
Next by thread: kein /dev/sg2
Index(es):
- Date
- Thread