Re: LDAP: Neues Passwort erzwingen
Hallo Michael, danke fuer den Tipp. Nachdem ich in der /etc/ldap.secret das Passwort fuer den Admin gesetzt und in der /etc/pam_ldap.conf noch den Eintrag rootbinddn cn=admin,dc=rbi,dc=informatik,dc=rwth-aachen,dc=de hinzugefuegt habe, verhaelt sich LDAP wie gewuenscht: Laeuft ein Passwort ab, wird der User beim Einloggen gewarnt. Ist es abgelaufen, wird ein neues Passwort verlangt. Setze ich als root mit passwd das Passwort eines Users, muss ich nicht mehr das bisherige Passwort des Users eingeben. Es ist auch nicht mehr notwendig, dem User Schreibrechte auf shadowLastChange zu geben. In der ldap.secret musste ich das Passwort fuer den admin in Klartext eintragen. Alle Versuche, dort ein mit slappasswd verschluesseltes Passwort einzutragen, sind bisher gescheitert. Die Datei ist aber nur fuer root lesbar, so dass ich erst einmal damit leben kann. Nochmals Danke Willi -- RWTH Aachen mailto:[EMAIL PROTECTED] Rechnerbetrieb Informatikhttp://www-users.informatik.rwth-aachen.de/~wge Ahornstrasse 55 Tel.: 0241/80-21031 52074 Aachen FAX: 0241/80-22700 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP: Neues Passwort erzwingen
Willi Geffers wrote: Hallo Michael, danke fuer den Tipp. Nachdem ich in der /etc/ldap.secret das Passwort fuer den Admin gesetzt und in der /etc/pam_ldap.conf noch den Eintrag rootbinddn cn=admin,dc=rbi,dc=informatik,dc=rwth-aachen,dc=de hinzugefuegt habe, verhaelt sich LDAP wie gewuenscht: Laeuft ein Passwort ab, wird der User beim Einloggen gewarnt. Ist es abgelaufen, wird ein neues Passwort verlangt. Setze ich als root mit passwd das Passwort eines Users, muss ich nicht mehr das bisherige Passwort des Users eingeben. Es ist auch nicht mehr notwendig, dem User Schreibrechte auf shadowLastChange zu geben. In der ldap.secret musste ich das Passwort fuer den admin in Klartext eintragen. Alle Versuche, dort ein mit slappasswd verschluesseltes Passwort einzutragen, sind bisher gescheitert. Die Datei ist aber nur fuer root lesbar, so dass ich erst einmal damit leben kann. Nochmals Danke Willi Hallo Willi, das Problem mit dem unverschlüsselten admin Passwort hat mich auch gestört. Es darf aber nicht gehasht sein, da ja passwd dieses Passwort braucht um sich damit gegen den LDAP server zu authentifizieren. Ea gibt aber eine Möglichkeit, das ganze ein bisschen sicherer zu machen. Lege einen neues Admin Objekt an (ich verwende dafür simpleSecurityObject und organizationRole) und nenne ihn z.B. cn=passadmin,dc=dc=demo,dc=de. Sein Password kannst du über das userPassword Attribut setzen. Nun müssen noch die ACLs in slapd.conf geändert werden. access to dn=cn=admin,dc=demo,dc=de by dn=cn=admin,dc=demo,dc=de by * none (oder auch read wenn du möchtest) access to attribute=userPassword by dn=cn=admin,dc=demo,dc=de write by dn=cn=passadmin,dc=demo,dc=de write by anonymous auth by self write by * none access to attribute=shadowLastChange by dn=cn=admin,dc=demo,dc=de write by dn=cn=passadmin,dc=demo,dc=de write by * read # The admin dn has full write access access to * by dn=cn=admin,dc=demo,dc=de write by * read Ändere nun noch das rootbinddn in /etc/pam_ldap.conf auf cn=passadmin,dc=dc=demo,dc=de ab. Und trage in /etc/ldap.secret das Passwort von passadmin ein. Gerät nun das Passwort in /etc/ldap.secret in falsche Hände kann derjenige höchstens die Passwörter der normalen User neu setzen (was zugebenermassen noch schlimm genug ist). Die erste Regel verhindert, dass der Angreifer das Passwort von admin neu setzt und er somit wieder vollen Zugriff auf das LDAP Verzeichnis hat. Diese ganze Idee kam mir gerade eher spontan, so dass sie vielleicht/wahrscheinlich noch etwas Raum für Verbesserungen lässt. Gruss, Michael -- E-Mail: [EMAIL PROTECTED] WWW: http://www.teco.edu/ TecO (Telecooperation Office) Vincenz-Priessnitz-Str.1 University of Karlsruhe 76131 Karlsruhe, Germany -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: LDAP: Neues Passwort erzwingen
Willi Geffers wrote: Hallo zusammen, unser LDAP-Server soll nach Ablauf von 90 Tagen beim Einloggen ein neues Passwort verlangen. Dazu haben wir den Benutzern in der slapd.conf Schreibzugriffe auf die Attribute userPassword und shadowLastChange gegeben: access to attribute=userPassword,shadowLastChange by dn=cn=admin,dc=rbi,dc=informatik,dc=rwth-aachen,dc=de write by anonymous auth by self write by * none Damit kann jeder Benutzer sein Passwort und den Zaehler fuer die letzte Aenderung veraendern. Leider sieht sich Linux jetzt aber nicht mehr dazu genoetigt, nach Ablauf von 90 Tagen (- shadowMax) ein neues Passwort zu erfragen. Nehme ich die Schreibrechte fuer shadowLastChange weg, fragt das System nach 90 Tagen beim Einloggen nach einem neuen Passwort. Das wird dann auch auf dem LDAP-Server eingetragen. Da der Benutzer aber keinen Schreibzugriff auf shadowLastChange hat, gibt der Server eine entsprechende Fehlermeldung aus und aktualisiert diesen Eintrag nicht. Beim naechsten Einloggen wird dann folgerichtig wieder nach einem neuen Passwort gefragt. G... Hat jemand einen Tipp, wie ich Linux davon ueberzeugen kann, ein neues Passwort zu verlangen und mit dem neuen Passwort auch den Zaehler fuer die letzte Aenderung neu zu setzen? Danke Willi Hallo Willi, ich habe ein ähnliches Szenario wie du es schilderst. Wenn ein User das Passwort ändert (mit passwd) wird userPassword und shadowLastChange entsprechend geändert. Dazu war es bei mir nicht nötig den Usern explizit Schreibrechte auf shadowLastChange zu geben. Das System ist Woody mit Standard Packeten. Wenn du als root mit passwd username das Passwort eines LDAP users änderst, wirst du da nach dem Passwort gefragt? Ist bei dir in /etc/ldap.secret das Password für cn=admin,dc=rbi,dc=informatik,dc=rwth-aachen,dc=de gesetzt? Wie sieht deine pam_ldap.conf und libnss-ldap.conf aus, hast du da unter binddn/rootbinddn etwas eingetragen? Da fällt mir noch ein: Verwendest du ldappasswd oder passwd? Da passwd mit dem SUID bit läuft und wenn rootbinddn gesetzt ist (mit Passwort in ldap.secret) hat es glaube ich deshalb vollen Zugriff auf das shadowLastChange Attribut. Einfach mal ausprobieren. Gruss, Michael -- E-Mail: [EMAIL PROTECTED] WWW: http://www.teco.edu/ TecO (Telecooperation Office) Vincenz-Priessnitz-Str.1 University of Karlsruhe 76131 Karlsruhe, Germany -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
LDAP: Neues Passwort erzwingen
Hallo zusammen, unser LDAP-Server soll nach Ablauf von 90 Tagen beim Einloggen ein neues Passwort verlangen. Dazu haben wir den Benutzern in der slapd.conf Schreibzugriffe auf die Attribute userPassword und shadowLastChange gegeben: access to attribute=userPassword,shadowLastChange by dn=cn=admin,dc=rbi,dc=informatik,dc=rwth-aachen,dc=de write by anonymous auth by self write by * none Damit kann jeder Benutzer sein Passwort und den Zaehler fuer die letzte Aenderung veraendern. Leider sieht sich Linux jetzt aber nicht mehr dazu genoetigt, nach Ablauf von 90 Tagen (- shadowMax) ein neues Passwort zu erfragen. Nehme ich die Schreibrechte fuer shadowLastChange weg, fragt das System nach 90 Tagen beim Einloggen nach einem neuen Passwort. Das wird dann auch auf dem LDAP-Server eingetragen. Da der Benutzer aber keinen Schreibzugriff auf shadowLastChange hat, gibt der Server eine entsprechende Fehlermeldung aus und aktualisiert diesen Eintrag nicht. Beim naechsten Einloggen wird dann folgerichtig wieder nach einem neuen Passwort gefragt. G... Hat jemand einen Tipp, wie ich Linux davon ueberzeugen kann, ein neues Passwort zu verlangen und mit dem neuen Passwort auch den Zaehler fuer die letzte Aenderung neu zu setzen? Danke Willi -- RWTH Aachen mailto:[EMAIL PROTECTED] Rechnerbetrieb Informatikhttp://www-users.informatik.rwth-aachen.de/~wge Ahornstrasse 55 Tel.: 0241/80-21031 52074 Aachen FAX: 0241/80-22700 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
