yast2 user bearbeiten in der shell

Hinweis: In dem Thema yast2 user bearbeiten in der shell gibt es 20 Antworten auf 3 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.
  • Da kannst du in YaST pfrimmeln, wie du willst.


    Das, was du Kerberos- Passwort nennst, ist tatsächlich ein LDAP-Spasswort. Egal, welches Backend der LDAP-Server verwendet, er ist zuständig für Änderungen.



    Kerberos ist ein Ticketing- System.
    Das heißt, jedweder Service eines Netzwerkes verwendet zur Zugangskontrolle ein Kerberos-Ticket.
    Das erhält man als User, wenn man sich (meist einmalig am Tag) am Firmennetzwerk anmeldet durch den kerberisierten Login-Service.
    Dieses Ticket dient dann bei egal welchen Diensten als Zutrittsausweis.
    Es gibt innerhalb von Kerberos in dem geschilderten Fall keine Spasswortverwaltung.
    Das findet alles im LDAP- Server statt.


    Vergiss alle deine Versuche, und frage den Admin des Netzwerkes.

  • Das, was du Kerberos- Passwort nennst, ist tatsächlich ein LDAP-Spasswort. Egal, welches Backend der LDAP-Server verwendet, er ist zuständig für Änderungen.

    So wie ich es hier erlebe sind Kerberos credentials und LDAP Benutzerpasswort zwei unterschiedliche Paar Schuhe. Wenn ich das Benutzerpasswort nur im LDAP ändere (zB. mit ldappasswd), kann sich der Benutzer trotzdem mit seinem alten Passwort gegen Kerberos authentifizieren. Das liegt daran, dass bei der Authentifizierung die Kerberos credentials geprüft werden. Das LDAP Passwort ist dabei egal. Es gibt zwar die Möglichkeit einer Passwortweiterleitung, aber nur von LDAP auf Kerberos und nicht umgekehrt.
    Das ist eben das schöne von dem Yast2-Modul. Wenn ich dort das Passwort editiere, dann ändern sich sowohl das LDAP Benutzerpasswort als auch das Passwort in den Kerberos credentials.

    frage den Admin des Netzwerkes.

    Der bin ich. :P



    Dann würde ich mir einen Testuser im LDAP anlegen und mit den Optionen, die ich dir oben schon genannt habe bzw. help zeigt, spielen.....

    Ich hab halt gehofft, dass jemand das schon einmal gemacht hat und mir sagen kann wie das geht. Kann ja eigentlich nicht sein, dass LDAP Benutzer immer nur händisch administriert werden und dass in keiner Dokumentation diese Funktion beschrieben steht.



    PS: Übrigens vielen Dank, dass ihr mir hier so tatkräftig helft. :love: Ich habe schon eine kleine Odyssey hinter mir und meine Fragen wurden bisher überall ignoriert.

    Für den Inhalt des Beitrages 117206 haftet ausdrücklich der jeweilige Autor: G4schberle

  • Ich hab halt gehofft, dass jemand das schon einmal gemacht hat und mir sagen kann wie das geht.

    Dann kannst du es ja mal versuchen und hier posten....

    Für den Inhalt des Beitrages 117207 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Sorry, ich bin davon ausgegangen, dass das LDAP / Kerberos Netzwerk normal aufgesetzt wurde.


    Es ist totaler Humbug die Spasswortverwaltung von Kerberos parallel zu der von LDAP zu verwalten.
    Es ist regelmäßig das Ziel (und letztlich auch der Zweck) eine komplette Servicekontrolle des Netzwerks durch Kerberos zu gewährleisten und alle Verwaltung samt allen unternehmensrelevanten Informationen in LDAP zu halten.
    Zweifache Verwaltung == vierfache Fehrlerquelle == achtfachen Ärger == 16fache Arbeit.


    Wie hast du denn dann den Authentication Server in Kerberos konfiguriert?

  • Wie hast du denn dann den Authentication Server in Kerberos konfiguriert?

    Eigentlich nichts Besonderes. LDAP Base-DN ist auth.de und das Kerberos Realm heißt dementsprechend AUTH.DE.
    Die Kerberos Konfig sieht so aus:

    Außerdem gibt es ein Kerberos principal für den LDAP Dienst.
    Im Yast2 User-Modul kann man dann der Domäne/dem REALM beitreten und den LDAP service für 'provides identity data' und den Kerberos service für 'handles user authentication' auswählen.

    Für den Inhalt des Beitrages 117218 haftet ausdrücklich der jeweilige Autor: G4schberle

  • Das ist ja auch völlig richtig.
    Du führst ja den Befehl yast2 users list aus. Dass aus Sicht des Subbefehls list danach noch Unsinn steht, verzeiht YaST. Das ist es gewöhnt.


    Zuerst willst du mit YaST ein Userspasswort ändern.
    Danach enthüllst du, dass es eigentlich ein LDAP User ist, um den es dir geht.
    Um später wiederum komplett anderes zu wollen, nämlich das Ändern eines eines Kerberosaccount.
    Aus all deinen Antworten kann ich getrost sagen, dass dir sowohl LDAP, wie auch Kerberos völliges Neuland sind.
    (Meine Frage nach der Konfig des Authentication Servers war auch ein wenig ein Test)


    Bevor ich dir da jetzt noch weiterhelfe, möchte ich eine präzise Beschreibung aller beteiligten Server samt deren Dienste.
    Außerdem die Anzahl von Maschinen und User.
    Und was du wie verwalten willst, und welches Backend du letztlich für die Authentifizierung einsetzen möchtest.
    Letztlich kann Kerberos so ziemlich jede Methode der Benutzerauthentifizierung verwenden.

  • Meine Frage nach der Konfig des Authentication Servers war auch ein wenig ein Test

    Du musst mich doch nicht testen. :P
    Hättest du mich einfach gefragt, hätte ich dir doch verraten, dass ich ein eigentlich eher hardwarenaher Softwareentwickler bin. Das ist mein erstes Projekt mit Kerberos, aber ich habe mich schon einige Stunden (mittlerweile bestimmt 30+) in die Materie eingelesen und auf dem System ausprobiert. ;)


    Bevor ich dir da jetzt noch weiterhelfe, möchte ich eine präzise Beschreibung aller beteiligten Server samt deren Dienste.


    Außerdem die Anzahl von Maschinen und User.
    Und was du wie verwalten willst, und welches Backend du letztlich für die Authentifizierung einsetzen möchtest.
    Letztlich kann Kerberos so ziemlich jede Methode der Benutzerauthentifizierung verwenden.

    Alles klar, bevor es zu weiterer Verwirrung kommt die ganze Story, auch wenn das dann etwas ausufert und OT ist:
    Ich soll dafür sorgen, dass man über ein Webinterface die Benutzer auf einer Gateprotect Firewall administrieren kann.
    Dafür habe ich ein virtuelles Testnetzwerk aufgebaut. In dem Netzwerk befindet sich eine gateprotect Firewall und der openSuse Leap 42.3 Authentication Server. Die Firewall gewährt Benutzern, die sich gegen den Authentification Server mit Kerberos authentifizieren konnten Rechte. Auf dem Authentification Server ist außerdem ein LDAP Directory in dem Benutzerdaten (Mail-Adresse, Telefonnummer, echter Name) der korrespondierenden Benutzer stehen. Ebenfalls auf diesem Server befindet sich ein Apache Webserver auf dem eine php-Seite läuft. Über diese Webseite werden die Benutzerdaten editiert (z.B. Benutzer deaktiviert, sodass die Firewall diese sperrt).
    Aktuell funktioniert eigentlich alles, bis auf das ändern der Passwörter. Das LDAP Passwort kann ich mit der entsprechenden php-ldap-Bibliothek ändern, das Kerberos Passwort aber nicht. Daher habe ich versucht die Passwörter mit Smbkrb5pwd zu synchronisieren, was aber nicht funktionierte. Leider ist auch die php-krb Bibliothek kadm5 völlig veraltet und nicht lauffähig. Daher ist mein aktueller Ansatz von der php-Seite aus ein Bash-Script zu starten, welches dann mit dem yast Befehl die Passwörter im Authentification Server ändert. Von hinten durch die Brust ins Knie, ich weiß, aber Hauptsache ist dass es funktioniert.
    Dafür muss ich wissen, wie ich die Passwörter von LDAP Benutzern im yast2 Authentification Server mittels Kommandozeilenbefehl ändern kann.

    Für den Inhalt des Beitrages 117247 haftet ausdrücklich der jeweilige Autor: G4schberle

  • Sorry, da bin ich raus.


    Für mich ist Apache veraltetes Digitalsteinzeit Zeuchs. Nett, wenn man es sich im Museum mal anguckt.
    PHP ist ein vorsätzliches Sicherheitsloch.
    (Da muss man glauben, dass sich der PHP- Pfrimmler an das MVC Paradigma hält und beten, dass er auch was kann).
    Dann noch hinter PHP Shellscripte aufrufen, ist in diesem Kontext endgültig vorsätzliche Antisicherheit.
    Und damit dann die Firewall dynamisch konfigurieren, ist so, als würde man bei einen VW Golf den Reifenwechsel mit einer Feldhaubitze erledigen wollen.


    openSUSE ist für einen Server nur sehr bedingt geeignet. Würde ich niemals einsetzen.


    Ihr braucht kein Kerberbos, sondern einen Arzt.

  • Zusammengefasst möchtest du also nur kritisieren, anstatt mir zu helfen? Das ist Schade!


    @On Topic:
    Habe die Lösung durch Probieren herausgefunden. Die korrekte Syntax lautet:
    yast2 users type=ldap ldap_password=foo username=bar foobar
    wobei
    foo - LDAP-Zugriffspasswort
    bar - LDAP Name des zu editierenden Benutzers
    foobar - vorgesehene Änderungen am Benutzer in der Form 'option=value' (siehe yast2 users edit help)

    Für den Inhalt des Beitrages 117271 haftet ausdrücklich der jeweilige Autor: G4schberle