Hallo,
ich stell mir vor dass für die Ver- und Entschlüsselung der Kennwörter (/etc/shadow und /etc/samba/smbpasswd) auf einem Linux-Rechner, irgendwo mindestens ein Schlüssel existieren muss. (Es währe schön wenn man die exportieren und auf einem anderen Rechner importieren könnte.)
Ist es möglich nach der Installation von Debian 3.1 auf einem zweiten Rechner, den Schlüssel mit dem die Kennwörter auf dem ersten Rechner (Debian 3.0) verschlüsselt wurden, irgendwie auf den Zweiten mitzunehmen?
Wo ist dieser Schlüssel (wenn überhaupt) abgespeichert?
Ist der Umzug der Benutzer samt Kennwörter in der Art überhaupt möglich?
Gibt es für die Kennwörter in /etc/samba/smbpasswd einen eigenen Schlüssel?
Vielen Dank vorab.
Der Purligar
Wo ist der Schlüssel für die Kennwörter
-
yeti
Für auf crypt zurückgreifende Password-Verwaltung:
So ein Schlüssel existiert nicht.
Aus Klartext-Kennwort und einem zufällig gewählten "Salz" wird ein Wert berechnet und samt "Salz" abgespeichert.
Dies passiert beim Password-Setzen.
Beim Einloggen wird das "Salz" genommen und mit dem ernuit eigegebenen Klartext-Kennwort zusammen wieder derselben Berechnung vorgeworfen. Ensteht wiederum der gleiche Wert aus "Salz" und Berechnungsergebnis, so gilt das eingegebene Klartext-Kennwort als erfolgreich verifiziert.
Die Berechnung mittels crypt ist mittlerweile nicht mehr die einzige Variante das berechnete Passwort zu erzeugen, ich kann mir aber nicht vorstellen, daß die Neueren das Sicherheitsrisiko irgendwo einen Schlüssel abzulegen eingehen.
Die verschlüsselten Passwords aus /etc/password oder /etc/shadow habe ich schon erfolgreich zwischen unterschiedlichen Systemen hin-und-her-getragen.
Ob das für alle Password-Verfahren gilt, kann ich aber nicht abschättzen oder garantieren.
So ein Schlüssel existiert nicht.
Aus Klartext-Kennwort und einem zufällig gewählten "Salz" wird ein Wert berechnet und samt "Salz" abgespeichert.
Dies passiert beim Password-Setzen.
Beim Einloggen wird das "Salz" genommen und mit dem ernuit eigegebenen Klartext-Kennwort zusammen wieder derselben Berechnung vorgeworfen. Ensteht wiederum der gleiche Wert aus "Salz" und Berechnungsergebnis, so gilt das eingegebene Klartext-Kennwort als erfolgreich verifiziert.
Die Berechnung mittels crypt ist mittlerweile nicht mehr die einzige Variante das berechnete Passwort zu erzeugen, ich kann mir aber nicht vorstellen, daß die Neueren das Sicherheitsrisiko irgendwo einen Schlüssel abzulegen eingehen.
Die verschlüsselten Passwords aus /etc/password oder /etc/shadow habe ich schon erfolgreich zwischen unterschiedlichen Systemen hin-und-her-getragen.
Ob das für alle Password-Verfahren gilt, kann ich aber nicht abschättzen oder garantieren.
Hallo yeti,
spielt es beim Übertragen/Kopieren der /etc/shadow auf einen anderen Rechner, der verwendete Algorithmus eine Rolle?
Was passiert wenn auf den zwei Rechnern unterschiedliche Algorithmen zur Erstellung des Password-String in der /etc/shadow herangezogen werden?
Wie in man 3 crypt, Abschnitt „GNU EXTENSION“ beschrieben können sowohl MD5 als auch DES verwendet werden.
Hast Du auch schon die /etc/samba/smbpasswd erfolgreich zwischen unterschiedlichen Systemen hin-und-her-getragen? Falls ja, wie?
Danke und Grüße,
Purligar
spielt es beim Übertragen/Kopieren der /etc/shadow auf einen anderen Rechner, der verwendete Algorithmus eine Rolle?
Was passiert wenn auf den zwei Rechnern unterschiedliche Algorithmen zur Erstellung des Password-String in der /etc/shadow herangezogen werden?
Wie in man 3 crypt, Abschnitt „GNU EXTENSION“ beschrieben können sowohl MD5 als auch DES verwendet werden.
Hast Du auch schon die /etc/samba/smbpasswd erfolgreich zwischen unterschiedlichen Systemen hin-und-her-getragen? Falls ja, wie?
Danke und Grüße,
Purligar
Aha!
Hallo Savar,
das klingt recht einfach. Werde mir noch PAM ansehen und ein bisschen herumprobieren. (Vermutlich sind alle Konfigurationsdateien unter /etc/pam.d/ zu finden.)
Wird aber vermutlich einfacher sein den gleichen Algorithmus zu verwenden. Ich denke, dass so weniger Probleme auftreten könnten.
Vielen Dank an Alle
Hallo Savar,
das klingt recht einfach. Werde mir noch PAM ansehen und ein bisschen herumprobieren. (Vermutlich sind alle Konfigurationsdateien unter /etc/pam.d/ zu finden.)
Wird aber vermutlich einfacher sein den gleichen Algorithmus zu verwenden. Ich denke, dass so weniger Probleme auftreten könnten.
Vielen Dank an Alle
-
yeti
Ich denke, PAM verwirrt hier nur. Maximal /etc/pam.d/ auf Quell- und Ziel-System mal grob vergleichen, aber in PAMs Tiefen einsteigen ist sicher überkalibert...Purligar hat geschrieben:Werde mir noch PAM ansehen und ein bisschen herumprobieren. (Vermutlich sind alle Konfigurationsdateien unter /etc/pam.d/ zu finden.)
Ich vermute, daß smbpasswd nur eine Sorte "Paswordhashes" enthält, nämlich eine, die auch Windows versteht. Kopier einfach mal Zeilen von Benutzern oder eine ganze smbpassword auf ein Nachbarsystem (vorher dort smbpassword sichern) und probier einfach ob's klappt. Im Trockenschwimmen ergründen zu wollen ob es klappen wird wird zigfach länger als Ausprobieren dauern.Purligar hat geschrieben:Wird aber vermutlich einfacher sein den gleichen Algorithmus zu verwenden. Ich denke, dass so weniger Probleme auftreten könnten.
Hallo yeti,
Bei SAMBA 3, auf dem neuen (Test)System kann ich aber keine /etc/samba/smbpasswd finden. Die Accounts scheinen alle in *.tdb-Dateien unter /var/lib/samba/ untergebracht zu sein. Ich denke für den Umzug der SAMBA 2.2.3a-15 Konten nach SAMBA 3.0.14a gibt es auch bestimmt einen Mechanismus oder Automatismus. Den muss ich erst noch finden. Also wenn Du einen Tipp hast - nur her damit.
Bis dahin: Danke und einen schönen Abend
P.S. Wie ändert man die Überschrift des Zitates?
Ich geb's zu, ich habe mich noch nicht mit SAMBA 3 beschäftigt. Ich wollte alles der Reihe nach angehen. Bin noch in der Vorbereitungsphase für die Umstellung von Woody auf Sarge und gleichzeitig auf einen neuen Server.Ich vermute, daß smbpasswd nur eine Sorte "Paswordhashes" enthält, nämlich eine, die auch Windows versteht. Kopier einfach mal Zeilen von Benutzern oder eine ganze smbpassword auf ein Nachbarsystem (vorher dort smbpassword sichern) und probier einfach ob's klappt.
Bei SAMBA 3, auf dem neuen (Test)System kann ich aber keine /etc/samba/smbpasswd finden. Die Accounts scheinen alle in *.tdb-Dateien unter /var/lib/samba/ untergebracht zu sein. Ich denke für den Umzug der SAMBA 2.2.3a-15 Konten nach SAMBA 3.0.14a gibt es auch bestimmt einen Mechanismus oder Automatismus. Den muss ich erst noch finden. Also wenn Du einen Tipp hast - nur her damit.
Bis dahin: Danke und einen schönen Abend
P.S. Wie ändert man die Überschrift des Zitates?
-
yeti
Der quote-Block ist mitPurligar hat geschrieben:P.S. Wie ändert man die Überschrift des Zitates?
Code: Alles auswählen
[quote="Purligar"]Code: Alles auswählen
[quote="ein Wissensdurstiger"]ein Wissensdurstiger hat geschrieben:???