nis: anderes PWD auf server

[rikola]

Hallo,

ist es in einem Netzwerk mit NIS-Authentifizierung moeglich, auf dem Server ein anderes Passwort zu setzen als auf allen anderen Rechnern?

Hintergrund ist, dass wir ein paar (5 Stueck) Accounts haben, auf denen Studenten unter Betreuung arbeiten. Nun sollen sie sich schon auf den Rechnern im Netz selbstaendig einloggen koennen, nur nicht auf dem Server, weil dort eine Datenbank/ ein Programm laeuft, mit dem sich ihre Arbeit erheblich erleichtern wuerde und der Lerneffekt hinfort waere. Im Moment ist es so geloest, dass sshd ein einloggen dieser User verhindert. Allerdings hat sich herausgestellt, dass sie _UNTER AUFSICHT_ doch am Ende des Projektes diese Datenbank nutzen koennen sollten, und die Betreuer sollen nicht jedesmal sshd_config umaendern muessen, um das zu ermoeglichen.

Kennt jemand dazu eine Loesung? Vermutlich koennte ich das NIS-Passwort setzen, exportieren und danach auf dem Server ein separates Passwort setzen. Eine andere Moeglichkeit ist es, den Studenten das Passwort nicht mitzuteilen, so dass sie sich auf jedem Rechner nur unter Aufsicht einloggen koennen.

Gibt es eine technisch elegantere Loesung?

 

[saeckereier]

Per SSH ist doch ok, nimm eine Gruppe ssh_disabled statt einzelnen Usern, dann am Ende nur die User aus der Gruppe rausnehmen.

 

[rikola]

Bei uns wird das gehen, da wir nur eine kleine Gruppe sind, es sich um ein internes Netzwerk handelt und die meisten ohnehin das root-Passwort kennen.

Ich finde die Loesung nur leider unelegant, in einer groesseren Gruppe oder gar einer Firma wuerde ich eine andere Loesung suchen.

 

[NoXqs]

Nur mal ein wenig brainstorming:

Wenn die Problematik innerhalb von NIS gelöst werden soll, dann

dürfte der NIS-Server keinen NIS-Client aktiv haben. (werden andere Dienste auf dem Server über NIS genutzt?)
müssen sich die Einträge der /etc/passwd des Servers von der NIS-Map-Information unterscheiden.

Beides ist sicherlich soweit technisch machbar, aber administrativ m.E sehr aufwändig.

Ich denke, wenn sshd der einzige Zugang (abgesehen von der console) zum Server ist, sollte dort die Konfiguration am einfachsten umzusetzen sein.
Hier vielleicht noch etwas interessantes, das ganze über PAM zu machen, aber das kommt deiner jetztigen Lösung nahe

 

[saeckereier]

Letztendlich musst du einen Mechanismus implementieren, der auf Basis von Gruppen nur den Login an bestimmten Maschinen erlaubt. Das wäre zum Beispiel mittels der SSH-Config oder aber auch per PAM (universeller) machbar. Und das ist letztendlich eine elegante Lösung für dein Problem, wenn dir die Lösung aber nicht elegant vorkommt, dann ist es vielleicht besser dein Problem zu überdenken. Aus der knappen Beschreibung kann ich aber nicht genug entnehmen um dabei behilflich zu sein, kannst du uns mehr erzählen?

 

[rikola]

Ich denke, ich habe alles Notwendige gesagt und ich habe auch schon die Antworten bekommen, mit denen ich mich zufrieden geben muss.
Eine weiter Moeglichkeit ist auch, pro Gruppenaccount ein zweites Konto mit einem Passwort zu eroeffnen, das nur die Tutoren kennen, mit dem die Gruppen sich dann auf dem Server einloggen koennen. Wenn sie dann etwas abspeichern wollen, muessen sie es sich dann eben lokal aus dem anderen HOME ins eigene kopieren.

Danke fuer die Antworten, ich erachte das Problem als geloest (unter den geg.Umstaenden).