Samba: Passwort-Änderung verbieten

Dieses Thema im Forum "Samba" wurde erstellt von ehorn, 24.11.2009.

  1. #1 ehorn, 24.11.2009
    Zuletzt bearbeitet: 24.11.2009
    ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo zusammen,

    folgende Situation: Samba 3 als PDC mit einer Reihe von Rechnern in einer Schulbibliothek; Samba benutzt die lokale smbpasswd-Datei für die Benutzerverwaltung. Alle Schüler gehen über einen zentralen Account mit Passwort (also z.B. "nutzer" und Passwort "zugang") rein, weil es zu viel Arbeit wäre, bei 1200 SchülerInnen individuelle Zugänge zu verteilen. Nutzername und Passwort sind den SchuelerInnen bekannt.

    Nun haben einige Schüler (ich will sie nicht einmal findig nennen) herausbekommen, dass man unter den Clients (Windows XP) nur STRG+ALT+Entf drücken muss und unter "Kennwort ändern" das Kennwort ändern kann. Folge: Es wird immer mal wieder das Passwort verändert, sodass ich extra per Putty an den Server muss um das Standard-Passwort wiederherzustellen.

    Deshalb meine Frage: Kann ich Samba irgendwie dazu bekommen, solche Passwort-Änderungen nicht vorzunehmen, also das Passwort als nicht änderbar deklarieren? Ich habe verschiedene Varianten im Internet gefunden (z.B. "chmod 700" für die smbpasswd-Datei), die aber aus verständlichem Grund nicht funktionieren - es ist ja nicht ein lokales Ausführen von smbpasswd, was mit den Rechten des Nutzers abläuft, sondern es ist ja wahrscheinlich Samba, das den Befehl ausführt.

    Meine erste Idee, auf eine Authentifizierung mit LDAP umzustellen, will ich lieber nicht in Angriff nehmen, weil das eigentlich für uns zu aufwändig ist (insgesamt werden nur sechs verschiedene Accounts verwaltet) - und ich dafür wohl auch zu sehr Linux-Laie bin.

    Danke im Voraus für alle Ideen und Anregungen.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 pferdefreund, 24.11.2009
    pferdefreund

    pferdefreund Doppel-As

    Dabei seit:
    26.12.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Soweit ich weiß, kann man Dateien schreibschützen - so ein immun-flag soll es da geben,
    dann darf selbst root nicht so einfach was ändern.
     
  4. #3 saeckereier, 24.11.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    man chattr
    nennt sich immutable und nicht immun. Aber ob das klug ist, steht wieder auf einem anderen Blatt.. Zumindest theoretisch kann man ein Kennwort als nicht änderbar markieren. Kann sein, das das nur mit einer ldap passdb geht...
     
  5. ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Vielen Dank für die raschen Antworten. Als erstes Workaround werde ich das erst mal so probieren. Allerdings muss ich mir erst mal anschauen, ob das wirklich was hilft. Meine Befürchtung: Selbst wenn die Änderung des Passwortes über ein immutable-Attribut für die Passwort-Datei fehlschlägt, könnte es ja sein, dass Samba, während es ununterbrochen läuft, die Änderung erst mal intern übernimmt. Zumindest würde es mich sehr stark wundern, wenn Samba jedes Mal wieder die kompletten Passwörter ausliest, wenn sich ein User einloggt. Werde das mal ausprobieren.
     
  6. ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Ich habe das jetzt ausprobiert, also die /etc/samba/smbpasswd-Datei mit "chattr +i" immutable gemacht. War allerdings ein Fehlschlag - sobald die Datei immutable ist, kann sich überhaupt kein Client mehr anmelden. Aus irgendeinem Grund braucht Samba also auch bei einer bloßen Anmeldung die Veränderbarkeit der Datei.

    Habe nun als Workaround ein Script geschrieben, das (jede Minute per Cronjob gestartet) den smbpasswd-Befehl aufruft und das Passwort des Benutzers wieder auf das Ursprungspasswort setzt. Wenn jetzt einer das Passwort ändert, bleibt das nur eine Minute so, danach ist wieder das Standard-Passwort aktiv. Das ist zwar nicht wirklich so, wie ich mir das vorstelle - lieber wäre es mir, ich könnte das Ändern des Passwortes ganz verhindern -, sollte aber für den Moment reichen.

    Falls noch jemand eine Idee hat, wie man doch das erreichen kann, was ich möchte, bin ich immer noch an einer Lösung interessiert.
     
  7. #6 Rvg, 26.11.2009
    Zuletzt bearbeitet: 26.11.2009
    Rvg

    Rvg Doppel-As

    Dabei seit:
    11.07.2004
    Beiträge:
    141
    Zustimmungen:
    0
    mit pdbedit die "minimum password age" auf nen recht hohen wert setzen? (z.B. 31536000 == 1 Jahr)
    gilt dann aber wohl fuer alle accounts, zumindest wuesste ich nicht wie man das nur fuer einzelne accounts festlegt
     
  8. #7 saeckereier, 26.11.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ach verdammt, das Tool hatte ich komplett vergessen. Das ist genau das was du suchst, da solltest du das alles einstellen können.
     
  9. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  10. NoXqs

    NoXqs Routinier

    Dabei seit:
    07.05.2007
    Beiträge:
    420
    Zustimmungen:
    0
    Ort:
    Bremen
    Welches OS läuft denn auf dem Client?
    Läßt sich da nicht einstellen, dass das PW nicht geändert werden darf??
     
  11. ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Werde mir pbedit mal genauer anschauen, vielleicht ist das genau das, was ich suche.

    Was die Clients angeht: Das sind alles WinXP-Clients. Weiss nicht, ob man da ueber z.B. eine Gruppenrichtlinie das Aendern des Passwortes unterdruecken kann. Werde ich mir aber auch noch mal anschauen.
     
Thema: Samba: Passwort-Änderung verbieten
Besucher kamen mit folgenden Suchen
  1. samba passwortaenderung verhindern

Die Seite wird geladen...

Samba: Passwort-Änderung verbieten - Ähnliche Themen

  1. Samba4 AD DC

    Samba4 AD DC: Hey Forum, das ist mein erster Post ich hoffe ich bin in der Richtigen section [IMG] Ich habe mit OpenSuSe 42.1 probiert einen Samba4 AD DC...
  2. Samba Active Directory SUBDOMAIN

    Samba Active Directory SUBDOMAIN: Hi, ich habe eine Samba Domäne ESC.LAN mit Samba 4.5 aufgebaut. Jetzt würde ich gern einen neuen Domänen AD im Tree MUNICH.ESC.LAN also eine...
  3. Wiederherstellen von überschriebenen Dokumenten auf debian samba

    Wiederherstellen von überschriebenen Dokumenten auf debian samba: Ich habe ein Problem. Vor Kurzem hat der Trojaner cryptologer einen Schaden eingerichtet. Glücklicherweise gab es eine Sicherung auf...
  4. SAMBA für Windows10 Domäne einrichten

    SAMBA für Windows10 Domäne einrichten: Hallo, ich habe letztes Wochenende verzweifelt versucht, Samba auf meinem Server einzurichten, daher versuche ich aktuell meinen Fehler zu...
  5. Problem mit Win-Zugriff auf SAMBA

    Problem mit Win-Zugriff auf SAMBA: Hallo rundherum, vielleicht hat jemand eine Idee... Habe jetzt schon 1 1/2 Tage damit verbraten und den Fehler nicht gefunden. Problem:...