Samba: Passwort-Änderung verbieten

E

ehorn

Jungspund
Hallo zusammen,

folgende Situation: Samba 3 als PDC mit einer Reihe von Rechnern in einer Schulbibliothek; Samba benutzt die lokale smbpasswd-Datei für die Benutzerverwaltung. Alle Schüler gehen über einen zentralen Account mit Passwort (also z.B. "nutzer" und Passwort "zugang") rein, weil es zu viel Arbeit wäre, bei 1200 SchülerInnen individuelle Zugänge zu verteilen. Nutzername und Passwort sind den SchuelerInnen bekannt.

Nun haben einige Schüler (ich will sie nicht einmal findig nennen) herausbekommen, dass man unter den Clients (Windows XP) nur STRG+ALT+Entf drücken muss und unter "Kennwort ändern" das Kennwort ändern kann. Folge: Es wird immer mal wieder das Passwort verändert, sodass ich extra per Putty an den Server muss um das Standard-Passwort wiederherzustellen.

Deshalb meine Frage: Kann ich Samba irgendwie dazu bekommen, solche Passwort-Änderungen nicht vorzunehmen, also das Passwort als nicht änderbar deklarieren? Ich habe verschiedene Varianten im Internet gefunden (z.B. "chmod 700" für die smbpasswd-Datei), die aber aus verständlichem Grund nicht funktionieren - es ist ja nicht ein lokales Ausführen von smbpasswd, was mit den Rechten des Nutzers abläuft, sondern es ist ja wahrscheinlich Samba, das den Befehl ausführt.

Meine erste Idee, auf eine Authentifizierung mit LDAP umzustellen, will ich lieber nicht in Angriff nehmen, weil das eigentlich für uns zu aufwändig ist (insgesamt werden nur sechs verschiedene Accounts verwaltet) - und ich dafür wohl auch zu sehr Linux-Laie bin.

Danke im Voraus für alle Ideen und Anregungen.
 
Zuletzt bearbeitet:
Soweit ich weiß, kann man Dateien schreibschützen - so ein immun-flag soll es da geben,
dann darf selbst root nicht so einfach was ändern.
 
man chattr
nennt sich immutable und nicht immun. Aber ob das klug ist, steht wieder auf einem anderen Blatt.. Zumindest theoretisch kann man ein Kennwort als nicht änderbar markieren. Kann sein, das das nur mit einer ldap passdb geht...
 
Vielen Dank für die raschen Antworten. Als erstes Workaround werde ich das erst mal so probieren. Allerdings muss ich mir erst mal anschauen, ob das wirklich was hilft. Meine Befürchtung: Selbst wenn die Änderung des Passwortes über ein immutable-Attribut für die Passwort-Datei fehlschlägt, könnte es ja sein, dass Samba, während es ununterbrochen läuft, die Änderung erst mal intern übernimmt. Zumindest würde es mich sehr stark wundern, wenn Samba jedes Mal wieder die kompletten Passwörter ausliest, wenn sich ein User einloggt. Werde das mal ausprobieren.
 
Ich habe das jetzt ausprobiert, also die /etc/samba/smbpasswd-Datei mit "chattr +i" immutable gemacht. War allerdings ein Fehlschlag - sobald die Datei immutable ist, kann sich überhaupt kein Client mehr anmelden. Aus irgendeinem Grund braucht Samba also auch bei einer bloßen Anmeldung die Veränderbarkeit der Datei.

Habe nun als Workaround ein Script geschrieben, das (jede Minute per Cronjob gestartet) den smbpasswd-Befehl aufruft und das Passwort des Benutzers wieder auf das Ursprungspasswort setzt. Wenn jetzt einer das Passwort ändert, bleibt das nur eine Minute so, danach ist wieder das Standard-Passwort aktiv. Das ist zwar nicht wirklich so, wie ich mir das vorstelle - lieber wäre es mir, ich könnte das Ändern des Passwortes ganz verhindern -, sollte aber für den Moment reichen.

Falls noch jemand eine Idee hat, wie man doch das erreichen kann, was ich möchte, bin ich immer noch an einer Lösung interessiert.
 
mit pdbedit die "minimum password age" auf nen recht hohen wert setzen? (z.B. 31536000 == 1 Jahr)
gilt dann aber wohl fuer alle accounts, zumindest wuesste ich nicht wie man das nur fuer einzelne accounts festlegt
 
Zuletzt bearbeitet:
Ach verdammt, das Tool hatte ich komplett vergessen. Das ist genau das was du suchst, da solltest du das alles einstellen können.
 
Welches OS läuft denn auf dem Client?
Läßt sich da nicht einstellen, dass das PW nicht geändert werden darf??
 
Werde mir pbedit mal genauer anschauen, vielleicht ist das genau das, was ich suche.

Was die Clients angeht: Das sind alles WinXP-Clients. Weiss nicht, ob man da ueber z.B. eine Gruppenrichtlinie das Aendern des Passwortes unterdruecken kann. Werde ich mir aber auch noch mal anschauen.
 

Ähnliche Themen

Dringend: Samba-Server zerstört Konfiguration des LDAP-Servers. Anonymer Zugang weg.

Samba Shares auf WinXP sind instabil!

Nach update auf 3.0.23c keine Vertrauenstellung mehr

Zurück
Oben