D
DITTY
Sers COM,
wir haben gerade mehr oder weniger ein übles Problem.
In unserem Netzwerk läuft historisch bedingt ein OpenSuSE-Netzwerk, wobei ein OpenSuSE-Server als NIS-Server fungiert.
Mit OpenSuSE-Clients funktioniert auch alles einwandfrei. Jetzt soll demnächst ein neuer Server für bestimmte Einsatzfälle hinzukommen.
Auf diesen soll aber nicht OpenSuSE-Linux zum Einsatz kommen, sondern ein RHEL-Ableger, wahlweise CentOS oder Scientific Linux, jeweils in Version 6.0 oder 6.1 (6.x halt).
Also habe ich mir einen Testrechner genommen, um alles auszuprobieren. Und genau jetzt hab ich ein Problem. Den Quellen wurden auch alle wichtigen Paketquellen hinzugefügt, alle Notwendigen Pakete für NFS, NIS und SSH installiert, einschließlich Linux-PAM und auch der NIS-Client wurde entsprechend richtig konfiguriert.
Soweit so gut. Das Problem ist, dass beim Versuch eines SSH-Logins alle alten Accounts (>10 Jahre +-) auch funktionieren, nur nicht neu erstellte Accounts:
Nach ellenlanger Recherchen, fand ich heraus, dass das Problem an der supporteten Verschlüsselung liegt.
Während damals die alten Accounts mit DES verschlüsselt wurden (shadows, passwd), werden neu angelegte (auf OpenSuSE-Server 11.x) User mit Blowfish verschlüsselt. Durch meine Recherchen fand ich heraus, dass der NIS-Client bei Scientific Linux / CentOS diesen Algorhitmus nicht ab Werk unterstützt.
Immer wieder traf ich auf Suchergebnisse, wie "libpam_unix2", also die Nachrüstung für Blowfish mittels einer speziellen Lib.
Das Problem dabei ist, dass sämtliche Hilfeseiten nicht für RHEL(-Ableger) gemacht sind, sondern eher Debian/Ubuntu.
Hier ein paar Suchresultate:
http://forum.ubuntuusers.de/topic/kein-login-in-bestehendem-nis-netzwerk-moegli/
ftp://ftp.uvigo.es/mirror/centos/4.7/os/x86_64/NOTES/RELEASE-NOTES-U7-de.html
http://www.freebsd.org/doc/de/books/handbook/network-nis.html
http://www.ubuntu-forum.de/artikel/7957/nis-client-erlaubt-kein-login.html
http://technet.microsoft.com/de-de/library/cc759207(WS.10).aspx#BKMK_Linux
http://www.redhat.com/archives/pam-list/2008-September/msg00002.html
http://ubuntuforums.org/archive/index.php/t-300208.html
http://lists.centos.org/pipermail/centos/2008-June/059516.html
https://wiki.archlinux.org/index.php/Blowfish_passwords
http://www.experts-exchange.com/OS/Linux/Distributions/SuSE/Q_24681274.html
http://www.linuxquestions.org/quest...server-but-works-with-suse-nis-client-735504/
Insb. ersteres Suchresultat hats mir ja angetan, nur kann ich es nicht 1:1 übernehmen, da die libpam_unix2 für RHEL(-Ableger) nicht existiert, auch nicht wenn ich in den Quellen danach suchen lasse.
Wenn ich das richtig verstehe, wurde Linux-PAM mit der crypt.h, anstatt der xcrypt.h erzeugt, wodurch die Unterstützung durch Blowfish verloren gegangen ist
Aber das ist auch bereits schon ein paar Jährchen alt:
http://www.redhat.com/archives/pam-list/2008-September/msg00002.html
Nach diversen Konfigurationsmöglichkeiten und stundenlanger Recherchen, komm ich einfach nicht mehr weiter.
Von daher meine Frage an Alle, die ein RHEL(-Ableger) und OpenSuSE schon mal erfolgreich im Einsatz gehabt haben, das Problem kennen und / oder eventuell eine Lösung parat haben, mir hier weiter zu helfen.
Wie bringt man unter RHEL / CentOS / Scientific / Fedora dem NIS-Client BLOWFISH bei?
Ich weiß, dass die eine Lösung einfach darin liegt, beim OpenSuSE-NIS-Server, für alle existierenden Benutzeraccounts eine neue einheitliche zu Scientific Linux-NIS-Client konforme Verschlüsselung zu wählen. Das ist aber aufgrund bestimmter Umstände derzeit nicht möglich und machbar. Es handelt sich um ein Produktivsystem im Einsatz. Ein redundantes System als BackUP-Lösung gibt es leider noch nicht, weshalb wir auch keine aktiven Änderungen, z.B. Verschlüsselung vornehmen können, ohne alles ausführlich auszutesten.
Ich danke vielmals im Voraus.
Mit freundlichen Grüßen
DITTY :-)
wir haben gerade mehr oder weniger ein übles Problem.
In unserem Netzwerk läuft historisch bedingt ein OpenSuSE-Netzwerk, wobei ein OpenSuSE-Server als NIS-Server fungiert.
Mit OpenSuSE-Clients funktioniert auch alles einwandfrei. Jetzt soll demnächst ein neuer Server für bestimmte Einsatzfälle hinzukommen.
Auf diesen soll aber nicht OpenSuSE-Linux zum Einsatz kommen, sondern ein RHEL-Ableger, wahlweise CentOS oder Scientific Linux, jeweils in Version 6.0 oder 6.1 (6.x halt).
Also habe ich mir einen Testrechner genommen, um alles auszuprobieren. Und genau jetzt hab ich ein Problem. Den Quellen wurden auch alle wichtigen Paketquellen hinzugefügt, alle Notwendigen Pakete für NFS, NIS und SSH installiert, einschließlich Linux-PAM und auch der NIS-Client wurde entsprechend richtig konfiguriert.
Soweit so gut. Das Problem ist, dass beim Versuch eines SSH-Logins alle alten Accounts (>10 Jahre +-) auch funktionieren, nur nicht neu erstellte Accounts:
Nach ellenlanger Recherchen, fand ich heraus, dass das Problem an der supporteten Verschlüsselung liegt.
Während damals die alten Accounts mit DES verschlüsselt wurden (shadows, passwd), werden neu angelegte (auf OpenSuSE-Server 11.x) User mit Blowfish verschlüsselt. Durch meine Recherchen fand ich heraus, dass der NIS-Client bei Scientific Linux / CentOS diesen Algorhitmus nicht ab Werk unterstützt.
Immer wieder traf ich auf Suchergebnisse, wie "libpam_unix2", also die Nachrüstung für Blowfish mittels einer speziellen Lib.
Das Problem dabei ist, dass sämtliche Hilfeseiten nicht für RHEL(-Ableger) gemacht sind, sondern eher Debian/Ubuntu.
Hier ein paar Suchresultate:
http://forum.ubuntuusers.de/topic/kein-login-in-bestehendem-nis-netzwerk-moegli/
ftp://ftp.uvigo.es/mirror/centos/4.7/os/x86_64/NOTES/RELEASE-NOTES-U7-de.html
http://www.freebsd.org/doc/de/books/handbook/network-nis.html
http://www.ubuntu-forum.de/artikel/7957/nis-client-erlaubt-kein-login.html
http://technet.microsoft.com/de-de/library/cc759207(WS.10).aspx#BKMK_Linux
http://www.redhat.com/archives/pam-list/2008-September/msg00002.html
http://ubuntuforums.org/archive/index.php/t-300208.html
http://lists.centos.org/pipermail/centos/2008-June/059516.html
https://wiki.archlinux.org/index.php/Blowfish_passwords
http://www.experts-exchange.com/OS/Linux/Distributions/SuSE/Q_24681274.html
http://www.linuxquestions.org/quest...server-but-works-with-suse-nis-client-735504/
Insb. ersteres Suchresultat hats mir ja angetan, nur kann ich es nicht 1:1 übernehmen, da die libpam_unix2 für RHEL(-Ableger) nicht existiert, auch nicht wenn ich in den Quellen danach suchen lasse.
Wenn ich das richtig verstehe, wurde Linux-PAM mit der crypt.h, anstatt der xcrypt.h erzeugt, wodurch die Unterstützung durch Blowfish verloren gegangen ist
Aber das ist auch bereits schon ein paar Jährchen alt:
http://www.redhat.com/archives/pam-list/2008-September/msg00002.html
Nach diversen Konfigurationsmöglichkeiten und stundenlanger Recherchen, komm ich einfach nicht mehr weiter.
Von daher meine Frage an Alle, die ein RHEL(-Ableger) und OpenSuSE schon mal erfolgreich im Einsatz gehabt haben, das Problem kennen und / oder eventuell eine Lösung parat haben, mir hier weiter zu helfen.
Wie bringt man unter RHEL / CentOS / Scientific / Fedora dem NIS-Client BLOWFISH bei?
Ich weiß, dass die eine Lösung einfach darin liegt, beim OpenSuSE-NIS-Server, für alle existierenden Benutzeraccounts eine neue einheitliche zu Scientific Linux-NIS-Client konforme Verschlüsselung zu wählen. Das ist aber aufgrund bestimmter Umstände derzeit nicht möglich und machbar. Es handelt sich um ein Produktivsystem im Einsatz. Ein redundantes System als BackUP-Lösung gibt es leider noch nicht, weshalb wir auch keine aktiven Änderungen, z.B. Verschlüsselung vornehmen können, ohne alles ausführlich auszutesten.
Ich danke vielmals im Voraus.
Mit freundlichen Grüßen
DITTY :-)
