Samba: Passwort-Änderung verbieten

Diskutiere Samba: Passwort-Änderung verbieten im Samba Forum im Bereich Netzwerke & Serverdienste; Hallo zusammen, folgende Situation: Samba 3 als PDC mit einer Reihe von Rechnern in einer Schulbibliothek; Samba benutzt die lokale...

  1. #1 ehorn, 24.11.2009
    Zuletzt bearbeitet: 24.11.2009
    ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Hallo zusammen,

    folgende Situation: Samba 3 als PDC mit einer Reihe von Rechnern in einer Schulbibliothek; Samba benutzt die lokale smbpasswd-Datei für die Benutzerverwaltung. Alle Schüler gehen über einen zentralen Account mit Passwort (also z.B. "nutzer" und Passwort "zugang") rein, weil es zu viel Arbeit wäre, bei 1200 SchülerInnen individuelle Zugänge zu verteilen. Nutzername und Passwort sind den SchuelerInnen bekannt.

    Nun haben einige Schüler (ich will sie nicht einmal findig nennen) herausbekommen, dass man unter den Clients (Windows XP) nur STRG+ALT+Entf drücken muss und unter "Kennwort ändern" das Kennwort ändern kann. Folge: Es wird immer mal wieder das Passwort verändert, sodass ich extra per Putty an den Server muss um das Standard-Passwort wiederherzustellen.

    Deshalb meine Frage: Kann ich Samba irgendwie dazu bekommen, solche Passwort-Änderungen nicht vorzunehmen, also das Passwort als nicht änderbar deklarieren? Ich habe verschiedene Varianten im Internet gefunden (z.B. "chmod 700" für die smbpasswd-Datei), die aber aus verständlichem Grund nicht funktionieren - es ist ja nicht ein lokales Ausführen von smbpasswd, was mit den Rechten des Nutzers abläuft, sondern es ist ja wahrscheinlich Samba, das den Befehl ausführt.

    Meine erste Idee, auf eine Authentifizierung mit LDAP umzustellen, will ich lieber nicht in Angriff nehmen, weil das eigentlich für uns zu aufwändig ist (insgesamt werden nur sechs verschiedene Accounts verwaltet) - und ich dafür wohl auch zu sehr Linux-Laie bin.

    Danke im Voraus für alle Ideen und Anregungen.
     
  2. #2 pferdefreund, 24.11.2009
    pferdefreund

    pferdefreund Doppel-As

    Dabei seit:
    26.12.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Soweit ich weiß, kann man Dateien schreibschützen - so ein immun-flag soll es da geben,
    dann darf selbst root nicht so einfach was ändern.
     
  3. #3 saeckereier, 24.11.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    man chattr
    nennt sich immutable und nicht immun. Aber ob das klug ist, steht wieder auf einem anderen Blatt.. Zumindest theoretisch kann man ein Kennwort als nicht änderbar markieren. Kann sein, das das nur mit einer ldap passdb geht...
     
  4. ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Vielen Dank für die raschen Antworten. Als erstes Workaround werde ich das erst mal so probieren. Allerdings muss ich mir erst mal anschauen, ob das wirklich was hilft. Meine Befürchtung: Selbst wenn die Änderung des Passwortes über ein immutable-Attribut für die Passwort-Datei fehlschlägt, könnte es ja sein, dass Samba, während es ununterbrochen läuft, die Änderung erst mal intern übernimmt. Zumindest würde es mich sehr stark wundern, wenn Samba jedes Mal wieder die kompletten Passwörter ausliest, wenn sich ein User einloggt. Werde das mal ausprobieren.
     
  5. ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Ich habe das jetzt ausprobiert, also die /etc/samba/smbpasswd-Datei mit "chattr +i" immutable gemacht. War allerdings ein Fehlschlag - sobald die Datei immutable ist, kann sich überhaupt kein Client mehr anmelden. Aus irgendeinem Grund braucht Samba also auch bei einer bloßen Anmeldung die Veränderbarkeit der Datei.

    Habe nun als Workaround ein Script geschrieben, das (jede Minute per Cronjob gestartet) den smbpasswd-Befehl aufruft und das Passwort des Benutzers wieder auf das Ursprungspasswort setzt. Wenn jetzt einer das Passwort ändert, bleibt das nur eine Minute so, danach ist wieder das Standard-Passwort aktiv. Das ist zwar nicht wirklich so, wie ich mir das vorstelle - lieber wäre es mir, ich könnte das Ändern des Passwortes ganz verhindern -, sollte aber für den Moment reichen.

    Falls noch jemand eine Idee hat, wie man doch das erreichen kann, was ich möchte, bin ich immer noch an einer Lösung interessiert.
     
  6. #6 Rvg, 26.11.2009
    Zuletzt bearbeitet: 26.11.2009
    Rvg

    Rvg Doppel-As

    Dabei seit:
    11.07.2004
    Beiträge:
    141
    Zustimmungen:
    0
    mit pdbedit die "minimum password age" auf nen recht hohen wert setzen? (z.B. 31536000 == 1 Jahr)
    gilt dann aber wohl fuer alle accounts, zumindest wuesste ich nicht wie man das nur fuer einzelne accounts festlegt
     
  7. #7 saeckereier, 26.11.2009
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Ach verdammt, das Tool hatte ich komplett vergessen. Das ist genau das was du suchst, da solltest du das alles einstellen können.
     
  8. NoXqs

    NoXqs Routinier

    Dabei seit:
    07.05.2007
    Beiträge:
    420
    Zustimmungen:
    0
    Ort:
    Bremen
    Welches OS läuft denn auf dem Client?
    Läßt sich da nicht einstellen, dass das PW nicht geändert werden darf??
     
  9. ehorn

    ehorn Jungspund

    Dabei seit:
    18.09.2007
    Beiträge:
    17
    Zustimmungen:
    0
    Werde mir pbedit mal genauer anschauen, vielleicht ist das genau das, was ich suche.

    Was die Clients angeht: Das sind alles WinXP-Clients. Weiss nicht, ob man da ueber z.B. eine Gruppenrichtlinie das Aendern des Passwortes unterdruecken kann. Werde ich mir aber auch noch mal anschauen.
     
Thema: Samba: Passwort-Änderung verbieten
Besucher kamen mit folgenden Suchen
  1. smbpasswd a m lässt sich nicht ausführen

    ,
  2. samba passwortaenderung verhindern

Die Seite wird geladen...

Samba: Passwort-Änderung verbieten - Ähnliche Themen

  1. Samba 4.5.12-Debian Rechtevergabe

    Samba 4.5.12-Debian Rechtevergabe: Hallo zusammen, wir hatten intern einen Dateiserver mit SerNet-Samba 3.5 und einer Authentifizierung am Active Directory. Das ganze habe ich auf...
  2. Samba 4 Schema erweitern per LDIF - Server is unwilling to perform (53)

    Samba 4 Schema erweitern per LDIF - Server is unwilling to perform (53): Hallo zusammen, ich versuche gerade ein Samba 4 mittels LDIF zu erweitern. Die Objekte in dem LDIF stammen von einem Windows AD. Hintergrund ist,...
  3. Keine Zugriff von Windows 10 auf Sambafreigaben

    Keine Zugriff von Windows 10 auf Sambafreigaben: Hallo liebe Forumsmitglieder, Ich habe auf meinem Server (mit fester interner und externer) IP einen VPN und einen Samba Server installiert. Ich...
  4. Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

    Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne): Hallo, ich möchte eine Active Directory Domäne mit Samba4 erzeugen. Es handelt sich um zwei Server(Domänencontroller und Fileserver) und ca. 10...
  5. SAMBA 4 und Mac Client

    SAMBA 4 und Mac Client: Hallo zusammen, vielleicht kann mir jemand helfen... Ich habe eine Samba Server auf Ubuntu Basis installiert und möchte nun von unterschiedlichen...