Keepassxc gui vorbelegen mit mehreren Datenbanken und Schlüssel
Hallo,
ich probiere hier gerade mit KeePassXC für einen Kunden rum.
Ich wollte man fragen ob Jemand von Euch mein Problem schon mal gelöst hat.
Wenn Jemand was anderes vorschlägt: Es muss On-Premise sein. Eine Web-Variante ist nicht gewünscht. Es muss nur unter Windows laufen. Mac und Linux oder Handy sind egal. Mit Browserschnittstelle für FF, Chrome und Edge.
Jeder Benutzer hat seine Kennwort-Datei in einer Freigabe auf dem Server.
Auf das Verzeichnis hat nur er Zugriff und er braucht ein Kennwort (nicht AD) zum öffnen des Containers.
z.B. \\server\keepass\m.mustermann\m.mustermann.kdbx
Dazu gibt es aber noch ca. 30-40 teil-gemeinsamme Datenbanken.
Diese befinden sich in anderen Verzeichnisen auf dem Server und je nach AD-Berechtigungen kann man darauf zugreifen oder auch nicht.
z.B. \\server\keepass\vertrieb\vertrieb.kdbx
Dazu gibt in Verzeichnis des Benutzers eine Kopie der Schlüsseldatei.
z.B. \\server\keepass\m.mustermann\vertrieb.kdbx
Wenn jedes ein indivuelles Kennwort hätten müsste das auch schon wieder verteilen.
Jetzt würde bei neuen Benutzer gerne ein Skript schreiben welches diese zusätzlichen Datenbank automatisch hinzufügt und die Schlüsseldatei schon einmal einträgt. Das sind 10-15 pro Benutzer.
Aber die CMD-Befehlen können das scheinbar nicht.
Ich kann mit diesem Befehl eine Datenbank mit Keyfile wie gewünscht hinzufügt aber nur wenn Keepassxc nicht läuft.
Wenn Keepassxc schon läuft legt er den zustäzlichen Eintrag an, aber trägt die Schlüsseldatei nicht ein.
Ich könnte jetzt in der ini-Datei an LastKeyFiles rumfummeln, aber zukunftssicher ist das nicht.
Jemand schon mal gelöst?
Stefan
ich probiere hier gerade mit KeePassXC für einen Kunden rum.
Ich wollte man fragen ob Jemand von Euch mein Problem schon mal gelöst hat.
Wenn Jemand was anderes vorschlägt: Es muss On-Premise sein. Eine Web-Variante ist nicht gewünscht. Es muss nur unter Windows laufen. Mac und Linux oder Handy sind egal. Mit Browserschnittstelle für FF, Chrome und Edge.
Jeder Benutzer hat seine Kennwort-Datei in einer Freigabe auf dem Server.
Auf das Verzeichnis hat nur er Zugriff und er braucht ein Kennwort (nicht AD) zum öffnen des Containers.
z.B. \\server\keepass\m.mustermann\m.mustermann.kdbx
Dazu gibt es aber noch ca. 30-40 teil-gemeinsamme Datenbanken.
Diese befinden sich in anderen Verzeichnisen auf dem Server und je nach AD-Berechtigungen kann man darauf zugreifen oder auch nicht.
z.B. \\server\keepass\vertrieb\vertrieb.kdbx
Dazu gibt in Verzeichnis des Benutzers eine Kopie der Schlüsseldatei.
z.B. \\server\keepass\m.mustermann\vertrieb.kdbx
Wenn jedes ein indivuelles Kennwort hätten müsste das auch schon wieder verteilen.
Jetzt würde bei neuen Benutzer gerne ein Skript schreiben welches diese zusätzlichen Datenbank automatisch hinzufügt und die Schlüsseldatei schon einmal einträgt. Das sind 10-15 pro Benutzer.
Aber die CMD-Befehlen können das scheinbar nicht.
Ich kann mit diesem Befehl eine Datenbank mit Keyfile wie gewünscht hinzufügt aber nur wenn Keepassxc nicht läuft.
Wenn Keepassxc schon läuft legt er den zustäzlichen Eintrag an, aber trägt die Schlüsseldatei nicht ein.
"C:\Program Files\KeePassXC\KeePassXC.exe" --pw-stdin --keyfile Z:\test\Vertrieb.key Z:\test\Vertrieb.kdbx
Ich könnte jetzt in der ini-Datei an LastKeyFiles rumfummeln, aber zukunftssicher ist das nicht.
Jemand schon mal gelöst?
Stefan
Please also mark the comments that contributed to the solution of the article
Content-ID: 33579580737
Url: https://administrator.de/contentid/33579580737
Printed on: October 15, 2024 at 15:10 o'clock
7 Comments
Latest comment
Hallo Stefan,
auch wenn du es vielleicht nicht hören möchtest, der Ansatz mit 30-40 geteilten Datenbanken schreit förmlich nach Anwenderfehler.
Mein Tipp wäre ein lokal gehosteter Vaultwarden. Dieser kann insbesondere geteilte Datenbanken (Sammlungen) über Organisationen sehr gut abbilden. Es gibt sogar mehrere Sicherheitsabstufungen innerhalb der Sammlungen, von Nur Anwenden ohne das Passwort zu sehen bis hin zu selbst neue Einträge hinzufügen. Neben den üblichen Browsererweiterungen gibt es einen Desktopclient und gerade beim Stichwort Vertrieb, auch die mobilen Apps von Android und iOS können ebenfalls auf den lokalen Vaultwarden zugreifen, notfalls eben über VPN.
Gruß Stephan
auch wenn du es vielleicht nicht hören möchtest, der Ansatz mit 30-40 geteilten Datenbanken schreit förmlich nach Anwenderfehler.
Mein Tipp wäre ein lokal gehosteter Vaultwarden. Dieser kann insbesondere geteilte Datenbanken (Sammlungen) über Organisationen sehr gut abbilden. Es gibt sogar mehrere Sicherheitsabstufungen innerhalb der Sammlungen, von Nur Anwenden ohne das Passwort zu sehen bis hin zu selbst neue Einträge hinzufügen. Neben den üblichen Browsererweiterungen gibt es einen Desktopclient und gerade beim Stichwort Vertrieb, auch die mobilen Apps von Android und iOS können ebenfalls auf den lokalen Vaultwarden zugreifen, notfalls eben über VPN.
Gruß Stephan
@Stefan,
soweit ich weiß kann Password Safe von Bruce Schneier ebenfalls mittels Berechtigungen auf einzelne Keys verwaltet werden.
Gruss Penny.
soweit ich weiß kann Password Safe von Bruce Schneier ebenfalls mittels Berechtigungen auf einzelne Keys verwaltet werden.
Gruss Penny.
Zitat von @StefanKittel:
Kennt Jemand https://www.passwordserver.de/?
Die haben einen lokalen Server und einen angepassten Keypass Client.
Kennt Jemand https://www.passwordserver.de/?
Die haben einen lokalen Server und einen angepassten Keypass Client.
hatte ich mal bei nem vorherigen Arbeitgeber, hat geräuschlos funktioniert.
/Thomas
Mal zurück zu KeePassXC, ggf. sind geteilte Datenbanken der falsche Ansatz?
Für die persönliche Nutzung finde ich KeePassXC sehr elegant und funktioniert super.
Sobald es an Gruppen geht sind die Beschränkungen durchaus vorhanden.
Ich habe hier gerade identisches Thema.
Momentane Idee, den KeeShare von KeePassXC zu nehmen. Man muss ein wenig aufpassen,
da man beim teilen manuell die richtige .kdbx.share - Extension auswählen muss und man
kann keine Strukturen teilen.
Zudem muss man auf die richtige Reihenfolge achten, ansonsten hat man nachher einen leeren synchronisierten Ordner.
Aber so (aktuell meine favorisierte Variante) könnte eine Person der Gruppe die Pflege übernehmen und alle anderen "importieren" nur die geteilte Version.
Grüße
ToWa
Für die persönliche Nutzung finde ich KeePassXC sehr elegant und funktioniert super.
Sobald es an Gruppen geht sind die Beschränkungen durchaus vorhanden.
Ich habe hier gerade identisches Thema.
Momentane Idee, den KeeShare von KeePassXC zu nehmen. Man muss ein wenig aufpassen,
da man beim teilen manuell die richtige .kdbx.share - Extension auswählen muss und man
kann keine Strukturen teilen.
Zudem muss man auf die richtige Reihenfolge achten, ansonsten hat man nachher einen leeren synchronisierten Ordner.
Aber so (aktuell meine favorisierte Variante) könnte eine Person der Gruppe die Pflege übernehmen und alle anderen "importieren" nur die geteilte Version.
Grüße
ToWa