stefankittel
Goto Top

Keepassxc gui vorbelegen mit mehreren Datenbanken und Schlüssel

Hallo,

ich probiere hier gerade mit KeePassXC für einen Kunden rum.
Ich wollte man fragen ob Jemand von Euch mein Problem schon mal gelöst hat.

Wenn Jemand was anderes vorschlägt: Es muss On-Premise sein. Eine Web-Variante ist nicht gewünscht. Es muss nur unter Windows laufen. Mac und Linux oder Handy sind egal. Mit Browserschnittstelle für FF, Chrome und Edge.


Jeder Benutzer hat seine Kennwort-Datei in einer Freigabe auf dem Server.
Auf das Verzeichnis hat nur er Zugriff und er braucht ein Kennwort (nicht AD) zum öffnen des Containers.
z.B. \\server\keepass\m.mustermann\m.mustermann.kdbx

Dazu gibt es aber noch ca. 30-40 teil-gemeinsamme Datenbanken.
Diese befinden sich in anderen Verzeichnisen auf dem Server und je nach AD-Berechtigungen kann man darauf zugreifen oder auch nicht.
z.B. \\server\keepass\vertrieb\vertrieb.kdbx

Dazu gibt in Verzeichnis des Benutzers eine Kopie der Schlüsseldatei.
z.B. \\server\keepass\m.mustermann\vertrieb.kdbx

Wenn jedes ein indivuelles Kennwort hätten müsste das auch schon wieder verteilen.

Jetzt würde bei neuen Benutzer gerne ein Skript schreiben welches diese zusätzlichen Datenbank automatisch hinzufügt und die Schlüsseldatei schon einmal einträgt. Das sind 10-15 pro Benutzer.
Aber die CMD-Befehlen können das scheinbar nicht.

Ich kann mit diesem Befehl eine Datenbank mit Keyfile wie gewünscht hinzufügt aber nur wenn Keepassxc nicht läuft.
Wenn Keepassxc schon läuft legt er den zustäzlichen Eintrag an, aber trägt die Schlüsseldatei nicht ein.
"C:\Program Files\KeePassXC\KeePassXC.exe" --pw-stdin --keyfile Z:\test\Vertrieb.key Z:\test\Vertrieb.kdbx  

Ich könnte jetzt in der ini-Datei an LastKeyFiles rumfummeln, aber zukunftssicher ist das nicht.

Jemand schon mal gelöst?

Stefan

Content-ID: 33579580737

Url: https://administrator.de/contentid/33579580737

Ausgedruckt am: 08.11.2024 um 01:11 Uhr

pantox
pantox 26.04.2024 um 13:58:03 Uhr
Goto Top
Hallo Stefan,

auch wenn du es vielleicht nicht hören möchtest, der Ansatz mit 30-40 geteilten Datenbanken schreit förmlich nach Anwenderfehler.

Mein Tipp wäre ein lokal gehosteter Vaultwarden. Dieser kann insbesondere geteilte Datenbanken (Sammlungen) über Organisationen sehr gut abbilden. Es gibt sogar mehrere Sicherheitsabstufungen innerhalb der Sammlungen, von Nur Anwenden ohne das Passwort zu sehen bis hin zu selbst neue Einträge hinzufügen. Neben den üblichen Browsererweiterungen gibt es einen Desktopclient und gerade beim Stichwort Vertrieb, auch die mobilen Apps von Android und iOS können ebenfalls auf den lokalen Vaultwarden zugreifen, notfalls eben über VPN.

Gruß Stephan
opsec2022
opsec2022 26.04.2024 aktualisiert um 14:00:43 Uhr
Goto Top
Hallo,

+1 für Struktur sauber in Vaultwarden abbilden.

Gruß
StefanKittel
StefanKittel 26.04.2024 um 14:13:01 Uhr
Goto Top
Kennt Jemand https://www.passwordserver.de/?
Die haben einen lokalen Server und einen angepassten Keypass Client.

VW schaue ich mir an.

Stefan
Penny.Cilin
Penny.Cilin 26.04.2024 um 14:55:39 Uhr
Goto Top
@Stefan,

soweit ich weiß kann Password Safe von Bruce Schneier ebenfalls mittels Berechtigungen auf einzelne Keys verwaltet werden.

Gruss Penny.
Th0mKa
Th0mKa 26.04.2024 um 17:55:33 Uhr
Goto Top
Zitat von @StefanKittel:

Kennt Jemand https://www.passwordserver.de/?
Die haben einen lokalen Server und einen angepassten Keypass Client.

hatte ich mal bei nem vorherigen Arbeitgeber, hat geräuschlos funktioniert.

/Thomas
dertowa
dertowa 26.04.2024 um 21:11:01 Uhr
Goto Top
Mal zurück zu KeePassXC, ggf. sind geteilte Datenbanken der falsche Ansatz? face-smile
Für die persönliche Nutzung finde ich KeePassXC sehr elegant und funktioniert super.
Sobald es an Gruppen geht sind die Beschränkungen durchaus vorhanden.

Ich habe hier gerade identisches Thema.
Momentane Idee, den KeeShare von KeePassXC zu nehmen. Man muss ein wenig aufpassen,
da man beim teilen manuell die richtige .kdbx.share - Extension auswählen muss und man
kann keine Strukturen teilen.

Zudem muss man auf die richtige Reihenfolge achten, ansonsten hat man nachher einen leeren synchronisierten Ordner. face-big-smile

Aber so (aktuell meine favorisierte Variante) könnte eine Person der Gruppe die Pflege übernehmen und alle anderen "importieren" nur die geteilte Version.

Grüße
ToWa
jsysde
jsysde 27.04.2024 um 18:13:42 Uhr
Goto Top
Moin.

+1 für Vaultwarden. Oder halt den Password Depot Enterprise Server von AceBIT.

Cheers,
jsysde