12
Usern das aendern des Passwortes verbieten
Hallo!
Ich habe einen Server der mit Suse Linux 10 Pro läuft und als PDC konfiguriert ist. Die User können sich an den Workstations einloggen, ich möchte bestimmten Usern das ändern ihres Passwortes verbieten, wie kann ich dies realisieren (bitte genaue Beschreibung).
Ich habe einen Server der mit Suse Linux 10 Pro läuft und als PDC konfiguriert ist. Die User können sich an den Workstations einloggen, ich möchte bestimmten Usern das ändern ihres Passwortes verbieten, wie kann ich dies realisieren (bitte genaue Beschreibung).
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 26432
Url: https://administrator.de/contentid/26432
Printed on: April 26, 2024 at 19:04 o'clock
12 Comments
Latest comment
Morgen ..
aus welchem Grund dürfen die User "ihr" Passwort nicht ändern, oder verstehe ich da was falsch ?
Mfg
Jan Gornowicz
aus welchem Grund dürfen die User "ihr" Passwort nicht ändern, oder verstehe ich da was falsch ?
Mfg
Jan Gornowicz
Sie dürfen ihr Passwort nicht ändern, da es Schüler PC'S sind und da unterstufenschüler dran sitzen, es gibt zum Beispiel für den PC-IR01 den Benutzernamen IR01 und dieser darf nicht geändert werden
Hmm..
habe es selber noch nicht ausprobiert..
aber man kann doch den Anwendungen Rechte vergeben oder nicht?
Beispiel:
chmod 700 DATEINAME
Mit anderen Worten..
Die Besitzer (wäre dann root) hat alle Rechte und die Gruppe sowie der Rest, dürfen nichts!
In Sachen Rechtevergabe bin ich noch nicht sehr gewandert..
würde mich freuen, wenn Sie ein Statement geben könnten, ob das so funktioniert oder nicht.
Mit freundlichen Grüßen
Jan Gornowicz
habe es selber noch nicht ausprobiert..
aber man kann doch den Anwendungen Rechte vergeben oder nicht?
Beispiel:
chmod 700 DATEINAME
Mit anderen Worten..
Die Besitzer (wäre dann root) hat alle Rechte und die Gruppe sowie der Rest, dürfen nichts!
In Sachen Rechtevergabe bin ich noch nicht sehr gewandert..
würde mich freuen, wenn Sie ein Statement geben könnten, ob das so funktioniert oder nicht.
Mit freundlichen Grüßen
Jan Gornowicz
Zuerst steckst du alle User, welche ihr Passwort aendern koennen sollen in eine Gruppe. Editiere dazu das /etc/group. Nennen wir diese Gruppe mal "chpass".
Dann suchst du den passwd Befehl mit "which passwd". Normalerweise sollte das unter "/usr/bin/passwd" stehen.
Jetzt aenderst du die Gruppenzugehoerigkeit: chgrp chpass /usr/bin/passwd
Zum Schluss nimmst du die Ausführungsrechte fuer alle anderen weg: chmod o-rwx /usr/bin/passwd
Nun koennen nur noch die User der Gruppe "chpass" und root das Passwort aendern.
Dann suchst du den passwd Befehl mit "which passwd". Normalerweise sollte das unter "/usr/bin/passwd" stehen.
Jetzt aenderst du die Gruppenzugehoerigkeit: chgrp chpass /usr/bin/passwd
Zum Schluss nimmst du die Ausführungsrechte fuer alle anderen weg: chmod o-rwx /usr/bin/passwd
Nun koennen nur noch die User der Gruppe "chpass" und root das Passwort aendern.
Die Erklaerung ist leider etwas duerftig, um zu sagen ob es funktioniert oder nicht.
Mit "chmod 700 /usr/bin/passwd" kann natuerlich niemand mehr ausser "root" sein passwort aendern.
Mit "chmod 700 /usr/bin/passwd" kann natuerlich niemand mehr ausser "root" sein passwort aendern.
Gibt es keine Möglichkeit, das beschriebene Problem einfach und effizient zu lösen?
Okay, dann muss ich nochmal ein paar Dinge nachfragen.
Workstations: Sind das Linux oder Windows Rechner?
Welche Passworter sollen nicht geaendert werden, die auf dem Suse Server oder die auf den Workstations?
Sind die Passwoerter zentral verwaltet oder sind es lokale Passwoerter?
Was meinst du mit PDC, Samba (Version?) ?
Workstations: Sind das Linux oder Windows Rechner?
Welche Passworter sollen nicht geaendert werden, die auf dem Suse Server oder die auf den Workstations?
Sind die Passwoerter zentral verwaltet oder sind es lokale Passwoerter?
Was meinst du mit PDC, Samba (Version?) ?
hi!
Die Workstations laufen mit Windows XP Pro und sind in die Domäne des Linux Rechners eingebunden, der mit Samba als PDC konfiguriert ist. Eine bestimmte Gruppe von Usern, nennen wir Sie mal Schüler sollen ihr Benutzerpasswort der Domäne nicht ändern können, angenommen das Passwort lautet test, dann soll der User es nicht ändern können, da sich sonst andere User nicht mehr einloggen können. Es soll aber auch eine Gruppe, nennen wir sie Lehrer geben, die ihr Passwort ändern kann darf und muss.
Workstations: WinXPPro.
Server: SUSE Linux 10 Pro
Die Workstations laufen mit Windows XP Pro und sind in die Domäne des Linux Rechners eingebunden, der mit Samba als PDC konfiguriert ist. Eine bestimmte Gruppe von Usern, nennen wir Sie mal Schüler sollen ihr Benutzerpasswort der Domäne nicht ändern können, angenommen das Passwort lautet test, dann soll der User es nicht ändern können, da sich sonst andere User nicht mehr einloggen können. Es soll aber auch eine Gruppe, nennen wir sie Lehrer geben, die ihr Passwort ändern kann darf und muss.
Workstations: WinXPPro.
Server: SUSE Linux 10 Pro
Okay, jetzt sehe ich das Problem schon etwas klarer. Die Lösung ist eigentlich ganz einfach, nur die Umsetzung braucht etwas Zeit.
Wenn jemand unter Windows sein Passwort auf dem Samba PDC ändern will, wird auf dem Samba server das Programm "smbpasswd" aufgerufen. Hier kannst du einhacken. Das smbpasswd könntest du durch ein Script ersetzen, welches erst mal testet, welcher User sein Passwort zu aendern versucht.
Ab hier müsstest du die Implementierung selbst schaffen.
Aus Sicherheitsgründen kann man feste Passwörter natürlich nicht unterstützen. Vielleicht wäre ein anderer Ansatz geeigneter. Schreibe doch ein Script, welches die Passwörter bei Bedarf (am Ende des Kurses) wieder zurücksetzt.
Wenn jemand unter Windows sein Passwort auf dem Samba PDC ändern will, wird auf dem Samba server das Programm "smbpasswd" aufgerufen. Hier kannst du einhacken. Das smbpasswd könntest du durch ein Script ersetzen, welches erst mal testet, welcher User sein Passwort zu aendern versucht.
Ab hier müsstest du die Implementierung selbst schaffen.
Aus Sicherheitsgründen kann man feste Passwörter natürlich nicht unterstützen. Vielleicht wäre ein anderer Ansatz geeigneter. Schreibe doch ein Script, welches die Passwörter bei Bedarf (am Ende des Kurses) wieder zurücksetzt.
Kannst Du mir so ein Script schreiben?
Hallo,
Eine recht einfach Methode wäre einfach den Usern die Mindest Passwortdauer auf 9999 Tage oder so zu stellen.
Diese einstelölung wird normalerweise in der /etc/shadow gespeichert.
Probier mal man shadow, da sollte dann drin stehen, an welcher Stelle.
Gruss,
pertlma
Eine recht einfach Methode wäre einfach den Usern die Mindest Passwortdauer auf 9999 Tage oder so zu stellen.
Diese einstelölung wird normalerweise in der /etc/shadow gespeichert.
Probier mal man shadow, da sollte dann drin stehen, an welcher Stelle.
Gruss,
pertlma