|
PWDIS - Lösung zur automatisierten Paßwortverteilung unter AIX und Linux
========================================================================
Diese Lösung füllt die Lücke für eine Anzahl von Systemen, die zu groß ist,
um manuell Paßwörter zu verteilen und zu klein ist, NIS einzusetzen (also
üblicherweise zwischen 3 und 50 Rechner).
Übrigens: Wenn, dann sollten Sie aus Sicherheitsgründen nur NIS+ einsetzen
und auch nur dann, wenn Sie zu viel Zeit haben ;-)
1. Hintergrund, Vor- und Nachteile
----------------------------------
Die hier vorgestellte Lösung hat gegenüber anderen Lösungsansätzen (wie
file distribution oder .rhosts) mehrere Vorteile:
- Es werden nicht alle Benutzeraccounts verteilt. Damit ist es
möglich, daß nur Benutzerteilmengen auf den diversen Rechnern
gehalten werden und nur die gemeinsamen Accounts abgeglichen werden.
- Es ist eine 'Negativliste' mit Kennungen möglich, die auf keinen Fall
abgeglichen werden sollen (z.B. bin, daemon, ...). Die Übertragung
wird dadurch auf die tatsächlich benötigten Benutzer beschränkt.
- Es können bis zu 64 Rechner (auf Wunsch auch mehr) abgeglichen werden.
- Die Benutzer können über Aliasdefinitionen auf den Zielrechnern
unterschiedlich lauten.
- Die Paßwortübertragung erfolgt ohne Nutzung von .rhosts, sondern
über eine Socketverbindung.
- Die Socketkommunikation wird mittels RC4 verschlüsselt und beinhaltet
einen Timestamp, um späteres Einspielen der Übertragung zu unterbinden.
- Dieses Programm untersteht der GPL und ist vollständig im Quellcode
verfügbar.
Einschränkungen, Nachteile:
- Der Abgleich erfolgt nur unidirektional. Das heißt, die Paßwörter
müssen von den Benutzern auf einem zentralen Rechner geändert werden.
Ein Lösungsansatz zur Umgehung dieser Einschränkung könnte sein, den
Paßwortabgleich verschränkt auszuführen. Dies müßte dann aber direkt
nach der Änderung erfolgen. Vorsicht: Dieses Verfahren habe ich noch
nicht ausprobiert!
- Die AIX-Flags können nicht auf Linux-Systeme übertragen werden, da dort
diese Features nur indirekt vorhanden sind.
- Aus Sicherheitsgründen dürfen siche die Uhren der betroffenen Rechner um
maximal 3 Minuten voneinander unterscheiden.
Falls jemand eine dieser Einschränkung aufgehoben haben will, soll sich
bitte unter info@quoty.de melden!
2. Umfang/Installation
----------------------
AIX:
Das Paket läßt sich unter AIX ganz einfach als übliches LPP mit installp
installieren. Nach der Installation sollten die Konfigurationsdateien im
Verzeichnis /usr/local/lib/pwdis-1.2/ nach den eigenen Bedürfnissen angepaßt
und ins /etc Verzeichnis kopiert werden.
Linux:
Für Linux-Rechner können die Dateien unter /usr/local/lib/pwdis-1.2/linux
auf einen entsprechenden Linux-Rechner (2.x) kopiert werden. Achtung: Die
Konfigurationsdateien nicht vergessen! Hier muß allerdings der Eintrag in
die /etc/inetd.conf manuell vorgenommen werden (anschließend
kill -1 ausführen!).
Auf dem Quellrechner könnte z.B. ein cron-Eintrag die Verteilung regelmäßig
abgleichen:
40 * * * * /usr/local/sbin/pwdis >/var/adm/pwdis.log 2>&1 # passwd distribution
AIX und Linux:
ACHTUNG: Vor der ersten Nutzung muß außerdem noch mit dem Kommando
/usr/local/sbin/pwkey
ein Initial-Schlüssel unter /etc/.pwkey erzeugt werden, der per Diskette,
ssh (o.ä.) auf alle betroffenen Rechner verteilt werden muß.
Wenn Sie Fragen haben, lesen Sie bitte ERST die man-Pages (unter
/usr/share/man/man8) und kontaktieren mich bitte bei hartknäckigen Problemen
erst DANN ;-)
Copyright (C) 1999-2003 R. Erl; E-Mail: info@quoty.de
|
|