---

Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?

Jeg ønsker, at når man ændrer password på én, så bliver det automagisk
opdateret på de andre maskiner. (Altså lidt li'som hvis man bruger et
domæne på Windows-maskiner).

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

Asbjorn Hojmark wrote:
> Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?
>
> Jeg ønsker, at når man ændrer password på én, så bliver det automagisk
> opdateret på de andre maskiner. (Altså lidt li'som hvis man bruger et
> domæne på Windows-maskiner).

Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
maskiner til at authenticate imod den.

Mogens
--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer skrev:
> Asbjorn Hojmark wrote:
>> Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?
>>
>> Jeg ønsker, at når man ændrer password på én, så bliver det automagisk
>> opdateret på de andre maskiner. (Altså lidt li'som hvis man bruger et
>> domæne på Windows-maskiner).
>
> Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
> maskiner til at authenticate imod den.

Nemmelig, og supleres det med brug af hjemmemapper på centralt NFS share
så har man et rigtigt godt opsæt :)

/A

---

>>>>> "MK" == Mogens Kjaer <mk@crc.dk> writes:

MK> Asbjorn Hojmark wrote:
>> Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?
>> Jeg ønsker, at når man ændrer password på én, så bliver det
>> automagisk opdateret på de andre maskiner. (Altså lidt li'som hvis
>> man bruger et domæne på Windows-maskiner).

MK> Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
MK> maskiner til at authenticate imod den.

Man kan opnå det samme med Kerberos. Så behøver man ikke stole på at
netværket ikke bliver aflyttet.


/Benny

---

On 13 Feb 2007 15:08:33 +0100, Benny Amorsen <benny+usenet@amorsen.dk>
wrote:

> Man kan opnå det samme med Kerberos. Så behøver man ikke stole på at
> netværket ikke bliver aflyttet.

Ja, jeg søgte og fandt (efter dit indlæg) diverse info om brug af
Kerberos, men det ser ud til, at det forudsætter, at man også laver
LDAP?

(Så er det vel (i store træk og med risiko for hademails fra fanatiske
MS-brugere, der måtte snig-læse med her) også nærmest et AD, man har
lavet sig).

Et setup med Kerberos + LDAP (og især med de beskrivelser, jeg kunne
finde af det) er nok at skyde lidt over målet. Jeg er mildt sagt ikke
den store Unix-haj.

Jeg havde forestillet mig, at der var et eller andet lidt lettere
tilgængeligt... Men 'de fleste' lever måske bare med, at man skal
ændre det flere steder?

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

>>>>> "AH" == Asbjorn Hojmark <Asbjorn@Hojmark.ORG> writes:

>> Man kan opnå det samme med Kerberos. Så behøver man ikke stole på
>> at netværket ikke bliver aflyttet.

AH> Ja, jeg søgte og fandt (efter dit indlæg) diverse info om brug af
AH> Kerberos, men det ser ud til, at det forudsætter, at man også
AH> laver LDAP?

Ikke hvis du opretter brugerkonti manuelt. Dvs. du skal oprette
brugere lokalt på hver maskine, men de deler passwords. (Og man har
single-sign-on, så man ikke skal skrive password hele tiden.)

AH> Et setup med Kerberos + LDAP (og især med de beskrivelser, jeg
AH> kunne finde af det) er nok at skyde lidt over målet. Jeg er mildt
AH> sagt ikke den store Unix-haj.

Ja, LDAP er nok i overkanten til et hjemmenetværk. Dvs. det burde det
egentligt ikke være, men administrationsværktøjerne er ikke gode nok
til de helt små netværk endnu.


/Benny

---

I dk.edb.system.unix, skrev Benny Amorsen:
> Ikke hvis du opretter brugerkonti manuelt. Dvs. du skal oprette
> brugere lokalt på hver maskine, men de deler passwords. (Og man har
> single-sign-on, så man ikke skal skrive password hele tiden.)

Har du fået ssh til at forwarde din kerberos-ticket? Det syntes jeg
drillede lidt da jeg testede det.

> Ja, LDAP er nok i overkanten til et hjemmenetværk. Dvs. det burde det
> egentligt ikke være, men administrationsværktøjerne er ikke gode nok
> til de helt små netværk endnu.

Enig.. Det kan også bare være at jeg ikke har søgt godt nok endnu.

Jesper
--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk

---

On Tue, 13 Feb 2007 14:02:52 +0100, Mogens Kjaer <mk@crc.dk> wrote:

> Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
> maskiner til at authenticate imod den.

Hmm, jeg kan vist godt huske, at have set/hørt om NIS tilbage engang i
starten af 90'erne... Men jeg mener også at huske, at der allerede
dengang blev stillet spørgsmålstegn ved både sikker- og skalérbarhed?

Når jeg læser på det nu, får jeg stort set bekræftet min opfattelse
(eller fordomme?).

Er NIS virkelig hvad 'man' gør?

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

Asbjorn Hojmark wrote:
> On Tue, 13 Feb 2007 14:02:52 +0100, Mogens Kjaer <mk@crc.dk> wrote:
>
>> Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
>> maskiner til at authenticate imod den.
>
> Hmm, jeg kan vist godt huske, at have set/hørt om NIS tilbage engang i
> starten af 90'erne... Men jeg mener også at huske, at der allerede
> dengang blev stillet spørgsmålstegn ved både sikker- og skalérbarhed?
>
> Når jeg læser på det nu, får jeg stort set bekræftet min opfattelse
> (eller fordomme?).
>
> Er NIS virkelig hvad 'man' gør?

Mja... Hvis man har mange UNIX-bokse, og ellers har styr på
sikkerheden (eller hvad man nu skal kalde det) så gør man nok.

Tilgengæld er det ret enkelt at sætte op.

Men jeg er nu aldrig hørt om at NIS ikke skalerer?

Hvor mange maskiner taler vi om?

/k

---

Asbjorn Hojmark wrote:

> Er NIS virkelig hvad 'man' gør?
>
> -A

NIS er forhåbetlig ikke hvad man gør i det omfang jeg kender til det.

Det er noget man skal holde sig fra, medmindre man elsker kodeords
hashes sendt over net ukrypteret!!!

Eller er der en NIS version 2?

Max
p.s. Brug kerberos, hvis muligt..... nemmere end at lave

---

Asbjorn Hojmark wrote:
> On Tue, 13 Feb 2007 14:02:52 +0100, Mogens Kjaer <mk@crc.dk> wrote:
>
>> Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
>> maskiner til at authenticate imod den.
>
> Hmm, jeg kan vist godt huske, at have set/hørt om NIS tilbage engang i
> starten af 90'erne... Men jeg mener også at huske, at der allerede
> dengang blev stillet spørgsmålstegn ved både sikker- og skalérbarhed?
>
> Når jeg læser på det nu, får jeg stort set bekræftet min opfattelse
> (eller fordomme?).

At køre NIS over internettet er nok ikke en god idé.

Og hvis det er til en flok hjemmemaskiner klarer NIS også
skaleringen.

Passwords overføres krypteret, så de kan sniffes og crackes.

Der er sikkert masser af muligheder for man-in-middle attacks,etc.

Så hvis du ikke stoler på din firewall eller på de øvrige
personer på dit net er NIS ikke nogen god idé

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Asbjorn Hojmark wrote:
> Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?
>
> Jeg ønsker, at når man ændrer password på én, så bliver det automagisk
> opdateret på de andre maskiner. (Altså lidt li'som hvis man bruger et
> domæne på Windows-maskiner).
>
Det kan gøres med en central user administration med en fælles passwd
file i netværket.
Hvordan det skal sættes op, kan jeg desværre ikke hjælpe med.

--
Med venlig hilsen

Jørgen Heesche
mailto:heesche@webspeed.dk
Registered Linux User #401007

---

Asbjorn Hojmark wrote:
> Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?
>
> Jeg ønsker, at når man ændrer password på én, så bliver det automagisk
> opdateret på de andre maskiner. (Altså lidt li'som hvis man bruger et
> domæne på Windows-maskiner).

Hvis du har et Windows-domæne:

http://developer.novell.com/wiki/index.php/HOWTO:_Configure_Ubuntu_for_Active_Directory_Authentication

Knus
Regnar

---

On Tue, 13 Feb 2007 19:05:27 +0100, Regnar Bang Lyngsø
<regnar@writeme.com> wrote:

>> Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?

> Hvis du har et Windows-domæne:

Det har jeg nu ikke. Det er til privaten, og min privatøkonomi rækker
ikke til de beløb, Microsoft vil have for deres serversoftware. (Og så
synes jeg i øvrigt ikke, produktet er særlig fremragende).

I arbejdssammenhæng er det andet dog værd at vide, så tak for tippet.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

On Tue, 2007-02-13 at 14:02 +0100, Mogens Kjaer wrote:
> Asbjorn Hojmark wrote:
> > Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?
> >
> > Jeg ønsker, at når man ændrer password på én, så bliver det automagisk
> > opdateret på de andre maskiner. (Altså lidt li'som hvis man bruger et
> > domæne på Windows-maskiner).
>
> Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
> maskiner til at authenticate imod den.

Eller med rsync.

Eller med scp

Eller md rsync i en ssh session.

Eller via LDAP

Eller via kerberos

Eller via samba winbind.

Eller NFS mounte en maskine med passwd filen

Eller via en sql-server.

Eller via en radius server

Eller .....

Kik evt. på pam, der er masser af muligheder:

http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/

---

On Tue, 2007-02-13 at 22:53 +0100, Asbjorn Hojmark wrote:
> On Tue, 13 Feb 2007 14:02:52 +0100, Mogens Kjaer <mk@crc.dk> wrote:
>
> > Man kan sætte en NIS server (ypserv) op, og få alle ens Linux/UNIX
> > maskiner til at authenticate imod den.
>
> Hmm, jeg kan vist godt huske, at have set/hørt om NIS tilbage engang i
> starten af 90'erne... Men jeg mener også at huske, at der allerede
> dengang blev stillet spørgsmålstegn ved både sikker- og skalérbarhed?
>
> Når jeg læser på det nu, får jeg stort set bekræftet min opfattelse
> (eller fordomme?).
>
> Er NIS virkelig hvad 'man' gør?

NIS fejler ca. 2-4 gange om året hos os....men det er pga. UDP trafik
fra Danmark til Hong Kong.

Jeg ville lave et cronjob der "rsync -ae ssh /etc/passwd /etc/group
andenserver:/etc/" en gang imellem.

Det er simpelt, sikkert og nemt...ændringerne kommer ikke med samme, men
hvis du sætter cronjobet til hvert minut er det nok at leve med.

---

"Christian E. Lysel" <christian@examples.net> wrote in
news:1171404143.12474.3.camel@bigfoot.lan.spindelnet.dk:

> Jeg ville lave et cronjob der "rsync -ae ssh /etc/passwd /etc/group
> andenserver:/etc/" en gang imellem.
>
> Det er simpelt, sikkert og nemt...ændringerne kommer ikke med samme, men
> hvis du sætter cronjobet til hvert minut er det nok at leve med.

Jeg spurgte en af vennerne om dit forslag, og han skriver:

Det kræver så at man skal bruge samme distro. Det vel f.eks. blive noget
rod hvis Debians www-data-bruger der bruges til alle apache-relaterede ting
forsvinder eller får skiftet uid.

Kan ikke lige på stående fod komme på andre eksempler, men det virker
bestemt som noget man skal gøre med stor stor omhu.

Mvh. NKJensen

---

On Wed, 14 Feb 2007 14:52:02 +0000, Niels Kristian Jensen wrote:

> "Christian E. Lysel" <christian@examples.net> wrote in
> news:1171404143.12474.3.camel@bigfoot.lan.spindelnet.dk:
>
>> Jeg ville lave et cronjob der "rsync -ae ssh /etc/passwd /etc/group
>> andenserver:/etc/" en gang imellem.
>>
>> Det er simpelt, sikkert og nemt...ændringerne kommer ikke med samme, men
>> hvis du sætter cronjobet til hvert minut er det nok at leve med.

> Det kræver så at man skal bruge samme distro. Det vel f.eks. blive
> noget rod hvis Debians www-data-bruger der bruges til alle
> apache-relaterede ting forsvinder eller får skiftet uid.
>
> Kan ikke lige på stående fod komme på andre eksempler, men det virker
> bestemt som noget man skal gøre med stor stor omhu.

/etc/passwd og /etc/group er ikke afhængig af distro, men nogle
distributioner opretter nogle specielle brugere til at mounte f.eks.
specielt hardware eller andet.

Det du skal være særlig opmærksom på er, at hvis du opretter brugeren
Anders på maskine 1 med userid 1000 fordi det er den første
tilgængelige UID. Dernærst, hvis du oprette Benny på maskine 2 også
med UID 1000 fordi det er den første tilgængelige UID.
Hvis du ikke er opmærksom på ovenstående, og merger de to password
filer ind i din master-password fil, så får du problemer.
Alle permissions er mapped til UID (og group ID), så to brugernavne med
samme UID == noget skidt!

Så har vi igen problematikken med forskellige distroer;
Eksempelvis UID 5 på slackware er brugeren 'sync', hvor det på Ubuntu
kunne være 'news'. Hvad bør man så gøre ved en fælles master-passwd fil?
Et forslag kunne være også at synkronisere/opdatere permissions, men
hey, så bliver det vist lige lovligt voldsomt...

Christian nævner løsningen med lokal password fil, og en master password
fil der bliver merged ved synkroniseringen.
Men hvad så hvis en bruger ikke er opmærksom på dette og opretter en ny
bruger på en af maskinerne. Denne bruger kan så bliver overskrevet, men
det gør permissions ikke! De mapper stadig til UID som nu er en anden
bruger.

Det skal lige siges, at jeg selv står i vadestedet mellem Kerberos, NIS
og password sync. Kerberos/LDAP er lidt overkill for 4-6 maskiner/enheder.
NIS har jeg afskrevet, for der er blandet lidt Windåser ind også, og
password sync skulle i så fald gøres ved hjælp af samba/master-passwd.

Though one!

Cheers,
Mikael

---

I dk.edb.system.unix, skrev Mikael W. Bertelsen:
> Det skal lige siges, at jeg selv står i vadestedet mellem Kerberos, NIS
> og password sync. Kerberos/LDAP er lidt overkill for 4-6 maskiner/enheder.
> NIS har jeg afskrevet, for der er blandet lidt Windåser ind også, og
> password sync skulle i så fald gøres ved hjælp af samba/master-passwd.

Jeg ville absolut gå efter NIS .. det er nemt og hvis folk har adgang
til dit netværk, så vil der sikkert være angrebsvektorer der er nemmere
en at bryde det hash'ede kodeord. Hvis du eksmepelvis benytter NFS og
har dine SSH-nøgler i dit home og deler det, så ryger dine private
ssh-nøgler også over netværket ukrypteret.

Jesper
--
../Jesper Krogh, jesper@krogh.cc, Jabber ID: jesper@jabbernet.dk

---

On Tue, 13 Feb 2007 23:02:24 +0100, "Christian E. Lysel"
<christian@examples.net> wrote:

> Jeg ville lave et cronjob der "rsync -ae ssh /etc/passwd /etc/group
> andenserver:/etc/" en gang imellem.

Hmm, virker det overhovedet? Skal det ikke være (inkl.) /etc/shadow?

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

Asbjorn Hojmark wrote:
> Hvordan synkroniserer man passwords mellem forskellige Linux-boxe?
>
> Jeg ønsker, at når man ændrer password på én, så bliver det automagisk
> opdateret på de andre maskiner. (Altså lidt li'som hvis man bruger et
> domæne på Windows-maskiner).

Jeg ville lige sætte en stemme for Kerberos. Som nævnt er det kun
authentication den kan klare - du skal finde andre måder at oprette
brugerids på, men til privat brug er antallet af maskiner vel ikke
større end at det kan lade sig gøre manuelt eller automatisk på
installationstidspunktet.

Windows klienter kan også bringes til at authenticate op mod en UNIX kdc
hvis det en dag bliver tiltrækkende.


--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

On Wed, 2007-02-14 at 09:10 +0100, Mogens Kjaer wrote:
> Passwords overføres krypteret, så de kan sniffes og crackes.

Hvis det er et problem, findes IPSec. :)

---

On Wed, 2007-02-14 at 14:52 +0000, Niels Kristian Jensen wrote:
> Det kræver så at man skal bruge samme distro. Det vel f.eks. blive noget
> rod hvis Debians www-data-bruger der bruges til alle apache-relaterede ting
> forsvinder eller får skiftet uid.

Hvis det er et problem kan du oprette en lokal password fil for de
enkelte specifikke ting for maskinerne og en global for alle brugerne.

Den globale kan du synke og merge ind i den lokale, eller bruge nsswitch
til at lave opslag i to filer.

---

On Wed, 2007-02-14 at 20:09 +0100, Mikael W. Bertelsen wrote:
> NIS har jeg afskrevet, for der er blandet lidt Windåser ind også, og

Vi køre fint med NIS og windows klienter op imod samba (dog skal der
slåes noget windows sikkerhed fra)

---

On Wed, 2007-02-14 at 22:27 +0100, Asbjorn Hojmark wrote:
> On Tue, 13 Feb 2007 23:02:24 +0100, "Christian E. Lysel"
> <christian@examples.net> wrote:
>
> > Jeg ville lave et cronjob der "rsync -ae ssh /etc/passwd /etc/group
> > andenserver:/etc/" en gang imellem.
>
> Hmm, virker det overhovedet? Skal det ikke være (inkl.) /etc/shadow?

Ja....tag shadow med hvis du bruger det...ellers virker det ikke.

Udover det er det "bare" filer, der er ikke noget magisk over det.

Der kan være problemer med indholdet af filer, at man bruger forskellig
måder at kryptere passwordet, at forskellige distro'er bruger
forskellige UID til de samme brugere....men det er løsninger på alle
problemerne...blot skal man helst finde dem før man går igang.

Du kan jo lave en test: Kopiere dem over i /tmp og bruge diff til at se
hvad forskellen er idag.

Vil du gerne undgå at brugere ændre deres password på en forkert maskine
kan du oprette /etc/passwd.lock .... hermed vil vipw og passwd ikke
ændre noget. passwd programmet kan så erstattes med et shell script der
ssh til masteren og køre passwd.

Har du maskiner uden shadow og med shadow kan du bruge "pwconv,
pwunconv, grpconv, grpunconv - convert to and from shadow passwords and
groups".


Hvilke distro'er køre du med og hvor mange maskiner?


Hvis du vil have en standard løsning uden at skulle alt for meget selv
er NIS det bedste valg...men betragt det som du kopiere filerne
ukrypteret (passwordene i filen er krypteret så det er ikke i klartekst,
men et bruteforce vil kunne finde nogle passwords)

---

On Thu, 15 Feb 2007 10:05:51 +0100, "Christian E. Lysel"
<christian@examples.net> wrote:

> Ja....tag shadow med hvis du bruger det...ellers virker det ikke.
> Udover det er det "bare" filer, der er ikke noget magisk over det.

Jeg roder lidt med det. Tak.

> Hvilke distro'er køre du med og hvor mange maskiner?

Lige i øjeblikket et par Ubuntu-maskiner, men også lidt virtuelle med
diverse, bl.a. FreeBSD.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

On Wed, 2007-02-14 at 20:09 +0100, Mikael W. Bertelsen wrote:
> Men hvad så hvis en bruger ikke er opmærksom på dette og opretter en ny
> bruger på en af maskinerne.

PÃ¥ slaverne laver man filen /etc/passwd.lock, hvilket forhindre maskinen
i at rette i /etc/passwd

Der er identiske mekanismer for /etc/group