pwdis - readme (deutsch)

PWDIS - Lösung zur automatisierten Paßwortverteilung unter AIX und Linux ======================================================================== Diese Lösung füllt die Lücke für eine Anzahl von Systemen, die zu groß ist, um manuell Paßwörter zu verteilen und zu klein ist, NIS einzusetzen (also üblicherweise zwischen 3 und 50 Rechner). Übrigens: Wenn, dann sollten Sie aus Sicherheitsgründen nur NIS+ einsetzen und auch nur dann, wenn Sie zu viel Zeit haben ;-) 1. Hintergrund, Vor- und Nachteile ---------------------------------- Die hier vorgestellte Lösung hat gegenüber anderen Lösungsansätzen (wie file distribution oder .rhosts) mehrere Vorteile: - Es werden nicht alle Benutzeraccounts verteilt. Damit ist es möglich, daß nur Benutzerteilmengen auf den diversen Rechnern gehalten werden und nur die gemeinsamen Accounts abgeglichen werden. - Es ist eine 'Negativliste' mit Kennungen möglich, die auf keinen Fall abgeglichen werden sollen (z.B. bin, daemon, ...). Die Übertragung wird dadurch auf die tatsächlich benötigten Benutzer beschränkt. - Es können bis zu 64 Rechner (auf Wunsch auch mehr) abgeglichen werden. - Die Benutzer können über Aliasdefinitionen auf den Zielrechnern unterschiedlich lauten. - Die Paßwortübertragung erfolgt ohne Nutzung von .rhosts, sondern über eine Socketverbindung. - Die Socketkommunikation wird mittels RC4 verschlüsselt und beinhaltet einen Timestamp, um späteres Einspielen der Übertragung zu unterbinden. - Dieses Programm untersteht der GPL und ist vollständig im Quellcode verfügbar. Einschränkungen, Nachteile: - Der Abgleich erfolgt nur unidirektional. Das heißt, die Paßwörter müssen von den Benutzern auf einem zentralen Rechner geändert werden. Ein Lösungsansatz zur Umgehung dieser Einschränkung könnte sein, den Paßwortabgleich verschränkt auszuführen. Dies müßte dann aber direkt nach der Änderung erfolgen. Vorsicht: Dieses Verfahren habe ich noch nicht ausprobiert! - Die AIX-Flags können nicht auf Linux-Systeme übertragen werden, da dort diese Features nur indirekt vorhanden sind. - Aus Sicherheitsgründen dürfen siche die Uhren der betroffenen Rechner um maximal 3 Minuten voneinander unterscheiden. Falls jemand eine dieser Einschränkung aufgehoben haben will, soll sich bitte unter info@quoty.de melden! 2. Umfang/Installation ---------------------- AIX: Das Paket läßt sich unter AIX ganz einfach als übliches LPP mit installp installieren. Nach der Installation sollten die Konfigurationsdateien im Verzeichnis /usr/local/lib/pwdis-1.2/ nach den eigenen Bedürfnissen angepaßt und ins /etc Verzeichnis kopiert werden. Linux: Für Linux-Rechner können die Dateien unter /usr/local/lib/pwdis-1.2/linux auf einen entsprechenden Linux-Rechner (2.x) kopiert werden. Achtung: Die Konfigurationsdateien nicht vergessen! Hier muß allerdings der Eintrag in die /etc/inetd.conf manuell vorgenommen werden (anschließend kill -1 ausführen!). Auf dem Quellrechner könnte z.B. ein cron-Eintrag die Verteilung regelmäßig abgleichen: 40 * * * * /usr/local/sbin/pwdis >/var/adm/pwdis.log 2>&1 # passwd distribution AIX und Linux: ACHTUNG: Vor der ersten Nutzung muß außerdem noch mit dem Kommando /usr/local/sbin/pwkey ein Initial-Schlüssel unter /etc/.pwkey erzeugt werden, der per Diskette, ssh (o.ä.) auf alle betroffenen Rechner verteilt werden muß. Wenn Sie Fragen haben, lesen Sie bitte ERST die man-Pages (unter /usr/share/man/man8) und kontaktieren mich bitte bei hartknäckigen Problemen erst DANN ;-) Copyright (C) 1999-2003 R. Erl; E-Mail: info@quoty.de

www.quoty.de www.doquest.de	pwdis - readme (deutsch)
Wir über uns Computer AIX-Tipps Linux-Tipps Unx Allgemein ATM on Linux Download Area Freizeit* Urlaub Für unsere Freunde Was gibt's Neues Titel-Historie Links Internas Impressum	PWDIS - Lösung zur automatisierten Paßwortverteilung unter AIX und Linux ======================================================================== Diese Lösung füllt die Lücke für eine Anzahl von Systemen, die zu groß ist, um manuell Paßwörter zu verteilen und zu klein ist, NIS einzusetzen (also üblicherweise zwischen 3 und 50 Rechner). Übrigens: Wenn, dann sollten Sie aus Sicherheitsgründen nur NIS+ einsetzen und auch nur dann, wenn Sie zu viel Zeit haben ;-) 1. Hintergrund, Vor- und Nachteile ---------------------------------- Die hier vorgestellte Lösung hat gegenüber anderen Lösungsansätzen (wie file distribution oder .rhosts) mehrere Vorteile: - Es werden nicht alle Benutzeraccounts verteilt. Damit ist es möglich, daß nur Benutzerteilmengen auf den diversen Rechnern gehalten werden und nur die gemeinsamen Accounts abgeglichen werden. - Es ist eine 'Negativliste' mit Kennungen möglich, die auf keinen Fall abgeglichen werden sollen (z.B. bin, daemon, ...). Die Übertragung wird dadurch auf die tatsächlich benötigten Benutzer beschränkt. - Es können bis zu 64 Rechner (auf Wunsch auch mehr) abgeglichen werden. - Die Benutzer können über Aliasdefinitionen auf den Zielrechnern unterschiedlich lauten. - Die Paßwortübertragung erfolgt ohne Nutzung von .rhosts, sondern über eine Socketverbindung. - Die Socketkommunikation wird mittels RC4 verschlüsselt und beinhaltet einen Timestamp, um späteres Einspielen der Übertragung zu unterbinden. - Dieses Programm untersteht der GPL und ist vollständig im Quellcode verfügbar. Einschränkungen, Nachteile: - Der Abgleich erfolgt nur unidirektional. Das heißt, die Paßwörter müssen von den Benutzern auf einem zentralen Rechner geändert werden. Ein Lösungsansatz zur Umgehung dieser Einschränkung könnte sein, den Paßwortabgleich verschränkt auszuführen. Dies müßte dann aber direkt nach der Änderung erfolgen. Vorsicht: Dieses Verfahren habe ich noch nicht ausprobiert! - Die AIX-Flags können nicht auf Linux-Systeme übertragen werden, da dort diese Features nur indirekt vorhanden sind. - Aus Sicherheitsgründen dürfen siche die Uhren der betroffenen Rechner um maximal 3 Minuten voneinander unterscheiden. Falls jemand eine dieser Einschränkung aufgehoben haben will, soll sich bitte unter info@quoty.de melden! 2. Umfang/Installation ---------------------- AIX: Das Paket läßt sich unter AIX ganz einfach als übliches LPP mit installp installieren. Nach der Installation sollten die Konfigurationsdateien im Verzeichnis /usr/local/lib/pwdis-1.2/ nach den eigenen Bedürfnissen angepaßt und ins /etc Verzeichnis kopiert werden. Linux: Für Linux-Rechner können die Dateien unter /usr/local/lib/pwdis-1.2/linux auf einen entsprechenden Linux-Rechner (2.x) kopiert werden. Achtung: Die Konfigurationsdateien nicht vergessen! Hier muß allerdings der Eintrag in die /etc/inetd.conf manuell vorgenommen werden (anschließend kill -1 ausführen!). Auf dem Quellrechner könnte z.B. ein cron-Eintrag die Verteilung regelmäßig abgleichen: 40 * * * * /usr/local/sbin/pwdis >/var/adm/pwdis.log 2>&1 # passwd distribution AIX und Linux: ACHTUNG: Vor der ersten Nutzung muß außerdem noch mit dem Kommando /usr/local/sbin/pwkey ein Initial-Schlüssel unter /etc/.pwkey erzeugt werden, der per Diskette, ssh (o.ä.) auf alle betroffenen Rechner verteilt werden muß. Wenn Sie Fragen haben, lesen Sie bitte ERST die man-Pages (unter /usr/share/man/man8) und kontaktieren mich bitte bei hartknäckigen Problemen erst DANN ;-) Copyright (C) 1999-2003 R. Erl; E-Mail: info@quoty.de