Benutzerkonten beschränken

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Sun May 3 17:31:39 CEST 2009 

Hallo Georg, hallo Christian,

Christian Kuelker schrieb:
> Hallo Georg,
> 
> Georg Damm wrote:
>> gibt es eine Möglichkeit, die LDAP-Accounts auf bestimmte IPs zu 
>> beschränken. Ich würde gerne Gruppenaccounts für samba einrichten, 
>> die aber nur von bestimmten Rechnern nutzbar sein sollen.

da es um *Samba* geht:
- du kannst im LDAP die Accounts auf bestimmte Rechner beschränken
- du kannst im LDAP die Accounts *NICHT* auf bestimmte IPs beschränken

ich gehe mal davon aus, dass es dir darum geht, bestimmte(?) Accounts
auf bestimmte Rechner zu beschränken. Das kann Samba/LDAP von Haus aus.

> * Generell bieten IP basierte Sicherheitsmaßnahmen keine Sicherheit.
> 
> * Accounts im LDAP haben keine IP Information.

das mag sein, aber man kann zum (Samba-)Account Rechner hinterlegen.

aus dem Samba-Schema kopiert:

attributetype ( 1.3.6.1.4.1.7165.2.1.36 NAME 'sambaUserWorkstations'
	DESC 'List of user workstations the user is allowed to logon to'
	EQUALITY caseIgnoreMatch
	SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{255} SINGLE-VALUE )


unter http://gertranssmb3.berlios.de/output/passdb.html findet man:

sambaUserWorkstations	

<kopie>
Hier können Sie eine komma-getrennte Liste von Maschinen angeben, an
denen sich der Benutzer anmelden darf. Es könnten Probleme auftreten,
wenn Sie sich an einem Samba-Domänen-Mitglied anzumelden versuchen. Weil
Domänen-Mitglieder nicht in dieser Liste sind, werden die
Domänencontroller sie zurückweisen. Wo dieses Attribut weggelassen wird,
setzt die Standard-Einstellung keinerlei Einschränkungen.
</kopie>

Es ist also doch eher trivial, für diese betreffenden Accounts die
Rechner vorzugeben, wo sich dieser Account anmelden darf. ansonsten gibt
es die angegebenen Probleme, was ja dann gewünscht ist ;)

> * Bei Samba Accounts bin ich mir nicht ganz sicher, aber da Samba
> auch mit UDP basierte Kommunikation funktioniert, greifen hier IP
> basierte Regeln moeglicherweise nicht.
> 
> Da die Authentifizierung i.d.R. ueber PAM gehandhabt wird, stehen
> bei der Anfrage nur Login, und Passwort im Request zur Verfuegung.
> PAM und somit LDAP haben zu diesem Zeitpunkt keine Information, von
> woher der Request kam, zumal die Aussage ueber IP oder Rechnernahme
> sowieso nicht valide ist. (solange man keinen erheblichen Aufwand
> treibt)

Das sehe ich nicht so, sofern die Anmeldung an der Domäne erfolgt.
Dann ist der Rechnername doch valide! die Anmeldung des Rechners erfolgt
doch vor der Anmeldung des Nutzers.

> Du weisst das vermutlich besser als ich, im Samba LDAP Schema gibt
> es, glaube ich, keine Felder, die auf diese Art der
> Restriktionsmoeglichkeit schliessen lassen, oder?

siehe oben.

> In der Vergangenheit habe ich mal von Loesungen gehoert, die z.B.
> die user surfer1, ..., surfer16 auf jeweils Rechner1, ..., Rechner16
> beschraenkt haben. Dieses wurde, soweit ich mich recht erinnere,
> aber durch Skript basierte Filter an den jeweiligen Loginmanagern
> (z.B. KDM) geloest. Sprich, wenn Login Nummer und Rechner Nummer
> nicht identisch ist, dann brich das Login ab.

warum Lösungen suchen, die mit Scripten etwas nachbauen, was Samba eh
schon kann?

Mit freundlichen Grüßen
Hans-Dietrich

More information about the User mailing list