Daniel Lord
Hi,
On Fri, 26 Aug 2005, Bernd Kloss wrote:
Wie kann man den Bestand an Usern mit den alten Passwörtern auf den neuen Server übernehmen?
einfach die Passwort-/User-/Gruppendateien + Homeverzeichnisse übernehmen.
Es scheint so zu sein, dass die Verschlüsselung von 8.2 auf 9.3 geändert wurde, so dass ein einfaches Umkopieren und Korrektur der Usernummern (aus dem 500er Bereich auf den 1000er Bereich) nicht genügen.
das glaube ich kaum. Allerdings lasse ich mich gerne eines besseren belehren ;). Ich habe leider keine SuSE um das auf die schnelle zu testen. Vielleicht kannst du mir aber einfach einen User auf deinen SuSE anlegen, dem ein PW geben und mir das Ergebnis schicken.
SuSE 8.2 und SuSE 9.3 useradd neueruser passwd neueruser grep neueruser /etc/shadow
Muss man wirklich alle antreten lassen, um neue Passwörter einzutippen?
glaube ich nicht. Es seiden es sind noch DES Passwörter, dann wird es langsam aber sicher Zeit die auf das inzwischen auch schon als unsicher eingestufte MD5 zu ändern ;) ... keine Angst sooo unsicher ist es dann auch wieder nicht *g*
Greetings Daniel
Hallo, wir haben unseren Standard-Testuser tu angelegt. Der hat das PW Tester" Unter 8.2 funktioniert das " (Anführungszeichen), unter 9.3 jedoch nicht Bei der Einbgabe des PW mit passwd tu stürzt das passwd ab und keine weiteren Eingaben sind möglich. Zumindest ein alter User ist damit nicht übertragbar. Daraus habe ich geschlossen, dass sich was geändert hat. Habe aber in der Datenbank nichts geeignetes zu Passwörtern gefunden. Wie machen es denn andere Netzwerker mit mehreren Usern, wennn da umgestellt wird? Gruß Bernd _________________________________________________________________________ Mit der Gruppen-SMS von WEB.DE FreeMail können Sie eine SMS an alle Freunde gleichzeitig schicken: http://freemail.web.de/features/?mc=021179
Bernd Kloss wrote:
wir haben unseren Standard-Testuser tu angelegt. Der hat das PW
Tester"
Unter 8.2 funktioniert das " (Anführungszeichen), unter 9.3 jedoch nicht Bei der Einbgabe des PW mit passwd tu stürzt das passwd ab und keine weiteren Eingaben sind möglich. Zumindest ein alter User ist damit nicht übertragbar. Daraus habe ich geschlossen, dass sich was geändert hat. Habe aber in der Datenbank nichts geeignetes zu Passwörtern gefunden.
Du kannst ja versuchen, die Verschlüsselungsmethode von md5 nach 3DES zu ändern. Wenn es dann nicht funktioniert hat Suse tatsächlich den Code inkompatible geändert. Sandy
Hi, On Fri, 26 Aug 2005, Bernd Kloss wrote:
Daniel Lord
schrieb am 26.08.05 12:39:16: SuSE 8.2 und SuSE 9.3 useradd neueruser passwd neueruser grep neueruser /etc/shadow
wir haben unseren Standard-Testuser tu angelegt. Der hat das PW
Tester"
Unter 8.2 funktioniert das " (Anführungszeichen), unter 9.3 jedoch nicht Bei der Einbgabe des PW mit passwd tu stürzt das passwd ab und keine weiteren Eingaben sind möglich.
lol das ist nun wirklich keine geignete Reaktion auf so ein PW. passwd tu:x:1010:500::/home/tu:/bin/bash shadow tu:$1$wBLbLSyf$tlBxw0LJST74POv1JoiLw0:13021:0:99999:7::: sowas in der Art sollte dabei rauskommen. Sieht das bei deiner alten Installation ähnlich aus? Interessant ist der folgende Teil: $1$wBLbLSyf$tlBxw0LJST74POv1JoiLw0 $1$xxxxxxxx$ <- salt Begrenzung und md5 Indikator. wBLbLSyf <- salt tlBxw0LJST74POv1JoiLw0 <- md5 Hash bei dir sieht das sicher anderst aus, da du einen anderen salt Wert verwenden wirst. Länge und Aufbau müssen aber die gleiche sein. Wenn nicht verwendest du noch die einfachen DES oder 3DES Passwörter. Dann sieht dein PW ziemlich sicher so "GEikd53MPqQhA" aus.
Zumindest ein alter User ist damit nicht übertragbar.
er ist nur nicht neu anlegbar. Das heißt aber nicht, dass er nicht übertragbar ist.
Daraus habe ich geschlossen, dass sich was geändert hat.
Ja, passwd hat da wohl einen Bug. Oder zumindest verhält es sich auf einer SuSE anderst als auf meinem System. ;)
Wie machen es denn andere Netzwerker mit mehreren Usern, wennn da umgestellt wird?
a) PWs nur über Webinterface ändern lassen und Plaintext "sicher" speichern. Dann kannst du in Zukunft neue Hashes per Script automatisch generieren (pöser Rat) b) User vor dem Umbau bitten ihr neues PW auf einem Webinterface einzugeben. (auch pöse) c) Monatlichen PW Wechsel etwas vorziehen. User melden sich so lange mit den alten DES PW's an, bis sie es einmal geändert haben. Dann schreibt der Server ein neues MD5 PW Für c) musst du nicht mal große Kopfstände machen. PAM kann unterscheiden ob das PW in shadow 3DES oder MD5 ist und jedesmal den User richtig authentifizieren. D.h. du mußt nur deine alten PW's übernehmen und warten bis sich der User einmal ein neues PW anlegen mußte. So hast du dann spätestens nach einem Monat alle PWs auf MD5 migriert. Und wer nach 2 Monaten immer noch DES drin hat fliegt raus *g* Bei den Webinterface Geschichten ist allerdings Vorsicht geboten. Wenn du deine User daran gewöhnst ihr PW in irgend welche Webseiten einzugeben hast du bei einer entsprechenden Phishing Mail ganz schnell ein riesen Problem ;) Greetings Daniel -- "Da die Ehe die körperliche Liebe im Allgemeinen nicht mit einschließt, schiene es vernünftig, das eine unverblümt vom andern zu trennen" - Simone de Beauvoir -
Am 26.08.2005 um 15:22 Uhr schrieb Daniel Lord:
Für c) musst du nicht mal große Kopfstände machen. PAM kann unterscheiden ob das PW in shadow 3DES oder MD5 ist und jedesmal den User richtig authentifizieren. D.h. du mußt nur deine alten PW's übernehmen und warten bis sich der User einmal ein neues PW anlegen mußte. So hast du dann spätestens nach einem Monat alle PWs auf MD5 migriert. Und wer nach 2 Monaten immer noch DES drin hat fliegt raus *g*
Bei den Webinterface Geschichten ist allerdings Vorsicht geboten. Wenn du deine User daran gewöhnst ihr PW in irgend welche Webseiten einzugeben hast du bei einer entsprechenden Phishing Mail ganz schnell ein riesen Problem ;)
Sehe ich (aus eigener Erfahrung) auch so! Bei Bernds Frage würde ich gerne noch ein bisschen herumspielen: Auf 8.2 die passwd und shadow in ein Verzeichnis kopieren und diesen Befehl ausführen: # pwunconf -P /Verzeichnis_zu_passwd_shadow/ Die neuenstandene passwd in ein Verzeichnis auf 9.3 kopieren und dann diesen Befehl ausführen: # pwconf -P /Verzeichnis_zu_passwd_shadow/ Die neuenstandenen passwd und shadow dann mit der 9.3 testen. Sollte pwconf einen Fehler melden, gibt es tatsächlich eine Änderung der 'Verschlüsselungsversion'. @Bernd Was passiert, wenn du passwd und shadow einfach 1:1 kopierst? cu PeeGee
Am 26.08.2005 um 21:41 Uhr schrieb Peter Geerds:
Bei Bernds Frage würde ich gerne noch ein bisschen herumspielen:
Auf 8.2 die passwd und shadow in ein Verzeichnis kopieren und diesen Befehl ausführen:
# pwunconf -P /Verzeichnis_zu_passwd_shadow/
Muss natürlich pwunconv heißen. ^ Sorry - pwdutils der SuSE 8.2 kennen die Option -P nicht! Also vorher die passwd und shadow sichern, die die files in /etc verwendet werden.
Die neuenstandene passwd in ein Verzeichnis auf 9.3 kopieren und dann diesen Befehl ausführen:
# pwconf -P /Verzeichnis_zu_passwd_shadow/ pwconv ;-)
So spät sollte man sich doch nicht mehr an den Computer setzen :-)) Ich habe das gerade einmal unter qemu ausprobiert mit SuSE 8.2 und 9.2 - da funktioniert es. cu PeeGee
participants (4)
-
Bernd Kloss
-
Daniel Lord
-
Peter Geerds
-
Sandy Drobic