freenx: root-login ermöglichen ?
Hallo ML; nachdem mir hier vor einiger Zeit freenx wärmstens ans Herz gelegt wurde, habe ich das mal installiert. Erste Frage: Ist es möglich, sich damit auch als root über freeNX an einer LinuxKiste anzumelden ? Zeite Frage: Wenn ich das Prozedere richtig verstehe, legt das freenx-Setup (mit nxsetup --install ...) einen user nx an. Der hat als shell /usr/bin/nxserver . Starte ich den NX-client unter Windows (ich muss immer von Windows auf Linux), so konnektiert dieser über ssh den LinuxHost. Die Authentifizierung zwischen dem Clientprogramm und meinen ssh-Server geht dann über ein Schlüsselpaar ? Ich werde ja für den User nx nicht nach einem Passwort gefragt. Ich habe nxsetup folgendermaßen gestartet: nxsetup --install --setup-nomachine-key --clean Wenn ich nxsetup --help richtig verstehe, haben dann alle Clients weltweit, die so installiert werden, auch das gleiche Schlüsselpaar. Sprich, die könnten alle zumindest über ssh an meinen Account nx ran, oder ? Ich bin in einem LAN, ssh ist nicht nach außen freigegeben, aber so ganz passt mir das trotzdem nicht. Wie kann ich denn da bitte ein individuelles Schlüsselpaar erzeugen und nx beibiegen ? Wo lege ich den im client ab ? Danke. Bernd _________________________________ Bernd Lentes staatl. geprüfter Techniker Systemadministration Institut für Entwicklungsgenetik GSF Raum 35/1008f Ingolstädter Landstraße 1 85764 München-Neuherberg mailto:bernd.lentes@gsf.de phoneto:089/3187-1241 faxto:089/3187-3826 http://www.gsf.de/idg -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Am 30.05.2007 12:17 schrieb Lentes, Bernd:
Erste Frage: Ist es möglich, sich damit auch als root über freeNX an einer LinuxKiste anzumelden ?
Keine Ahnung. Liegt die Beschränkung nicht beim Login-Manager (kdm,...)? Keine Ahnung ob das Anlegen der Benutzer auf einer Suse nötig ist, aber "nx-server --adduser root" und "nxserver --passwd root" kannst du ja mal ausprobieren. Ich würde dir aber dazu raten, dich als Benutzer einzuloggen, und da dann alles per sudo/su/kdesu/gksudo/... zu starten. Ist AFAIK sicherer.
Zeite Frage: Wenn ich das Prozedere richtig verstehe, legt das freenx-Setup (mit nxsetup --install ...) einen user nx an. Der hat als shell /usr/bin/nxserver . Starte ich den NX-client unter Windows (ich muss immer von Windows auf Linux), so konnektiert dieser über ssh den LinuxHost.
Ja.
Die Authentifizierung zwischen dem Clientprogramm und meinen ssh-Server geht dann über ein Schlüsselpaar ? Ich werde ja für den User nx nicht nach einem Passwort gefragt.
Ja.
Ich habe nxsetup folgendermaßen gestartet: nxsetup --install --setup-nomachine-key --clean
Wenn du das --setup-nomachine-key weglässt hast du deinen eigenen Schlüssel.
Wenn ich nxsetup --help richtig verstehe, haben dann alle Clients weltweit, die so installiert werden, auch das gleiche Schlüsselpaar. Sprich, die könnten alle zumindest über ssh an meinen Account nx ran, oder ?
Ja, wobei der nxserver ja auch noch eine Beschränkung hat. Auf Suse nutzer aber IIRC PAM, also dürfen sowieso nur Systembenutzer (also die in /etc/passwd existierenden) ran. Das ist aber Halbwissen, nagel mich da bitte nicht drauf fest.
Ich bin in einem LAN, ssh ist nicht nach außen freigegeben, aber so ganz passt mir das trotzdem nicht. Wie kann ich denn da bitte ein individuelles Schlüsselpaar erzeugen und nx beibiegen ?
Lass den --setup... Parameter weg.
Wo lege ich den im client ab ?
Unter Linux in /usr/NX/share/keys/, da liegt schon ein Schlüssel, das ist der NOMACHINE-Key. Umbenennen und deinen da hin. OJ - -- "Alan, du bist wie ein Alzheimerkranker in einem Bordell." "Wie bitte?" "Du wunderst dich andauernd dass du aufs Kreuz gelegt wurdest, und du willst nicht dafür bezahlen." (Two and a half Men) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFGZaXiMAex/QZx/TMRAs4yAJ44+4l9WBhcB0kXYCDgwO+9ZZ9VUACfXrKP 100K6sZ8SSZmr2mObRHzaOM= =TbDP -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Johannes,
Keine Ahnung. Liegt die Beschränkung nicht beim Login-Manager (kdm,...)? Glaub ich nicht. Ich kann mich ja lokal über kdm als root anmelden. Außerdem würde, wenn kdm/gdm im Spiel wäre, XDMCP involviert sein, und das ist hier nicht der Fall, so wie ich das sehe.
Wenn ich nxsetup --help richtig verstehe, haben dann alle Clients weltweit, die so installiert werden, auch das gleiche Schlüsselpaar. Sprich, die könnten alle zumindest über ssh an meinen Account nx ran, oder ?
Ja, wobei der nxserver ja auch noch eine Beschränkung hat. Auf Suse nutzer aber IIRC PAM, also dürfen sowieso nur Systembenutzer (also die in /etc/passwd existierenden) ran. Das ist aber Halbwissen, nagel mich da bitte nicht drauf fest. Ja, aber alle die dann nx installiert haben, haben den gleichen User (nx) mit dem gleichen Schlüsselpaar. nx steht dann bei jedem in /etc/passwd bzw. shadow drin, oder ?
Ich bin in einem LAN, ssh ist nicht nach außen freigegeben, aber so ganz passt mir das trotzdem nicht. Wie kann ich denn da bitte ein individuelles Schlüsselpaar erzeugen und nx beibiegen ?
Lass den --setup... Parameter weg. O.k.
Unter Linux in /usr/NX/share/keys/, da liegt schon ein Schlüssel, das ist der NOMACHINE-Key. Umbenennen und deinen da hin.
Habe ich leider nicht. Ich kann nur /etc/nxserver anbieten: pc52785:/etc/nxserver # ll total 56 -rw-r--r-- 1 nx root 14782 May 31 16:10 node.conf -rw-r--r-- 1 nx root 14782 May 30 13:53 node.conf.rpmsave -rw-r--r-- 1 nx root 13847 May 31 11:23 node.conf.sik -rw------- 1 nx root 0 May 31 11:23 passwords -rw------- 1 nx root 0 May 31 11:23 passwords.orig -rw------- 1 nx root 668 May 31 11:23 users.id_dsa -rw-r--r-- 1 nx root 602 May 31 11:23 users.id_dsa.pub Welche der Dateien wäre dann zu ersetzen ? Danke. Bernd
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On 06/06/2007 10:31 AM Lentes, Bernd wrote:
Ja, aber alle die dann nx installiert haben, haben den gleichen User (nx) mit dem gleichen Schlüsselpaar. nx steht dann bei jedem in /etc/passwd bzw. shadow drin, oder ?
Als Benutzer nx kann sich jeder anmelden, das ist richtig. Aber dann ist er noch nicht im NX-Server, denn der lässt dann nicht alle Benutzern rein (wenn ich das richtig verstanden habe).
Unter Linux in /usr/NX/share/keys/, da liegt schon ein Schlüssel, das ist der NOMACHINE-Key. Umbenennen und deinen da hin.
Habe ich leider nicht. Ich kann nur /etc/nxserver anbieten:
Da stammen die Dateien her. Wenn du einen Client installiert hast unter Linux, dann ist der Schlüssel, den der Client nimmt, in /usr/NX/share/keys.
pc52785:/etc/nxserver # ll -rw------- 1 nx root 668 May 31 11:23 users.id_dsa -rw-r--r-- 1 nx root 602 May 31 11:23 users.id_dsa.pub
Welche der Dateien wäre dann zu ersetzen ?
Keine, s.o. Eine der users.id_dsa-Dateien gehört auf die Clients nach /usr/NX/share/keys oder dem entsprechenden Windowspfad. Welche verwechsle ich immer... ;-) OJ - -- Wer seinen Willen durchsetzen will, muß leise sprechen. (Jean Giraudoux) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux) iD8DBQFGZu4DMAex/QZx/TMRAmN7AJ97fuopHUojL4mvSKMgPklb0gnmrQCfbjym o7ILBw6FFLeXAwkozQW16BU= =eKty -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Original Message----- From: news [mailto:news@sea.gmane.org] On Behalf Of Johannes Kastl Sent: Wednesday, June 06, 2007 7:25 PM To: opensuse-de@opensuse.org Subject: Re: freenx: root-login ermöglichen ?
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Als Benutzer nx kann sich jeder anmelden, das ist richtig. Aber dann ist er noch nicht im NX-Server, denn der lässt dann nicht alle Benutzern rein (wenn ich das richtig verstanden habe). Stimmt auch wieder.
Unter Linux in /usr/NX/share/keys/, da liegt schon ein Schlüssel, das ist der NOMACHINE-Key. Umbenennen und deinen da hin.
Habe ich leider nicht. Ich kann nur /etc/nxserver anbieten:
Da stammen die Dateien her. Wenn du einen Client installiert hast unter Linux, dann ist der Schlüssel, den der Client nimmt, in /usr/NX/share/keys. O.k. Will aber mit Windows drauf.
pc52785:/etc/nxserver # ll -rw------- 1 nx root 668 May 31 11:23 users.id_dsa -rw-r--r-- 1 nx root 602 May 31 11:23 users.id_dsa.pub
Welche der Dateien wäre dann zu ersetzen ?
Keine, s.o. Eine der users.id_dsa-Dateien gehört auf die Clients nach /usr/NX/share/keys oder dem entsprechenden Windowspfad. Welche verwechsle ich immer... ;-) Eselsbrücke (soweit ich ssh verstehe): Ssh verschlüsselt asymmetrisch, mit einem Schlüsselpaar aus unterschiedlichen, aber zusammengehörigen Schlüsseln. Einem privaten und einem public key. Der private ist_PRIVAT_, sprich, bleibt auf der Kiste, eventl. passwortgeschützt, Berechtigungen restriktiv gesetzt. Der public ist public, kann jeder haben/lesen. Berechtigungen nicht restriktiv gesetzt. Somit wäre oben ganz klar der user.id_dsa.pub auf den Client zu kopieren. .pub deutet auf public hin, und die Berechtigung sagt sowieso "word-readable". O.k. ? Zu ssh und Schlüüsseln ist in der neusten Linux-magazin ein kleiner, netter Artikel.
Bernd
OJ - -- Wer seinen Willen durchsetzen will, muß leise sprechen. (Jean Giraudoux) -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.5 (GNU/Linux)
iD8DBQFGZu4DMAex/QZx/TMRAmN7AJ97fuopHUojL4mvSKMgPklb0gnmrQCfbjym o7ILBw6FFLeXAwkozQW16BU= =eKty -----END PGP SIGNATURE-----
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd schrieb:
Keine Ahnung. Liegt die Beschränkung nicht beim Login-Manager (kdm,...)? Glaub ich nicht. Ich kann mich ja lokal über kdm als root anmelden. Außerdem würde, wenn kdm/gdm im Spiel wäre, XDMCP involviert sein, und das ist hier nicht der Fall, so wie ich das sehe.
Wenn ich aber einen Blick in die kdmrc werfe, sehe ich einen Block für das lokale erste Display, dann einen Block für die restlichen lokalen Displays und dann einen für alle Displays (also die externen). Folglich kann man für lokale Displays andere Einstellungen festlegen als für externe. Und vor allem hier mischt doch dann die Option AllowRootLogin=false|true gewaltig mit! Martin -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Johannes Kastl -
Lentes, Bernd -
Martin Ereth