---

Når man er root på en redhat 7.3 maskine (med PAM),
kan man give en vilkårlig bruger et vilkårligt password,
dvs. de sædvanlige minimum password længde og cracklib
tests bliver ikke håndhævet - jo, den kommer med en
"BAD PASSWORD" advarsel, men passwordet bliver skiftet
alligevel.

Er det muligt at sætte det sådan, at også root skal
overholde den regel?

Jeg for brug for dette idet jeg bruger passwd i
samba, så windows brugere kan skifte deres unix
og samba password på én gang.

Jeg er nødt til at bruge "unix password sync",
"passwd program" og "passwd chat" - fordi
passwd program peger på et script, som fyrer passwd
af både lokalt og på en anden maskine via ssh (NIS ikke
muligt).

Én på SSLUG's liste foreslog at su'e til brugeren
inden man kører passwd, men det duer ikke da man
ikke kender det gamle password.

Mogens
--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer wrote:
> Én på SSLUG's liste foreslog at su'e til brugeren
> inden man kører passwd, men det duer ikke da man
> ikke kender det gamle password.

Man behøver ikke kende passwordet, hvis su køres som root. Hvis ikke det
er root, der skal køre su, kan det måske løses ved at sætte en SUID-bit
på en kopi af su, og oprette en gruppe, der har ret til at køre
su-kopien. Hvilket kræver visse sikkerhedsovervejelser.

Desuden henvises der her i gruppen ofte til et værktøj, som hedder sudo,
som skulle være væsentligt mere fleksibelt end su. Det er måske også
værd at kigge på. Kender det dog ikke selv.

--
Lars Kongshøj
Registrer dig som linux-bruger:
http://counter.li.org/enter-person.php

---

Lars Kongshøj wrote:
> Man behøver ikke kende passwordet, hvis su køres som root.

Du misforstår mig.

Forskellen imellem:

1:   # passwd joeuser
2:   # su joeuser -c passwd

(begge kørt som root) er, at passwd i (2) kræver,
at man kender joeuser's gamle password. Og det
gør samba ikke.

Jeg vil finde på en anden løsning...

Mogens
--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

Mogens Kjaer wrote:
> Lars Kongshøj wrote:
>> Man behøver ikke kende passwordet, hvis su køres som root.
> Du misforstår mig.
> Forskellen imellem:
> 1: # passwd joeuser
> 2: # su joeuser -c passwd
> (begge kørt som root) er, at passwd i (2) kræver,
> at man kender joeuser's gamle password.

Du har selvfølgelig ret, så langt tænkte jeg ikke lige...

> Jeg vil finde på en anden løsning...

Hvad med at rette lidt i sourcen for passwd. Det må være minimalt, hvad
der skal rettes.

--
Lars Kongshøj

---

Lars Kongshøj wrote:

> Hvad med at rette lidt i sourcen for passwd. Det må være minimalt, hvad
> der skal rettes.

Det er ikke så simpelt.

Checket foregår i PAM modulet pam_cracklib.

Jeg kan ikke lide at patche PAM; så skal man
til at patche igen, hvis der kommer
opdateringer.

Jeg vil lave et selvstændigt program, som virker
næsten som pam_cracklib. Det kan jeg så kalde
fra mit passwd chat script fra samba. Hvis checket
fejler, bliver passwd så ikke kaldt.

Mogens


--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

On Wed, 18 Sep 2002 14:15:59 +0200, Mogens Kjaer <mk@crc.dk> wrote:

>Jeg for brug for dette idet jeg bruger passwd i
>samba, så windows brugere kan skifte deres unix
>og samba password på én gang.

Hvis du i første omgang alligevel har sat det i system gennem et
script, kan du så ikke lave et simpelt program, der blot tjekker
password'et vha. pam_cracklib-funktionerne, og hvis det er i orden så
først her køre passwd-kommandoen?

--
- Peter Brodersen

---

Peter Brodersen wrote:

> Hvis du i første omgang alligevel har sat det i system gennem et
> script, kan du så ikke lave et simpelt program, der blot tjekker
> password'et vha. pam_cracklib-funktionerne, og hvis det er i orden så
> først her køre passwd-kommandoen?
>

Det er jeg også nået frem til.

Mogens

--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

On Thu, 19 Sep 2002 12:17:39 +0200, Mogens Kjaer <mk@crc.dk> wrote:

>Det er jeg også nået frem til.

Bare af nysgerrighed; hvor lettilgængeligt er det så at bruge
cracklib-modulet sådan "uden videre"?

--
- Peter Brodersen

---

Peter Brodersen wrote:

> Bare af nysgerrighed; hvor lettilgængeligt er det så at bruge
> cracklib-modulet sådan "uden videre"?
>

Det havde jeg ikke tænkt mig at gøre.

Jeg har lavet et "nyt" program ved at lave en cut&paste
fra PAM modulet. Jeg har så fjernet alt, der har med
PAM at gøre.

Programmet bruger så libcrack til at slå op i ordbøger,
ligesom pam_cracklib gør det.

Det virker sådan set fint; mit problem nu er, at hvis
et password bliver afvist (enten fordi det ikke overholder
"min passwd length" i samba, eller fordi scriptet afviser
det), får Windows brugeren en fejlmeddelelse der siger,
at det _gamle_ password ikke er korrekt. Det er lidt
forvirrende...

Mogens

--
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk