Linux - Wegweiser für Netzwerker Online-Version Copyright © 2001 by O'Reilly Verlag GmbH & Co.KG Bitte denken Sie daran: Sie dürfen zwar die Online-Version ausdrucken, aber diesen Druck nicht fotokopieren oder verkaufen. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen. Wünschen Sie mehr Informationen zu der gedruckten Version des Buches Linux - Wegweiser für Netzwerker oder wollen Sie es bestellen, dann klicken Sie bitte hier.

NIS mit Shadow-Paßwörtern verwenden

NIS in Verbindung mit Shadow-Paßwortdateien ist eine etwas problematische Angelegenheit. Die schlechte Nachricht zuerst: Die Anwendung von NIS widerspricht dem ursprünglichen Zweck von Shadow-Paßwörtern. Shadow-Paßwörter wurden eingeführt, um zu verhindern, daß normale Benutzer die Paßwörter anderer Anwender, selbst im verschlüsselten Zustand, lesen können. Andererseits zwingt NIS sie dazu, daß diese Paßwörter netzwerkweit verfügbar sind, wodurch jeder Benutzer, der die Antworten des NIS-Servers im Netzwerk abhören kann, Zugriff auf sie erhält. Die Verpflichtung der Benutzer, nur “gute” Paßwörter zu verwenden, ist eine erheblich sinnvollere Maßnahme als ein Versuch, Shadow-Paßwörter in einer NIS-Umgebung zu verwalten. Werfen wir mal einen kurzen Blick darauf, wie Sie so etwas anstellen, sofern Sie sich dafür entschieden haben, hier weiterzumachen.

In libc5 gibt es keine wirkliche Lösung für das Problem, Shadow-Paßwörter mit NIS zu verwalten. Der einzige Weg, Paßwort- und Benutzerinformationen über NIS zu verteilen, sind die Standard-passwd.*-Maps. Wenn Sie Shadow-Paßwörter installiert haben, besteht die einfachste Möglichkeit der gemeinsamen Nutzung darin, eine ordentliche passwd-Datei aus /etc/shadow zu erzeugen (mit Tools wie pwuncov) und aus dieser Datei die entsprechenden NIS-Maps aufzubauen.

Natürlich sind einige Hacks nötig, um NIS und Shadow-Paßwörter gleichzeitig zu verwenden, beispielsweise indem Sie eine /etc/shadow-Datei auf jedem Host im Netzwerk installieren, während die Benutzerinformationen über NIS verteilt werden. Diese Vorgehensweise ist natürlich ziemlich grobschlächtig und läuft dem Ziel von NIS, die Systemadministration zu vereinfachen, völlig entgegen.

NIS in der GNU libc-Bibliothek (libc6) unterstützt Shadow-Paßwörter. Es bietet zwar keine echte Lösung, um auf Ihre Paßwörter zuzugreifen, vereinfacht aber die Paßwortverwaltung in Umgebungen, in denen Sie NIS mit Shadow-Paßwörtern verwenden wollen. Zur Anwendung müssen Sie eine shadow.byname-Datei erzeugen und die folgende Zeile in Ihre /etc/nsswitch.conf einfügen:

# Unterstützung von Shadow-Paßwörtern shadow:         compat

Wenn Sie Shadow-Paßwörter zusammen mit NIS benutzen, sollten Sie auf jeden Fall versuchen, die Systemsicherheit aufrechtzuerhalten, indem Sie den Zugriff auf Ihre NIS-Dateien einschränken. Dazu wird auf Sicherheit von NIS-Servern weiter vorn in diesem Kapitel verwiesen.

Weitere Informationen zum Linux - Wegweiser für Netzwerker

Weitere Online-Bücher & Probekapitel finden Sie in unserem Online Book Center