Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Passwortlänge bei Eisfair
3 views
Skip to first unread message
Detlef Paschke
Nov 11, 2016, 5:05:46 PM11/11/16
to
Hallo an alle,
durch einen Tippfehler ist mir gerade aufgefallen, dass bei Eisfair nur
die ersten 8 Zeichen des Passwortes ausgewertet werden. Alles was
dahinter kommt ist E1 scheiß egal.
Keine Ahnung wie alt diese Vorgabe schon ist aber in Anbetracht immer
leistungsstärkerer Rechentechnik in Verbindung mit Brute-Force-Attacken
sollte diese Begrenzung sicher dringend aufgehoben werden.
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
durch einen Tippfehler ist mir gerade aufgefallen, dass bei Eisfair nur
die ersten 8 Zeichen des Passwortes ausgewertet werden. Alles was
dahinter kommt ist E1 scheiß egal.
Keine Ahnung wie alt diese Vorgabe schon ist aber in Anbetracht immer
leistungsstärkerer Rechentechnik in Verbindung mit Brute-Force-Attacken
sollte diese Begrenzung sicher dringend aufgehoben werden.
Viele Grüße
Detlef Paschke
--
registered Fli4l-User #00000209
Das "Zitat des Augenblicks" gibt es nur auf
http://www.schabau.goip.de
Christoph Schulz
Nov 11, 2016, 5:35:53 PM11/11/16
to
Hallo!
Detlef Paschke schrieb:
> Hallo an alle,
>
> durch einen Tippfehler ist mir gerade aufgefallen, dass bei Eisfair nur
> die ersten 8 Zeichen des Passwortes ausgewertet werden. Alles was
> dahinter kommt ist E1 scheiß egal.
Wann wurde das betreffende Passwort das letzte Mal gesetzt/verändert? Erst
vor kurzem oder schon vor langer Zeit?
Hintergrund: Es ist auf allen Linux-Systemen verbreitet, die eingebaute
crypt()-Funktion zur Berechnung der Passwort-Hashwerte zu verwenden. Diese
unterstützte ursprünglich nur einen modifizierten DES-Algorithmus, der nur
die ersten acht Zeichen zur Ableitung des DES-Schlüssels benutzt hat.
Systeme neueren Datums nutzen statt DES modernere Algorithmen wie SHA-256
oder SHA-512, bei denen alle Zeichen wichtig sind. Ich nehme an, bei eisfair
wird inzwischen standardmäßig auch ein anderer Algorithmus als DES verwendet
(dies wird typischerweise in /etc/login.defs mit Hilfe der Variablen
ENCRYPT_METHOD eingestellt), aber dies wirkt sich nur auf neu erstellte
Passwörter aus, nicht auf Passwörter, die vor der Konfigurationsänderung
erstellt wurden.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Detlef Paschke schrieb:
> Hallo an alle,
>
> durch einen Tippfehler ist mir gerade aufgefallen, dass bei Eisfair nur
> die ersten 8 Zeichen des Passwortes ausgewertet werden. Alles was
> dahinter kommt ist E1 scheiß egal.
vor kurzem oder schon vor langer Zeit?
Hintergrund: Es ist auf allen Linux-Systemen verbreitet, die eingebaute
crypt()-Funktion zur Berechnung der Passwort-Hashwerte zu verwenden. Diese
unterstützte ursprünglich nur einen modifizierten DES-Algorithmus, der nur
die ersten acht Zeichen zur Ableitung des DES-Schlüssels benutzt hat.
Systeme neueren Datums nutzen statt DES modernere Algorithmen wie SHA-256
oder SHA-512, bei denen alle Zeichen wichtig sind. Ich nehme an, bei eisfair
wird inzwischen standardmäßig auch ein anderer Algorithmus als DES verwendet
(dies wird typischerweise in /etc/login.defs mit Hilfe der Variablen
ENCRYPT_METHOD eingestellt), aber dies wirkt sich nur auf neu erstellte
Passwörter aus, nicht auf Passwörter, die vor der Konfigurationsänderung
erstellt wurden.
Viele Grüße,
--
Christoph Schulz
[fli4l-Team]
Juergen Edner
Nov 11, 2016, 5:50:16 PM11/11/16
to
Hallo Detlef,
> durch einen Tippfehler ist mir gerade aufgefallen, dass bei Eisfair nur
> die ersten 8 Zeichen des Passwortes ausgewertet werden. Alles was
> dahinter kommt ist E1 scheiß egal.
> Keine Ahnung wie alt diese Vorgabe schon ist aber in Anbetracht immer
> leistungsstärkerer Rechentechnik in Verbindung mit Brute-Force-Attacken
> sollte diese Begrenzung sicher dringend aufgehoben werden.
schaue doch bitte einmal in der Datei /etc/shadow welcher
Hash-Algorithmus für das Kennwort des relevanten Users verwendet
wird. Erkennbar ist dies an den ersten Zeichen des Kennwortes
(zweites Datenfeld).
$1$ means you are using MD5
$2$ or $2a$ means you are using blowfish
$5$ means you are using SHA-256
$6$ means you are using SHA-512
Üblicherweise sollten die Kennwörter mit '$6$' beginnen. Falls ein
Kennworteintrag nicht mit '$num$ beginnt, wird für das Kennwort noch
DES verwendet was die Kennwortlänge auf 8 Zeichen begrenzt.
Siehe auch:
http://superuser.com/questions/148971/what-is-the-max-length-of-password-on-unix-linux-system
Ich habe gerade einmal für einen bestehenden User das Kennwort geändert
und ein Kennwort mir mehr als 8 Zeichen eingegeben. Anschließend musste
ich es auch wieder in voller Länge eingeben um mich anmelden zu können.
Gruß Jürgen
--
Mail: jue...@eisfair.org
> durch einen Tippfehler ist mir gerade aufgefallen, dass bei Eisfair nur
> die ersten 8 Zeichen des Passwortes ausgewertet werden. Alles was
> dahinter kommt ist E1 scheiß egal.
> Keine Ahnung wie alt diese Vorgabe schon ist aber in Anbetracht immer
> leistungsstärkerer Rechentechnik in Verbindung mit Brute-Force-Attacken
> sollte diese Begrenzung sicher dringend aufgehoben werden.
Hash-Algorithmus für das Kennwort des relevanten Users verwendet
wird. Erkennbar ist dies an den ersten Zeichen des Kennwortes
(zweites Datenfeld).
$1$ means you are using MD5
$2$ or $2a$ means you are using blowfish
$5$ means you are using SHA-256
$6$ means you are using SHA-512
Üblicherweise sollten die Kennwörter mit '$6$' beginnen. Falls ein
Kennworteintrag nicht mit '$num$ beginnt, wird für das Kennwort noch
DES verwendet was die Kennwortlänge auf 8 Zeichen begrenzt.
Siehe auch:
http://superuser.com/questions/148971/what-is-the-max-length-of-password-on-unix-linux-system
Ich habe gerade einmal für einen bestehenden User das Kennwort geändert
und ein Kennwort mir mehr als 8 Zeichen eingegeben. Anschließend musste
ich es auch wieder in voller Länge eingeben um mich anmelden zu können.
Gruß Jürgen
--
Mail: jue...@eisfair.org
Marcus Roeckrath
Nov 11, 2016, 6:00:02 PM11/11/16
to
Hallo Christoph,
Christoph Schulz wrote:
> Hintergrund: Es ist auf allen Linux-Systemen verbreitet, die eingebaute
> crypt()-Funktion zur Berechnung der Passwort-Hashwerte zu verwenden. Diese
> unterstützte ursprünglich nur einen modifizierten DES-Algorithmus, der nur
> die ersten acht Zeichen zur Ableitung des DES-Schlüssels benutzt hat.
> Systeme neueren Datums nutzen statt DES modernere Algorithmen wie SHA-256
> oder SHA-512, bei denen alle Zeichen wichtig sind. Ich nehme an, bei
> eisfair wird inzwischen standardmäßig auch ein anderer Algorithmus als DES
> verwendet (dies wird typischerweise in /etc/login.defs mit Hilfe der
> Variablen ENCRYPT_METHOD eingestellt), aber dies wirkt sich nur auf neu
> erstellte Passwörter aus, nicht auf Passwörter, die vor der
> Konfigurationsänderung erstellt wurden.
Aktuell ist das auf eis so gesetzt:
ENCRYPT_METHOD SHA512
und es werden lange Passwörter unterstützt, wie gerade getestet.
--
Gruss Marcus
Christoph Schulz wrote:
> Hintergrund: Es ist auf allen Linux-Systemen verbreitet, die eingebaute
> crypt()-Funktion zur Berechnung der Passwort-Hashwerte zu verwenden. Diese
> unterstützte ursprünglich nur einen modifizierten DES-Algorithmus, der nur
> die ersten acht Zeichen zur Ableitung des DES-Schlüssels benutzt hat.
> Systeme neueren Datums nutzen statt DES modernere Algorithmen wie SHA-256
> oder SHA-512, bei denen alle Zeichen wichtig sind. Ich nehme an, bei
> eisfair wird inzwischen standardmäßig auch ein anderer Algorithmus als DES
> verwendet (dies wird typischerweise in /etc/login.defs mit Hilfe der
> Variablen ENCRYPT_METHOD eingestellt), aber dies wirkt sich nur auf neu
> erstellte Passwörter aus, nicht auf Passwörter, die vor der
> Konfigurationsänderung erstellt wurden.
ENCRYPT_METHOD SHA512
und es werden lange Passwörter unterstützt, wie gerade getestet.
--
Gruss Marcus
Detlef Paschke
Nov 12, 2016, 10:51:57 AM11/12/16
to
Am 11.11.2016 um 23:50 schrieb Juergen Edner:
> Hallo Detlef,
Hallo Juergen und alle anderen,
zunächst danke an alle für die Erklärung.
> schaue doch bitte einmal in der Datei /etc/shadow welcher
> Hash-Algorithmus für das Kennwort des relevanten Users verwendet
> wird. Erkennbar ist dies an den ersten Zeichen des Kennwortes
> (zweites Datenfeld).
>
> $1$ means you are using MD5
> $2$ or $2a$ means you are using blowfish
> $5$ means you are using SHA-256
> $6$ means you are using SHA-512
>
> Üblicherweise sollten die Kennwörter mit '$6$' beginnen. Falls ein
> Kennworteintrag nicht mit '$num$ beginnt, wird für das Kennwort noch
> DES verwendet was die Kennwortlänge auf 8 Zeichen begrenzt.
> Siehe auch:
ich habe gerade einmal nachgesehen und musste feststellen, dass die
meisten Userkennwörter nicht mit $num$ beginnen.
Man sollte nun mal von Zeit zu Zeit die Passwörter ändern dann wäre dies
nicht passiert. Asche auf mein Haupt.
> Gruß Jürgen
> Hallo Detlef,
Hallo Juergen und alle anderen,
zunächst danke an alle für die Erklärung.
> schaue doch bitte einmal in der Datei /etc/shadow welcher
> Hash-Algorithmus für das Kennwort des relevanten Users verwendet
> wird. Erkennbar ist dies an den ersten Zeichen des Kennwortes
> (zweites Datenfeld).
>
> $1$ means you are using MD5
> $2$ or $2a$ means you are using blowfish
> $5$ means you are using SHA-256
> $6$ means you are using SHA-512
>
> Üblicherweise sollten die Kennwörter mit '$6$' beginnen. Falls ein
> Kennworteintrag nicht mit '$num$ beginnt, wird für das Kennwort noch
> DES verwendet was die Kennwortlänge auf 8 Zeichen begrenzt.
> Siehe auch:
meisten Userkennwörter nicht mit $num$ beginnen.
Man sollte nun mal von Zeit zu Zeit die Passwörter ändern dann wäre dies
nicht passiert. Asche auf mein Haupt.
> Gruß Jürgen
Juergen Edner
Nov 12, 2016, 2:39:58 PM11/12/16
to
Hallo Detlef,
>> Üblicherweise sollten die Kennwörter mit '$6$' beginnen. Falls ein
>> Kennworteintrag nicht mit '$num$ beginnt, wird für das Kennwort noch
>> DES verwendet was die Kennwortlänge auf 8 Zeichen begrenzt.
>> Siehe auch:
>
> ich habe gerade einmal nachgesehen und musste feststellen, dass die
> meisten Userkennwörter nicht mit $num$ beginnen.
> Man sollte nun mal von Zeit zu Zeit die Passwörter ändern dann wäre dies
> nicht passiert. Asche auf mein Haupt.
ich möchte ergänzen, dass Kennworteinträge die mit '!' oder '*' beginnen
normalerweise deaktiviert sind (Invalidated Passwords).
Wenn Du ein Kennwort für den Konsolezugriff neu eingibst, selbst
wenn es das selbe wie zuvor ist, so muss auch dass Samba-Kennwort
neu eingegeben werden, so der User den Account auch für Samba
verwendet. Ansonsten kann er sich beim nächsten Start nicht mehr
mit sienem Windows-PC am Netzwerk anmelden.
>> Üblicherweise sollten die Kennwörter mit '$6$' beginnen. Falls ein
>> Kennworteintrag nicht mit '$num$ beginnt, wird für das Kennwort noch
>> DES verwendet was die Kennwortlänge auf 8 Zeichen begrenzt.
>> Siehe auch:
>
> ich habe gerade einmal nachgesehen und musste feststellen, dass die
> meisten Userkennwörter nicht mit $num$ beginnen.
> Man sollte nun mal von Zeit zu Zeit die Passwörter ändern dann wäre dies
> nicht passiert. Asche auf mein Haupt.
normalerweise deaktiviert sind (Invalidated Passwords).
Wenn Du ein Kennwort für den Konsolezugriff neu eingibst, selbst
wenn es das selbe wie zuvor ist, so muss auch dass Samba-Kennwort
neu eingegeben werden, so der User den Account auch für Samba
verwendet. Ansonsten kann er sich beim nächsten Start nicht mehr
mit sienem Windows-PC am Netzwerk anmelden.
Thomas Bork
Nov 12, 2016, 2:57:05 PM11/12/16
to
Am 12.11.2016 um 20:39 schrieb Juergen Edner:
> Wenn Du ein Kennwort für den Konsolezugriff neu eingibst, selbst
> wenn es das selbe wie zuvor ist, so muss auch dass Samba-Kennwort
> neu eingegeben werden, so der User den Account auch für Samba
> verwendet. Ansonsten kann er sich beim nächsten Start nicht mehr
> mit sienem Windows-PC am Netzwerk anmelden.
Nö Jürgen, stimmt so nicht:
> Wenn Du ein Kennwort für den Konsolezugriff neu eingibst, selbst
> wenn es das selbe wie zuvor ist, so muss auch dass Samba-Kennwort
> neu eingegeben werden, so der User den Account auch für Samba
> verwendet. Ansonsten kann er sich beim nächsten Start nicht mehr
> mit sienem Windows-PC am Netzwerk anmelden.
Gegeben sei ein User test mit dem Passwort test - sowohl bei eisfair als
auch als Samba-User. Der bekommt sein User-Passwort geändert auf test1.
Dabei siehst Du in /var/log/messages:
Nov 12 21:49:33 sata sshd[9891]: pam_unix(sshd:session): session opened
for user root by (uid=0)
Nov 12 21:50:34 sata passwd[10539]: pam_unix(passwd:chauthtok): password
changed for test
Nov 12 21:50:34 sata passwd[10539]: pam_smbpass(passwd:chauthtok):
password for (test/2002) changed by (root/0)
Und der User kann sich erfolgreich bei Samba mit dem neuen Passwort
test1 anmelden, ohne vorher sein Samba-Passwort zu ändern, denn das hat
pam_smbpass für ihn gemacht:
sata # smbclient //localhost/public -Utest%test1
Domain=[DOM] OS=[Windows 6.1] Server=[Samba 4.3.12-for-eisfair-1-patch-1]
smb: \> quit
sata #
--
der tom
[eisfair-team]
Detlef Paschke
Nov 12, 2016, 3:29:12 PM11/12/16
to
Am 12.11.2016 um 20:57 schrieb Thomas Bork:
Hallo Thomas,
> Nö Jürgen, stimmt so nicht:
>
> Gegeben sei ein User test mit dem Passwort test - sowohl bei eisfair als
> auch als Samba-User. Der bekommt sein User-Passwort geändert auf test1.
>
> ...
habe. Sprich, an einem Windows-Rechner in der Domäne das Passwort
geändert und damit war auch auf dem Eisfair das Passwort geändert. Ich
meine, sogar das User-Passwort und nicht nur das Samba-Passwort. Kann
das sein?
Hallo Thomas,
> Nö Jürgen, stimmt so nicht:
>
> Gegeben sei ein User test mit dem Passwort test - sowohl bei eisfair als
> auch als Samba-User. Der bekommt sein User-Passwort geändert auf test1.
>
>
> Und der User kann sich erfolgreich bei Samba mit dem neuen Passwort
> test1 anmelden, ohne vorher sein Samba-Passwort zu ändern, denn das hat
> pam_smbpass für ihn gemacht:
ich meine mich zu erinnern, dass ich das mal direkt über Windows gemacht
> Und der User kann sich erfolgreich bei Samba mit dem neuen Passwort
> test1 anmelden, ohne vorher sein Samba-Passwort zu ändern, denn das hat
> pam_smbpass für ihn gemacht:
habe. Sprich, an einem Windows-Rechner in der Domäne das Passwort
geändert und damit war auch auf dem Eisfair das Passwort geändert. Ich
meine, sogar das User-Passwort und nicht nur das Samba-Passwort. Kann
das sein?
Juergen Edner
Nov 13, 2016, 3:49:32 AM11/13/16
to
Hallo Tom,
>> Wenn Du ein Kennwort für den Konsolezugriff neu eingibst, selbst
>> wenn es das selbe wie zuvor ist, so muss auch dass Samba-Kennwort
>> neu eingegeben werden, so der User den Account auch für Samba
>> verwendet. Ansonsten kann er sich beim nächsten Start nicht mehr
>> mit sienem Windows-PC am Netzwerk anmelden.
>
> Nö Jürgen, stimmt so nicht:
ich habe diesen Hinweis ergänzt, nachdem ich vorgestern vor Beantwortung
der Frage, einmal über das eisfair-Menü das Kennwort
für einen Systemuser neu gesetzt hatte und gestern urplötzlich
keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
meldete "Login oder Kennwort falsch".
Ich habe mir erst einen Wolf gesucht was nun defekt sein könnte, bis ich
auf einen möglichen Zusammenhang mit dem gleichnamigen Samba-User
kam. Nachdem ich dann das Samba-Kennwort dieses User neu eingegeben
habe, funktionierte umgehend die Anmeldung wieder.
Wie gesagt hatte ich im ersten Ansatz _nur_ das System-Kennwort des
Users geändert, nicht aber dessen Samba-Kennwort.
>> Wenn Du ein Kennwort für den Konsolezugriff neu eingibst, selbst
>> wenn es das selbe wie zuvor ist, so muss auch dass Samba-Kennwort
>> neu eingegeben werden, so der User den Account auch für Samba
>> verwendet. Ansonsten kann er sich beim nächsten Start nicht mehr
>> mit sienem Windows-PC am Netzwerk anmelden.
>
> Nö Jürgen, stimmt so nicht:
der Frage, einmal über das eisfair-Menü das Kennwort
für einen Systemuser neu gesetzt hatte und gestern urplötzlich
keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
meldete "Login oder Kennwort falsch".
Ich habe mir erst einen Wolf gesucht was nun defekt sein könnte, bis ich
auf einen möglichen Zusammenhang mit dem gleichnamigen Samba-User
kam. Nachdem ich dann das Samba-Kennwort dieses User neu eingegeben
habe, funktionierte umgehend die Anmeldung wieder.
Wie gesagt hatte ich im ersten Ansatz _nur_ das System-Kennwort des
Users geändert, nicht aber dessen Samba-Kennwort.
Thomas Bork
Nov 13, 2016, 3:58:10 AM11/13/16
to
Am 13.11.2016 um 09:49 schrieb Juergen Edner:
> ich habe diesen Hinweis ergänzt, nachdem ich vorgestern vor Beantwortung
> der Frage, einmal über das eisfair-Menü das Kennwort
> für einen Systemuser neu gesetzt hatte und gestern urplötzlich
> keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
> meldete "Login oder Kennwort falsch".
Das habe ich auch gemacht, allerdings ohne Domäne. Hast Du die
> ich habe diesen Hinweis ergänzt, nachdem ich vorgestern vor Beantwortung
> der Frage, einmal über das eisfair-Menü das Kennwort
> für einen Systemuser neu gesetzt hatte und gestern urplötzlich
> keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
> meldete "Login oder Kennwort falsch".
cui-Funktion benutzt oder die klassische? Kannst Du den Test wiederholen
und auf die Meldungen in /var/log/messages bezüglich pam_smbpass achten?
--
der tom
[eisfair-team]
Thomas Bork
Nov 13, 2016, 4:01:25 AM11/13/16
to
Am 12.11.2016 um 21:29 schrieb Detlef Paschke:
> ich meine mich zu erinnern, dass ich das mal direkt über Windows gemacht
> habe. Sprich, an einem Windows-Rechner in der Domäne das Passwort
> geändert und damit war auch auf dem Eisfair das Passwort geändert. Ich
> meine, sogar das User-Passwort und nicht nur das Samba-Passwort. Kann
> das sein?
Ja, läuft über 'passwd program = /usr/bin/passwd %u' und 'passwd chat =
> ich meine mich zu erinnern, dass ich das mal direkt über Windows gemacht
> habe. Sprich, an einem Windows-Rechner in der Domäne das Passwort
> geändert und damit war auch auf dem Eisfair das Passwort geändert. Ich
> meine, sogar das User-Passwort und nicht nur das Samba-Passwort. Kann
> das sein?
*New*Password:* %n\n *Retype*new*password:* %n\n *password*updated*'.
Dabei wird eigentlich das User-Passwort geändert und über pam_smbpass
dann auch das Samba-Passwort.
--
der tom
[eisfair-team]
Marcus Roeckrath
Nov 13, 2016, 4:30:01 AM11/13/16
to
Hallo Thomas,
Thomas Bork wrote:
>> ich habe diesen Hinweis ergänzt, nachdem ich vorgestern vor Beantwortung
>> der Frage, einmal über das eisfair-Menü das Kennwort
>> für einen Systemuser neu gesetzt hatte und gestern urplötzlich
>> keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
>> meldete "Login oder Kennwort falsch".
>
> Das habe ich auch gemacht, allerdings ohne Domäne. Hast Du die
> cui-Funktion benutzt oder die klassische? Kannst Du den Test wiederholen
> und auf die Meldungen in /var/log/messages bezüglich pam_smbpass achten?
Ich habe das alte Passwort über "User administration" neu eingegeben:
Nov 13 10:25:52 nepo-vw-server passwd[30716]: pam_unix(passwd:chauthtok):
password changed for roc
Nov 13 10:25:52 nepo-vw-server passwd[30716]: pam_smbpass(passwd:chauthtok):
password for (roc/2001) chang
Keine Domäne, Anmeldung an den Freigaben problemlos.
--
Gruss Marcus
Thomas Bork wrote:
>> ich habe diesen Hinweis ergänzt, nachdem ich vorgestern vor Beantwortung
>> der Frage, einmal über das eisfair-Menü das Kennwort
>> für einen Systemuser neu gesetzt hatte und gestern urplötzlich
>> keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
>> meldete "Login oder Kennwort falsch".
>
> Das habe ich auch gemacht, allerdings ohne Domäne. Hast Du die
> cui-Funktion benutzt oder die klassische? Kannst Du den Test wiederholen
> und auf die Meldungen in /var/log/messages bezüglich pam_smbpass achten?
Nov 13 10:25:52 nepo-vw-server passwd[30716]: pam_unix(passwd:chauthtok):
password changed for roc
Nov 13 10:25:52 nepo-vw-server passwd[30716]: pam_smbpass(passwd:chauthtok):
password for (roc/2001) chang
Keine Domäne, Anmeldung an den Freigaben problemlos.
--
Gruss Marcus
Juergen Edner
Nov 13, 2016, 4:41:14 AM11/13/16
to
Hallo Tom,
>> ich habe diesen Hinweis ergänzt, nachdem ich vorgestern vor Beantwortung
>> der Frage, einmal über das eisfair-Menü das Kennwort
>> für einen Systemuser neu gesetzt hatte und gestern urplötzlich
>> keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
>> meldete "Login oder Kennwort falsch".
>
> Das habe ich auch gemacht, allerdings ohne Domäne. Hast Du die
> cui-Funktion benutzt oder die klassische? Kannst Du den Test wiederholen
> und auf die Meldungen in /var/log/messages bezüglich pam_smbpass achten?
die Kennwörter habe ich jeweils über die CUI-Funktionen geändert.
Dies waren die Meldungen, die bei der Passwortänderung in die
Logdatei geschrieben wurden:
.. passwd[29515]: pam_unix(passwd:chauthtok): password changed for juergen
.. passwd[29515]: pam_smbpass(passwd:chauthtok): password for
(juergen/2000) changed by (root/0)
>> ich habe diesen Hinweis ergänzt, nachdem ich vorgestern vor Beantwortung
>> der Frage, einmal über das eisfair-Menü das Kennwort
>> für einen Systemuser neu gesetzt hatte und gestern urplötzlich
>> keine Anmeldung an der Windows-Domain mehr möglich war. Der Rechner
>> meldete "Login oder Kennwort falsch".
>
> Das habe ich auch gemacht, allerdings ohne Domäne. Hast Du die
> cui-Funktion benutzt oder die klassische? Kannst Du den Test wiederholen
> und auf die Meldungen in /var/log/messages bezüglich pam_smbpass achten?
Dies waren die Meldungen, die bei der Passwortänderung in die
Logdatei geschrieben wurden:
.. passwd[29515]: pam_unix(passwd:chauthtok): password changed for juergen
.. passwd[29515]: pam_smbpass(passwd:chauthtok): password for
(juergen/2000) changed by (root/0)
Thomas Bork
Nov 13, 2016, 4:58:29 AM11/13/16
to
Am 13.11.2016 um 10:41 schrieb Juergen Edner:
> .. passwd[29515]: pam_unix(passwd:chauthtok): password changed for juergen
> .. passwd[29515]: pam_smbpass(passwd:chauthtok): password for
> (juergen/2000) changed by (root/0)
Also hat auch bei Dir pam_smbpass das Samba-Passwort synchronisiert. Ich
> .. passwd[29515]: pam_unix(passwd:chauthtok): password changed for juergen
> .. passwd[29515]: pam_smbpass(passwd:chauthtok): password for
> (juergen/2000) changed by (root/0)
habe keine Ahnung, warum dann eine Samba-Anmeldung mit dem _neuen_
Passwort nicht möglich sein sollte.
Hast Du eventuell nach Änderung des User-Passwortes versucht, mit dem
_alten_ Samba-Passwort in die Domäne zu kommen?
--
der tom
[eisfair-team]
Juergen Edner
Nov 13, 2016, 5:31:21 AM11/13/16
to
Hallo Tom,
> Hast Du eventuell nach Änderung des User-Passwortes versucht, mit dem
> _alten_ Samba-Passwort in die Domäne zu kommen?
ich weiß nicht ob es von Belang ist, jedoch hat sich der verwendete
Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
definitiv das selbe wie zuvor.
> Hast Du eventuell nach Änderung des User-Passwortes versucht, mit dem
> _alten_ Samba-Passwort in die Domäne zu kommen?
Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
definitiv das selbe wie zuvor.
Thomas Bork
Nov 13, 2016, 5:55:09 AM11/13/16
to
Am 13.11.2016 um 11:31 schrieb Juergen Edner:
> ich weiß nicht ob es von Belang ist, jedoch hat sich der verwendete
> Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
> definitiv das selbe wie zuvor.
Unwahrscheinlich, da ja 2 verschiedene Passwort-Datenbanken für
> ich weiß nicht ob es von Belang ist, jedoch hat sich der verwendete
> Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
> definitiv das selbe wie zuvor.
System-User und Samba-User verwendet werden.
pam_smbpass ändert das Samba-Passwort, wenn ein identischer Samba-User
existiert und das Passwort für den System-User erfolgreich geändert wurde.
--
der tom
[eisfair-team]
Marcus Roeckrath
Nov 13, 2016, 6:00:01 AM11/13/16
to
Hallo Jürgen,
Juergen Edner wrote:
>> Hast Du eventuell nach Änderung des User-Passwortes versucht, mit dem
>> _alten_ Samba-Passwort in die Domäne zu kommen?
>
> ich weiß nicht ob es von Belang ist, jedoch hat sich der verwendete
> Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
> definitiv das selbe wie zuvor.
Was meinst Du mit Algorithmus geändert?
Statt vorher blowfish nun sha512 oder so?
Oder, dass in shadow das Passwort anders aussieht?
Das ist IMHO normal, da zumindest bei sha wohl irgendwas gesalted wird; das
gleiche Passwort sieht da immer anders aus.
Haben root, halt, reboot, etc. auch das gleiche Passwort?
Mit sha oder blowfish sieht der Hash aber immer anders aus.
--
Gruss Marcus
Juergen Edner wrote:
>> Hast Du eventuell nach Änderung des User-Passwortes versucht, mit dem
>> _alten_ Samba-Passwort in die Domäne zu kommen?
>
> ich weiß nicht ob es von Belang ist, jedoch hat sich der verwendete
> Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
> definitiv das selbe wie zuvor.
Statt vorher blowfish nun sha512 oder so?
Oder, dass in shadow das Passwort anders aussieht?
Das ist IMHO normal, da zumindest bei sha wohl irgendwas gesalted wird; das
gleiche Passwort sieht da immer anders aus.
Haben root, halt, reboot, etc. auch das gleiche Passwort?
Mit sha oder blowfish sieht der Hash aber immer anders aus.
--
Gruss Marcus
Juergen Edner
Nov 13, 2016, 6:12:27 AM11/13/16
to
Hallo Jürgen,
>> ich weiß nicht ob es von Belang ist, jedoch hat sich der verwendete
>> Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
>> definitiv das selbe wie zuvor.
>
> Was meinst Du mit Algorithmus geändert?
>
> Statt vorher blowfish nun sha512 oder so?
korrekt.
> Haben root, halt, reboot, etc. auch das gleiche Passwort?
>
> Mit sha oder blowfish sieht der Hash aber immer anders aus.
klar.
>> ich weiß nicht ob es von Belang ist, jedoch hat sich der verwendete
>> Kennwortalgorithmus beim Speichern geändert. Das Kennwort selbst war
>> definitiv das selbe wie zuvor.
>
> Was meinst Du mit Algorithmus geändert?
>
> Statt vorher blowfish nun sha512 oder so?
> Haben root, halt, reboot, etc. auch das gleiche Passwort?
>
> Mit sha oder blowfish sieht der Hash aber immer anders aus.
0 new messages