[LUGA] Mit freundlicher Unterstützung von:
WSR

Mail Thread Index


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: AW: [luga] UID GID Frage



Hi all!

On Sun, 2016-10-09 at 12:10 +0200, Martin Bammer wrote:
> > Hi, Exceltabelle mit UID/GID beim anlegen beachten? ^^
> 
> Also das ist jetzt aber echt schräg. Wenn ich einem Umsteiger von Windows nach
> Linux erklären muss dass er nun seine Benutzer über eine Excel-Tabelle verwalten
> muss?!

Zum einen geh' ich davon aus, daß "Spreadsheet" gemeint war (und
schlauerweise nimmt man da immer LibreOffice, weil es das überall gibt
und nicht nur auf proprietären OSs bzw. solchen, die ein OS sein
wollen).
Zum anderen ist das bei mir das /etc/passwd bzw. /etc/groups des
Servers - und die Clients dürfen sich anpassen. Voila ....

> Das Alles ist ja nicht die Lösung des Problems sondern nur ein Workaround. Auch
> die Lösung mit dem LDAP-Server ist ja nur ein Versuch das eigentliche Problem zu
> umgehen.

Das eigentliche Problem ist: Du willst Plug-n-Play-Administration haben
und trotzdem soll es sicher (iSv secure) funktionieren.
Und das kann leider nicht funktionieren.

Und selbst in einer homogenen Windows-Umgebung geht das schon
offensichtlich nicht, weil es gibt ja etliche Meter Fachbücher über
"Windows" in jeder $TECHNISCHER_FACHBUCHHANDLUNG und ohne Ende
googlebares am Web. Und M$FT macht und verkauft das seit über 20 Jahren
...

Selbst bei Kleinstnetzen (Famile, EPU, KMU) ist es mühsam, schon weil
was tun, wenn es (trotzdem) nicht geht (weil Hash-Algorithmus anders
beim nächsten Gerät, das das gar nicht kann und man die UIDs erst
selber vergeben muß. Koktret welchen Hashalgorithmus nimmt man für - im
best case - 32bit UIDs (geht das überhaupt schon überall?) oder gar
16bit? Irgendwann gibt es eine besseren, oder?[0]).

Ob die Leute, die sowas "unbedingt brauchen", das dann selber
reparieren können oder gar bereit sind, Geld für professionelle Hilfe
beim Reparieren auszugeben (und das "hinterher Reparieren" ist immer
massiv(!) teurer als "wir machen vorher mal einen Plan").

Vom offensichtlichen Security-Hole "ich lege mal Accounts an, bis ich
als XYZ auf Gerät A einloggen kann" mal ganz abgesehen - und schon von
daher halte ich nichts von derartigen pseudo-"intelligenten"
Mechanismen, weil - siehe Windows - in (nicht notwendigerweise
technikfernen) nicht-mehr-KMUs wird das dann ganz normal und offiziell
so gemacht, weil "es kommt ja automatisch mit und deshalb funktioniert
es und wenn nicht, ist wer anderer Schuld";-).

Ah ja: Rein praktisch ist es ja auch einfach, ein adduser bzw. deluser-
Wrapperscript selber zu bauen, daß genau das macht (und das auf github
zu deponieren).
Ist vllt. ein gute Erfahrung, um weitere eklige Detailprobleme und
Randbedingungen bzw. -einschränkungen auf die Umgebung zu erkennen,
z.B.
* welche UID bzw. GID Nummernbereich soll das vergeben. Wer definiert
das in einer Plug-n-Play-Umgebung.
* Was macht man bei einem erkannten UID-Clash?
  Neue UID erzeugen und das System damit zu brechen?
  Hash-Hash-Strategien anpassen (und geht das überhaupt sinnvoll in
  security-relevantem - wohl eher nicht)?
* Was passiert wohl alles lustiges bei einem ignorierten UID-Clash?

Im Prinzip kannst es mit $RANDOM noch einfacher bekommen und hast ein
Detailproblem weniger: Der Algorithmus ändert sich nie;-)

MfG,
	Bernd

[0]: Und soviel ich weiß, hat plan9 gar keine UIDs sondern nur 
     Usernamen ...
-- 
Bernd Petrovitsch                  Email : bernd@petrovitsch.priv.at
                     LUGA : http://www.luga.at



powered by LINUX the choice of a gnu generation
linux user group austria;
Suche
Suche
Letzte Änderung:
webmaster@luga.at
Oktober 2016