Ich hatte die letzten Tage recherchiert, wie man relativ einfach, einen Samba Benutzer einen grafischen Passwortwechsel ermöglichen kann. Sicherlich ist es keine Option, einen Benutzer, den consolen- Zugriff auf einen Linux Server zu ermöglichen, nur damit er ein Passwort (PW) wechseln kann! Die Lösung, die ich hier skizziere, setzt eine Installation von Webmin und Usermin auf den Linux Server voraus.

Weiterhin funktioniert dieser Ansatz nur, wenn die Benutzer nicht(!) im LDAP oder in einer MySQL Datenbank gepflegt werden. Dazu müßten die hier beschriebenen Optionen nochmal im Detail angepasst werden. Also setze ich für meinen Artikel voraus, dass die Passwörter – wie üblich – in der shadow und der smbpasswd liegen. Im weiteren setze ich hier ein Ubuntu 12.04 LTS voraus, auf dem Freigaben über Samba eingerichtet sind.

Nachdem Webmin und Usermin installiert wurde (siehe meinen Webmin Artikel in diesem blog), meldest Du Dich an Webmin an und gehst zur ‘Usermin-Konfiguration’. Unter dem Punkt ‘Usermin-Modulkonfiguration’ -> ‘Passwort ändern’ kannst Du dann folgende Einstellungen anpassen:

Die erste markierte Option im Bild steht standard auf ‘Direkt /etc/shadow bearbeiten’. Da ich aber einige Fehlermeldungen in der /var/log/auth.log bekam – wobei der PW Wechsel aber trotzdem funktionierte! – stellt ich auf die gezeigte Option um, und alles funktioniert ohne Fehlermeldung.

Die zweite markierte Option besagt, unter welcher Berechtigung der PW Wechsel ausgeführt werden soll. Da ich versuche, meinen Server so sicher wie irgend-möglich aufzubauen, habe ich es an dieser Stelle als sicherer eingeschätzt, diese Aktion in einen normalen Benutzerkontext auszuführen, anstatt mit root Rechten zu hantieren.

Die dritte markierte Option ermöglicht den PW Wechsel auch in anderen Serverdiensten. Ich habe dies hier verneint, weil ich keine Datenbank zur Benutzerverwaltung pflege. Wobei dies sicher eine Schlüsseloption sein kann, wenn Admina z.B. ihre Mail- Benutzer in einer DB pflegt! Auch der PW Wechsel für die pop3 Dienste ist in der hier beschriebenen Umgebung nicht notwendig und damit verneint worden.

Über die letzte markierte Option kann man sicherlich streiten. Aber nach meiner Meinung, ist der wirklich effektive Schutz eines Logins ein sehr, sehr langes PW. Nicht so sehr wegen der Annahme, dass es dann nicht knack-bar wäre, sondern vielmehr aus dem Hintergedanken heraus, dass die aufgewendete Zeit für den Angreifer, ab einer bestimmten Größe nicht mehr in brauchbarer Relation zum Ergebnis steht. Deswegen habe ich hier die Vorgabe auf eine Menge von mindestens 10 Zeichen für ein PW erhöht.

Wenn sich ein Benutzer an Usermin anmeldet, hat er den Punkt ‘Anmeldung’ -> ‘Passwort ändern’ in der obigen Menüleiste stehen. Hier ändert der Usermin Anwender sein Passwort! Das sieht dann so aus:

In der Regel erscheint nach erfolgreichen PW Wechsel eine entsprechende Meldung. Eine Gegenprobe kann sofort erfolgen, wenn dieser Wechsel über einen Windows PC erfolgte, der auch Zugriff auf die Samba Freigabe hat. Jetzt würde unter dem angemeldeten Windows- Anwender natürlich ein Anmeldefenster erscheinen, da die bestehende Windows- Anmeldung noch unter dem alten Passwort läuft. Nachdem, das unter Usermin eingegebene PW, auch(!) in Windows durch einen Passwort- Wechsel eingepflegt wurde, ist damit der Zugriff auf die Samba Freigaben ohne Anmeldefenster wieder möglich.

Letztlich ist noch ein zusätzlicher Schritt notwendig, wenn auf dem Server, darüber auch das PW für den Mailserver geändert wird.

Gehen wir davon aus, dass der Anwender sein PW wie oben beschrieben geändert hat, dann reicht es nicht(!) aus, ihn einmal an Usermin ab- und wieder an-melden zu lassen, damit das geänderte PW auch für sein Postfach gültig wird. Das Usermin Postfach verlangt hier nochmal explizit die Eingabe des neuen PW’s! Diese Eingabe kann der Anwender aber ohne Probleme in seinen Postfach ausführen: Entweder wird er direkt mit Zugriff auf sein Postfach (‘Email lesen und versenden’ in der Menüleiste) aufgefordert, dass neue PW einzugeben oder es erscheint ein leeres Postfach, dass dem Anwender signaliert, dass neue PW einzupflegen. Wo der Anwender das macht, sieht man/frau im folgenden Bild:

Also direkt in seinen Postfach, in der rechten oberen Ecke, findet er die Eingabe für das neue PW. Damit ist dem Anwender, über Usermin eine einfache grafische Möglichkeit gegeben, sein Passwort für den Samba und gegebenenfalls Mail- Server Zugriff zu wechseln. Consolen Zugriff adieu!

Ergänzungen

Sicherlich werden einige Leser zum Abschluss fragen, was den für sonstige Anpassungen auf dem (Samba-) Server notwendig waren und bin an dieser Stelle nochmal in mich gegangen.

Wenn wir von einer funktionierenden smb.conf ausgehen, habe ich nur zwei Optionen angepaßt, die aber nach meiner Meinung, mit dem hier beschriebenen Thema nichts zu tun haben. Der Vollständigkeit halber, führe ich die Optionen hier auf:

• domain master = yes (weil mich die Fehlermeldung nervte, das er keinen master browser finden kann)
• dns proxy = yes (weil die netbios Protokoll Unterstützung unter Linux und auch mittlerweile unter Win7 eher bescheiden ist, hat mir diese Option es vereinfacht, die PC’s in der Netzwerkumgebung unter Win7 zu sehen. Setzt natürlich einen lokalen DNS – ich empfehle dnsmasq – voraus.)

Zusätzlich hatte ich für dieses Thema, keine(!) sonstigen Pakete installiert. Wir können also von einer Standard Installation von Ubuntu 12.04 LTS Server ausgehen – mit einer Ausnahme: Ich hatte für andere Tests das Paket ‘libpam-smbpass’ installiert. Da, wie der Paket-Name vermuten läßt, dieses Paket Einfluss auf die beschriebene Konfiguration haben könnte, sollte es bei Problemen nachinstalliert werden.

Zusätzlich möchte ich nochmal auf das log unter /var/log/auth.log hinweisen.

Hier sieht Admina sehr schön die einzelnen Schritte: In der ersten Zeile sehen wir die Usermin Anmeldung des Anwenders, Zeile 2 und 3 zeigt, dass der PW Wechsel – für beide PW: Linux und Samba! – in Usermin erfolgreich vollzogen wurde und die rote failure- Zeile ist folgerichtig, weil der Anwender zu seinen Postfach gewechselt ist, aber Usermin dort noch das alte PW benutzt. Der Anwender gibt also jetzt im Postfach (rechts oben) sein neues PW ein und es erscheint keine Fehlermeldung mehr. Nach dem PW Wechsel unter Win7 ist der Zugriff auf die Samba Freigabe – vorletzte Zeile: opened – problemlos möglich und mit schließen des Windows Explorer wird die Anwender session von Samba beendet (closed).

Have fun

---