Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
|
invis_server_wiki:installation:post-105 [2016/03/29 10:08] flacco [Passwortsicherheit] |
— (aktuell) | ||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | ===== Nacharbeit ===== | ||
| - | Ist das Script abgearbeitet, folgt die Feinarbeit! Es gilt jetzt die auf dem Server installierte bzw. vorbereitete Software für deren Nutzung vorzubereiten. | ||
| - | |||
| - | ==== Router ==== | ||
| - | |||
| - | Wenn Sie Ihren invis-Server hinter einem Router betreiben, müssen Sie darin bis zu 5 Portweiterleitungen einrichten, wenn Sie Ihren invis-Server auch via Internet nutzen möchten. | ||
| - | |||
| - | Diese sind: | ||
| - | |||
| - | - der vom invis Server genutzte "verschobene" SSH-Port (TCP) | ||
| - | - Port 443/TCP (HTTPs), wenn Sie ActiveSync/Z-Push nutzen möchten, um Mobilgeräte mit der Groupware des Servers zu synchronisieren. | ||
| - | - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf das invis-Portal. | ||
| - | - der vom invis Server genutzte "verschobene" HTTPs-Port (TCP) für den Zugriff auf ownCloud. | ||
| - | - Port 1194/UDP für den Zugriff via OpenVPN. | ||
| - | |||
| - | Die hier als "verschoben" bezeichneten Ports wurden von //**sine**// zufällig generiert und während des Setups ausgegeben. Nachträglich Abfragen können Sie sie auf der Kommandozeile mit: | ||
| - | |||
| - | <code> | ||
| - | linux:~ # sine showconf | ||
| - | </code> | ||
| - | ==== Passwortsicherheit ==== | ||
| - | |||
| - | Mit Samba4 als AD Domaincontroller gelten folgende Voreinstellung für Laufzeit und Sicherheit der Benutzerpasswörter: | ||
| - | |||
| - | ^ Einstellung ^ Vorgabe ^ | ||
| - | | max. Passwortlaufzeit | 43 Tage | | ||
| - | | Passwortkomplexität | aktiviert | | ||
| - | | min. Passwortlänge | 7 Zeichen | | ||
| - | |||
| - | Diese Voreinstellungen sind recht streng und können so sicherlich nicht überall Anwendung finden. Sie, als Administrator eines invis-Servers sollten sich von Ihren Anwendern aber nicht allzu viele Zugeständnisse in Sachen Passwortsicherheit abringen lassen. | ||
| - | |||
| - | Ändern lassen sich die Einstellungen mit Hilfe des //**samba-tools**// auf der Kommandozeile des Servers. Hier ein paar Beispiele: | ||
| - | |||
| - | **Ändern der Passwortlaufzeit** | ||
| - | |||
| - | <code> | ||
| - | linux:~ # samba-tool domain passwortsettings set --max-password-age=0 | ||
| - | </code> | ||
| - | |||
| - | Der im Beispiel gewählte Wert **0** sorgt für eine unbegrenzte Passwortlaufzeit. Ist sicherlich nicht die beste Empfehlung, wird in der Praxis zur Stressvermeidung häufig bevorzugt. | ||
| - | |||
| - | **Passwortkomplexität** | ||
| - | |||
| - | <code> | ||
| - | linux:~ # samba-tool domain passwortsettings set --complexity=off | ||
| - | </code> | ||
| - | |||
| - | Hier kennt die Microsoft'sche Welt aus der das AD ja stammt keine Abstufungen. Möglich sind die Werte //on//, //off// und //default// wobei //default// wiederum //on// bedeutet. | ||
| - | |||
| - | Mit der Voreinstellungen werden Passwörter mit Sonderzeichen, Zahlen und Groß-/Kleinschreibung verlangt. | ||
| - | |||
| - | **Passwortlänge** | ||
| - | |||
| - | <code> | ||
| - | linux:~ # samba-tool domain passwortsettings set --min-pwd-length=5 | ||
| - | </code> | ||
| - | |||
| - | Reduziert die geforderte Passwortlänge auf 5 Zeichen. | ||
| - | |||
| - | Als Benutzer **root** haben Sie natürlich die Möglichkeit Benutzerpasswörter zurückzusetzen. Dabei gelten nicht einmal die Passwortsicherheitsregeln. | ||
| - | |||
| - | <code> | ||
| - | linux:~ # samba-tool user setpassword benutzername --newpassword=neuespasswort --must-change-next-login | ||
| - | </code> | ||
| - | |||
| - | Im gezeigten Beispiel wird dafür gesorgt, dass der betroffene Benutzer sein Passwort bei der nächsten Anmeldung ändern muss. | ||
| - | ==== NFS Fileserver ==== | ||
| - | |||
| - | Der NFS Fileserver für Linux-Clients ist nach der Installation des invis-Servers zwar vorbereitet, wird aber nicht automatisch gestartet. Um dies Nachzuholen sind folgende Schritte durchzuführen: | ||
| - | |||
| - | Die Dienste "nfsserver" und "rpcbind" zum automatischen Start vorsehen und starten: | ||
| - | |||
| - | <code> | ||
| - | linux:~ # systemctl enable nfsserver.service | ||
| - | linux:~ # systemctl start nfsserver.service | ||
| - | linux:~ # systemctl enable rpcbind.service | ||
| - | linux:~ # systemctl start rpcbind.service | ||
| - | </code> | ||
| - | |||
| - | Anschliessend ist noch der Zugriff auf die NFS-Freigaben in der Firewall, für die interne Netzwerk-Schnittstelle zu öffnen. | ||
| - | |||
| - | Dazu ist in Datei <file>/etc/sysconfig/SuSEfirewall2</file> ist in Zeile (ca.) 414 folgendes zu ergänzen: | ||
| - | |||
| - | Aus: | ||
| - | <code> | ||
| - | FW_CONFIGURATIONS_INT="samba-4-ad" | ||
| - | </code> | ||
| - | wird | ||
| - | <code> | ||
| - | FW_CONFIGURATIONS_INT="nfs-kernel-server samba-4-ad" | ||
| - | </code> | ||
| - | |||
| - | Danach ist noch die Firwall neu zu starten: | ||
| - | |||
| - | <code> | ||
| - | linux:~ # systemctl restart SuSEfirewall2.service | ||
| - | </code> | ||
| - | |||
| - | Grund dafür, dass wir dies nicht automatisch ausführen ist, dass es nur in den wenigsten Fällen Linux Clients gibt (leider). | ||