Moin Liste,
da Bernd zuletzt schrieb, daß er statt Paßwörtern im NIS lieber
pam_ssh verwendet, habe ich mir das jetzt auch mal angesehen.
Das funktioniert soweit auch ganz gut, die Benutzer können sich
mittels der Passphrase ihres RSA-Schlüssels über Konsole, KDM
und SSH anmelden.
Leider können sich die Benutzer auch dann anmelden, wenn sie eine
*leere* Passphrase vergeben haben. Das möchte ich gerne unterbinden.
Hierzu fielen mir folgende zwei Möglichkeiten ein:
1. Das Modul pam_ssh(8) erlaubt einfach keine Anmeldung mit leeren
Passphrases. So ähnlich funktioniert das wohl bei pam_unix(8),
wenn man die Option "nullok" wegläßt.
2. Oder ssh-keygen zwingt den Benutzer zur Eingabe einer Passphrase
mit einer Länge von mindestens x Zeichen. Leere Passphrases
werden somit schon beim Erstellen des Schlüssels unterbunden.
Zu 1. bin ich in pam_ssh(8) leider nicht fündig geworden. Es gibt
offensichtlich keine Optionen, die auf leere Passphrases prüfen.
Ein "allgemeines" PAM-Modul, welches auf leere Passwörter bzw.
Passphrases anspringt, habe ich auch nicht finden können.
Bezüglich 2. bin ich auf pam_passwdqc(8) gestoßen. Leider habe ich
es nicht hinbekommen, dieses mit ssh-keygen(8) zu verkuppeln.
Wie ich auch im PAM-System rumfummele, der Benutzer kann beim
Erstellen neuer Schlüssel immernoch eine leere Passphrase eingeben
und sich dann natürlich auch mit leerer Passphrase anmelden. :-(
Kennt jemand von euch eine Lösung für dieses Problem?
Dank und Gruß,
Patrick
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Sat 10 Sep 2005 - 01:16:07 CEST