Inloggen op Ubuntu dmv. userlist uit MySQL database

Meestal wordt er voor user authenticatie voor shell logins gebruikt gemaakt van "PAM", middels plugins is dit o.a. qua logging en backend uitbreidbaar. Zoek eens op "pam mysql".
Sourceforge project is dood lijkt het, er is wel een fork op github.
(Of je het zou moeten willen, zeker als rookie, laat ik maar even in het midden)

Gebruik je ook op elk account hetzelfde wachtwoord?

Makkelijker lijkt me om gebruikers te deployen met een script, die mag dan voor mijn part de gebruikers uit de database halen.
Gebruik dus gewoon useradd, etc. i.p.v. MySQL te gebruiken voor auth.

Verder raad ik echt af om overal dezelfde gebruikersnaam te gebruiken. *Een hacker kan dan lekker gaan bruteforcen op de namen, die mogelijk zijn gehaald uit een lek onderdeel.

azziplekkus schreef op woensdag 25 november 2015 @ 23:38:
Alles loopt vlot, tot dat ik /etc/libnss-mysql.conf moet aanpassen. Want dat bestand is altijd leeg (of onbestaande?).

In welke stap van de tutorial zou dit bestand gegenereerd moeten worden? Of wat zou de oorzaak kunnen zijn dat deze er niet is? Is er iets dat ik elke keer fout doe?

De juiste filename staat hier.

Weet je zeker dat een direct bevraagde sql-database het geschiktste is in het kader van de te koppelen applicaties etc? Eventueel kan LDAP of sasl of wat anders ook geschikter zijn.

azziplekkus schreef op donderdag 26 november 2015 @ 00:03:
[...]


wow, inderdaad! .cfg, ipv. .conf gebruiken dus. Duizend maal dank!
Maar hoe kan ik daar zelf achter komen? En hoe komt het dat alle tutorials van .conf spreken, terwijl het volgens die pagina .cfg is?
(Zodat ik in de toekomst hier niet weer moet komen bedelen voor hulp, maar dat ik het zelf ook kan vinden )

Je hebt wat packages geïnstalleerd. Je vult die packages in op http://packages.ubuntu.com/ onder "Search package directories" en selecteert Trusty (14.04). Dan druk je op die package en klik je op bestandsoverzicht.
Een andere manier hier was "ls /etc/*nss*" uit te voeren.

Maar ik zou de andere reacties toch ook meenemen

azziplekkus schreef op woensdag 25 november 2015 @ 23:55:
Maar die link die ik gaf, dat is toch PAM? Of is dat nog iets verschillend?

Ah ja .. hmm misschien had ik je linkje ook nog even moeten volgen
Wat je zou kunnen doen is het bestand aanmaken en de daar aangegeven content erin zetten ?
(er is een kans dat die config file niet standaard in /etc/ wordt geplaatst maar wel als example beschikbaar is ergens onder /usr/share/.
Als je locate geinstalleerd hebt zou je eens "updatedb" en daarna "locate libnss-mysql" kunnen doen, kijken of het ergens op je systeem te vinden is wat er op lijkt.
Mosterd na de maaltijd .. ben wel op dreef .. tijd voor nachtrust

(sowieso even nadenken over een secure connectie vanuit pam naar je sql database btw)

[ Voor 19% gewijzigd door gekkie op 26-11-2015 00:17 ]

Je kan inderdaad kiezen voor het gebruik van een relationele database als backend voor LDAP, maar je moet je dan imho wel afvragen waarom. Daarnaast kan je je afvragen of je verschillende paden naar de authenticatiegegevens zou willen gebruiken voor verschillende applicaties, of of je liever alles via een bepaald systeem zou willen doen. Maar dat is uiteraard ook afhankelijk van wat je precies zou moeten draaien.

MySQL is zeker geen gangbare praktijk. LDAP op pure linux is volgens mij de meest gebruikte manier, heb je een mixed omgeving met Windows en Linux dan kan je ook kiezen voor Active Directory (zij het op een Win server of onder Linux met Samba4).

Maak je gebruik van LDAP dan maak je gebruik van een open standaard en heb je voor vele programmas en webapps mogelijkheden om te gaan authenticeren tegenover de LDAP database. Geloof zelfs, maar ben niet helemaal zeker, dat een AD DC ook via LDAP kan communiceren.

Geraak je niet ingelogd, dan is je /var/log/auth.log het startpunt om te gaan zoeken wat er misloopt.

Precies, snap niet waarom je perse met MySQL als auth wil 'kloten'. Verder gebruik je VPN zaken geen wachtwoorden, maar certificaten/sleutels die je makkelijk weer kan intrekken.

Beveiligen van services kan je beter door het ding zelf laten beheren. Niet elke app gebruikt namelijk dezelfde encryptie.
Beter zou zijn het gebruik van Keepass dergelijk systeem of LDAP zoals al eerder is gezegd.

Blokker_1999 schreef op donderdag 26 november 2015 @ 10:03:
[...]
Geloof zelfs, maar ben niet helemaal zeker, dat een AD DC ook via LDAP kan communiceren.
[...]

appeltje eitje. Kan zelfs dingen in LDAP AD DC objecten configureren dat via "de Windows AD gui" niet kan.
En daardoor ook niet getoont wordt. Bijvoorbeeld meerdere OU's aan een object koppelen.

kan je je windows systeem beheerder helemaal gek mee maken.

[ Voor 33% gewijzigd door daft_dutch op 26-11-2015 15:20 ]

azziplekkus schreef op donderdag 26 november 2015 @ 00:30:
...

Bedoel je dat er betere manieren zijn om dit te verwezenlijken dan?

Ik had in gedachten om het proof-of-concept te demonstreren door te laten zien dat er met een useraccount vanop de server, ook ingelogd kan worden op een phpbb forum (of iets dergelijks).

Zijn hier betere methodes voor dan de methode die ik nu aan het verkennen ben?
...

Ik ben wel benieuwd waar je in de tussentijd op uit bent gekomen.

Het zou mij in eerste instantie handig lijken dat julie even op een rijtje zetten wat je wil doen (op welke services dient men met een acocunt in te loggen), en vervolgens kijkt wat de gemene 'inlog-deler' is van die software en of bijvoorbeeld een single sign-on mogelijk en gewenst is etc.

Verder is het natuurlijk ook altijd handig na te gaan hoe gebruikersmanagement moet/kan verlopen (hoe gebruikers aanmaken/verwijderen, (wie mag) wachtwoorden wijzigen of blokkeren...).

[ Voor 9% gewijzigd door begintmeta op 29-11-2015 23:32 ]

Standaard LDAP doet vziw niks meer dan een beetje authentication (oftewel: wie bent u). Als je naar Role Based Access (wat mag u allemaal) wilt ga je wel een DB nodig hebben om al die rollen en hun onderlinge relaties in op te slaan. En dat kan idd prima mysql zijn

The Eagle schreef op zondag 29 november 2015 @ 23:55:
Standaard LDAP doet vziw niks meer dan een beetje authentication (oftewel: wie bent u).
[...]

oO daar gaat er weer eentje de mist in. gebruik voor authenticatie Kerberos. LDAP voor indentificatie.
maar ach bijna het hele internet haalt dat door elkaar waarom jij ook niet.

daft_dutch schreef op maandag 30 november 2015 @ 09:49:
[...]

oO daar gaat er weer eentje de mist in. gebruik voor authenticatie Kerberos. LDAP voor indentificatie.
maar ach bijna het hele internet haalt dat door elkaar waarom jij ook niet.

maar ach bij het hele internet deelt graag anoniem een tik uit waarom jij ook niet.

Ik blijf het nog steeds een slecht idee vinden, gebruik gewoon de tools die al beschikbaar zijn en hebben bewezen 'veilig' en correct om te gaan met auth.

Uiteindelijk is LDAP een frontend voor hierarchisch gestructureerde data(bases). Of een relationele of hierarchische structuur in een bepaald geval zinvoller is hangt natuurlijk van de toepassing af. LDAP wordt in iedergeval breed ondersteund door software die gebruik maakt van of zorgt voor authenticatie/authorisatie of gebruikers-/gegevens-/objectlijsten (wellicht omdat het daar geschikt voor is), vandaar dat men er ook regelmatig gebruik van maakt voor die doeleinden.

[ Voor 99% gewijzigd door begintmeta op 30-11-2015 13:26 ]

laat ook maar

[ Voor 115% gewijzigd door daft_dutch op 30-11-2015 13:23 ]

daft_dutch schreef op maandag 30 november 2015 @ 13:01:
laat ook maar

Ik ben eigenlijk wel benieuwd.

HollowGamer schreef op maandag 30 november 2015 @ 10:36:
... gebruik gewoon de tools die al beschikbaar zijn en hebben bewezen 'veilig' en correct om te gaan met auth.

Zoals kerberos en/of ldap neem ik aan dat je dan wil zeggen.

[ Voor 46% gewijzigd door begintmeta op 30-11-2015 13:29 ]

begintmeta schreef op maandag 30 november 2015 @ 13:25:
Zoals kerberos en/of ldap neem ik aan dat je dan wil zeggen.

Exact.

ok, verstandig.
Als je het nog een keer wil proberen dan zou ik doen wat mijn collega's hierboven ook al aangeven en het gebaande pad te volgen.

De gebruikelijke oplossing is LDAP gebruiken. Daar kan een SQL-backend achter maar dat hoeft niet. Zelf zou ik het niet doen als het niet nodig is.

Er zijn andere oplossingen mogelijk maar dit is de manier waar je het meeste documentatie over zal vinden.

Blokker_1999 schreef op donderdag 26 november 2015 @ 10:03:
Geloof zelfs, maar ben niet helemaal zeker, dat een AD DC ook via LDAP kan communiceren.

Dat klopt en dat is geen toeval. De D in AD is dezelfde D als in LDAP. Active Directory en Lightweight Directory Access Protocol. LDAP is het protocol waarmee je met AD praat. AD is Microsofts implementatie van een LDAP-server.

azziplekkus schreef op dinsdag 01 december 2015 @ 15:31:
[..] LDAP was volgens mijn docent géén goede oplossing. [..]

Ik ben erg benieuwt waarom LDAP geen goede oplossing zou zijn.

daft_dutch schreef op dinsdag 01 december 2015 @ 16:53:
[...]

Ik ben erg benieuwt waarom LDAP geen goede oplossing zou zijn.

Ik ook, de TS moet de opdracht van de docent wel heel anders hebben begrepen denk ik.

begintmeta schreef op dinsdag 01 december 2015 @ 16:56:
[...]

Ik ook, de TS moet de opdracht van de docent wel heel anders hebben begrepen denk ik.

nou als ik aan neem dat het een HBO opdracht is kan het zo maar zijn dat de docenten het verkeerd hebben.

daft_dutch schreef op dinsdag 01 december 2015 @ 17:12:
[...]

nou als ik aan neem dat het een HBO opdracht is kan het zo maar zijn dat de docenten het verkeerd hebben.

Zou natuurlijk ook kunnen inderdaad. Ben wel benieuwd wat de opdracht dan wel was in ieder geval.

maar als we eens "active directory" als voorbeeld nemen. "active directory" is een marketing term.
technisch gezien allemaal afzonderlijke dingen op een hoop gegooid.

Jij krijgt van je nieuwe werk een laptop.
Je authenticeert je zelf aan de laptop door bijvoorbeeld een iris scan of vingerafdruk
En je start een bepaalde applicatie, bijvoorbeeld https://JouwUbuntuServer/DezeMaar/index.pl

Waarna die applicatie reageert
Huh nieuwegebruiker@jenieuwewerk
ken ik niet.. Wie ben jij?
Oh, developer - system integration
welkom.

edit: TS. om terug te komen op de kleine lettertjes van je begin post. Terwijl bijna elk bedrijf active directory gebruikt. Hoe vaak gebeurt ergens het bovenstaande? Bijna nooit. je hoeft je dus nergens voor te schamen.

[ Voor 24% gewijzigd door daft_dutch op 01-12-2015 20:19 ]

azziplekkus schreef op dinsdag 01 december 2015 @ 20:55:
[...]
Ik zit in mijn laatste jaar hoger onderwijs Embedded-ICT (professionele bachelor). Het is niet zo zeer dat de docent het fout had, maar het was een zeer ruime opdracht die we in groep moesten uitvoeren.
De opdracht was dus een bedrijfsnetwerk opzetten met minimum 3 locaties (BE, US en Azië), met daarbij een aantal verplichte functies (dns, mail, http, dhcp, backup-server, ...)
[...]

Niet dat ik jou op wat voor manier wil aan vallen. zo'n opdracht is inderdaad pittig.

Maar een Leraar die denkt dat hij ICTer kan leren een bedrijf netwerk op te zetten zonder LDAP? Terwijl het eerste wat een ICTer moet vragen aan het bedrijf bij zo'n opdracht is: wat is uw organogram? Want dat moet in LDAP en als dat eenmaal beschreven is zit u er aan vast!
Want als dat een rommeltje wordt is het ook lastig aan de computers en applicaties uit te leggen wie waar werkt en wat die gene mag.

Nee hoor men maakt telkens weer nieuwe groepen en voegt die aan de applicaties toe. Zodat de hele magie van "Hey wacht als ik van Timmerman A nu bouwvakker A maak... Kijk eens aan alles verandert automatisch" in 1 keer weg is.

Stel bij je sollicitatie alsjeblieft de vraag. Jullie hebben toch wel verstand van LDAP he? Je wilt niet in een bedrijf komen met 8 verschillende accounts met 4 verschillende gebruikersnamen en verschillende wachtwoorden omdat de pollicies niet overeen komen.

Ik denk dat ze best LDAP mogen gebruiken maar dat iemand anders dat al doet en dat TS daarom op zoek is naar iets anders om mee te stoeien. Ik zou verwachten dat het de bedoeling is dat de gebruikersaccounts van die Ubuntu server komen uit de LDAP / AD van een andere student, samenwerken enzo, maar ik ken de details niet dus misschien heb ik het fout.

Ik denk dat je misschien eerst eens moet kijken naar wat je nou moet bouwen. Lukraak een tabel met users en hashes maken lijkt me verre van ideaal. En dan allemaal andere services er random aan vast knopen.. ugh

Gebruik een bewezen systeem, en bewezen koppelingen met het systeem. Bijna alles kan wel met LDAP werken, LDAP zelf heb je over het algemeen op een LDAP server draaien, bijvoorbeeld OpenLDAP. Je kan beter userdata niet willen manipuleren in de database, maar via een centrale geabstraheerde IPA provider. Dus dingen als het aanmaken, verwijderen, controleren en RBAC volgen op 1 systeem regelen, en dan de rest daar naar laten luisteren. Zelf wat maken levert eigenlijk altijd een ongewenste situatie op, ook als je alle benodigde functionaliteit implementeert. Het 'goed' implementeren van dit soort security-zaken is net zo moeilijk als een systeem dat goed met datum en tijd om gaat maken. Dat kan je beter ook niet zelf opnieuw uitvinden.

Gezien je applicaties denk ik dat je het beste LDAP en Kerberos kan gebruiken, en als je dat kant-en-klaar wil hebben kan je dat gewoon met iets als FreeIPA doen. Daar zit ook gewoon een installer bij. Andere commerciele opties zijn er uiteraard ook, Microsoft met z'n Active Directory doet het ook wel, zelfs Apple heeft met Open Directory Server een product waar alle MS, Unix en Linux systemen prima mee werken.

Wat je dan met je fileserver doet is access control extern laten verlopen, elke SFTP/SSH en SMB server kan dat wel, zelfs Netatalk met AFP kan dat.

In PHP kan je gewoon LDAP en/of Kerberos libraries inladen om precies te doen wat je nodig hebt.

CAPSLOCK2000 schreef op woensdag 02 december 2015 @ 02:51:
Ik denk dat ze best LDAP mogen gebruiken maar dat iemand anders dat al doet en dat TS daarom op zoek is naar iets anders om mee te stoeien. Ik zou verwachten dat het de bedoeling is dat de gebruikersaccounts van die Ubuntu server komen uit de LDAP / AD van een andere student, samenwerken enzo, maar ik ken de details niet dus misschien heb ik het fout.

Nou. sommige HBO's kennende.. Mijn laatste contact met het HBO na een half jaar avond opleiding ging als volgt. Geen grap!
Er was een afspraak gemaakt waarom ik met een Oracle certificaat geen vrijstelling voor SQL (lees access klikcursus) kreeg. Maar te veel onzin die avond. Dus ik begon het gesprek iets anders.

IK> Jullie zijn wel een stelletje amateurs he?
Rector> Ja... sorry... dit jaar is een beetje erg experimenteel geworden.. Misschien wordt het volgend jaar beter...

begintmeta schreef op dinsdag 01 december 2015 @ 17:45:
[...]

Zou natuurlijk ook kunnen inderdaad. Ben wel benieuwd wat de opdracht dan wel was in ieder geval.

Ben ook benieuwd, moet wel zeggen dat de HBO opleidingen met goede kennis nog moet worden uitgevonden. Het papiertje is tegenwoordig belangrijker dan kennis.

HollowGamer schreef op woensdag 02 december 2015 @ 14:12:
[...]

Ben ook benieuwd, moet wel zeggen dat de HBO opleidingen met goede kennis nog moet worden uitgevonden. Het papiertje is tegenwoordig belangrijker dan kennis.

De lesgever is daar zeker ook een grote factor in. Indien deze geen interesse heeft in de vakken die hij geeft dan heb je helemaal niets aan die vakken en valt half je opleiding in het water. Zit nu zelf in mijn derde en laatste jaar avondonderwijs en ondanks dat ik in onze klas diegene ben met de grootste basiskennis Linux waren de Linux lessen de laatste jaren ook voor mij de interessantste die we gehad hebben en heb ook ik daar redelijk wat dingen bijgeleerd die interessant zijn zonder dat het voor de beginners in de klas te moeilijk werd.

Zet ik daar Windows tegenover dan kwamen we pas bij een drama uit. Niet zozeer vanwege het OS (ik heb geen enkel probleem met het gebruik van Windows) maar wel doordat de lesgever ons gewoon aan het begin een oefeningbundel gaf en de opdracht: maak deze oefeningen zonder verder enige degelijke uitleg te geven. Maw, al die zaken had ik thuis even goed kunnen doen door ze zelf op te zoeken.

Ook wij zitten dit jaar met een groepswerk waarin we 2 aparte netwerken opbouwen. 1x linux en 1x windows waar we later dit jaar nog een routering tussen moeten gaan bouwen. En je merkt dat ondanks de afspraken die er gemaakt zijn het voor sommige heel moeilijk is om hun taken correct te volbrengen. Krijg je daar ineens machines waar niemand meer op kan inloggen bijvoorbeeld. En je merkt ook direct dat de sterkste schouders die sowieso al de moeilijkste systemen genomen hebben ook de meeste moeite in heel dat project steken, alsof zij de enige zijn die wensen te slagen.

HollowGamer schreef op woensdag 02 december 2015 @ 14:12:
[...]

Ben ook benieuwd, moet wel zeggen dat de HBO opleidingen met goede kennis nog moet worden uitgevonden. Het papiertje is tegenwoordig belangrijker dan kennis.

niet voor iedereen ik heb momenteel een prima ict baan met een MBO draden trek papiertje.
maak ik kan mij nog het verschil tussen de MBO en HBO uitleg van propagation delay time nog herinneren.

MBO> Hier hebben jullie kopieen van wat ik zelf maar ingedraaid heb want alle boeken die ik ken zijn waardeloos.
HBO> Lees hoofdstuk 1 tot 4. Oh Lees nogmaals hoofdstuk 1 tot 4. Jullie snappen het niet he. Lees nogmaals....

any way we gaan off topic.

TS: als ik jou was zou ik met FreeIPA gaan spelen. gewoon voor je zelf. En daar Windows en Linux servers en clients aan hangen.

[ Voor 10% gewijzigd door daft_dutch op 02-12-2015 15:32 ]