ubuntuusers.de

via DuckDuckGo

passwd Problem

Status: Ungelöst | Ubuntu-Version: Ubuntu 9.10 (Karmic Koala)
Antworten |

ubuntu-fan007

Anmeldungsdatum:
11. November 2009

Beiträge: 32
Zitieren
8. Januar 2010 10:28

Hallo Leute!

Ich habe ein Problem mit der Passwortvergabe. Das es unter Ubuntu nicht unbedingt üblich ist Kennwörter für den root zu vergeben weiß ich, aber ich bin erst neu in der Ubuntu-Welt eingetaucht und möchte es erst einmal so beibehalten. Ich möchte bzw. habe dem root ein Kennwort gegeben und möchte dieses jetzt ändern, aber Leider erhalte ich dann die folgende Fehlermeldung:

root: 

root@srvbackup:~# passwd
passwd: Authentication token manipulation error
passwd: password unchanged

"normaler benutzer": 

linuxadmin@srvbackup:~$ passwd
Current Kerberos password:
passwd: User not known to the underlying authentication module
passwd: password unchanged
linuxadmin@srvbackup:~$

Zu meiner Konfiguration:

Ich nutze winbind um Win Nutzern den SMB Zugriff zu ermöglichen.

nsswitch.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

passwd: 

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
syslog:x:101:103::/home/syslog:/bin/false
landscape:x:102:105::/var/lib/landscape:/bin/false
linuxadmin:x:1000:1000:linuxadmin,,,:/home/linuxadmin:/bin/bash
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin

shadow: 

root:$6$ ....... :14616:0:99999:7:::
daemon:*:14616:0:99999:7:::
bin:*:14616:0:99999:7:::
sys:*:14616:0:99999:7:::
sync:*:14616:0:99999:7:::
games:*:14616:0:99999:7:::
man:*:14616:0:99999:7:::
lp:*:14616:0:99999:7:::
mail:*:14616:0:99999:7:::
news:*:14616:0:99999:7:::
uucp:*:14616:0:99999:7:::
proxy:*:14616:0:99999:7:::
www-data:*:14616:0:99999:7:::
backup:*:14616:0:99999:7:::
list:*:14616:0:99999:7:::
irc:*:14616:0:99999:7:::
gnats:*:14616:0:99999:7:::
nobody:*:14616:0:99999:7:::
libuuid:!:14616:0:99999:7:::
syslog:*:14616:0:99999:7:::
landscape:*:14616:0:99999:7:::
linuxadmin:$6$ ...... :14616:0:99999:7:::
sshd:*:14616:0:99999:7:::

Die beiden Passwörter für root und linuxadmin funktionieren, ich habe sie hier nur entfernt.

Winbind usw. funktioniert alles, ich bekomme nur die beiden Fehlermeldungen (siehe oben). Kann ich die Kennwörter auch "manuell" generieren und per Hand in die schadow eintragen? Was hat auf einmal Kerberos damit zu tun? Ich verstehe da den Zusammenhang noch nicht so ganz...

Kann mir evtl. jemand weiter helfen?

Matthias

diesch Team-Icon

Avatar von diesch

Anmeldungsdatum:
18. Februar 2009

Beiträge: 5072

Wohnort: Brandenburg an der Havel
Zitieren
8. Januar 2010 14:35

Was sagt 

 grep -i kerberos /etc/pam.d/*

ubuntu-fan007

(Themenstarter)

Anmeldungsdatum:
11. November 2009

Beiträge: 32
Zitieren
8. Januar 2010 16:14

diesch schrieb:

Was sagt 

 grep -i kerberos /etc/pam.d/*

der einzige Eintrag war in common.auth

# here are the per-package modules (the "Primary" block)
auth    [success=2 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass

# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
auth    required                        pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optionale(8) for details.
                                        pam_smbpass.so migrate

# end of pam-auth-update config

Mir ist gerade noch aufgefallen, dass ich beim Login die Meldung 

....
Last login: Fri Jan  8 16:03:05 2010 from 192.168.10.201
groups: Es ist kein Name zur Gruppenâ??ID 10005 zu finden
root@srvbackup:~#

bekomme. Evtl. hat das ja etwas damit zu tun. Aber wbinfo -u und -g funktionieren.

diesch Team-Icon

Avatar von diesch

Anmeldungsdatum:
18. Februar 2009

Beiträge: 5072

Wohnort: Brandenburg an der Havel
Zitieren
8. Januar 2010 16:44

ubuntu-fan007 schrieb:

diesch schrieb:

Was sagt 

 grep -i kerberos /etc/pam.d/*

der einzige Eintrag war in common.auth

# here are the per-package modules (the "Primary" block)
auth    [success=2 default=ignore]      pam_krb5.so minimum_uid=1000

Da versucht er also Kerberos-Authentifizierung. Mach das mal weg, wenn du kein Kerberos verwendest.

auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass

# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
auth    required                        pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optionale(8) for details.
                                        pam_smbpass.so migrate

Das sieht kaputt aus. Mach da mal das "e(8) for details." und den Zeilenumbruch weg.

ubuntu-fan007

(Themenstarter)

Anmeldungsdatum:
11. November 2009

Beiträge: 32
Zitieren
8. Januar 2010 19:46

Danke für deine Antwort, aber ich glaube da ist bei meinem Kopieren etwas schief gegangen. Bitte das Versehen zu entschuldigen 😉 ☺

Hier nochmal die Datei, dieses Mal im Original! 

#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.).  The default is to use the
# traditional Unix authentication mechanisms.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.

# here are the per-package modules (the "Primary" block)
auth    [success=2 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass
# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth    required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth    optional                        pam_smbpass.so migrate
# end of pam-auth-update config

Daran liegt es dann evtl. doch nicht?! Und nu?

diesch schrieb:

ubuntu-fan007 schrieb:

diesch schrieb:

Was sagt 

 grep -i kerberos /etc/pam.d/*

der einzige Eintrag war in common.auth

# here are the per-package modules (the "Primary" block)
auth    [success=2 default=ignore]      pam_krb5.so minimum_uid=1000
> 
> Da versucht er also Kerberos-Authentifizierung. Mach das mal weg, wenn du kein Kerberos verwendest.
> 
auth    [success=1 default=ignore]      pam_unix.so nullok_secure try_first_pass

# here's the fallback if no module succeeds
auth    requisite                       pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
auth    required                        pam_permit.so

# and here are more per-package modules (the "Additional" block)
auth    optionale(8) for details.
                                        pam_smbpass.so migrate
> 
> Das sieht kaputt aus. Mach da mal das "e(8) for details." und den Zeilenumbruch weg.
> 
>

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona
Zitieren
9. Januar 2010 08:44

Ich vermute mal, dass passwd (via PAM) als erstes versucht, das Passwort via Kerberos auf dem AD-Server zu ändern, was fehlschlägt, weil dort kein Benutzer root oder linuxadmin existiert.

Entweder müsstest du also vielleicht die /etc/pam.d/common-password so anpassen können, dass PAM in diesem Fall nicht abbricht sondern das Unix-Passwort ändert, oder du setzt einfach das entsprechende Passwort mal auf einem Live-System und kopierst dann den Passwort-String per Hand in die shadow-Datei.

ubuntu-fan007

(Themenstarter)

Anmeldungsdatum:
11. November 2009

Beiträge: 32
Zitieren
9. Januar 2010 10:15

Danke für deine Antwort. Aber wie passe ich die common-password so an wie du es vorschlägst?

Gibt es nicht ein Befehl mit dem man sich ein Passwort generieren kann (also ohne Live System)? Also wie in etwas mit nem htpasswd Kommando?

mfg

Matthias

otzenpunk schrieb:

Ich vermute mal, dass passwd (via PAM) als erstes versucht, das Passwort via Kerberos auf dem AD-Server zu ändern, was fehlschlägt, weil dort kein Benutzer root oder linuxadmin existiert.

Entweder müsstest du also vielleicht die /etc/pam.d/common-password so anpassen können, dass PAM in diesem Fall nicht abbricht sondern das Unix-Passwort ändert, oder du setzt einfach das entsprechende Passwort mal auf einem Live-System und kopierst dann den Passwort-String per Hand in die shadow-Datei.

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona
Zitieren
10. Januar 2010 00:43

ubuntu-fan007 schrieb:

Danke für deine Antwort. Aber wie passe ich die common-password so an wie du es vorschlägst?

Wie sieht sie denn jetzt aus?

Gibt es nicht ein Befehl mit dem man sich ein Passwort generieren kann (also ohne Live System)? Also wie in etwas mit nem htpasswd Kommando?

Durchaus wahrscheinlich. Ist mir aber leider nicht bekannt.

ubuntu-fan007

(Themenstarter)

Anmeldungsdatum:
11. November 2009

Beiträge: 32
Zitieren
10. Januar 2010 11:11

hier die Datei: 

# here are the per-package modules (the "Primary" block)
password        requisite                       pam_krb5.so minimum_uid=1000
password        [success=1 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512
# here's the fallback if no module succeeds
password        requisite                       pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password        required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
password        optional                        pam_smbpass.so nullok use_authtok use_first_pass
# end of pam-auth-update config

otzenpunk schrieb:

ubuntu-fan007 schrieb:

Danke für deine Antwort. Aber wie passe ich die common-password so an wie du es vorschlägst?

Wie sieht sie denn jetzt aus?

Gibt es nicht ein Befehl mit dem man sich ein Passwort generieren kann (also ohne Live System)? Also wie in etwas mit nem htpasswd Kommando?

Durchaus wahrscheinlich. Ist mir aber leider nicht bekannt.

lotharster

Anmeldungsdatum:
7. Oktober 2006

Beiträge: 495
Zitieren
10. Januar 2010 11:50

otzenpunk schrieb:

ubuntu-fan007 schrieb:

Gibt es nicht ein Befehl mit dem man sich ein Passwort generieren kann (also ohne Live System)? Also wie in etwas mit nem htpasswd Kommando?

Durchaus wahrscheinlich. Ist mir aber leider nicht bekannt.

Das Programm grub-md5-crypt generiert aus einem eingegebenen Passwort den Passwort-Hash, der in /etc/shadow steht.

otzenpunk Team-Icon

Avatar von otzenpunk

Anmeldungsdatum:
17. Oktober 2005

Beiträge: 8691

Wohnort: Hamburg-Altona
Zitieren
11. Januar 2010 01:26

ubuntu-fan007 schrieb:

hier die Datei:

Hm, ich hab mal die Doku gelesen. Das sind jetzt aber nur Vermutungen von mir. Also mach auf jeden Fall vorher eine Sicherheitskopie von der Datei. Außerdem sollte man nach einer Manipulation der PAM-Konfiguration auf jeden Fall immer auch mal absichtliche Fehler testen, denn u.U. kann man aus Versehen auch die komplette Autorisierung außer Kraft setzen.

password        requisite                       pam_krb5.so minimum_uid=1000

Das ist auf jeden Fall die Zeile für die Änderung des Kerberos-Passworts. requisite bedeutet, dass eine gescheiterte Aktion sofort zum Abbruch führt. (Was wir nicht wollen, denn wir wollen in diesem Fall ja das Unix-Passwort ändern.) Gleichzeitig ist requisite aber laut man pam.conf nur eine Abkürzung für 

[success=ok new_authtok_reqd=ok ignore=ignore default=die]

Versuch mal folgendes einzusetzen: 

[success=ok new_authtok_reqd=ok ignore=ignore user_unknown=ignore default=die]

ubuntu-fan007

(Themenstarter)

Anmeldungsdatum:
11. November 2009

Beiträge: 32
Zitieren
11. Januar 2010 08:11

@otzenpunk: Werde ich probieren sobald es möglich ist.

@lotharster: Das grub-md5-crypt gibt mir $1$ Passwörter aus, die in der shadow stehen sind jedoch $6$ Passwörter. Was bedeutet das jetzt? Sind die $1$ schwächer verschlüsselt?

otzenpunk schrieb:

ubuntu-fan007 schrieb:

hier die Datei:

Hm, ich hab mal die Doku gelesen. Das sind jetzt aber nur Vermutungen von mir. Also mach auf jeden Fall vorher eine Sicherheitskopie von der Datei. Außerdem sollte man nach einer Manipulation der PAM-Konfiguration auf jeden Fall immer auch mal absichtliche Fehler testen, denn u.U. kann man aus Versehen auch die komplette Autorisierung außer Kraft setzen.

password        requisite                       pam_krb5.so minimum_uid=1000

Das ist auf jeden Fall die Zeile für die Änderung des Kerberos-Passworts. requisite bedeutet, dass eine gescheiterte Aktion sofort zum Abbruch führt. (Was wir nicht wollen, denn wir wollen in diesem Fall ja das Unix-Passwort ändern.) Gleichzeitig ist requisite aber laut man pam.conf nur eine Abkürzung für 

[success=ok new_authtok_reqd=ok ignore=ignore default=die]

Versuch mal folgendes einzusetzen: 

[success=ok new_authtok_reqd=ok ignore=ignore user_unknown=ignore default=die]

lotharster

Anmeldungsdatum:
7. Oktober 2006

Beiträge: 495
Zitieren
12. Januar 2010 18:35

Das grub-md5-crypt gibt mir $1$ Passwörter aus, die in der shadow stehen sind jedoch $6$ Passwörter. Was bedeutet das jetzt? Sind die $1$ schwächer verschlüsselt?

Ja $6$ steh für SHA-Hashes und $1$ steht für MD5-Hashes, die etwas schwächer sind (genaueres dazu hier) - dürfte in der Praxis aber keine große Rolle spielen.

Ich hab aber auch noch das Programm makepasswd gefunden, das beliebige Passwort-Hashes generieren kann.
Antworten |