Wie kann ich denn mein Passwort \u00e4ndern? Diese Frage kennen wohl die meisten Linux-Admins zur Gen\u00fcge. Oft haben sie aber keine Antwort parat, mit der auch unerfahrene Benutzer etwas anfangen k\u00f6nnen \u2013 SSH und Kommandozeile sind nunmal nicht jedermanns Sache. Ich m\u00f6chte deshalb ein paar Tipps geben, die helfen sollen, ein Webinterface zum \u00c4ndern des Passwortes zu bauen.<\/p>\n
Leider gibt es keine fertige L\u00f6sung, die man nur noch mit eigenem CSS anpassen muss und auch dieser Blogeintrag liefert so etwas nicht. Die erste Suche bei Google f\u00fchrt zu logout.sh<\/a>: Hier werden aber leider nur die grundlegenden Schritte skizziert. Aber wie sch\u00f6n ein paar mal erw\u00e4hnt: Geht nicht, gibts bei uns nicht. Notfalls muss man das halt selbst programmieren…<\/p>\n Zuerst muss sichergestellt werden, dass die LDAP-Zugriffsberechtigungen f\u00fcr die Attribute richtig gesetzt sind. Damit es f\u00fcrs Blog nicht zu breit wird, habe ich es in zwei Teile geteilt.<\/p>\n und<\/p>\n Zus\u00e4tzlich sollten die Parameter, die zur Passwort-Alterung n\u00f6tig sind, mit passenden Zugriffsrechten ausgestattet sein. Das sollte per Default passen, hier nur nochmal zur Sicherheit:<\/p>\n Prinzipiell funktioniert dann das \u00c4ndern des Unix-Passworts so:<\/p>\n Die Details, wie man mit PHP auf einen LDAP-Server zugreift, lasse ich hier mal aus. Die API-Funktionen sind auf der PHP-Webseite<\/a> beschrieben. Ein gutes Tutorial gibt es auch bei wikibooks<\/a>.<\/p>\n Nur eines: baut man eine Verbindung zu einem OpenLDAP-Server auf, wird das immer klappen \u2013 auch wenn man den falschen Hostnamen verwendet hat. Ob es wirklich geklappt hat, sieht man an einem anonymen Bind:<\/p>\n Im Codeschnipsel sieht man auch gleich, wie man die LDAP-Version f\u00fcr die Verbindung passend setzen kann. Die gew\u00fcnschte Version ist letztendlich abh\u00e4ngig von der Konfiguration.<\/p>\n Kommen weitergehende Features, wie z.B. Passw\u00f6rter mit Ablaufdatum ins Spiel, kann ich nur die Lekt\u00fcre von Windows kocht bei der Hashfunktion f\u00fcr die Passw\u00f6rter ein vollkommen eigenes S\u00fcppchen. Es gibt in der PHP API auch keine passende Hashfunktion. Auch das von den smbldap-tools verwendete Perl-Paket Crypt::SmbHash gibt es nicht f\u00fcr PHP. Gl\u00fccklicherweise gibt es aber bereits einen Port von Roland Gruber<\/a>, so dass einem diese unangenehme Aufgabe erspart bleibt.<\/p>\n Damit kann man auch die entsprechenden Felder im LDAP \u00e4ndern:<\/p>\n Auch hier verwende ich die erweiterten Features, wie Passw\u00f6rter, die vom Benutzer beim ersten Einloggen ge\u00e4ndert werden m\u00fcssen, nicht. Der Quellcode von Eine Seite zum \u00c4ndern der Passw\u00f6rter ist in PHP mit 300 Zeilen Code leicht erstellt. Meine PHP-Kenntnisse haben leider nur zu grausamen aussehenden Code gereicht, daher gibt es das hier auch nicht zum Download. Aber selbst als Laie konnte ich das mit der n\u00f6tigen Recherche an einem Vormittag realisieren. <\/p>\nLDAP<\/h4>\n
access to attrs=userPassword,sambaNTPassword,sambaLMPassword\r\n by self write\r\n by anonymous auth\r\n by * none<\/pre>\n
access to attrs=sambaPwdMustChange,sambaPwdLastSet\r\n by self write\r\n by anonymous auth\r\n by * none<\/pre>\n
access to attrs=shadowLastChange,shadowMax\r\n by self write\r\n by * read<\/pre>\n
Unix Passwort \u00e4ndern<\/h4>\n
\r\nfunction change_posix_pwd($conn, $uid, $pwd) {\r\n $hash_pass = \"{MD5}\" . base64_encode(pack( \"H*\", md5($pwd)));\r\n $last_change = (int)(time()\/86400);\r\n return ldap_mod_replace(\r\n $conn, \r\n \"uid=\" . $uid . \",ou=people,dc=xxx,dc=xxx\", \r\n array(\"userPassword\" => $hash_pass, \"shadowLastChange\" => $last_change)\r\n );\r\n}\r\n<\/pre>\nldap_set_option ($ldapconn, LDAP_OPT_PROTOCOL_VERSION, 3);\t\t\r\nif (!@ldap_bind($ldapconn)) {\r\n die(\"Kein Zugriff auf den LDAP-Server\");\r\n}\r\n<\/pre>\n\/usr\/sbin\/smbldap-passwd<\/code> und dem zugeh\u00f6rigen Perl Modul (\/usr\/share\/perl5\/smbldap_tools.pm<\/code>) empfehlen. Nachdem ich diese Funktionen momentan nicht verwende, kann meine L\u00f6sung damit im Moment auch nicht umgehen. Auch mit anderen Hashfunktionen als MD5 f\u00fcr die Passw\u00f6rter kann meine momentane L\u00f6sung nicht umgehen.<\/p>\nWindows Passw\u00f6rter \u00e4ndern<\/h4>\n
\r\ninclude_once(\"class.smbhash.inc.php\");\r\n\r\nfunction change_samba_pwd($conn, $uid, $pwd) {\r\n $clazz = new smbHash();\r\n $lmhash = $clazz->lmhash($pwd);\r\n $nthash = $clazz->nthash($pwd);\r\n $time = time();\r\n\t\t\r\n return ldap_mod_replace(\r\n $conn, \r\n \"uid=\" . $uid . \",ou=people,dc=xxx,dc=xxx\", \r\n array(\r\n \"sambaLMPassword\" => $lmhash, \r\n \"sambaNTPassword\" => $nthash, \r\n \"sambaPwdLastSet\" => $time\r\n )\r\n );\r\n}\r\n<\/pre>\nsmbldap-passwd<\/code> hilft auch bei diesem Problem weiter.<\/p>\nFazit<\/h4>\n