Passwort-Hashes übertragen?

ebert · 4. Dezember 2025 um 13:14

Hallo zusammen,

gibt es eine Möglichkeit, die Passwort-Hashes in eine neue Installation zu übertragen?

Ich bin mir inzwischen relativ sicher, dass die Samba-Probleme durch ein subtiles Konfigurationsproblem verursacht werden. Ich habe nun schon unzählige Stunden in die Fehlersuche investiert, und ein sauberes, neues Setup wäre wohl die einfachste Lösung. Ich möchte nur nicht 1000 neue Erstpasswörter ausgeben.

Viele Grüße
Matthias

baumhof · 5. Dezember 2025 um 08:57

Hallo Matthias,

ich hab mal mit Rüdiger Beck diskutiert, wie sich das umsetzen ließe.
Erstes Problem wäre ja: neu angelegte Nutzer im neuen Server (also transferieren der students.csv und importieren mittels sophomorix) würde ja zu Unfällen führen, weil die Hashes kein eindeutiges Ziel hätten (Nutzer die in deinem alten Server einen Usernamen haben und deren Namensähnliche aufgrund des historischen Anlegens dann NUTZERNAME1 haben, könnten im neuen Server die Nutzernamen tauschen, weil jetzt der andere zuerst angelegt wird).
Das Problem ließe sich lösen, weil man in der students.csv durchaus auch einen Nutzernamen mit angeben kann: diesen müßte man halt vorher aus dem alten AD holen: keien Große Aufgabe (schätzen wir).
Auch der Hsh Transfer wäre dann möglich.

Die Frage ist aber: reicht dir das?
Damit sind keien Dateien transferiert und auh die SID des AD ändert sich.
Zweiteres ist harmlos: du müßtest halt der alten AD austreten und der neuen beitreten.
Da gab es früher mit Windows Probleme, weil es nicht sauber arbeitet: ein Austreten entfernte eben nicht alle Referenzen in der Registry des Clients. Hieß die neue Domäne gleich, dann scheiterte der Beitritt.
Händisches Löschen aller Regeinträge mit der alten Domain und reboot behob das Problem (müßte so zu win7 Zeiten gewesen sein: ich hatte solche Fälle).

Aber ersteres: Dateientransfer, das ist eine richtige Herausforderung.
Natürlich kann man die einfach rüberrsyncen und dabei die unix Rechte erhalten (Vorsicht: Nutzernamen verwenden, nicht die IDs der User, di sicher anders sind).
rsync kann das.
Aber damit hat man nicht die ACL von samba, die „über“ den unixrechten liegen mitgenomemen.
Ob ein sophomorux-repair diese Situation bereinigen kann weiß ich nicht. Halte ich für „gewagt“.

Also: was darfs sein?

LG
Holger

ebert · 5. Dezember 2025 um 14:32

Hallo Holger,

vielen Dank für Deine Recherche und die ausführliche Antwort.

Die Benutzernamen könnte ich problemlos exportieren und mir daraus passende students.csv sowie teachers.csv erzeugen. Die PCs würde ich alle neu aufnehmen und notfalls auch ein neues Image von Null bauen. Auf die Daten in den Home- und Tauschverzeichnissen würde ich verzichten. Die werden bei uns kaum noch genutzt, da wir überwiegend die Cloud, Moodle und (im Informatikunterricht) Gitea nutzen, zum Daten dauerhaft zu speichern. Ich würde nur auf Anfrage einzelne Dateien aus der alten Instanz herausgraben.

Insofern bleibt eigentlich nur die Frage, wie ich die Passwort-Hashes sauber vom alten auf den neuen AD/DC-Controller bekomme.

Wahrscheinlich müsste ich bei default-school bleiben und dürfte im neuen AD/DC-Controller nicht den Namen ohgw verwenden (was ich schöner fände), da sonst ja alle per LDAP angebundenen Systeme ein Problem hätten.

Viele Grüße
Matthias

jeffbeck · 6. Dezember 2025 um 14:58

Hallo Matthias,

in sophomorix wird beim anlegen eines examusers ja auch das passwort des normalen accounts auf den examuser übertragen. das passiert mit den beiden Funktionen
AD_get_unicodepwd
und
AD_set_unicodepwd

die kannst du am besten in github anschauen.

github.com

linuxmuster/sophomorix4/blob/bionic/sophomorix-samba/modules/SophomorixSambaAD.pm

#!/usr/bin/perl -w
# This perl module SophomorixSambaAD is maintained by Rüdiger Beck
# It is Free Software (License GPLv3)
# If you find errors, contact the author
# jeffbeck@web.de  or  jeffbeck@linuxmuster.net

package Sophomorix::SophomorixSambaAD;
require Exporter;
#use File::Basename;
use Unicode::Map8;
use Unicode::String qw(utf16);
use Net::LDAP;
use Net::LDAP::Control::Sort;
use Net::LDAP::SID;
use List::MoreUtils qw(uniq);
use File::Basename;
use Math::Round;
use Data::Dumper;
use MIME::Base64;
use Socket;

This file has been truncated. show original

Über ldap protololl kommst du nicht an die hashes heran, aber du kannst mit ldbsearch bzw. ldbmodify als linux-root in das samba Datenbankfile schauen wo das passwort drinsteht.
Und modifiziert wird es dann ebenso.

Vielleicht reicht dir das schon? Wenn nicht einfach nochmal melden

LG, Rüdiger

ebert · 9. Dezember 2025 um 15:50

Hallo Rüdiger,

vielen Dank! Ich denke, dass mir diese Info schon ausreicht, um ans Ziel zu kommen. Ich werde das Prozedere in einer reichlichen Woche mal testen.

Viele Grüße
Matthias

ebert · 5. Januar 2026 um 11:14

Hallo Rüdiger,

jetzt habe ich doch nochmal eine Frage. Muss ich die supplementalCredentials mitnehmen, oder reicht das Attribut unicodePwd für ldbmodify in der neuen Instanz?

Viele Grüße
Matthias