Wie Userpasswörter unsalted aus dem LDAP bekommen?

Liebe Wissende!
Ich muss (Anordnung von „oben“) mit dem Google Cloud Directory Sync Google Accounts aus dem LDAP erstellen, damit alle unsere Kids auch Google Classroom nutzen können So weit, so gut.
Die Mailadressen, Vorname und Nachname bekomme ich problemlos aus dem LDAP. Allerdings will er die Passwörter aus userPassword nicht auslesen. Die sollten, SHA1, MD5 oder Plain sein, allerdings sind die hier ja salted. Kann ich die irgendwie herausbekommen/umwandeln?
In der Passwortliste sind die ja auch plain drin… hmmm…

Kann mir jemand helfen? Vielen Dank im Voraus!
LG,
Alex

Hallo Alex,

Ich muss (Anordnung von „oben“) mit dem Google Cloud Directory Sync
Google Accounts aus dem LDAP erstellen, damit alle unsere Kids auch
Google Classroom nutzen können So weit, so gut.

… da sag ich mal nichts zu…

Die Mailadressen, Vorname und Nachname bekomme ich problemlos aus dem
LDAP. Allerdings will er die Passwörter aus userPassword nicht auslesen.
Die sollten, SHA1, MD5 oder Plain sein, allerdings sind die hier ja
salted. Kann ich die irgendwie herausbekommen/umwandeln?
In der Passwortliste sind die ja auch plain drin… hmmm…

das Salt ist ja extra dazu da, dass man das Passwort nicht so leicht
zurückrechnen kann: das willst du ja wohl kaum aushebln.

Hab ich das richtig verstanden, dass die keien LDAP Anbindung haben,
sondern dass du einen Export der Daten (mit Passwörtern) dort hochladen
mußt, damit die credentials identisch sind?
… das sit ja super: dann hast du immer ein Backup deiner
NUtzercredentials mit Passwörtern: und das auch noch bei google: die
können super auf Daten aufpassen …

Aber mal ganz ehrlich: will man das tatsächlich?
Ich meine ja jetzt nicht nur, dass man die Passwörter, die man
normalerweise sicher aufbewahrt, zu google hoch lädt, sondern auch der
Aufwand den man betreibt: das geht doch auf dauer garantiert schief.
Nehmen wir den Fall: Schüler ändert sein Passwort … das bekommt google
doch garnicht mit?
Und dann?
Muss der Schüler sich an den Admin wenden, der nur sein Passwort in
google neu setzt?
Sieht nahc einer sicheren Arbeitsbeschaffungsmaßnahme aus.

Aber zurück zum Problem: ich denke nicht, dass du plainpasswörter aus
dem ldap rausbekommst: genau das soll ja verhindert werden …
Also führt entweder die WebUI separat eine Liste in der das geäderte
Passwort in plain text aktualisiert wird, oder du hast schlechte Karten.

… aber wir haben schlechte Karten, wenn die WebUI das macht: denn wir
müßten uns fragen: wollen wir das? Ist das tatsächlich nötig?

Beobachte doch mal die Ausgabe von
sophomorix-print -a
Da stehen Passwörter drin: aber ich meine, das sind nur die erstpasswörter.
Ändere ein Passwort eines Nutzers und schau, nach einem sophomorix-print
-a, nochmal rein.

LG

Holger

Lieber Holger,
Vielen Dank für deine Antwort. Auch mir ist nicht ganz wohl dabei, Google alle Daten in den Rachen zu schieben, aber ich hatte die Wahl: Office 365 für alle, oder Google G-Suite…
Es geht übrigens nur um die Schüler. Die Lehrer verwalte ich weiter wie gehabt…
Mit dem Google Tool kann ich die Accounts aus dem LDAP auslesen und automatisiert anlegen und auch wieder sperren bzw. löschen, wenn der User nicht mehr im LDAP ist. Das ist für mich ein akzeptabler Weg. Alle User nochmal extra verwalten zu müssen, wäre eine ziemliche Strafverschärfung.

Nur mal um den Gedanken weiter zu spinnen: Kann ich im LDAP problemlos ein Attribut hinzufügen um dort dann das Erstpasswort in MD5 einzutragen? Also in /schema hinzufügen, oder geht das nicht so einfach…?

Danke für’s Helfen!

LG,
Alex

Hallo Alexander,

ganz ehrlich … ich vertrete die Auffassung, dass es irgendwann im Leben auch den Punkt gibt an dem man sagen muss „bis hierher, und nicht weiter“. Das Land Baden-Württemberg macht z.B. seit über 5 Jahren daran rum ob man MS365 überhaupt rechtskonform abschließen kann. Und Schulen meinen reihenweise sie könnten das! Und nun (ihr seid da ja nicht allein) auch noch Google Classroom / Google G Suite. Und alles nur weil man kein anderes, kein eigenes Konzept hat.

Bei mir wäre das der Zeitpunkt wo ich sagen würde, ich mache wieder ausschließlich meinen Unterricht. Denn mit dem jeweiligen Landesdatenschutzbeauftragten ist das mit Sicherheit nicht abgestimmt.

Sorry auch, aber wenn ich lese „es geht übrigens nur um die Schüler“, dann wird mir schlecht und ich weiß nicht mehr so richtig wie ich da überhaupt noch antworten soll. Um was geht es denn sonst, als um unsere Schüler und Schülerinnen? Wäre es schlimmer wenn es um die Daten der Lehrer gehen würde, oder was? Und davon abgesehen: Wie arbeiten eigentlich eure Lehrkräfte mit den Schülern zusammen wenn die Lehrer dort keinen Account haben?

Grüße, Hans

Hallo Alex!

Auch wenn du das nicht lesen willst, sorry. Ich muss das schreiben, das macht mich sonst irre.

Die Wahl zwischen Office 365 und Google G-Suite???
Ich glaube, wenn das jemand von mir verlangt, würde ich den Landesdatenschutzbeauftragten einschalten.

Ich bin mir sicher, dass die vorgeschlagenen Lösungen mit deutschem Recht NICHT vereinbar sind. (Zwei Hinweise dazu unten.)

Kurz gesagt: Das ist ILLEGAL.

Keiner, der diese Dienste in der Schule einführt, soll sagen können: „Ich habe das nicht gewusst.“

Gruß - Rainer

Zitat vom Landesdatenschutzbeauftragten B-W (Schreiben vom 26.05.20):
„Bei der Auswahl einer Software oder eines Dienstes ist deswegen u.a. zu prüfen, ob alle datenschutzrechtlichen Vorgaben umgesetzt werden und unerwünschte Datenübertragungen einschließlich Auswertung des Nutzerverhaltens erfolgen, damit die Rechtmäßigkeit der Verarbeitung sichergestellt ist. Sollte diese Prüfung nicht möglich sein, z.B. weil nicht alle Datenflüsse und Verarbeitungen vom Hersteller ausreichend dokumentiert sind, kann eine solche Software nicht datenschutzkonform eingesetzt werden, schon weil die Datenverarbeitung nicht den Grundsätzen für die Verarbeitung personenbezogener Daten (vgl. Artikel 5 DS-GVO) entspricht. Nach Artikel 5 Absatz 2 DS-GVO ist die Schule hierfür rechenschaftspflichtig.
Ebenso ist Kapitel V der DS-GVO (Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen) zu beachten.“

Auszug aus https://it.kultus-bw.de/,Lde/Startseite/IT-Sicherheit/Cloudbasierte_Dienste (09.06.20):

"Eine Verarbeitung personenbezogener Daten von Schulen außerhalb des Geltungsbereichs der EU-DSGVO sollte grundsätzlich unterbleiben und ist nur im Ausnahmefall (z.B. Auslandsschule) mit Zustimmung des Kultusministeriums zulässig.

Bei US-amerikanischen Anbietern ist noch eine Besonderheit zu beachten: Diese Anbieter sind auch bei Rechenzentren, die im europäischen Wirtschaftsraum liegen, der Gesetzeslage in ihren Heimatländern verpflichtet. Dies bedeutet im konkreten Fall, dass Daten aus diesen Rechenzentren US-Sicherheitsbehörden zugänglich gemacht werden können. Aus der Sicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfD) stellt die mögliche Datenweitergabe aus dem EU-Gebiet heraus die Inanspruchnahme derartiger Cloud-Angebote grundsätzlich in Frage (siehe 30. Tätigkeitsbericht des LfD)"

Lass Dir diese Anordnung schriftlich geben, mit Unterschrift des Verantwortlichen, also der Schulleitung und mach sie vorher darauf aufmerksam, dass sie sich damit aus Deiner Sicht im strafbaren Bereich bewegen und „Auch Wissenheit schuetzt vor Strafe nicht“.
Immerhin bist Du der Ausfuehrende und musst mit verantworten, was da geschieht.
Solche Anordnungen werden leicht mal so zwischen Tuer und Angel gegeben, wenn jemand dafuer unterschreiben muss, dann sieht das oft ploetzlich ganz anders aus.

Gruss Harry

HAllo Alex,
auch ich stehe hinter dne Ausführungen der Kolleginnen - remonstrieren und schriftlich geben lassen.

aber zu deiner Anfrage: Von SHA1, MD5 oder plain auswählen? Schau dir den hier an: https://www.youtube.com/watch?v=7U-RbOKanYs
Du kannst dann auch gleich Klartextpasswörter schicken.

<ironie>
vermutlich ist plain, md5 oder sha1 für Google gleichbedeutend wie plain
</ironie>

Dann: ins schema hinzuzufügen reicht wohl nicht, du müsstest sophomorix so patchen, dass es dir das klartext passwort (oder das ungesaltetes Hash) in das neue Attribut schreibt. Das wird dir der Entwickler von sophomorix nie im Leben supporten, weil es einfach Unfug ist.

Oder schreib dir ein Frontend, dass die Schüler benutzen sollen als PW-changer, das a.) sophomorix aufruft und b.) dir das Passwort bei twitter hochlädt wo, c.) google sich den scheiß selbst abholen soll und d.) jemand anderes die Administration übernehmen soll.
Ich würde als letzte Aktion auch gleich die PW-Änderung den Lehrern und der Schulleitung empfehlen.

Sorry, musste sein.
VG, Tobias

Wenn man da eine Weile drueber nachdenkt, dann wird das Ansinnen immer absurder.

1. Du pumpst ohne die Beteiligten zu fragen deren Namen und Mailadressen zu einer amerikanischen Aktiengesellschaft hoch.
2. Dazu noch quasi deren Klartextpasswoerter, die sie eventuell auch selbst gewaehlt haben.

Das ist der Wahnsinn, wenn das klar geht, dann brauchen wir uns ueber Datenschutz eigentlich gar nicht mehr unterhalten, dann ist der Krieg verloren.
Was jeder privat macht ist seine Sache, aber das im grossen Umfang zu verstaatlichen geht nicht und ich hoffe wirklich, dass da irgendwann mal der grosse Abmahnhammer faellt - die Hoffnung stirbt ja zuletzt…aber sie stirbt.

Gruss Harry

Edith: Geburtsdatum koennte man ja eigentlich auch gleich noch mit hochladen.

Hallo Alexander,

ich hoffe du hast keine Wespenallergie: ich hatte mir ja schon gedacht,
dass du hier ein Wespennest triffst und hatte den Aspekt extra nicht
angesprochen in meiner ersten Antwort.

Ich kann die Anmerkungen gut nachvollziehen und bin wirklich froh nicht
selbst in der Position zu sein, dass die Schulleitung das von mir will.
Remonstrieren (schriftlich) wäre wohl das mindeste: „Hut nehmen“ würde
ich definitiv in Betracht ziehen (für mich! nicht als Aufforderung an dich).

Ich hoffe du nimmst die Anmerkungen nicht persönlich sondern als Kritik
an der „Lösung“ an sich.

Viele Grüße

Holger

Noe Alex, persoenlich ist das wirklich nicht gemeint.

Bei uns wurde irgendein „Consulter“ damit beauftragt abzuklaeren ob Teams fuer die Lehrer datenschutzrechtlich klar geht, das Netzwerkteam wurde da vorsorglich erst gar nicht gefragt, ist auch klar warum.

Wir werden auch mit der Verwaltung des Ganzen nicht’s zu tun haben.
„Wir“ sehen uns da eher in der beratenden Position und wenn da jemand dran vorbei will, dann kann er das tun, wir nehmen das auch nicht persoenlich.

Zu Teams kann man aus meiner Sicht auch niemanden offiziell zwingen.
Hauptproblem bleibt bei uns auch immer noch OneNote, gibt wohl immer noch keine gute Alternative aus der freien Welt. Mich juckt das nicht, da ich mit dem Stift sowieso nicht umgehen kann.
Ich kann nicht mehr richtig mit der Hand schreiben, tippe seit Ewigkeiten nur noch und vermisse Stifte auch nicht wirklich - deshalb sieht mein Tafelbild ja auch immer scheisse aus.

Gruss Harry

Hallo,

da haben wir in Sachsen Glück. Da gibt es eine funktionierende Lernplattform Lernsax. Aber auch da brauche ich einen Benutzernamen und das Passwort. Da wäre das Auslesen der Passwörter für mich eine Erleichterung beim Einrichten der Accounts.

Viele Grüße

Steffen

Hallo Steffen,

kann Eure Lernplattform nicht gegen den LDAP authentifizieren? In meiner ehemaligen Schule wird alles gegen den LMN-LDAP authentifiziert (außer Office 365).

Gruß

Alois

Hallo Alois,

leider nicht .

Liebe alle!

Vielen Dank für eure zahlreichen Antworten. Dass ich hier so massiv in ein Wespennest steche, hab ich nicht erwartet. Ich möchte übrigens klarstellen, dass ich ein großer Freund von open source bin und diesen Standpunkt in der Schule auch vehement vertrete. Auch mir ist es ein Dorn im Auge, wenn ich „den Großen“ meine Daten in den Rachen werfe.

Allerdings habe ich vielleicht hier noch nie erwähnt, dass ich Österreicher bin und es bei uns mittlerweile Verträge zwischen dem Ministerium und Google bzw. Microsoft gibt, die die Nutzung der Softwareprodukte dieser Konzerne dsgvokonform ermöglichen sollen. Alle Bundesschulen haben auch für alle SchülerInnen und LehrerInnen Office365 zur Verfügung (wird vom Ministerium bezahlt). Obwohl ich kein Freund davon bin, haben die Kids ein Recht darauf und ich „muss“ immer wieder die Zugänge ausgeben. Fast alle Bundesschulen nutzen daher Office365 flächendeckend.

Wir sind da etwas „anders“. Unsere Schule läuft nun seit einigen Jahren auf Linuxmuster mit Ubuntuclients und LibreOffice und wir sind sehr zufrieden. So stabil, unkompliziert und verlässlich, dass viele IT-Kollegen neidisch zu uns blicken. Ich weiß von vielen anderen Schulen, dass Probleme technischer Natur gibt, die bei uns dank Linuxmuster kein Thema sind.

Ich muss nun den Spagat schaffen, zwischen der Open Source Welt und „wir brauchen MS-Teams….“ - schreienden Kolleg_inn_en. Auch aus Angst vor einem zweiten Lockdown wollen viele eine schulweit einheitliche Lernplattform. Und damit ist nicht Moodle gemeint.

Ich werde auf jeden Fall hier eine bessere Lösung finden und danke euch für euren Input. Danke auch dafür, dass es hier diesen Pool an kompetenten, fähigen Gleichgesinnten gibt.

Liebe Grüße,

Alex

Hallo Alex,

danke für den Einblick in Österreich.

VG Andre

Hallo,

Und wenn jemand „die Schule braucht mehr Geld“ schreit, rennst du mit Corona-Maske und Wasserpistole in die nächste Bank?
Meine Kinder schreien auch und bekommen nicht immer das, was sie möchten. Aus pädagogischen Gründen. In der Schule wären das aber sogar rechtliche Gründe.
Wir haben in unserer Nutzerordnung stehen, dass das Passwort geheim gehalten werden muss…

Viele Fußgänger laufen auch bei Rot über die Ampel, wenn kein Auto kommt.
Ich machs nicht. Prinzipiell, rechtlich und vor allem als Vorbild. Auch wenn andere mich dann als Spießer, Korintenkacker oder sonstwas sehen.
LG
Max

Hallo Max,

Fast alle Bundesschulen nutzen daher Office365 flächendeckend.

Viele Fußgänger laufen auch bei Rot über die Ampel, wenn kein Auto kommt.
Ich machs nicht. Prinzipiell, rechtlich und vor allem als Vorbild. Auch
wenn andere mich dann als Spießer, Korintenkacker oder sonstwas sehen.

… oh … so einer bist du

Viele Grüße

Holger