Hallo Alex,
Ich muss (Anordnung von „oben“) mit dem Google Cloud Directory Sync
Google Accounts aus dem LDAP erstellen, damit alle unsere Kids auch
Google Classroom nutzen können So weit, so gut.
… da sag ich mal nichts zu…
Die Mailadressen, Vorname und Nachname bekomme ich problemlos aus dem
LDAP. Allerdings will er die Passwörter aus userPassword nicht auslesen.
Die sollten, SHA1, MD5 oder Plain sein, allerdings sind die hier ja
salted. Kann ich die irgendwie herausbekommen/umwandeln?
In der Passwortliste sind die ja auch plain drin… hmmm…
das Salt ist ja extra dazu da, dass man das Passwort nicht so leicht
zurückrechnen kann: das willst du ja wohl kaum aushebln.
Hab ich das richtig verstanden, dass die keien LDAP Anbindung haben,
sondern dass du einen Export der Daten (mit Passwörtern) dort hochladen
mußt, damit die credentials identisch sind?
… das sit ja super: dann hast du immer ein Backup deiner
NUtzercredentials mit Passwörtern: und das auch noch bei google: die
können super auf Daten aufpassen …
Aber mal ganz ehrlich: will man das tatsächlich?
Ich meine ja jetzt nicht nur, dass man die Passwörter, die man
normalerweise sicher aufbewahrt, zu google hoch lädt, sondern auch der
Aufwand den man betreibt: das geht doch auf dauer garantiert schief.
Nehmen wir den Fall: Schüler ändert sein Passwort … das bekommt google
doch garnicht mit?
Und dann?
Muss der Schüler sich an den Admin wenden, der nur sein Passwort in
google neu setzt?
Sieht nahc einer sicheren Arbeitsbeschaffungsmaßnahme aus.
Aber zurück zum Problem: ich denke nicht, dass du plainpasswörter aus
dem ldap rausbekommst: genau das soll ja verhindert werden …
Also führt entweder die WebUI separat eine Liste in der das geäderte
Passwort in plain text aktualisiert wird, oder du hast schlechte Karten.
… aber wir haben schlechte Karten, wenn die WebUI das macht: denn wir
müßten uns fragen: wollen wir das? Ist das tatsächlich nötig?
Beobachte doch mal die Ausgabe von
sophomorix-print -a
Da stehen Passwörter drin: aber ich meine, das sind nur die erstpasswörter.
Ändere ein Passwort eines Nutzers und schau, nach einem sophomorix-print
-a, nochmal rein.
LG
Holger