1.5.3 / 5.5.3đź”—
Wichtig
Im nachfolgenden finden Sie wichtige Änderungen, die einen manuellen Eingriff erfordern können.
KennwortverschlĂĽsselung als Standardđź”—
Schon seit LogoDIDACT 1.0 Zeiten besteht die Möglichkeit Benutzerkennwörter nicht im Klartext zu speichern und für die Anmeldung auf Hashes zurückzugreifen. Da LogoDIDACT seit jeher flexibel in unterschidlichsten Umgebungen zum Einsatz kam, wurde diese Option aus Kompatibilitätsgründen nicht als Standard gesetzt.
Im Rahmen unserer ISO-Sicherheitszertifizierung 27001 ändern wir die Möglichkeit der Kennwortverschlüsselung in LogoDIDACT von optional in verbindlich. Konkret werden im nächsten ldupdate alle Benutzerkennwörter am Server verschlüsselt abgespeichert. Die Wichtig- und Richtigkeit dieser Änderung ist klar erkennbar, allerdings bedeutet dies in der IT-Administration, dass Kennwörter von Benutzerkonten (zu Diagnose- und Testzwecken) nicht länger eingesehen/ausgelesen werden können. Die Umstellung auf verschlüsselte Kennwörter betrifft alle Benutzer des Servers, einschließlich der administrativen Konten (admin / pgmadmin / itb).
Wichtig
Falls die derzeit vergebenen Kennwörter der LogoDIDACT Admins nicht notiert wurden, sollten Sie dieses nun nachholen. Insbesondere, falls an anderen Geräten im Netzwerk das Kennwort zum LogoDIDACT Admin gleichgesetzt wurde (z.B. UniFi-Controller / Backup-NAS Systeme / Switches / … ), weil diese Geräte das Kennwort zumeist separat führen.
Für Support-Fälle, in denen man mit echten Benutzer-Zugängen von Lehrern oder Schülern arbeiten muss, ist es in Zukunft ferner nötig, ein Benutzer-Kennwort kurzzeitig auf einen bekannten Wert abzuändern und nach der Support-Sitzung wieder auf den ursprünglichen Wert zurückzusetzen. Einen Weg, das vergebene Kennwort direkt am Server als root-Benutzer einzusehen, gibt es dann nicht mehr.
Wichtig
Wenn LogoDIDACT an Microsoft 365 angekoppelt ist und die Konten per LD Azure Connect verwaltet werden, ist es wichtig, dass VOR dem Einspielen der Aktualisierungen im logosrv die Version des ld-control-service im ctrl >= 46.4 ist.
root@ctrl-g1:~ # apt -qq list ld-control-service
ld-control-service/xenial,now 46.4 amd64 [installed]
Hierzu existiert im LXC-Container logosrv ein Kommandozeilen-Tool mod_password, mit dessen Hilfe sich Benutzer-Kennwörter so verändern lassen, dass sie später nach dem Testen wieder auf den Ursprungswert zurückgesetzt werden können.
Verwendung des Tools mod_passwordđź”—
Um im Support weiterhin Tests mit konkreten Benutzerkonten durchführen zu können, dient das Tool mod_password. Auch dieses schon lange existierende Tool wurde auf die Verwendung von verschlüsselten Kennwörtern umprogrammiert. Über mod_password lässt sich das Kennwort eines Benutzers setzen und nach dem Testen wieder auf den ursprünglichen Wert zurücksetzen.
- Bsp.:
root@logosrv:~ # mod_password set bernd.haas Test saving credentials for user 'bernd.haas'...
- Jetzt kann man mit dem Account und dem Kennwort „Test“ die Anmeldung durchführen.
root@logosrv:~ # mod_password reset bernd.haas resetting credentials for user 'bernd.haas'...
Vorsicht
Wenn man sich nicht sicher ist, ob man das Kennwort bereits zurĂĽckgesetzt hat, kann man mod_password reset ein weiteres Mal aufrufen.
no saved credentials for user 'bernd.haas' found
Wichtig
Ebenfalls kann sich die Umstellung auf SSHA-verschlüsselte Kennwörter auf externe Plattformen auswirken, die per LDAP an den Verzeichnisdienst des LogoDIDACT Servers angebunden wurden. Dies lässt sich nicht pauschal beurteilen. In jedem Fall muss der Benutzer-Login am externen System nach Installation des nächsten LogoDIDACT Updates kontrolliert werden.
Beispiele externer Dienste, die bekanntermaßen häufig per LDAP an einem LogoDIDACT Server angebunden werden, wären u.a.:
Moodle
WebUntis
Mögliches Kennwortproblem im nexus-g1🔗
Unter Umständen scheitert der prun im nexus-g1 wegen einer Umbenennung des administrativen Kontos von nxadmin zu admin.
In diesem Fall muss man sich im nexus anmelden und manuell einen administrativen Benutzer mit dem Namen admin und dem Passwort aus /etc/nxadmin.secret anlegen.
https://nexus.schule.local/#admin/security/users