opsi Version 3.3 - opsi Download - uib
opsi Version 3.3 - opsi Download - uib
opsi Version 3.3 - opsi Download - uib
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
9. Datenhaltung von <strong>opsi</strong> (Backends)<br />
9.6. Absicherung der Shares über verschlüsselte Passwörter<br />
Die Installationssoftware <strong>opsi</strong>-PreLoginLoader greift auf die vom <strong>opsi</strong>-server zur<br />
Verfügung gestellten Shares zu um Software zu installieren sowie um Konfigurationsinformationen<br />
und Logdateien schreiben zu können. Hierzu wird der System-User<br />
pcpatch verwendet. Die Absicherung dieser Shares und damit der Authentifizierungsdaten<br />
des Users pcpatch sind wichtig für die:<br />
• allgemeine Systemsicherheit und Datenintegrität<br />
• Absicherung der potenziell lizenzpflichtigen Softwarepakete gegen<br />
missbräuchliche Nutzung<br />
Um dem <strong>opsi</strong>-PreLoginLoader ein Zugriff auf die Authentifizierungsdaten zu<br />
ermöglichen, wird für jeden Client bei der Reinstallation durch den <strong>opsi</strong>pxeconfd ein<br />
spezifischer Schlüssel erzeugt. Dieser Schlüssel wird zum einen in der Datei<br />
/etc/<strong>opsi</strong>/pckeys abgelegt und zum anderen dem PC bei der Reinstallation übergeben.<br />
Der übergebene Schlüssel wird im Rahmen der Betriebsysteminstallation in der Datei<br />
c:\<strong>opsi</strong>\cfg\locked.cfg so abgelegt, dass nur Administratoren Zugriff darauf haben.<br />
Ebenso hat auf dem <strong>opsi</strong>-server nur root, pcpatch und Mitglieder der Gruppe pcpatch<br />
Zugriff auf die Datei /etc/<strong>opsi</strong>/pckeys. Auf diese Weise verfügt jeder PC über einen<br />
Schlüssel, der nur dem PC und dem <strong>opsi</strong>-server bekannt ist und der gegenüber dem<br />
Zugriff durch normale Anwender geschützt ist. Mit diesem Schlüssel wird das aktuelle<br />
Passwort des system users pcpatch auf dem <strong>opsi</strong>-server verschlüsselt und im Backend<br />
abgelegt. Dieses verschlüsselte Passwort wird vom Client bei jedem Boot neu gelesen,<br />
so dass eine Änderung des pcpatch Passwortes jederzeit möglich ist und der Client auf<br />
verschlüsseltem Wege das veränderte Passwort erfährt.<br />
119