Tipps & Tricks
Aktuelle Patches und Updates zu Novell-Produkten
Welche neuen Patches und Updates stehen für Novell-Produkte zur Verfügung und wo lassen sie sich
downloaden?
Nachfolgend eine Auswahl aktueller Produkt-Updates von Novell. Alle Dateien sind über
support.novell.com/filefinder/ verfügbar. Unter den "Security Alerts" finden sich diesmal
gleich mehrere aktuelle Patches, die jedoch alle noch mit einem "Beta"-Vermerk versehen sind. Das
erste Update bezieht sich auf Ichain 2.3 und beinhaltet alle früheren Support-Packs und
Patches:
ic23sp2ir1.exe: "Ichain 2.3 Support-Pack 2 Interim Release 1" (TID
2971477).
Vier weitere Security Alerts stellen Remote-Management-Security-Patches für Zenworks dar:
zfd401ir6rm.exe: "ZfD 4 SP1b/4.0.1 IR6 RM Patch" (TID 2971493),
zdm65sp1rm.exe: "Zenworks 6.5 Desktop Mgmt SP1 RM patch" (TID 2971500),
zfs302ir3rm.exe: "ZfS 3.0.2/SP2 IR3 RM Patch" (TID 2971512) und
zsm65sp1rm.exe: "Zenworks 6.5 Server Mgmt SP1 RM Patch" (TID 2971513).
Alle vier Patches sollten nach Angaben des Herstellers nicht bedenkenlos verwendet werden, da
sie nur eine verkürzte Testphase durchlaufen haben. Sie sind ausschließlich bei den im TID 10097644
("Zenworks Remote Management fails to properly validate authentication") genannten Symptomen zu
empfehlen.
Auch in der "Minimum Patch List" des Herstellers findet sich ein Neuzugang für Zenworks. Das
Support-Pack 1b umfasst die vorangegangenen Packs 1 und 1a:
zen65sp1b.exe: "Zenworks 6.5 SP1b" (TID 2971311).
Unter den "normalen" Updates ist ebenfalls Zenworks mit folgenden Dateien vertreten, die auch im
Zusammenhang mit den genannten Security-Patches stehen:
zfs302_ir3a.exe: "ZfS 3.0.2/SP2 Interim Release 3a" (TID 2971057) und
zfd401_ir6.exe: "ZfD 4 SP1b/4.0.1 Interim Release 6" (TID 2970984).
Für Netware stehen folgende TCP-Updates für die unterschiedlichen Betriebssystemversionen zur
Verfügung:
tcp659i.exe: "TCP update for Netware 6.5" (TID 2971296),
tcp610l.exe: "TCP update for Netware 6" (TID 2971359) und
tcp587h.exe: "TCP update for Netware 5.1" (TID 2971360).
Unter den zahlreichen weiteren Updates erscheinen noch folgende Dateien nennenswert:
edir8736.exe: "Edirectory 8.7.3.6 for Netware & Win32" (TID 2971156)
enthält nach Angaben des Herstellers alle Fixes und Updates seit Edirectory 8.7.3. sowie
wsock6g.exe: "Winsock update for Netware 5.1 and 6.x" (TID 2971087). Kurt
Pfeiler
Debian GNU/Linux: Login eines neu angelegten Benutzers scheitert
Ein unter Debian GNU/Linux neu eingerichteter User kann sich nicht am System anmelden. Obwohl
die vom Systemverwalter übergebenen Zugangsdaten (Benutzername und Passwort) korrekt eingegeben
wurden, meldet der Rechner stets "Login incorrect". Was ist die Ursache hierfür und wie lässt sich
das Problem beheben?
Auf diesem Debian GNU/Linux-System wurde die Speicherung der Passwörter als MD5-Hash-Wert
aktiviert. Die bedeutet, dass in der Datei "/etc/shadow" keine Passwörter im Klartext gespeichert
sein dürfen. Wenn der Administrator nun versucht, den neuen User-Account mit einer einzigen
Befehlszeile
useradd […] -p passwort username
zu definieren, dann speichert dieses Kommando mit der Option "-p" das vorgegebene Passwort im
Klartext in die Datei "/etc/shadow". Gibt der Benutzer anschließend beim Login seine Zugangsdaten
ein, dann rechnet Linux das Passwort in den MD5-Hash-Wert um und sucht in "/etc/shadow" den
Referenzwert zum Vergleich der Gültigkeit. Dort findet das System aber nur das Passwort im Klartext
(Bild 1). Der Vergleich ist also negativ und das Login wird verweigert.
Legt der Administrator das Passwort für das erste Login jedoch in einem zweiten Schritt mit dem
Befehl
passwd [username]
fest, dann wird völlig korrekt der MD5-Hash-Wert in "/etc/shadow" gespeichert (Bild 2), und das
Login des Benutzers wird gelingen.
Es sei am Rande bemerkt, dass es trotz dieser kleinen Verwirrung durchaus sinnvoll ist, mit
MD5-Fingerprints der Passwörter zu arbeiten, weil dies die Sicherheit des Systems deutlich erhöht.
Damit bleiben die Passwörter geheim, selbst wenn der Administrator eine weniger geschützte Kopie
angefertigt hat oder der Inhalt der "Shadow"-Datei unbefugten Personen – beispielsweise am
Bildschirm des Systemverwalters – zu Gesicht gekommen ist.
Microsoft Messenger entfernen (II)
Ein Tipp in LANline 4/2005 beschreibt, wie sich der Microsoft Messenger entfernen lässt, obwohl
die Systemsteuerung hierzu offensichtlich keine Handhabe bietet. Existiert zu der beschriebenen "
radikalen" Lösung eine Alternative, und lässt sich dazu eventuell doch die Systemsteuerung
nutzen?
Die Systemsteuerung bietet zwar standardmäßig keine Möglichkeit, den Microsoft Messenger zu
deinstallieren, jedoch lässt sich diese Funktion mit einem kleinen Trick nachrüsten. Hierzu müssen
Sie in das Verzeichnis "C:\Windows\Inf" wechseln und die Datei "sysoc.inf" im Editor öffnen.
Entfernen Sie in der Zeile
Msmsgs=msgrocm.dll,ocentry.msmsgs.inf,hide,7
das Wort "hide" und speichern Sie die Datei. Anschließend erscheint der gewünschte Eintrag in
der Systemsteuerung unter "Software/Windows Komponenten hinzufügen/entfernen". Der Vorteil der hier
genannten Deinstallationsvariante ist, dass sich der Microsoft Messenger bequem wieder installieren
lässt, falls er erneut benötigt wird.
Microsoft Messenger mit freier Wahl des SIP-Kommunikationsdienstes
Lässt sich unter Windows XP der Microsoft Messenger auch mit eigenen SIP-Kommunikationsdiensten
nutzen?
Standardmäßig ist bei Windows XP der Microsoft Messenger (nicht zu verwechseln mit dem "MSN
Messenger") in der Version 4.7 installiert. Diese Version bietet allerdings nur die Möglichkeit,
sich bei einem NET-Passport-Konto beziehungsweise beim Dotnet-Messenger-Service anzumelden. Auf der
Webseite von Microsoft steht jedoch der Microsoft Messenger in der Version 5.1 zum Download bereit.
Bei dieser Version kann die Administration beispielsweise den hauseigenen SIP-Kommunikationsdienst
eintragen und damit die Nutzung zum Chatten, für VoIP oder Videotelefonie auf firmeninterne
Anwender im LAN beziehungsweise VPN beschränken. In der Praxis verwendet der Autor das Programm "
Communigate Pro" von Stalker Software in Verbindung mit dem Microsoft Messenger. Vor der
Installation der Messenger-Version 5.1 sollte man allerdings die Version 4.7 deinstallieren – wie
im Tipp "Microsoft Messenger entfernen" beschrieben.
Ausfall des RID-Betriebs-Masters (Windows 2000 Server, Windows Server 2003)
Wie kritisch ist der Ausfall eines RID-Betriebs-Masters, und existieren spezielle
Verfügbarkeitsanforderungen für dieses System?
Der RID-Betriebs-Master stellt RIDs (Relative Identifiers) bereit, die bei der Bildung der SIDs
(Security IDs) von neuen Objekten wie Benutzern, Computern und Gruppen im Active Directory zum
Einsatz kommen. Jeder Domänen-Controller erhält einen RID-Pool, der aufgefüllt wird, sobald nur
noch 250 RIDs verfügbar sind. Mit anderen Worten: Vor dem Ausfall eines RID-Betriebs-Masters
verfügt jeder Domänen-Controller über ein Kontingent von mindestens 250 RIDs.
Das reicht – außer in sehr großen Netzwerken mit vielen Änderungen oder beim Ablauf eines
Batch-Jobs mit entsprechendem Bedarf an RIDs – für einige Zeit aus. Daher ist der kurzzeitige
Ausfall eines RID-Betriebs-Masters in fast allen Fällen unkritisch. In aller Regel sind somit keine
speziellen Verfügbarkeitsanforderungen für dieses System nötig.
Mehr Informationen in der Statusleiste (Lotus Domino 5.x und höher)
Wie lässt sich die Anzahl der angezeigten Informationen in der Statusleiste von Domino
erhöhen?
Wenn mehr als die 20 standardmäßig angezeigten Einträge beim Anklicken angezeigt werden sollen,
können Sie unter "File/Preferences/Status Bar Preferences" einen höheren Wert für den Wert "Height"
der Variable "Status" festlegen.
Windows-Server: Suche nach dem ITSG-Server
Bei standortübergreifenden Replikationen von Windows-Servern spielt der so genannte ITSG eine
wichtige Rolle. Wie lässt sich herausfinden, welcher Server diese Aufgabe aktuell ausführt?
Der ITSG (Inter-Site Topology Generator) ist der Server (Win-dows 2000 Server oder Windows
Server 2003), der die Topologie für die standortübergreifende Replikation berechnet. Die Last auf
diesem System kann in Netzwerken mit vielen Standorten sehr hoch werden. Den aktuellen ITSG-Server
finden Sie in der Anwendung "Active-Directory-Standorte und -Dienste". Bei den "Standorten"
existiert der Eintrag "NTDS Site Settings", in dem die gesuchte Information gespeichert ist.
Martin Kuppinger/pf
Lesen Sie mehr zum Thema
