aquilax
Goto Top

Passwortmanager für kleine EDV Firma mit ACL

Liebe Community,

wir (kleine EDV Firma, 5 Personen) sind seit längerer Zeit auf der Suche nach einem sicheren Passwortmanager.

Folgende Features wären gut:

- ACL (Dh. eine DB mit verschiedenen Berechtigungsstufen)
- Open Source
- auf eigenen Server zu hosten
- ev. Audit Funktion

- optimaler Weiße eine Art Auto-typing für Webseiten dgl.

Natürlich haben wir schon einige Sachen probiert, aber es scheitert sehr oft, da es wo anders gehostet wird oder extrem teuer ist.
Eigentlich wäre Keepass perfekt, wenn es Multi-User fähig wäre (ACL).

Würde mich sehr über euren Input freuen!

Lg
aquilax

Content-Key: 559358

Url: https://administrator.de/contentid/559358

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: FlashOver
FlashOver 20.03.2020 um 11:52:42 Uhr
Goto Top
Kuckt euch mal Bitwarden an. Nicht das Tollste aber Open Source und ihr könnt es selber hosten.
Mitglied: manchmalfunktionierts
manchmalfunktionierts 20.03.2020 um 13:13:59 Uhr
Goto Top
Servus!

ich hab das mit der portable Version von KeePass umgestzt...

Den habe ich auf einen Ordner geschmissen, der nur für berechtigte User zugänglich ist... die Keepass datenbank liegt ebenfalls in diesem..

Vielleicht hilft dir das ja face-smile

Grüße
Mitglied: aquilax
aquilax 20.03.2020 um 14:33:41 Uhr
Goto Top
Habe ich mir angeschaut. Wobei die Installation ist offensichtlich nicht so easy going... Muss ich mir genauer anschauen...
Mitglied: aquilax
aquilax 20.03.2020 um 14:34:31 Uhr
Goto Top
Aufgrund der Fehlenden ACL Möglichkeit ist das leider nicht brauchbar, vor Allem weil man dann ja 5 Datenbanken pflegen muss.
Mitglied: eggired
eggired 20.03.2020 um 18:35:17 Uhr
Goto Top
Hallo aquliax,

was für Berechtigungsstufen der ACL schweben Dir denn vor?

Wenn es nur rein darum geht, keinen Sammelpool mit einem Passwort-Tresor mit allen Passwörtern zu haben, sondern hier beispielsweise zwischen personengebundenen und allgemeinen Passwörtern zu differenzieren, kannst Du KeePass durchaus verwenden.

Ich beschreibe Dir mal das Setup unter Einsatz von KeePass, was die oben beschriebene Anforderung erfüllt, vielleicht ist es ja das, was Du suchst:

Es gibt einen allgemeinen KeePass-Tresor für alle 5 Mitarbeiter mit allgemeinen, nicht personenbezogenen Zugängen (Beispiel: Sammlung von Zugangscodes für die Admin-Oberflächen von Druckern einer bestimmten Baureihe).
Dieser KeePass liegt auf einer für alle zugänglichen Netzwerkfreigabe, ggfs. kannst Du hier noch, (wenn gewünscht) über RW/RO-Berechtigungen einschränken, wer an diesem KeePass Änderungen vornehmen darf.

Jeder einzelne Mitarbeiter hat zusätzlich einen persönlichen KeePass-Tresor, der auf einer nur ihm persönlich zugänglichen Netzwerkfreigabe liegt. Hier werden die personengebundenen Passwörter eingetragen (beispielsweise Zugangsdaten zum persönlichen Account im Ticketsystem).

Möchte ein Mitarbeiter für die Arbeit nicht immer mehrere KeePass-Tresore öffnen müssen kann er noch sich das KeePass-Plugin "KeeAutoExec" installieren. Wenn dieses eingerichtet ist, öffnet sich fortan mit Öffnen des persönlichen KeePass-Tresors auch der allgemeine KeePass-Tresor in einem zweiten Tab, je nach Bedarf kann nun munter zwischen beiden Datenbanken gewechselt werden. face-smile


Viele Grüße
eggired


P.S. Noch als Tipp für die Ersteinrichtung des gemeinsamen KeePass: Dieser sollte im Auftakt zunächst durch einen einzelnen Mitarbeiter eingerichtet und erst dann auf die allgemein zugängliche Netzwerkfreigabe verschoben werden - das spart unterschiedlich betitelte, aber inhaltlich identischen Einträge. face-wink
Mitglied: Penny.Cilin
Penny.Cilin 20.03.2020 um 21:16:07 Uhr
Goto Top
Hallo
die Frage nach Passwort-Manager wurde schon sehr oft gestellt. Nutze dazu die Suchfunktion.

Gruss Penny.
Mitglied: aquilax
aquilax 23.03.2020 um 08:25:07 Uhr
Goto Top
Hallo eggired,

mir geht es hier darum, das es keine doppelten Einträge gibt. Die es bei mehreren Datenbanken ja geben muss. Zumal müssen die alle einzeln gepflegt werden. Die Möglichkeit das man jemand die Berechtigung für einen neuen Kunden dgl. gibt, wäre super.

Natürlich wäre es gut wenn es dann auch mobiltauglich wäre und auch für Webseiten verwenden kann - eben mit Autotype. Also ein Alleskönner. Die ganzen Passwörter im Chrome zu haben ist vielleicht komfortabel aber da habe ich nicht das beste Gefühl dabei.

Danke!
Mitglied: 137960
137960 23.03.2020 um 10:32:16 Uhr
Goto Top
Syspass.
Gibt's als Docker Image:
https://hub.docker.com/r/syspass/syspass

Damit ist es dann relativ einfach zu installieren. "Relativ" deshalb, weil man immer noch Docker installieren muss und ein eigenes SSL-Zertifikat einbauen sollte.

Ist Web basiert und kann alles. Gruppenmanagement, Usermanagement, ACLs, ...

Ist allerdings nicht so trivial zu verwalten wie Keepass. Für Anwender, die nur Zugangsdaten benötigen, ist es allerdings wieder einfach handzuhaben.

Größter "Nachteil": leider sind mir persönlich immer sehr viele, extrem faule Mitarbeiter begegnet, denen selbst das einmalige Anmelden auf einer Passwortmanager-Webseite oder die einmale Eingabe eines Superpassworts in Keepass zu viel ist. Die werden mit Sicherheit 17452 Argumente gegen Syspass finden (zu komplex, zu kompliziert, man muss sich anmelden, blablablala).

Die reinen Systemanforderungen sind relativ minimal: wenn Docker läuft, braucht man noch 1-2 GiB RAM mehr und 6 GiB bis 12 GiB an "Festplattenplatz".
Mitglied: aquilax
aquilax 29.03.2020 um 17:47:05 Uhr
Goto Top
Haben wir uns nun angeschaut. Es scheint jedoch etwas begrenzt auf Webseiten zu sein und wenige andere Objekte wie z.B. Kreditkarten. Für ein ev. Passwortmanagement von z.B. Kundenobjekten wie z.B. Servern scheint es ungeeignet zu sein.
Mitglied: eggired
eggired 31.03.2020 um 21:45:09 Uhr
Goto Top
Hi aquilax,

mit den doppelten Einträgen verstehe ich nicht ganz - vielleicht stehe ich ja auf dem Schlauch... Ich konstruiere jetzt einfach mal ein Beispiel:

Du erstellst zwei KeePass-Tresore (nachfolgend nur "KeePass" genannt):

KeePass#1: Du erstellst einen persönlichen KeePass nur für Dich -> Hier gehören nur die Daten rein, die Deine Kollegen gar nichts angehen. Das Passwort behältst Du für Dich.

KeePass#2: Du erstellst einen gemeinsam genutzten KeePass, auf den alle zugreifen können -> Hier kommen alle gemeinsam genutzten Daten rein. Das Passwort kennen alle Kollegen.

Du kannst Dir für mehr Bequemlichkeit das "KeeAutoExec"-Plugin installieren und einrichten, sodass Du zum Öffnen von KeePass#1 UND KeePass#2 NUR Dein eigenes Passwort verwenden musst.

Deine Kollegen hingegen haben dann nur Zugriff auf KeePass#2 (wenn sie nicht auch auch Deinem Vorbild folgen face-wink) und müssen zum Öffnen dann das allgemeine Passwort nutzen.

Wenn Du nun vielleicht die Zugangsdaten eines neuen Kunden eintragen möchtest, trägst Du diese in KeePass#2 ein, nach dem Speichern können Deine Zugangsdaten dann auch einsehen.

Autotype funktioniert auf nahezu allen Webseiten mit der Tastenkombination Strg+V hervorragend, sowohl für Android als auch iOS gibt es ganz ordentliche Versionen (eigene Erfahrung), lediglich bei der Unterstützung vom "KeeAutoExec"-Plugin muss ich mangels Erfahrung passen, kann es mir aber vorstellen.

Ich hoffe, ich konnte Dir vielleicht etwas weiterhelfen - wenn noch Rückfragen bestehen: Gerne her damit! face-smile

Viele Grüße
eggired


P.S.: Deine Einschätzung zum Speichern der Kennwörtern in Chrome teile ich durchaus - da hätte ich auch Bauchschmerzen... face-wink
Mitglied: aquilax
aquilax 05.04.2020 um 18:05:51 Uhr
Goto Top
Hallo eggired,

danke für deine Antwort.
Das Thema ist, ich möchte nicht für jeden Mitarbeiter eine eigene Datenbank anlegen müssen weil bei uns bekommen die Mitarbeiter wirklich nur die Passwörter die Sie brauchen. Bei deinem Beispiel wären wir jetzt auf 7 Datenbanken:

5x User Datenbanken
1x Meine Datenbank
1x allgemeine Datenbank.

Dann gibt es natürlich auch noch das Problem, z.B.:
Wenn es zu Überschneidungen bei z.B. 2 Mitarbeitern kommt, tragt Mitarbeiter A einen Passwortchange in seiner DB ein und Mitarbeiter B hat das falsche Passwort, weil der davon nichts mitbekommen hat....

Ach es ist nicht leicht.... face-sad

Ich werde mir jetzt mal die Lösung von Devolutions anschauen (https://server.devolutions.net/de) nachdem ich schon lange mit dem Remote Desktop Manager arbeite. Ich melde mich dann, wenn ich ein Ergebnis habe.

lg Aquilax