KeePass in Unternehmen


Kalito

Erfahrenes Mitglied
#1
Hallo,

aktuell überlegen wir KeePass im Unternehmen einzuführen. Jeder soll eine eigene Datenbank besitzen und es soll auch Gruppendatenbanken (Abteilungen und/oder Projekte) geben. Damit ein Nutzer sich nur einmal anmelden kann, kann man ja die Gruppen-Datenbanken mit der persönlichen Datenbank verknüpfen. Alle Datenbanken liegen auf unseren Filesystem. Jedoch haben sich bei mir einige Fragen ergeben:

1. Kann ich einen Nutzer, der auf einer Gruppen-Datenbank Zugriff hat und auch mit seiner privaten Verknüpft hat, von der Gruppendatenbank ausschließen? Ich vermute ich kann das über die Rechteverwaltung auf dem Filesystem realisieren oder?


2. Was macht mehr Sinn. Haupschlüssel oder Schlüsseldatei? Ich finde auch die Windows-Anmeldung recht interessant, aber so wie ich das sehe, würde das bei uns im Unternehmensumfeld nicht so klappen (Man kann sich an jeden beliebigen Rechner anmelden).


3. Könnt Ihr Plugin's empfehlen?


4. Ist das KeeWeb auch sicher oder sollte man eher die Finger davon lassen?


Danke und Gruß Patrick
 

ComFreek

Mod | @comfreek
Moderator
#2
Eine teilweise Antwort auf deine Fragen, denn zum Rest kann ich keine qualifizierte Aussage treffen ;)

Ich finde auch die Windows-Anmeldung recht interessant, aber so wie ich das sehe, würde das bei uns im Unternehmensumfeld nicht so klappen (Man kann sich an jeden beliebigen Rechner anmelden).
Hast du den Hinweis zur Windows-Anmeldung gelesen, den KeePass bei Auswahl dieser einblendet? Wenn dieser Rechner/diese Windows-Installation/dieses Windowskonto jemals verloren geht, wirst du nie wieder in der Lage sein dich anzumelden. Ich halte das zwar für eine nette Spielerei, aber für den normalen Gebrauch eher ungeeignet. Das bringt mich auf die Frage, ob KeePass eigentlich Hardware-Dongles unterstüzt. :unsure:

3. Könnt Ihr Plugin's empfehlen?
Ich kann nur wärmstens dlech/KeeAgent empfehlen. Das benutze ich schon seit mehr als einem Jahr, um SSH-Keys bequem unter Windows zu nutzen, welche ich in meiner KeePass-DB gespeichert zu haben. (Danke nochmals an @Bratkartoffel, der das mir damals in ebendiesem Forum mir vorgeschlagen hat.)
 

Kalito

Erfahrenes Mitglied
#3
Hey,

bin mir nicht sicher in wie weit KeyAgent für uns relevant ist. Wir arbeiten für unsere ssh-Zugänge eher mit Zugangsdaten (wo wir die Passwörter aller 90 Tage ändern müssen), als mit Zertifikaten. Dafür habe ich aber auch eine schöne Lösung gefunden. Mann kann über die URL-Umschreibung mit dem cmd-Befehl ganz einfach putty oder winscp mit den Credentials öffnen.
 

EuroCent

KlappStuhl 2.0
#4
Wir benutzen auch den KeePass.
Allerdings verwaltet jeder seine DB selbst.

Ich weiß aktuell nicht ob Multi-Using KeePass zulässt, dass denk Ich aber eher weniger.
Ich kann die Empfehlung mit Windows-User Anmeldung absolut nicht empfehlen.

Wie bereits @ComFreek erwähnte, wenn er sein Windows neu aufsetzt, ist die DB hinfällig.
Da der Hash-wert der DB mit der sie Verschlüsselt wird, mit der aktuellen Installation-ID verknüpft ist.

Daher macht es mehr sinn ein Master Passwort anzulegen, dann ist es gänzlich Jacke wie Hose ob man sein System neu aufsetzen muss... ist mir schon passiert und musste alle Passwörter neu Verwalten, was Heiden Arbeit ist wenn man x-Daten hat :)

Tipp: Leg eine DB wo die Daten bereits vorhanden sind, die eh alle bekommen.
Lass die Passwort Felder leer, damit müssen die, diese nur nach Pflegen.

Somit hat jeder den aktuellen Einstand der Datenbank.

So haben wir es gemacht :D
Zu mindestens in unserer Abteilung, wie es andere Abteilungen machen, ist uns Wurst :p
 

Kalito

Erfahrenes Mitglied
#5
Hallo,

vielen Dank für euer Feedback. Hab einen erwas älteren Artikel gefunden, bei dem gesagt wurde, dass man die Rechteverwaltung auf dem File-System managen soll.

Ich kämpfe noch an der Tatsache, wie ich mehrere Datenbanken für mich verknüpfen kann, ohne sie einzeln zu öffnen. Habe ja meine eigene Datenbank, meine Gruppeninterne Datenbank und mehrere Projektdatenbanken. Bin zwar auf den Artikel gestoßen, jedoch bekomme ich die Datei auf meinem NAS nicht verknüpft.

Gruß Patrick
 

EuroCent

KlappStuhl 2.0
#7
@Kalito hast du auch das Plugin installiert? :)
Zudem, denk Ich dass dann jeder andere ebenfalls das Plugin benötigt :)

Ein Auszug (Quelle):
Bestimmte Datenbanken beim Start der Hauptdatenbank öffnen

Arbeitet man jedoch mit mehreren Datenbanken und möchte diese nicht jedes Mal extra öffnen, kann man mit Hilfe eines Plug-Ins einstellen, dass sich beim Start der einen Datenbank mehrere verknüpfte Datenbanken öffnen. Das spart Zeit.

So geht’s:
  • Laden Sie sich das Plug-In KeeAutoExec herunter.
  • Nun muss man den ‚Plugins‘-Ordner von KeePass finden und die runtergeladenen Dateien ausgepackt reinziehen. Der Ordner befindet sich meist unter: C:\Program Files (x86)\KeePass2x\Plugins
  • Erstellen Sie eine neue Gruppe mit dem Namen ‚AutoOpen‘ (Hinweis: Wie man eine neue Gruppe erstellt, siehe oben).
  • Jetzt sollte ein neuer Eintrag in der soeben erstellten Gruppe AutoOpen angelegt werden. Dies sollte im gleichen Schema wie bereits oben gezeigt ablaufen. Aber in diesem Fall die URL ohne –> kdbx://““<– angeben.
Ich selbst hab es aktuell noch nicht getestet :)
 

Kalito

Erfahrenes Mitglied
#8
Huhu,

natürlich habe ich das Plugin installiert :)
KeePass_5.PNG

Ich habe eine Datenbank "Home" und möchte die Datenbank "Patrick" automatisch öffnen lassen. Meine URL-Überschreibung sieht wie folgt aus;
KeePass_4.PNG

Der Eintrag scheint auch korrekt zu sein, da es sich ja öffnet :)
KeePass_1.PNG

KeePass_2.PNG

KeePass_3.PNG

Es scheint also alles ok zu sein. Jedoch muss ich auf die URL der Datenbank klicken, damit sich diese öffnet.
 

EuroCent

KlappStuhl 2.0
#9
Hast Du auch die Gruppe "AutoOpen" genannt?
Eventuell greift das Script erst wenn eine Gruppe entsprechend den Namen hat? :)

Das würde Ich noch testen :)
In deinen Screen kann ich aktuell nämlich keine Gruppe mit dem Namen ersehen. :)