SAMBA

Jacek Konieczny jajcus w zeus.polsl.gliwice.pl
Sob, 29 Sty 2000, 09:00:38 CET


On Thu, Jan 27, 2000 at 03:30:55PM +0100, Bartosz Waszak wrote:
> [czwartek, 27 styczeń 2000], Artur Frysiak napisał(a):
> 
> > [środa, 26 styczeń 2000], Bartosz Waszak napisał(a):
> >
> >> Czy ktoś próbował integrować autentykacje w Sambie z LDAP. Chodzi mi
> >> o możliwość korzystania  ze wspólnych haseł do Linux'a i do samby. I
> >>   czy da się to   zrobić   korzystając z kodowanych haseł (encrypted
> >> passwords w smb.conf). OpenLDAP nie  chce współpracować z sambą. Czy
> >> jest jeszcze jakiś darmowy serwer LDAP prócz openldap.
> >
> > Hasła  nie  mogą być te same ponieważ jest   używany  inny  mechanizm
> > hashujący.  Też  kiedyś myślałem   że zastosowanie  LDAP   ułatwi  mi
> > zarządaznie  sambą ale po tej  informacji  stwierdziłem że to za duży
> > narzut a i tak nic nie daje.
> >
> O innej hashującej  funkcji wiem.  Czy nie da się w LDAP trzymać  dwóch
> wersji haseł.
Dać się da, ale czy coś je tam znajdzie, jeśli pole się będzie inaczej
nazywało.... zaraz, zaraz, przecież LDAP pozwala na trymanie kilku
takich samych pól. Tylko, czy coś to obsłuży?

>  Czy kodowanie haseł odbywa się  na poziomie serwera LDAP
> czy to jest tylko baza danych, która przyjmuje już gotowe    zakodowane
> hasła.

Z jednej storny LDAP używa tych haseł do autentykacji i ten sam mechanizm
zwykle używa się do autentykacji w aplikacjach kożystających z LDAP. W
ten sposób wykozysta się wszystkie funkcje hashujące opsługiwane przez
LDAP. Ale można też czytać "userPassword" i po swojemu je sprawdzać.

LDAP to jest taka baza, która "sama" kożysta ze swoich zasobów.

> Ostatnio specjalnie się tym interesuje gdyż prawdopodobnie  będe
> musiał trzymać  w synchronizacji  ~400  haseł    
Problem w tym, żeby wszystko co ma z tych haseł korzystać dogadało się z
twoim serwerem LDAP i rozumiało twój schemat.
Niestety niektóre aplikacje wymagają LDAP v3 (OpenLDAP to tylko v.2),
a inne mają dziwne wymagania co do schematu (ale to można zwykle
pogodzić).

>  Mówisz, że  lepiej
> wyłączyć w rejestrze windowsa kodowanie haseł.
Zależy od sieci. Jak masz w niej samych zaufanych ludzi i wiesz, że nikt
powołany do kompa nie siądzie. A do tego nie trzymasz tam bardzo
poufnych danych, to tak jest najprościej.

Pozdrowienia,
       Jacek



Więcej informacji o liście dyskusyjnej pld-devel-pl