Samba+PDC

Tomasz Kłoczko kloczek w rudy.mif.pg.gda.pl
Pią, 7 Mar 2003, 15:00:38 CET 

On Fri, 7 Mar 2003, Marcin Bohosiewicz wrote:

> On Fri, 7 Mar 2003, Tomasz Kłoczko wrote:
> 
> > Szykuje sie też u siebie do integracji gospodarki zasobami użytkowników na 
> > potrzeby unices i Win*. Mam w zwiazku z tym pytania:
> > 
> > - jak wygląda uwspólnienie haseł w takim wypadku ?
> Z tego co znalazlem jedyna sensowna metoda jest uzywanie w sambie hasel
> zaszyfrowanych (encrypted na yes) i uzywanie pam_smb przy autoryzacji 
> uslug unixowych. Chodzi o to, ze windows szyfruje md4 a nie md5,
> i hasla z /etc/samba/smbpasswd sa w zaden sposob nie kompatybilne
> z tymi co mialyby byc w /etc/shadow.
> 
> > - czy z powyższym nie wiąże sie jakaś kombinacja z PAM (coś pamietam, że w 
> >   konfiguracji samby jest z opcji do PAM) ?
> pcje do PAM sa, ale tylko wtedy gdy zrezygnujemy z szyfrowania hasel na 
> odcinku windows->serwer. czemu? odpowiedzialem powyzej.

Mi to nei pzreszkadza. Zakąłdam także , że nikt nie bedzie takich zreczy 
użwyał w sieci ktra na poziomie fizycznym nie ejst bezpieczna czyl takze 
będzie mało przypadków kiedy komukolwiek innemu było to nei na rękę.
Autentykację z podstawową bazą w sambie uważam za mało sensowną.

> natomiast PAM mozna wykorzystac do tego by inne uslugi umialy sie samby
> odpytac czy haslo jest OK (pam_smb).

Też bez sensu (z mojego punktu widzenia).
Jeden punkt w iększych sieciach dyskwalifikuje to jednoznacznie. Chodzi o 
to, że nie zrobisz tu sobie za bardzo slave serwera do autentykacji.

> > - czy nioe wartoby właczyć domyślnie używanie LDAP w sambi dystrybucyjnej ?
> >   (w takim wypadku zdaje się, że wszystkie ustawiania co do użytkowników i 
> >   innych ustawień per host/użytkownik do Win* sż przechowywane w bazie 
> >   dostępnej via LDAP i niema zabawy z jakimiś dodatkowymi plikami)
> Po co? LDAP ssie.

Niby w którym miejscu ?
To że się tego (zapewne) boisz i mało o tym (zapewne) wiesz (co jest
źródłem owego strachu) nie oznacza, że jest to sirodek z jakiś powodów
niepoprawny.

> > Powyższe jest przy załozeniu, że do generowania skrutów haseł używa się 
> > conajmniej MD5.
> Ktorego Windows nie umie i wymaga MD4.

Wystarxy mi żeby hasłą były pzrekazywane jawnie z maszynek Win* w jedno 
miesce gdzie mozę być wygenerowany skrót i porównany z bazą. Taki sposób 
autentykaqcji zdaje sie ze wspiera Win*. Mnie tylko interesuje jak to 
fizycznei inni realizują (bo wszystko wskazuje że innym to własnei tak 
działa).

> 
> PS. Ja rozwiazlem problem  tego samego hasla do samby/pop3/smtpauth
> w kilku miejscach i to poprostu dziala.
> PS2. Aha i uczualm piszacych pliki .bat dla login skryptow:
> te pliki musza byc pisane z CR_LF jako znakiem konca linii, a nie LF!

W dokumentracji jest info o tym jak pisdać login skrypty tak żeby 
uwzględniały typ systemu na jakim jest to odpalane.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*

Więcej informacji o liście dyskusyjnej pld-users-pl