Samba+PDC
Tomasz Kłoczko
kloczek w rudy.mif.pg.gda.pl
Pią, 7 Mar 2003, 19:06:49 CET
On Fri, 7 Mar 2003, Marcin Bohosiewicz wrote:
> On Fri, 7 Mar 2003, Tomasz Kłoczko wrote:
>
> > On Fri, 7 Mar 2003, Marcin Bohosiewicz wrote:
> > [..]
> > > > Mi to nei pzreszkadza. Zakąłdam także , że nikt nie bedzie takich zreczy
> > > > użwyał w sieci ktra na poziomie fizycznym nie ejst bezpieczna czyl takze
> > > > będzie mało przypadków kiedy komukolwiek innemu było to nei na rękę.
> > > Tylko ze to tak jakbys zamiast ssh zaczal uzywac telneta....
> >
> > A co widzisz złego w używaniu telneta przy takim założeniu ?
> Duzo, chocby to ze serwery musza miec odpalone dodatkowe demony,
> do ktorych dostepu trzeba chronic na firewallu.
Bzdury pleciesz. Jeżeli masz nawet jedna karte sieciową to możesz robić
tak jak ja, że w definicji iterfejsu masz kilka IP. Jedno z nich jest na
sieć wewnętrzną, a w definicji telnetd dla rc-inetd masz
INTERFACES=IP.na.sieć.wewnętrzną
Żadne FW do tego nei ejst potrzebne.
> Zreszta... ztcp obecna Twoja samba tez nadaje sie ladnie do nękania,
> bo smbclient -L wuch.zie.pg.gda.pl dziala ;P
wun jeśli już. Hosta o nazwie wuch wogóle nie ma.
$ smbclient -L wun.zie.pg.gda.pl
added interface ip=153.19.33.23 bcast=153.19.33.255 nmask=255.255.255.0
error connecting to 153.19.40.200:139 (Connection refused)
Error connecting to 153.19.40.200 (Connection refused)
Connection to wun.zie.pg.gda.pl failed
a dlatego, że smb.conf jest:
interfaces = eth1 eth2
bind interfaces only = yes
A interfejs zewnętrzny to eth0. Tak jest od ca~ dwuch lat.
(nasłuhiwanie na eth0 było do momentu kiedy mi nie zwróciłeś te jakieś
dwa lata temu że tak właśnie jest).
> > > > Autentykację z podstawową bazą w sambie uważam za mało sensowną.
> > > Tylko niestety Windows inaczej domyslnie nie umie.
> > > >
> > > > > natomiast PAM mozna wykorzystac do tego by inne uslugi umialy sie samby
> > > > > odpytac czy haslo jest OK (pam_smb).
> > > >
> > > > Też bez sensu (z mojego punktu widzenia).
> > > > Jeden punkt w iększych sieciach dyskwalifikuje to jednoznacznie. Chodzi o
> > > > to, że nie zrobisz tu sobie za bardzo slave serwera do autentykacji.
> > > pam_smb potrafi odpytywac kilka serwerow SMB (PDC i BDC).
> >
> > Mi nie chdozi o używanei kilku baz uzytkownikół tylko jednaj.
> > Jeśli chodzi o kilka to ma ich tu być owszem kilak ale domen serwowanych z
> > jednego miesca. Czyli ejst to zupełne coś z innej bajki.
>
> Czekaj, nie rozumiem: najpierw mowisz ze pam_smb jest zle, bo umie czytac
> tylko jedna baze, a potem ze zle ze kilka.
Nie rozumiesz. Powtórze w takim razie, że mi nie chodzi o ciągnięcie
użytkowników i haseł z kilku PDC tylko o to żeby na jednym serwerze
obsługiwać kilka grup roboczych i dla nich mieć różne definicje zasobów
ale żeby te kilka grup roboczych używało jednej bazy użytkowników i haseł
i żeby to była to baza zintegrowana z zasobami dostępnymi dla Linuxów i
Solków.
> Jaka dla Ciebie roznica jest miedzy /etc/samba/smbpasswd jako plikiem z
> haslami a /etc/shadow ?
Duża. Jeżeli nie muszę mieć na jednej maszynie /etc/samba/smbpasswd to
wolę tego nie mieć. Jeżeli na maszynę z sambą mogę przesłać plain tekstek
hasło, tutaj wygenerować skrót i pzrekazać win* klientowio informację że
login/hasło jest OK to to jest to o co mi chodzi bo upraszcza mi to także
potencjalnie sprawę iontegracji z NIS. O ile wręcz do samby możnaby użyć
tego co jest pzrechowywane według nis.scheme z LDAP to to by już wogóle
rozwiązywało sprawę w sposób jednolity.
> > Wystarczy, że na np. ftp umieszcze odpowidni regi (te które są dostarczane
> > z sambą) i powiem co nalezy zrobić żeby moząń było się wpiąć w całsoć.
> > Nikt nawet nie bedzie wiedziałę że chodzi tu o jakieś grzebanei w
> > rejestrach.
>
> A jak komus przez to Windows sie rozsypie?
A jak mert od Ciebie walnie zaraz meteroryt ?
Mówisz o czymś realnym co należy uwzględniać wstając z rana z łóżka czy
tylko o czymś hipotetycznym ?
kloczek
--
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*
Więcej informacji o liście dyskusyjnej pld-users-pl