Samba+PDC

Marcin Bohosiewicz marcus w kernel.pl
Pią, 7 Mar 2003, 15:41:29 CET


On Fri, 7 Mar 2003, Tomasz Kłoczko wrote:

> On Fri, 7 Mar 2003, Marcin Bohosiewicz wrote:
> 
> > On Fri, 7 Mar 2003, Tomasz Kłoczko wrote:
> > 
> > > Szykuje sie też u siebie do integracji gospodarki zasobami użytkowników na 
> > > potrzeby unices i Win*. Mam w zwiazku z tym pytania:
> > > 
> > > - jak wygląda uwspólnienie haseł w takim wypadku ?
> > Z tego co znalazlem jedyna sensowna metoda jest uzywanie w sambie hasel
> > zaszyfrowanych (encrypted na yes) i uzywanie pam_smb przy autoryzacji 
> > uslug unixowych. Chodzi o to, ze windows szyfruje md4 a nie md5,
> > i hasla z /etc/samba/smbpasswd sa w zaden sposob nie kompatybilne
> > z tymi co mialyby byc w /etc/shadow.
> > 
> > > - czy z powyższym nie wiąże sie jakaś kombinacja z PAM (coś pamietam, że w 
> > >   konfiguracji samby jest z opcji do PAM) ?
> > pcje do PAM sa, ale tylko wtedy gdy zrezygnujemy z szyfrowania hasel na 
> > odcinku windows->serwer. czemu? odpowiedzialem powyzej.
> 
> Mi to nei pzreszkadza. Zakąłdam także , że nikt nie bedzie takich zreczy 
> użwyał w sieci ktra na poziomie fizycznym nie ejst bezpieczna czyl takze 
> będzie mało przypadków kiedy komukolwiek innemu było to nei na rękę.
Tylko ze to tak jakbys zamiast ssh zaczal uzywac telneta....

> Autentykację z podstawową bazą w sambie uważam za mało sensowną.
Tylko niestety Windows inaczej domyslnie nie umie.
> 
> > natomiast PAM mozna wykorzystac do tego by inne uslugi umialy sie samby
> > odpytac czy haslo jest OK (pam_smb).
> 
> Też bez sensu (z mojego punktu widzenia).
> Jeden punkt w iększych sieciach dyskwalifikuje to jednoznacznie. Chodzi o 
> to, że nie zrobisz tu sobie za bardzo slave serwera do autentykacji.
pam_smb potrafi odpytywac kilka serwerow SMB (PDC i BDC).

> 
> > > Powyższe jest przy załozeniu, że do generowania skrutów haseł używa się 
> > > conajmniej MD5.
> > Ktorego Windows nie umie i wymaga MD4.
> 
> Wystarxy mi żeby hasłą były pzrekazywane jawnie z maszynek Win* w jedno 
> miesce gdzie mozę być wygenerowany skrót i porównany z bazą. Taki sposób 
> autentykaqcji zdaje sie ze wspiera Win*. Mnie tylko interesuje jak to 
> fizycznei inni realizują (bo wszystko wskazuje że innym to własnei tak 
> działa).

Taaak, kazdemu kto bedzie chcial sie do Twojej sieci bedziesz w windows
w rejestrach grzebal? ZTCP ostatnim Win* ktory nie wymagal tego byl 
Windows95. Juz Windows95 OSR2 wymagal albo szyfrowanych MD4 hasel
albo "rzeźby" regeditem, co nalezy odrzucic w przedbiegach,
bo chyba nie chcesz zeby kazdy kto chce np z laptopa skorzystac z Twojej
sieci szedl do Ciebie "na poprawienie(*) windowsow".

> 
> > 
> > PS. Ja rozwiazlem problem  tego samego hasla do samby/pop3/smtpauth
> > w kilku miejscach i to poprostu dziala.
> > PS2. Aha i uczualm piszacych pliki .bat dla login skryptow:
> > te pliki musza byc pisane z CR_LF jako znakiem konca linii, a nie LF!
> 
> W dokumentracji jest info o tym jak pisdać login skrypty tak żeby 
> uwzględniały typ systemu na jakim jest to odpalane.

Typ systemu czyli czy to NT czy 9x bo net use ma troche inna skladnie.
Ale dlugo sie dziwilem czemu zaden skrypt nie dziala, poki nie wpadlem
na to, ze Windows nie umie czytac skryptow z LF jako koniec wiersza.

M.

(*) czy poprawieniem mozna nazywac obnizenie bezpieczenstwa?
-- 
-| == Marcin Bohosiewicz - MB8042-RIPE - marcus w kernel.pl	== |-
-| == tel. +48 601 485097 - PLD Team   - marcus w pld.org.pl      == |-
-| == http://www.kernel.pl/ -          ftp://ftp.kernel.pl/     == |-
-| == PLUG - Komisja Rewizyjna  -      http://www.linux.org.pl/ == |-



Więcej informacji o liście dyskusyjnej pld-users-pl