Samba+PDC

Pią, 7 Mar 2003, 16:02:07 CET

On Fri, 7 Mar 2003, Marcin Bohosiewicz wrote:
[..]
> > Mi to nei pzreszkadza. Zakąłdam także , że nikt nie bedzie takich zreczy 
> > użwyał w sieci ktra na poziomie fizycznym nie ejst bezpieczna czyl takze 
> > będzie mało przypadków kiedy komukolwiek innemu było to nei na rękę.
> Tylko ze to tak jakbys zamiast ssh zaczal uzywac telneta....

A co widzisz złego w używaniu telneta przy takim założeniu ?

> > Autentykację z podstawową bazą w sambie uważam za mało sensowną.
> Tylko niestety Windows inaczej domyslnie nie umie.
> > 
> > > natomiast PAM mozna wykorzystac do tego by inne uslugi umialy sie samby
> > > odpytac czy haslo jest OK (pam_smb).
> > 
> > Też bez sensu (z mojego punktu widzenia).
> > Jeden punkt w iększych sieciach dyskwalifikuje to jednoznacznie. Chodzi o 
> > to, że nie zrobisz tu sobie za bardzo slave serwera do autentykacji.
> pam_smb potrafi odpytywac kilka serwerow SMB (PDC i BDC).

Mi nie chdozi o używanei kilku baz uzytkownikół tylko jednaj.
Jeśli chodzi o kilka to ma ich tu być owszem kilak ale domen serwowanych z 
jednego miesca. Czyli ejst to zupełne coś z innej bajki.

> > > > Powyższe jest przy załozeniu, że do generowania skrutów haseł używa się 
> > > > conajmniej MD5.
> > > Ktorego Windows nie umie i wymaga MD4.
> > 
> > Wystarxy mi żeby hasłą były pzrekazywane jawnie z maszynek Win* w jedno 
> > miesce gdzie mozę być wygenerowany skrót i porównany z bazą. Taki sposób 
> > autentykaqcji zdaje sie ze wspiera Win*. Mnie tylko interesuje jak to 
> > fizycznei inni realizują (bo wszystko wskazuje że innym to własnei tak 
> > działa).
> 
> Taaak, kazdemu kto bedzie chcial sie do Twojej sieci bedziesz w windows
> w rejestrach grzebal?

Wystarczy, że na np. ftp umieszcze odpowidni regi (te które są dostarczane 
z sambą) i powiem co nalezy zrobić żeby moząń było się wpiąć w całsoć. 
Nikt nawet nie bedzie wiedziałę że chodzi tu o jakieś grzebanei w 
rejestrach.

> ZTCP ostatnim Win* ktory nie wymagal tego byl Windows95.

Źle pamietasz ..
$ rpm -ql samba-common | grep reg 
/usr/share/doc/samba-common-2.2.7/NT4-Locking.reg.gz
/usr/share/doc/samba-common-2.2.7/NT4_PlainPassword.reg.gz
/usr/share/doc/samba-common-2.2.7/Win2000_PlainPassword.reg.gz
/usr/share/doc/samba-common-2.2.7/Win95_PlainPassword.reg.gz
/usr/share/doc/samba-common-2.2.7/Win98_PlainPassword.reg.gz
/usr/share/doc/samba-common-2.2.7/Win9X-CacheHandling.reg.gz
/usr/share/doc/samba-common-2.2.7/WinME_PlainPassword.reg.gz
/usr/share/doc/samba-common-2.2.7/WinXP_SignOrSeal.reg.gz
/usr/share/doc/samba-common-2.2.7/WindowsTerminalServer.reg.gz

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*