Am Freitag 10 September 2010, 10:14:41 schrieb Heiko Schlittermann: > > Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu > > nutzen, also kein extra DB? > > Nein. Meines Wissens geht das nicht. Geht doch.
> Du könntest LDAP nehmen, aber auch > dort gibt es dann ein Passwort und ein SMB-Passwort-Hash. Soweit korrekt. LDAP sollte man spätestens in gemischten Umgebungen auf dem Samba-PDC immer als Backend haben. > unix password sync Diese Option in smb.conf sorgt dafür, daß, wenn mit smbpasswd oder mit Windows-Bordmitteln das Samba-Passwort geändert wird, dieses auch gleich für PAM-Gebrauch mit gehasht wird (==> LDAP-Attribut "userPassword"). > SMB schickt die Passworte als Hash durch die Leitung, somit gehen die > gängigen Verfahren (z.B. Authentifizierung gegen einen LDAP) nicht. Bei Passwortänderungen wird das neue Passwort auf verschlüsseltem Weg dem Domaincontroller zum Hashen übergeben. Dort setzt dann "unix password sync" an. > Du wirst also immer zwei Passwort-DBs brauchen, Richtig, aber die halten sich von alleine in sync, s.u. > die Du bestenfalls syncron halten könntest („unix password sync“ im Samba, > und vielleicht gibt es ein pam-Modul, das auch das SMB-Passwort setzen > könnte, wenn jemand „passwd” aufruft). Genau das macht pam_smbpass. Es hasht das von "passwd" übergebene Klartextpasswort für den Samba-PDC (LDAP-Attribut "sambaNTPassword"). Selbstverständlich ist es nicht vorgesehen, die verschiedenartigen Hashes ineinander umzurechnen. Deshalb bedarf es einem initialen "passwd", "smbpasswd" oder "Alt-Strg-Entf" für jeden Nutzer, um beide Hashes gleichzuziehen. Also: - Linux/UNIX-Maschinen gegen LDAP authentifizieren - Samba-PDC mit LDAP-Backend - Windows-Rechner zu Domänenmitgliedern machen - LDAP-Inhalt regelmäßig sichern - zurücklehnen ;-) Wenn Konfigurationsbeispiel gewünscht ==> Elektronenpost an Liste. -- William Epler _______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
