Re: HS: samba+ldap, login smbclient

2022-04-28 Par sujet Raphaël POITEVIN 
Mathias Dufresne  writes:

> Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant
> tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?
> J'imagine qu'aujourd'hui, Samba pouvant servir à fabriquer un AD en lieu et
> place des domaines NT4, l'authentification est gérée par un AD. Si c'est le
> cas, pourquoi ne pas simplement passer à une authentification Kerberos
> ?

Parce que la plupart de nos services ont pour backend d’authentification
LDAP donc autant exploiter l’existant. Mais c’est réglé, il fallait
relier le tout au pam Unix avec NSCD, ajouter le champ sambaLastPassword
et générer des bon sambaSID dans LDAP.
-- 
Raphaël
www.leclavierquibave.fr

Re: HS: samba+ldap, login smbclient

2022-03-16 Par sujet Mathias Dufresne 
Salut,

Pardon je déterre un peu là, faut croire que je m'ennuie :p

Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant
tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?
J'imagine qu'aujourd'hui, Samba pouvant servir à fabriquer un AD en lieu et
place des domaines NT4, l'authentification est gérée par un AD. Si c'est le
cas, pourquoi ne pas simplement passer à une authentification Kerberos ?

Un coup de kinit pour générer un ticket puis ce ticket est utilisable pour
remplacer le mot de passe, de mémoire avec quelque chose qui ressemble à
"smbclient -k //hostname/share"

Le ven. 14 janv. 2022 à 09:06, didier gaumet  a
écrit :

>
>
> *sous toutes réserves*, peut-être que le problème vient d'une
> correspondance entre systèmes d'autentification Windows/Linux, ça
> semble géré par IDMAP. La page man de idmap_ldap pourrait
> éventuellement t'éclairer, et plus largement (suivant l'architecture du
> réseau considéré, même avec du LDAP dedans?) toutes les pages man
> idmap_*
>
> Les pages man sont là:
> https://www.samba.org/samba/docs/current/man-html/
>
>
>
>
>

Résolu Re: HS: samba+ldap, login smbclient

2022-01-19 Par sujet Raphaël POITEVIN 
Bonsoir,

Le problème était simple. Le hash du mot de passe ne correspondait pas à
mon mot de passe. Dans mes tentatives pour faire marcher la solution,
car j’ai eu pleins de problèmes, j’avais dû changer le mot de passe. Et
comme j’avais laissé le chantier tomber quelques mois, je ne m’en
souvenais plus.

Par ailleurs, j’ai été obligé de rajouter un champ LDAP
sambaUserPwdLastSet avec le timestamp du jour car j’avais "Password must
be changed".

Merci,

Raphaël

didier gaumet  writes:

> *sous toutes réserves*, peut-être que le problème vient d'une
> correspondance entre systèmes d'autentification Windows/Linux, ça
> semble géré par IDMAP. La page man de idmap_ldap pourrait
> éventuellement t'éclairer, et plus largement (suivant l'architecture du
> réseau considéré, même avec du LDAP dedans?) toutes les pages man
> idmap_* 
>
> Les pages man sont là:
> https://www.samba.org/samba/docs/current/man-html/

Re: HS: samba+ldap, login smbclient

2022-01-14 Par sujet didier gaumet 



*sous toutes réserves*, peut-être que le problème vient d'une
correspondance entre systèmes d'autentification Windows/Linux, ça
semble géré par IDMAP. La page man de idmap_ldap pourrait
éventuellement t'éclairer, et plus largement (suivant l'architecture du
réseau considéré, même avec du LDAP dedans?) toutes les pages man
idmap_* 

Les pages man sont là:
https://www.samba.org/samba/docs/current/man-html/

Re: HS: samba+ldap, login smbclient

2022-01-13 Par sujet Raphaël POITEVIN 
 Merci pour ces pistes, je vais consulter ces liens.

Raphaël

didier gaumet  writes:

> Avertissement: je n'y connais vraiment *rien* (je n'ai jamais
> utilisé/paramétré LDAP et j'ai dû utiliser une fois smbclient il y a
> des années)
>
> de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
> tu emploies un contournement utilisé par les crackers:
> https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/
>
> *peut-être* trouveras-tu des réponses ici:
> https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
> https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
> mais il est fort possible (ou même probable) que mon ignorance du sujet
> m'interdise de comprendre que ces liens ne sont pas en rapport direct
> avec ton problème, desolé :-)

Re: HS: samba+ldap, login smbclient

2022-01-13 Par sujet Raphaël POITEVIN 
Haricophile  writes:

> Je suis très loin d'être spécialiste, mais sous Windows il faut
> explicitement dire si on veut des accès non authentifiés. L'ancien
> protocole plus pratique mais «insecure» est désactivé par défaut.

Pardon, je me suis trompé, je voulais dire :
smbclient --pw-nt-hash //smb/repertoire -U utilisateur

donc avec authentification.
>
> J'avoue ne pas m'être penché sur le système, le très peu que j'utilise
> fonctionne (avec authentification).

Authentification par samba lui-même je suppose.

Merci,
-- 
Raphaël
www.leclavierquibave.fr

Re: HS: samba+ldap, login smbclient

2022-01-13 Par sujet didier gaumet 
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais
utilisé/paramétré LDAP et j'ai dû utiliser une fois smbclient il y a
des années)

de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
tu emploies un contournement utilisé par les crackers:
https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/

*peut-être* trouveras-tu des réponses ici:
https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
mais il est fort possible (ou même probable) que mon ignorance du sujet
m'interdise de comprendre que ces liens ne sont pas en rapport direct
avec ton problème, desolé :-)

Re: HS: samba+ldap, login smbclient

2022-01-13 Par sujet Haricophile 
Le Thu, 13 Jan 2022 00:03:43 +0100,
Raphaël POITEVIN  a écrit :

> Un chiffrement qui ne se fait pas quelque part ?
> 
> Merci du coup de main

Je suis très loin d'être spécialiste, mais sous Windows il faut
explicitement dire si on veut des accès non authentifiés. L'ancien
protocole plus pratique mais «insecure» est désactivé par défaut.

J'avoue ne pas m'être penché sur le système, le très peu que j'utilise
fonctionne (avec authentification).

HS: samba+ldap, login smbclient

2022-01-12 Par sujet Raphaël POITEVIN 
Bonsoir,

Debian 10 Buster.

Sur un samba connecté à LDAP, je cherche à me connecter avec
smbclient. Cependant, la seule manière fonctionnelle est :
smbclient --pw-nt-hash //smb/repertoire/
en passant le hash de sambaNTPassword récupéré manuellement depuis
LDAP. Sinon, login failed.

Un chiffrement qui ne se fait pas quelque part ?

Merci du coup de main …
-- 
Raphaël
www.leclavierquibave.fr