Am 14.09.2010 17:02, schrieb William Epler:
Am Freitag 10 September 2010, 10:14:41 schrieb Heiko Schlittermann:
Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu
nutzen, also kein extra DB?
Nein. Meines Wissens geht das nicht.
Geht doch.
Du könntest LDAP nehmen, aber auch
dort gibt es dann ein Passwort und ein SMB-Passwort-Hash.
Soweit korrekt. LDAP sollte man spätestens in gemischten Umgebungen auf dem
Samba-PDC immer als Backend haben.
unix password sync
Diese Option in smb.conf sorgt dafür, daß, wenn mit smbpasswd oder mit
Windows-Bordmitteln das Samba-Passwort geändert wird, dieses auch gleich für
PAM-Gebrauch mit gehasht wird (== LDAP-Attribut userPassword).
SMB schickt die Passworte als Hash durch die Leitung, somit gehen die
gängigen Verfahren (z.B. Authentifizierung gegen einen LDAP) nicht.
Bei Passwortänderungen wird das neue Passwort auf verschlüsseltem Weg dem
Domaincontroller zum Hashen übergeben. Dort setzt dann unix password sync
an.
Du wirst also immer zwei Passwort-DBs brauchen,
Richtig, aber die halten sich von alleine in sync, s.u.
die Du bestenfalls syncron halten könntest („unix password sync“ im Samba,
und vielleicht gibt es ein pam-Modul, das auch das SMB-Passwort setzen
könnte, wenn jemand „passwd” aufruft).
Genau das macht pam_smbpass. Es hasht das von passwd übergebene
Klartextpasswort für den Samba-PDC (LDAP-Attribut sambaNTPassword).
Selbstverständlich ist es nicht vorgesehen, die verschiedenartigen Hashes
ineinander umzurechnen. Deshalb bedarf es einem initialen passwd,
smbpasswd oder Alt-Strg-Entf für jeden Nutzer, um beide Hashes
gleichzuziehen.
Also:
- Linux/UNIX-Maschinen gegen LDAP authentifizieren
- Samba-PDC mit LDAP-Backend
- Windows-Rechner zu Domänenmitgliedern machen
- LDAP-Inhalt regelmäßig sichern
- zurücklehnen ;-)
Wenn Konfigurationsbeispiel gewünscht == Elektronenpost an Liste.
Hallo,
viel besser hätte ich das auch nicht darstellen können. ;-)
Ein wichtiges buzzword zu dem Thema ist unbedingt: ldapsam:editposix!
Alles im allem keine Lösung die man sich gerade mal so schnell aus dem
Ärmel schüttelt - ;-)
Bei Bedarf gibts auch von mir noch weiteres blabla, Literaturhinweise
usw...
Gruß
Gunter
___
Lug-dd maillist - Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd