Re: Systempasswörter mit Samba nutzen

[William Epler]

Am Mittwoch 15 September 2010, 21:59:57 schrieb Gunter Miegel:
 viel besser hätte ich das auch nicht darstellen können. ;-)
Danke für die Blumen.

 Ein wichtiges buzzword zu dem Thema ist unbedingt: ldapsam:editposix!
Und noch eins: smbldap

 Alles im allem keine Lösung die man sich gerade mal so schnell aus dem
 Ärmel schüttelt   - ;-)
Schon richtig. Aber einmal aufgesetzt und man
- hat Ruhe vor den Nutzern: Für die geht es so, wie sie es erwarten
- kann sich darauf verlassen: 
  LDAP ist hochverfügbar by Design, dort liegen die einzigen
  beweglichen Daten, die in diesem Zusammenhang recht einfach
  regelmäßig zu sichern und bei Bedarf genauso einfach wieder herstellbar sind


-- 
William Epler

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: Systempasswörter mit Samba nutzen

[Gunter Miegel]

Am 14.09.2010 17:02, schrieb William Epler:
 Am Freitag 10 September 2010, 10:14:41 schrieb Heiko Schlittermann:
 Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu
 nutzen, also kein extra DB?

 Nein. Meines Wissens geht das nicht. 
 Geht doch.
 
 Du könntest LDAP nehmen, aber auch
 dort gibt es dann ein Passwort und ein SMB-Passwort-Hash. 
 Soweit korrekt. LDAP sollte man spätestens in gemischten Umgebungen auf dem 
 Samba-PDC immer als Backend haben.
 
 unix password sync
 Diese Option in smb.conf sorgt dafür, daß, wenn mit smbpasswd oder mit 
 Windows-Bordmitteln das Samba-Passwort geändert wird, dieses auch gleich für 
 PAM-Gebrauch mit gehasht wird (== LDAP-Attribut userPassword).
 
 SMB schickt die Passworte als Hash durch die Leitung, somit gehen die
 gängigen Verfahren (z.B. Authentifizierung gegen einen LDAP) nicht. 
 Bei Passwortänderungen wird das neue Passwort auf verschlüsseltem Weg dem 
 Domaincontroller zum Hashen übergeben. Dort setzt dann unix password sync 
 an.
 
 Du wirst also immer zwei Passwort-DBs brauchen, 
 Richtig, aber die halten sich von alleine in sync, s.u.
 
 die Du bestenfalls syncron halten könntest („unix password sync“ im Samba,
 und vielleicht gibt es ein pam-Modul, das auch das SMB-Passwort setzen
 könnte, wenn jemand „passwd” aufruft).
 Genau das macht pam_smbpass. Es hasht das von passwd übergebene 
 Klartextpasswort für den Samba-PDC (LDAP-Attribut sambaNTPassword).
 
 Selbstverständlich ist es nicht vorgesehen, die verschiedenartigen Hashes  
 ineinander umzurechnen. Deshalb bedarf es einem initialen passwd, 
 smbpasswd oder Alt-Strg-Entf für jeden Nutzer, um beide Hashes 
 gleichzuziehen.
 
 Also:
 - Linux/UNIX-Maschinen gegen LDAP authentifizieren
 - Samba-PDC mit LDAP-Backend
 - Windows-Rechner zu Domänenmitgliedern machen
 - LDAP-Inhalt regelmäßig sichern
 - zurücklehnen ;-)
 
 Wenn Konfigurationsbeispiel gewünscht == Elektronenpost an Liste.
 
 

Hallo,


viel besser hätte ich das auch nicht darstellen können. ;-)

Ein wichtiges buzzword zu dem Thema ist unbedingt: ldapsam:editposix!

Alles im allem keine Lösung die man sich gerade mal so schnell aus dem
Ärmel schüttelt   - ;-)

Bei Bedarf gibts auch von mir noch weiteres blabla, Literaturhinweise
usw...

Gruß

Gunter

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Re: Systempasswörter mit Samba nutzen

[Sebastian Hegler]

Hi!

Am 10.09.2010 um 07:23 schrieb Luca Bertoncello:
 Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu nutzen, 
 also kein extra DB?
Meines Wissens nach hilft da nur kerberos. Probiert habe ich es nicht, der 
Aufwand war mir zu hoch.

MfG
Sebastian
--
Jeder ist notwendigerweise der Held seiner eigenen Lebensgeschichte.

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Systempasswörter mit Samba nutzen

[Luca Bertoncello]

Hallo, Leute!

Ich habe einen Server mit Ubuntu Lucid und Samba installiert.
Nun habe ich einigen Nutzer auf dem Server, die Samba nutzen sollen.

Leider jetzt muß ich immer mit tdbedit die Nutzer in Samba importieren (und
die Leute müssen immer zu mir kommen und ihr Passwort eintippen).

Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu nutzen,
also kein extra DB?

Danke
Luca Bertoncello
(lucab...@lucabert.de)

___
Lug-dd maillist  -  Lug-dd@mailman.schlittermann.de
https://ssl.schlittermann.de/mailman/listinfo/lug-dd