Am 14.09.2010 17:02, schrieb William Epler:
Am Freitag 10 September 2010, 10:14:41 schrieb Heiko Schlittermann:
Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu nutzen, also kein extra DB?
Nein. Meines Wissens geht das nicht.
Geht doch.
Du könntest LDAP nehmen, aber auch dort gibt es dann ein Passwort und ein SMB-Passwort-Hash.
Soweit korrekt. LDAP sollte man spätestens in gemischten Umgebungen auf dem Samba-PDC immer als Backend haben.
unix password sync
Diese Option in smb.conf sorgt dafür, daß, wenn mit smbpasswd oder mit Windows-Bordmitteln das Samba-Passwort geändert wird, dieses auch gleich für PAM-Gebrauch mit gehasht wird (==> LDAP-Attribut "userPassword").
SMB schickt die Passworte als Hash durch die Leitung, somit gehen die gängigen Verfahren (z.B. Authentifizierung gegen einen LDAP) nicht.
Bei Passwortänderungen wird das neue Passwort auf verschlüsseltem Weg dem Domaincontroller zum Hashen übergeben. Dort setzt dann "unix password sync" an.
Du wirst also immer zwei Passwort-DBs brauchen,
Richtig, aber die halten sich von alleine in sync, s.u.
die Du bestenfalls syncron halten könntest („unix password sync“ im Samba, und vielleicht gibt es ein pam-Modul, das auch das SMB-Passwort setzen könnte, wenn jemand „passwd” aufruft).
Genau das macht pam_smbpass. Es hasht das von "passwd" übergebene Klartextpasswort für den Samba-PDC (LDAP-Attribut "sambaNTPassword").
Selbstverständlich ist es nicht vorgesehen, die verschiedenartigen Hashes ineinander umzurechnen. Deshalb bedarf es einem initialen "passwd", "smbpasswd" oder "Alt-Strg-Entf" für jeden Nutzer, um beide Hashes gleichzuziehen.
Also:
- Linux/UNIX-Maschinen gegen LDAP authentifizieren
- Samba-PDC mit LDAP-Backend
- Windows-Rechner zu Domänenmitgliedern machen
- LDAP-Inhalt regelmäßig sichern
- zurücklehnen ;-)
Wenn Konfigurationsbeispiel gewünscht ==> Elektronenpost an Liste.
Hallo,
viel besser hätte ich das auch nicht darstellen können. ;-)
Ein wichtiges "buzzword" zu dem Thema ist unbedingt: "ldapsam:editposix"!
Alles im allem keine Lösung die man sich gerade mal so schnell aus dem Ärmel schüttelt - ;-)
Bei Bedarf gibts auch von mir noch weiteres blabla, Literaturhinweise usw...
Gruß
Gunter