[Samba-it] quesiti su samba e gestione password

Marco Gaiarin gaio at sv.lnf.it
Tue Apr 13 10:50:01 MDT 2004 

Stamane non ho avuto tempo di verificare io stesso, ma so che tiziano è
una persona in gamba e si sarà sicuramente spulciato per bene la
documentazione. Insomma, mi fido e forwardo, ambasciator non porta
pena. ;)

----- Forwarded message from Tiziano Tissino -----
From: Tiziano Tissino <t.tissino(at)itaca.coopsoc.it>
Date: Sat, 10 Apr 2004 17:40:30 +0200
Subject: quesiti su samba e gestione password

Salve,

Sto cercando di configurare samba in modo che gestisca 'seriamente' le 
password di accesso, applicando una serie di policy (durata della 
password, lunghezza, 'robustezza', ecc).

La mia intenzione sarebbe quella di utilizzare PAM e la libreria 
cracklib, ma non riesco a venirne fuori e vorrei capire cos'è che mi sfugge.

Sul server su cui gira samba, ho installato una Debian Stable, la 
versione di samba è la 2.2.3a-13; oltre a samba, ho installati i 
seguenti pacchetti: libpam-cracklib (v. 0.72-35), libpam-smb (v. 
1.1.6-1.1woody1), libpam-smbpass (v. 2.2.3a-13).

questo è il contenuto del file /etc/pam.d/samba:

auth            required        pam_unix.so
account         required        pam_unix.so
session         required        pam_unix.so
password        required        pam_warn.so
password        required        pam_cracklib.so dcredit=0 ucredit=0 
ocredit=0 lcredit=0 minlen=8 difok=3
password        required        pam_unix.so

(la terzultima e penultima riga, in realtà, sono un'unica riga nel file)
mentre questo è un estratto dal file /etc/samba/smb.conf:

	min passwd length = 8
	obey pam restrictions = Yes
	pam password change = Yes
	passwd program = /usr/bin/passwd %u
	passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
*Retype\snew\sUNIX\spassword:* %n\n

Se uso passwd per cambiare la password di un utente, cracklib (che è 
richiamato in /etc/pam.d/passwd, dove c'è una riga identica a quella 
riportata in /etc/pam.d/samba),fa tutti i controlli che deve fare.

Se invece uso smbpasswd, il file /etc/pam.d/samba sembra essere 
completamente ignorato: pam_warn dovrebbe causare la registrazione del 
tentativo su syslog, ma questo non avviene; cracklib dovrebbe 
controllare tutta una serie di cose che non vengono controllate, 
pam_unix dovrebbe aggiornare la password di UNIX ed invece viene 
modificato solo il file /etc/samba/smbpasswd (mentre sia etc/passwd che 
/etc/shadow restano inalterati). Per di più, smbpassword non mi 
controlla nemmeno la 'min passwd length'.

Cos'è che mi sfugge?

Altro quesito: è possibile configurare Samba in modo che avverta gli 
utenti che la loro password sta per scadere e che ne devono scegliere 
una nuova?

----- End forwarded message -----

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  gaio(at)sv.lnf.it		tel +39-0434-842711    fax +39-0434-842797

    I brevetti sul software sono una minaccia per la libertà non solo
        dei programmatori, ma anche degli utenti: mobilitatevi!!!

			http://demo.ffii.org/

More information about the samba-it mailing list