[Samba-it] quesiti su samba e gestione password
Marco Gaiarin
gaio at sv.lnf.it
Tue Apr 13 10:50:01 MDT 2004
Stamane non ho avuto tempo di verificare io stesso, ma so che tiziano è
una persona in gamba e si sarà sicuramente spulciato per bene la
documentazione. Insomma, mi fido e forwardo, ambasciator non porta
pena. ;)
----- Forwarded message from Tiziano Tissino -----
From: Tiziano Tissino <t.tissino(at)itaca.coopsoc.it>
Date: Sat, 10 Apr 2004 17:40:30 +0200
Subject: quesiti su samba e gestione password
Salve,
Sto cercando di configurare samba in modo che gestisca 'seriamente' le
password di accesso, applicando una serie di policy (durata della
password, lunghezza, 'robustezza', ecc).
La mia intenzione sarebbe quella di utilizzare PAM e la libreria
cracklib, ma non riesco a venirne fuori e vorrei capire cos'è che mi sfugge.
Sul server su cui gira samba, ho installato una Debian Stable, la
versione di samba è la 2.2.3a-13; oltre a samba, ho installati i
seguenti pacchetti: libpam-cracklib (v. 0.72-35), libpam-smb (v.
1.1.6-1.1woody1), libpam-smbpass (v. 2.2.3a-13).
questo è il contenuto del file /etc/pam.d/samba:
auth required pam_unix.so
account required pam_unix.so
session required pam_unix.so
password required pam_warn.so
password required pam_cracklib.so dcredit=0 ucredit=0
ocredit=0 lcredit=0 minlen=8 difok=3
password required pam_unix.so
(la terzultima e penultima riga, in realtà, sono un'unica riga nel file)
mentre questo è un estratto dal file /etc/samba/smb.conf:
min passwd length = 8
obey pam restrictions = Yes
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
*Retype\snew\sUNIX\spassword:* %n\n
Se uso passwd per cambiare la password di un utente, cracklib (che è
richiamato in /etc/pam.d/passwd, dove c'è una riga identica a quella
riportata in /etc/pam.d/samba),fa tutti i controlli che deve fare.
Se invece uso smbpasswd, il file /etc/pam.d/samba sembra essere
completamente ignorato: pam_warn dovrebbe causare la registrazione del
tentativo su syslog, ma questo non avviene; cracklib dovrebbe
controllare tutta una serie di cose che non vengono controllate,
pam_unix dovrebbe aggiornare la password di UNIX ed invece viene
modificato solo il file /etc/samba/smbpasswd (mentre sia etc/passwd che
/etc/shadow restano inalterati). Per di più, smbpassword non mi
controlla nemmeno la 'min passwd length'.
Cos'è che mi sfugge?
Altro quesito: è possibile configurare Samba in modo che avverta gli
utenti che la loro password sta per scadere e che ne devono scegliere
una nuova?
----- End forwarded message -----
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
gaio(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
I brevetti sul software sono una minaccia per la libertà non solo
dei programmatori, ma anche degli utenti: mobilitatevi!!!
http://demo.ffii.org/
More information about the samba-it
mailing list