[Samba-it] Supporto SSL ldap+samba
Simo Sorce
simo.sorce at xsec.it
Fri Dec 17 12:44:01 MST 2004
On Thu, 2004-12-16 at 21:41, Ottavio Campana wrote:
> però c'è anche da dire che le password crittate con md4 sono abbastanza
> deboli. Anch'io ci avevo pensato di farlo, per evitare che chi sniffa
> possa poi usare programmi come jack the ripper.
L'hash md4 NON è una cifratura, le password salvate in smbpasswd
(tdbsam, ldap, ecc..) sono EQUIVALENTI a password in chiaro e non vanno
mai esposte.
I client Windows moderni utilizzano una tecnica challenge-response per
cui le password non vanno mai in rete in alcun modo.
> > In particolare se usi come server ldap localhost credo che,
> > indipendentemente dal servizio, non abbia senso mettere il server ldap
> > sotto ssl perchè agli effetti pratici nulla esce dal computer, specie
> > se poi solo alcuni hanno effettivamente la possibilità di loggarsi nel
> > server e quindi usare localhost.
>
> questo è vero.
Per connessioni locali usare ssl è solo un inutile overhead nella
maggiorparte dei casi.
Invece in caso si utilizzino più ldap Master-Slave o semplicemente
l'Ldap si trova su un altro host usare SSL è altamente consigliato visto
che, come detto sopra, gli hash delle password Windows sono EQUIVALENTI
a password in chiaro (basta un smbclient modificato a cui dare in pasto
l'hash invece della password in chiaro e siete a posto).
Simo.
--
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399
More information about the samba-it
mailing list