[Samba-it] Autenticazione verso DC

Simo Sorce simo.sorce at xsec.it
Wed Apr 27 15:16:02 MDT 2005


On Wed, 2005-04-27 at 14:10 +0200, Luigi Iotti wrote:
> Salve a tutti
> 
> Dovendo realizzare un sistema che consenta su Linux di autenticare utenti
> verso un dominio Windows Server 2003, ho pensato di utilizzare Winbind. H
o
> aggregato la macchina Linux al dominio 2003 e posso verificare le
> credenziali che mi vengono passate mediante pam_winbind oppure mediante
> l'helper program ntlm_auth, a scelta.
> Il sistema funziona ma ha un paio di limiti:
> 1) Necessita delle porte 139 e/o 445 raggiungibili verso il server 2003.
> Questo implica che potenzialmente la macchina Linux potrebbe non solo
> verificare le credenziali ma anche mappare i dischi condivisi dal server 
e
> fare altre cose. Io invece vorrei che la macchina Linux potesse solo
> effettuare l'autenticazione. Tra le due macchine ci può essere un firew
all,
> quindi potrei filtrare il traffico.

Non c'è possibilità di distinguere tra il traffico di autenticazione e
quello di condivisione files, a meno che non hai un firewall che operi a
layer7 con adeguati controlli per CIFS/SMB

> 2) Posso utilizzare questo sistema solo verso un unico dominio, quello cu
i
> ho aggregato la macchina. Invece nascerà la necessità di verificare l
e
> credenziali (username e password) fornite dall'utente nei confronti di
> diversi domini, non in relazione di trust tra di loro. Detto diversamente
:
> vorrei evitare di dovere aggregare la macchina al dominio.

Impossibile verificae le credenziali dell'utente in modo efficiente
senza il join del dominio. 

> Qualcuno ha qualche idea su come superare questi inconvenienti?

Se ti devi collegare a domini multipli credo che l'unica cosa sensata da
fare sia creare un dominio tuo con samba e poi stabilire delle trust con
ogni dominio che vuoi usare come autenticatore. Le alternative sono
talmente brutte che non voglio neanche trattarle.

Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399




More information about the samba-it mailing list