[Samba-it] RE: [Samba-it] Piccola curiosità su autenticazione Samba
Simo Sorce
simo.sorce at xsec.it
Thu Dec 15 22:13:01 MST 2005
On Thu, 2005-12-15 at 12:07 +0100, Luigi Iotti wrote:
> > From: samba-it-admin at xsec.it [mailto:samba-it-admin at xsec.it]On Behalf O
f
> > Stefano Rizzetto
>
> > Uso il sistema otp-opie su di una wks sun e mi stavo chiedendo se
> > Samba potrebbe magari attraverso libpam-opie autenticare gli utenti di
> > un dominio attraverso questo meccanismo
>
> Samba non utilizza pam per autenticare gli utenti. In passato c'era stato
in
> lista un thread sul perchè samba non possa usare pam.
> In breve, la libreria pam richiede di avere la password in chiaro per
> poterla verificare; mentre smb usa un meccanismo di autenticazione di tip
o
> challenge/response, per cui sul server arriva un digest della password e
non
> la password in chiaro, da cui l'inutilizzabilità di pam. Questo è anc
he il
> motivo per cui su Samba si deve mantenere un database di password dedicat
o
> (smbpasswd o alternative come tdb o ldap) e non si può usare quello nor
male
> di UNIX/Linux (file passwd e affini).
>
> A dire il vero, ogni tanto mi chiedo perchè non si potrebbe scrivere un
> modulo pam a cui passare il challenge, il response e quant'altro necessar
io
> e demandargli di decidere se sono corretti. Ci sarebbero pro e contro,
> sempre che fosse fattibile.. cmq sta di fatto che oggi Samba non usa pam.
Perché a samba non arriva ne la password in chiaro NE l'hash che è un
equivalente di un password in chiaro.
I meccanismi di challenge/response sono stati inventati apposta per NON
inviare MAI in rete nessuna password o equivalente (per esempio anche
kerberos utilizza questo tipo di meccanismo ed infatti il KDC Kerberos
mantiene una lista di password, ma le password non viaggiano mai in rete
neanche quando si fa kinit e si chiede il ticket).
PAM invece è costruito in modo da poter funzionare solo se viene passata
una password e non ha alcun meccanismo di comunicazione che permetta di
effettuare transazione come quelle challenge/response.
Va detto che si può comunque unificare la password in senso inverso
usando winbind e pam_winbind e tenendo una solo hash (quello del mondo
windows) che tanto c'è e ci deve essere.
Simo.
--
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399
More information about the samba-it
mailing list