[Samba-it] RE: [Samba-it] RE: [Samba-it] RE: [Samba-it] Piccolacuriositàsu autenticazione Samba

[Simo Sorce]

On Fri, 2005-12-16 at 13:50 +0100, Luigi Iotti wrote:
> > From: samba-it-admin at xsec.it [mailto:samba-it-admin at xsec.it]On Behalf O
f
> > Simo Sorce
> 
> > Si ma a cosa serve questo ?
> 
> Buona domanda:
> Nel mio ragionamento, a togliersi il dubbio accademico sulla
> "pammizzabilità" di samba.
> Nella pratica, direi che potrebbe servire a usare altri backend di
> autenticazione, disfacendosi o estendendo [NT]LM.
> Prendiamo il caso dell'OTP "normale" (da cui era nato il thread): non l'h
o
> mai realmente usato, quindi magari sarò impreciso. Viene passata una
> password che però serve una sola volta, quindi se anche viene sniffata
> chissenefrega. Potremmo fare un modulo pam-smb-otp che utilizzi come hash
 HS
> l'hash calcolato in base alla OneTimePassword corrente, usandolo per
> verificare C ed R che gli sono arrivati da pam. In pratica, il tutto
> funzionerebbe come nell'esempio che avevo fatto nella precedente mail, so
lo
> che il client non inserirebbe la sua solita password ma una One Time
> password, e il server verificherebbe il response mediante l'hash della On
e
> Time password.

Non sto qui ad entrare in dettagli tecnici, ma non funzionerebbe per una
serie di motivi (dal chache della password fatto da Windows, al fatto
che gli algoritmi di challenge response son molteplici e vengono
negoziati per connessione) e richiederebbe comunque di realizzare un
modulo pam ad hoc, a quel punto converrebbe comunque modificare samba e
usare sempre winbindd.

Se avesse avuto senso fare un sistema che passa via pam, l'avremmo
probabilmente fatto.

Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399