[Samba-it] Samba + LDAP + pdbedit e privacy...

Simo Sorce simo.sorce at xsec.it
Fri Jan 7 08:57:01 MST 2005


On Thu, 2005-01-06 at 00:24 +0100, nostradamus at libero.it wrote:
> Ciao, 
> ho deciso di scrivere in questo forum perche', stanco di sbattere la testa per
> giorni sullo stesso problema,  desidero avere un vostro parere e spero che
> qualche anima pia risolva la mia questione...

Benvenuto su questa mailing list.

> Questo e' il problema: ho un server PDC con Samba ed LDAP (ho anche creato il
> BDC, ma non e' fondamentale per la discussione). Ora vorrei applicare delle
> policy di controllo sulle password inserite dagli utenti Windows (permetto che
> gli utenti non hanno un corrispettivo account sulla macchina Linux).

Vuoi dire che normalmente non fanno login sulla macchina unix
immagino ...

> Per fare questo ho usato pdbedit, che ha tanti pregi (impostare lungh. min della
> pwd, scadenza, ecc...), ma non fa alcun controllo sulla complessita' della
> password. Ora e' inutile che imposti una password lunga, chesso', 12 lettere, se
> poi l'utente mi inserisce "aaaaaaaaaaaa" o parole del dizionario! 

la complessità della password in effetti non è controllabile via pdbedit
o usrmgr.exe in quanto funzionalità mai prevista da controllori tipo
NT4.

> Ho provato ad utilizzare i moduli PAM (system-auth), ma o li uso male, o non
> funzionano... In effetti l'autenticazione al PDC avviene esclusivamente con
> LDAP, quindi i moduli PAM sono a pie' pari bypassati. Il modulo pam_cracklib.so
> funziona solo con autenticazione locale, non remota, come invece correi che
> facesse. Molto probabilmente PAM non serve a nulla quando l'autenticazione e'
> fatta attraverso LDAP.

Infatti PAM viene utilizzato solo per controllare eventuali scadenze
account o altri controlli di accesso per gli utenti ma non per
l'autenticazione (per motivi tecnici).

> In poche parole: esiste una funzionalita' di pdbedit o qualche altro tool che mi
> permetta di avere quello che in Windows corrisponde al criterio  di protezione
> "Le password devono essere conformi ai requisiti di complessita'"?

Si, ho introdotto un parametro nelle recenti release (credo che la prima
in cui si aentrato sia 3.0.8 o 3.0.9.

Si chiama check password script e richiede uno script a cui passare dei
parametri generalmente username e password.

Sfortunatamente per un errore non è documentato in smb.conf, lo sarà per
la prossima release certamente.

Simo.




More information about the samba-it mailing list