[Samba-it] Samba + LDAP + pdbedit e privacy...
Simo Sorce
simo.sorce at xsec.it
Fri Jan 7 08:57:01 MST 2005
On Thu, 2005-01-06 at 00:24 +0100, nostradamus at libero.it wrote:
> Ciao,
> ho deciso di scrivere in questo forum perche', stanco di sbattere la testa per
> giorni sullo stesso problema, desidero avere un vostro parere e spero che
> qualche anima pia risolva la mia questione...
Benvenuto su questa mailing list.
> Questo e' il problema: ho un server PDC con Samba ed LDAP (ho anche creato il
> BDC, ma non e' fondamentale per la discussione). Ora vorrei applicare delle
> policy di controllo sulle password inserite dagli utenti Windows (permetto che
> gli utenti non hanno un corrispettivo account sulla macchina Linux).
Vuoi dire che normalmente non fanno login sulla macchina unix
immagino ...
> Per fare questo ho usato pdbedit, che ha tanti pregi (impostare lungh. min della
> pwd, scadenza, ecc...), ma non fa alcun controllo sulla complessita' della
> password. Ora e' inutile che imposti una password lunga, chesso', 12 lettere, se
> poi l'utente mi inserisce "aaaaaaaaaaaa" o parole del dizionario!
la complessità della password in effetti non è controllabile via pdbedit
o usrmgr.exe in quanto funzionalità mai prevista da controllori tipo
NT4.
> Ho provato ad utilizzare i moduli PAM (system-auth), ma o li uso male, o non
> funzionano... In effetti l'autenticazione al PDC avviene esclusivamente con
> LDAP, quindi i moduli PAM sono a pie' pari bypassati. Il modulo pam_cracklib.so
> funziona solo con autenticazione locale, non remota, come invece correi che
> facesse. Molto probabilmente PAM non serve a nulla quando l'autenticazione e'
> fatta attraverso LDAP.
Infatti PAM viene utilizzato solo per controllare eventuali scadenze
account o altri controlli di accesso per gli utenti ma non per
l'autenticazione (per motivi tecnici).
> In poche parole: esiste una funzionalita' di pdbedit o qualche altro tool che mi
> permetta di avere quello che in Windows corrisponde al criterio di protezione
> "Le password devono essere conformi ai requisiti di complessita'"?
Si, ho introdotto un parametro nelle recenti release (credo che la prima
in cui si aentrato sia 3.0.8 o 3.0.9.
Si chiama check password script e richiede uno script a cui passare dei
parametri generalmente username e password.
Sfortunatamente per un errore non è documentato in smb.conf, lo sarà per
la prossima release certamente.
Simo.
More information about the samba-it
mailing list