[Samba-it] Samba PDC LDAP - non va niente !

Luigi Iotti luigi at iotti.biz
Tue Mar 8 11:20:01 MST 2005 

Scrive giuseppe pasqualotto <giuseppe.pasqualotto at unifi.it>:

> Dunque, cerchiamo di fare il punto (i threads sull'argomento si sono
> moltiplicati).
>
> 1.     NSS e PAM sono due tecnologie distinte;
> 2.     PAM fornisce fondamentalmente autenticazione per utenti e servizi
> predisposti a
> l'utilizzo di librerie e moduli PAM (ordinariamente, in LINUX, per
> servizi di base quale
> il login);
> 3.     SAMBA non e' tra queste applicazioni. E questo perche' -
> sostanzialmente - PAM
> non e' in grado di gestire autenticazioni con password diverse dal
> chiaro o dal salt-crypt di unix;
> 4.     Infine, per quello che riguarda la richiesta che ha dato vita ai
> threads sull'argomento,
> SAMBA su LDAP, ha solo bisogno di un'adeguata risoluzione dei nomi
> offerta dal NSS e dalla
> libreria specifica (libnss_ldap, configurata attraverso /etc/ldap.conf).
>
> Ditemi se ho capito il giusto.

Direi che adesso è quasi tutto a posto, tranne un dettaglio nel punto 3.
Di sicuro nei casi che ho visto io pam funziona ottenendo la password in chiaro
dall'utente e passandola ad un (o +, dipende dalla cfg) modulo che la confronta
con una versione contenuta nel db delle password scelto (eventualmente cifrata,
quindi cifrando con il giusto algoritmo la password in chiaro ottenuta
dall'utente).
Non _penso_ (opinione personale smentibile) che ci siano motivazioni particolari
per cui pam non dovrebbe funzionare ottenendo come input un digest della
password (per esempio, salt-crypt che dici tu) e provando a confrontarlo
direttamente con tale informazione contenuta ad esempio in /etc/shadow.
Certo ci sarebbe da scrivere il modulo che faccia questo, e non è che darebbe
maggiore sicurezza, perchè in questo modo il salt-crypt diverrebbe un
password-equivalent.
Quello che non si può fare di sicuro è avere il digest della password ottenuto
con un certo algoritmo (ad esempio ntlm) e confrontarla con un digest ottenuto
con altro algoritmo (es. crypt). Ecco perchè samba deve avere il suo db di
password con i digest lm e ntlm.

Ciao

More information about the samba-it mailing list