[Samba-it] Samba PDC LDAP - non va niente !

[Simo Sorce]

On Tue, 2005-03-08 at 12:27 +0100, Luigi Iotti wrote:

> Non _penso_ (opinione personale smentibile) 

E allora smentiamola :-)

> che ci siano motivazioni particolari
> per cui pam non dovrebbe funzionare ottenendo come input un digest della
> password (per esempio, salt-crypt che dici tu) e provando a confrontarlo
> direttamente con tale informazione contenuta ad esempio in /etc/shadow.
> Certo ci sarebbe da scrivere il modulo che faccia questo, e non è che darebbe
> maggiore sicurezza, perchè in questo modo il salt-crypt diverrebbe un
> password-equivalent.

Le password LM e NT conservate nel file smbpasswd (o tdbsam o ldap ..)
sono infatti equivalenti di password in chiaro.

Samba ha bisogno della password in chiaro o dell'equivalente hash (LM o
NT) per poter eseguire l'algoritmo ntlm, infatti a Samba non arriva MAI,
dal client la password, né in chiaro, né come hash LM o NT. Qui sta la
sicurezza, nel fatto che la password non passa mai in rete al contrario
di quanto avviene con telnet/ssh/etc... per cui ha anche senso parlare
di MIDM.

Siccome PAM non ti darà mai la password (o il suo hash) non hai una
informazione fondamentale.

L'unica possibilità di usare PAM sarebbe che pam sia in grado di gestire
autonomamente l'algoritmo di challenge response. Il problema è che l'API
di PAM è costruita in modo da non permettere comunicazioni bidirezionali
per cui non se ne fa nulla.

> Quello che non si può fare di sicuro è avere il digest della password ottenuto
> con un certo algoritmo (ad esempio ntlm) e confrontarla con un digest ottenuto
> con altro algoritmo (es. crypt). Ecco perchè samba deve avere il suo db di
> password con i digest lm e ntlm.

Questo anche ma basta unificare tutto su lm e nt (anche per *nix) e
siamo a posto ;-)


Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399