[Samba-it] Samba PDC LDAP - non va niente !

Luigi Iotti luigi at iotti.biz
Tue Mar 8 19:42:02 MST 2005


> -----Original Message-----
> From: samba-it-admin at xsec.it [mailto:samba-it-admin at xsec.it]On Behalf Of
> Simo Sorce
> Sent: Tuesday, March 08, 2005 7:06 PM
> To: samba-it at xsec.it
> Subject: Re: [Samba-it] Samba PDC LDAP - non va niente !
>
>
> On Tue, 2005-03-08 at 12:27 +0100, Luigi Iotti wrote:
>
> > Non _penso_ (opinione personale smentibile)
>
> E allora smentiamola :-)
>
> > che ci siano motivazioni particolari
> > per cui pam non dovrebbe funzionare ottenendo come input un digest della
> > password (per esempio, salt-crypt che dici tu) e provando a confrontarlo
> > direttamente con tale informazione contenuta ad esempio in /etc/shadow.
> > Certo ci sarebbe da scrivere il modulo che faccia questo, e non
> è che darebbe
> > maggiore sicurezza, perchè in questo modo il salt-crypt diverrebbe un
> > password-equivalent.
>
> Le password LM e NT conservate nel file smbpasswd (o tdbsam o ldap ..)
> sono infatti equivalenti di password in chiaro.
>
> Samba ha bisogno della password in chiaro o dell'equivalente hash (LM o
> NT) per poter eseguire l'algoritmo ntlm, infatti a Samba non arriva MAI,
> dal client la password, né in chiaro, né come hash LM o NT.
> Qui sta la
> sicurezza, nel fatto che la password non passa mai in rete al contrario
> di quanto avviene con telnet/ssh/etc... per cui ha anche senso parlare
> di MIDM.
>
> Siccome PAM non ti darà mai la password (o il suo hash) non hai una
> informazione fondamentale.
>
> L'unica possibilità di usare PAM sarebbe che pam sia in grado di gestire
> autonomamente l'algoritmo di challenge response. Il problema è che l'API
> di PAM è costruita in modo da non permettere comunicazioni bidirezionali
> per cui non se ne fa nulla.

Mi sa che sono stato frainteso: io parlavo del funzionamento di pam in
generale (e qui mi becco l'accusa di OT), non facevo una ipotesi su come
adattarlo a samba.
Quando dicevo 'ottiene in input' intendevo dall'utente che inserisce la
password, che viene passata a pam e lui risponde buono/cattivo. Quindi è
unidirezionale.

> > Quello che non si può fare di sicuro è avere il digest della
> password ottenuto
> > con un certo algoritmo (ad esempio ntlm) e confrontarla con un
> digest ottenuto
> > con altro algoritmo (es. crypt). Ecco perchè samba deve avere
> il suo db di
> > password con i digest lm e ntlm.
>
> Questo anche ma basta unificare tutto su lm e nt (anche per *nix) e
> siamo a posto ;-)

Magari qualche admin si straccia le vesti, si strappa i capelli e poi urla
allo scandalo.. :P ma in sostanza è quello che si fa quando si demanda
l'autenticazione ad un server smb attraverso mi pare pam_smb, no?




More information about the samba-it mailing list