[Samba-it] Samba PDC LDAP - non va niente !
giuseppe pasqualotto
giuseppe.pasqualotto at unifi.it
Wed Mar 9 09:29:01 MST 2005
Simo Sorce wrote:
>On Tue, 2005-03-08 at 12:27 +0100, Luigi Iotti wrote:
>
>
>
>>Non _penso_ (opinione personale smentibile)
>>
>>
>
>E allora smentiamola :-)
>
>
>
>>che ci siano motivazioni particolari
>>per cui pam non dovrebbe funzionare ottenendo come input un digest della
>>password (per esempio, salt-crypt che dici tu) e provando a confrontarlo
>>direttamente con tale informazione contenuta ad esempio in /etc/shadow.
>>Certo ci sarebbe da scrivere il modulo che faccia questo, e non è che darebbe
>>maggiore sicurezza, perchè in questo modo il salt-crypt diverrebbe un
>>password-equivalent.
>>
>>
>
>Le password LM e NT conservate nel file smbpasswd (o tdbsam o ldap ..)
>sono infatti equivalenti di password in chiaro.
>
>Samba ha bisogno della password in chiaro o dell'equivalente hash (LM o
>NT) per poter eseguire l'algoritmo ntlm, infatti a Samba non arriva MAI,
>dal client la password, né in chiaro, né come hash LM o NT.
>
Perdonami, qui non capisco. A Samba cosa arriva dal client? Non arriva
forse l'hash LM o NT della password, che Samba confronta con quelle che
lui ha gia da qualche parte (smbpasswd, tdb, ldap, mysql, ecc.)?
>Qui sta la
>sicurezza, nel fatto che la password non passa mai in rete al contrario
>di quanto avviene con telnet/ssh/etc... per cui ha anche senso parlare
>di MIDM.
>
>Siccome PAM non ti darà mai la password (o il suo hash) non hai una
>informazione fondamentale.
>
>L'unica possibilità di usare PAM sarebbe che pam sia in grado di gestire
>autonomamente l'algoritmo di challenge response. Il problema è che l'API
>di PAM è costruita in modo da non permettere comunicazioni bidirezionali
>per cui non se ne fa nulla.
>
>
>
>>Quello che non si può fare di sicuro è avere il digest della password ottenuto
>>con un certo algoritmo (ad esempio ntlm) e confrontarla con un digest ottenuto
>>con altro algoritmo (es. crypt). Ecco perchè samba deve avere il suo db di
>>password con i digest lm e ntlm.
>>
>>
>
>Questo anche ma basta unificare tutto su lm e nt (anche per *nix) e
>siamo a posto ;-)
>
>
>Simo.
>
>
>
More information about the samba-it
mailing list