[Samba-it] Ancora check password script...
simo
simo.sorce at xsec.it
Tue Mar 25 09:50:59 MDT 2008
On Tue, 2008-03-25 at 14:23 +0100, Marco Gaiarin wrote:
> > Una domanda: sembra che la pass venga cambiata esclusivamente contro il
> > PDC, ho fatto qualche prova e il BDC non è stato toccato manco di
> > striscio.
> > Caso o posso evitarmi l'installazione dell'accrocchio su entrambe le
> > macchine?
>
> Insisto con la domanda.
Si il cambio password avviene solo sul PDC che e' l'unico che puo'
scrivere sul SAM.
> E ne aggiungo un'altra. Il 'check password script' viene eseguito prima
> di ogni altra operazione sulla password, vero?
Si.
> Quindi se io voglio accorciare la durata della password non lo posso
> fare direttamente da 'check password script', ma devo loggare
> l'informazione e farlo a posteriori (in maniera offline), vero?
Si.
> Sto iniziando a pensare se tutta questa cosa non possa essere elevata
> dal livello attuale di 'porcata' a livello di funzionalità.
> Ovvero se samba possa essere modificato di modo da gestire questa cosa
> direttamente, ovvero:
>
> 1) definizione di uno script (questo si esterno) per il ranking della
> password, che torna un punteggio da 0 (o 1) a 10.
>
> 2) definizione di un punteggio minimo sotto il quale rifiutare la
> password
>
> 3) definizione di un algoritmo che 'scala' la durata della password in
> base al punteggio, banalmente:
>
> durata_rettificata = (durata * punteggio) / 10
Tecnicamente e' possibile, ma poi ci vuole quelcuno che lo faccia e che
mantenga questa feature. Uno degli ostacoli e' che non c'e' modo di
ritornare messaggi appropriati all'utente (tipo: "la password fa schifo
e scade domani", o "il punteggio complessita' della password e' 3,
riprova e sarai piu' fortunato"), per cui questa 'feature' risulterebbe
in un po' di confusione per l'utente.
Nel tuo caso, a meno che non ti serva proprio di fare il cambio password
dal pannello di windows potrebbe anche avere senso disabilitare il
cambio password via client windows (ritornando sempre error via check
password script per esempio) e forzare gli utenti ad usare, che so, una
pagina web con autenticazione NTLM (ovvero sempre via samba) che poi
faccia il cambio password come piu' ti piace :-)
> > https://bugzilla.samba.org/show_bug.cgi?id=5018
> > Assegnati questo bug, se sei uomo. ;)
>
> Dai, suvvia... ;)))
Chi ti dice che sono un uomo?
Simo.
More information about the samba-it
mailing list