[Samba-it] Badlock, 'ntlm auth = no' e ntlm_auth...
NdK
ndk.clanbo at gmail.com
Tue May 10 12:49:36 UTC 2016
Il 06/05/2016 08:48, Piviul ha scritto:
> ...però a ben pensarci non mi sembra preoccupante lo stesso: è il server
> freeradius che usa NTLM per autenticare l'utente sul server, giusto? Il
> problema quindi sorge perché qualcuno potrebbe mettersi in ascolto nella
> LAN per beccare la password criptata scambiata fra freeradius e il DC
Oltretutto, *non* viene scambiata in chiaro, ma il traffico RADIUS è
criptato con lo shared secret e/o incapsulato in TLS. Quindi non sarebbe
sufficiente "trasformare" uno switch in hub (p.e. con ARP poisoning) ed
intercettare il traffico.... bisognerebbe aver "bucato" il server RADIUS
o quello Samba, ma allora si avrebbe accesso molto comodamente alla
password criptata.
Comunque il team di FreeRadius ha una pagina su come far funzionare
mschap con samba 4.2, e pare non crei problemi:
http://wiki.freeradius.org/guide/Active-Directory-direct-via-winbind
Prima o poi dovrò rimettermici dietro...
BYtE,
Diego
More information about the samba-it
mailing list