[Samba-it] Badlock, 'ntlm auth = no' e ntlm_auth...

[Piviul]

NdK ha scritto il 10/05/2016 alle 14:49:
> Il 06/05/2016 08:48, Piviul ha scritto:
> 
>> ...però a ben pensarci non mi sembra preoccupante lo stesso: è il server
>> freeradius che usa NTLM per autenticare l'utente sul server, giusto? Il
>> problema quindi sorge perché qualcuno potrebbe mettersi in ascolto nella
>> LAN per beccare la password criptata scambiata fra freeradius e il DC
> Oltretutto, *non* viene scambiata in chiaro, ma il traffico RADIUS è
> criptato con lo shared secret e/o incapsulato in TLS.
Non ne sarei sicuro... AFAIK il traffico radius viene criptato e/o
incapsulato soltanto fra il server radius e il client che chiede
l'accesso (che è la parte più critica per carità!). La sicurezza della
comunicazione che avviene fra server radius e l'autenticatore (il DC in
questo caso) per testare le credenziale fornite al server radius viene
demandata allo strumento utilizzato che nel nostro caso è appunto
ntlm_auth che come mi faceva notare Marco Gaiarin utilizza NTLM e non
NTLMv2, quindi soggetto ai problemi di sicurezza legati al protocollo.

> [...]
> 
> Comunque il team di FreeRadius ha una pagina su come far funzionare
> mschap con samba 4.2, e pare non crei problemi:
> http://wiki.freeradius.org/guide/Active-Directory-direct-via-winbind
che utilizza appunto winbind per autenticare e in particolare ntlm_auth
e quindi soggetto ai problemi legati a NTLM.

Almeno da quel che ho capito io.

Piviul