Erfahrungsbericht samba und Frage :)

Sven Broeckling sb at involva.de
Mon May 28 11:54:09 CEST 2001 

Hi Flo,

> > Mein momentaner Workaround sieht so aus, dass das Verwaltungstool
> > fuer den ldap (Eigenentwicklung) die smbpasswd erzeugt und einem
> > Dienst auf dem pdc uebergibt, der sie dann schreibt. Das ist zum
> > einen natuerlich ein wenig umstaendich, zum anderen auch nicht 
> > wirklich so sicher. 
> Das LDAP zeugs ist nur im Samba-TNG krams mit drin den du aus dem CVS
> bekommst - Das dingen ist eher als Alpha oder Beta zu bezeichnen.
Jepp, das hab ich auch schon herausgefunden (nur vergessen, hier zu 
schreiben *g*). Soweit ich das mitbekommen hab, sind auch die ldap
Eintraege in der smb.conf fuer TNG. Ist mir allerdings fuer diesen
Produktivserver ein wenig zu beta.

> > Daher meine Frage : Hat jemand samba schonmal dazu ueberredet,
> > direkt an einen ldap zu gehen, bzw. ueber pam die Authentisierung
> > zu machen? So wies ausschaut geht das ja wirklich noch nicht...
> Das debian paket kann pam authentisierung - Ich weiss aber nicht in wieweit
> das mit pam_ldap geht.
Gegen die libpam ist mein smbd/nmbd auch gelinkt, nur funktioniert das
mit pam_ldap leider nicht. Geht auch laut einigen Beitraegen in der
samba Mailingliste noch nicht. Aber wer weiss, was nicht doch mit ein
wenig Handarbeit noch so geht :)

> Das groesste problem ergibt sich mit dem "Verschluessten Passwoertern"
> die Windows verwendet. Dafuer brauchst du auf der gegenseite Klartext
> passwoerter bzw verschluesselte passwoerter die du wieder entschluesseln
> kannst. Da die meisten in ihren LDAP allerdings {CRYPT} oder {SHA} passwoerter
> schreiben geht das mal wieder nicht so einfach.
Dafuer liegt auf der TNG Seite ja ein eigenes LDAP Scheme. Das ist 
allerdings ziemlich schnell zusammengehackt. Wie gesagt, im Moment
werden die lm/nt Passwoerter gar nicht (in der ldap db) gesichert,
sondern beim Erstellen der smbpasswd erzeugt. 


> Die schoenste loesung ist wirklich das ganze manuell noch mal
> in die smbpasswd zu spiegeln.
Also ist meine Loesung doch gar nicht so schlecht :)
Nur das mit dem Daemon, der die Datei dann sichert, gefaellt mir
nicht so ganz. Obwohl, da das ein internes Netz ist, sind die
Angriffspunkte da wohl nicht soo gross.

Gruss
  Sven

More information about the Linux mailing list