Samba mittels PAM in LDAP authentifizieren?

[hawkeye78]

Hallo,

ich hatte mit einem Bekannten gerade eine kleine Diskussion, die wenn er recht hat mich in meinem grundlegenden Verständnis für LDAP und Samba erschüttern würde, nämlich das sich Samba gar nicht gegenüber LDAP mittels PAM authentifizieren kann, wenn verschlüsselte Passwörter auf der Clientseite verwendet werden.
Ich würde mich über eine Aufklärung freuen, da falls er recht hat, ich mir etwas neues für die Verwendung von Samba und LDAP einfallen lassen muss.
Viele Grüsse
Dan

[gms]

nämlich das sich Samba gar nicht gegenüber LDAP mittels PAM authentifizieren kann, wenn verschlüsselte Passwörter auf der Clientseite verwendet werden.

die Begründung würde mich interessieren

Ich würde mich über eine Aufklärung freuen, da falls er recht hat, ich mir etwas neues für die Verwendung von Samba und LDAP einfallen lassen muss.

wenn du schon Samba und LDAP verwendest, müßtest du eigentlich wissen, ob auf allen Clients "Send unencrypted password to third-party SMB servers" aktiviert wurde. Ansonsten werden nämlich verschlüsselte Passwörter verwendet

Gruß
gms

[Natureshadow]

Moin moin,

der "Bekannte" sagt:

Die Clients senden NTLM-Hashes der Passwörter. Wenn cih die einfach so an PAM schmeiße und gegen die Hashes authentifiziere, gegen die ich auch Systemlogins authentifiziere, geht das aus offensichtlichen Gründen ziemlich in die Hose.

Natürlich kann ich den NTLM-Hash einzeln im LDAP ablegen, und natürlich kann ich PAM auch beibringen, den dann zu checken - aber genauso natürlich ist dann der Witz von PAM weg und ich kann auch direkt LDAP machen.

-nik

[gms]

Natürlich kann ich den NTLM-Hash einzeln im LDAP ablegen, und natürlich kann ich PAM auch beibringen, den dann zu checken

ja, damit wäre die Frage "deines Bekannten" eigentlich beantwortet

Die Clients senden NTLM-Hashes der Passwörter. Wenn cih die einfach so an PAM schmeiße und gegen die Hashes authentifiziere, gegen die ich auch Systemlogins authentifiziere, geht das aus offensichtlichen Gründen ziemlich in die Hose.

wenn die System-Accounts allerdings auch noch eine Rolle spielen sollen ( /etc/password auch ins LDAP soll ), dann geht das in der Tat anscheinend nicht so einfach, zumindest wurde das so dokumentiert:

Es gibt ein paar Punkte zu erwähnen, die ldapsam nicht anbietet.
.) Eine Einrichtung, um Benutzer-Konten-Informationen von einem Windows 200x Active Directory Server zu beziehen
.) Eine Einrichtung, um /etc/passwd zu ersetzen
Der zweite Punkt kann durch die Verwendung von LDAP-NSS- und PAM-Modulen abgedeckt werden.

diesbezüglich habe ich zwar kein Erfahrung, stelle ich mir aber auch nicht allzu schwierig vor

- aber genauso natürlich ist dann der Witz von PAM weg und ich kann auch direkt LDAP machen.

ohne PAM ?

Gruß
gms

[Natureshadow]

Ja sicher ohne PAM.

[gms]

Ja sicher ohne PAM.

du meinst vermutlich über pam_unix -> NSS -> ldap ?

[Natureshadow]

Ja sicher ohne PAM.

du meinst vermutlich über pam_unix -> NSS -> ldap ?

Nein. Ich meine LDAP als passdb backend für Samba.

[gms]

irgendwie stehe ich bei diesem Thread auf dem Schlauch

Die Clients senden NTLM-Hashes der Passwörter. Wenn cih die einfach so an PAM schmeiße und gegen die Hashes authentifiziere, gegen die ich auch Systemlogins authentifiziere, geht das aus offensichtlichen Gründen ziemlich in die Hose.

hier wird bezüglich der Problematik mit den Systemlogins argumentiert

Ja sicher ohne PAM.

du meinst vermutlich über pam_unix -> NSS -> ldap ?

Nein. Ich meine LDAP als passdb backend für Samba.

die bei der angestrebten Lösung dann wieder völlig außer Acht gelassen werden, oder sehe ich das falsch ?

[Natureshadow]

Ja, tust du.

Samba nimmt den Hash vom Client, vergleicht ihn mit dem im LDAP und fertig ist das Hamsterrad.

´Da habe nSystemlogins gar nix mit am Hut. Du KANNST für Samba und Systemlogins nicht die gleichen Hashes benutzen. Mit der oben beschriebenen Ausnahme.

[gms]

´Da habe nSystemlogins gar nix mit am Hut. Du KANNST für Samba und Systemlogins nicht die gleichen Hashes benutzen. Mit der oben beschriebenen Ausnahme.

eben, daher verstehe ich ja auch nicht, warum du die Systemlogins als DAS Problem anführst, dann aber eine Lösung präsentierst die genau dieses Problem nicht löst.
Wurscht, hauptsache ihr seit mit eurer Lösung zufrieden

Gruß
gms

[Natureshadow]

gms, lies den Thread nochmal genau.

Die ursprüngliche Frage war: Kann ich mich mit Samba über PAM gegen LDAP authentifizieren?

Die Antwort ist: Ja, aber es macht keinen Sinn.

Weil: Ich brauch eh einen gesonderten Hash, deswegen bringt mir Abstraktion/Zentralisierung über PAM genau gar nichts.

So weit waren wir uns doch einig. Also was gibt es noch zu diskutieren?

-nik

[gms]

So weit waren wir uns doch einig. Also was gibt es noch zu diskutieren?

es mag dir entgangen sein, aber diskutieren kann man das hier wirklich nicht nennen
Ich habe die letzten Beiträge nur Fragen gestellt. Diese wurden von dir, aus meiner Sicht, unzureichend, widersprüchlich und unwillig, beantwortet.
Vielleicht meldet sich der Thread-Ersteller "hawkeye78" nochmals zu Wort, ansonsten werde ich mich zukünftig hier raus halten

gms, lies den Thread nochmal genau.

habe ich meiner Ansicht nach schon oft genug

Die ursprüngliche Frage war: Kann ich mich mit Samba über PAM gegen LDAP authentifizieren?

nein, die Frage war, ob das auch geht, wenn verschlüsselte Passwörter verwendet werden,

Daraufhin wollte ich die "Erklärung des Bekannten" hören, denn wenn man hier das über PAM authentifizieren ganz streng nimmt, dann sollte diese Frage eigentlich mit NEIN beantwortet werden. Samba würde in diesem Fall DIE AUTHENTIFIZIERUNG NICHT ÜBER PAM, sondern direkt über das Backend durchführen.

Weil: Ich brauch eh einen gesonderten Hash, deswegen bringt mir Abstraktion/Zentralisierung über PAM genau gar nichts.

diesen "gesonderten Hash" brauchst du, egal ob du "Samba mit PAM" oder "Samba ohne PAM" verwendest. Diesbezüglich hat also keine der beiden Varianten irgendwelche Vor- oder Nachteile. Dieser Schluß mag daher für dich richtig sein, Allgemeingültigkeit hat er allerdings sicherlich nicht und muß daher auch nicht auf den Thread-Ersteller zutreffen

Gruß
gms

[Natureshadow]

Daraufhin wollte ich die "Erklärung des Bekannten" hören, denn wenn man hier das mittels PAM authentifizieren ganz streng nimmt, dann sollte diese Frage eigentlich mit NEIN beantwortet werden. Samba würde in diesem Fall DIE AUTHENTIFIZIERUNG NICHT ÜBER PAM, sondern direkt über das Backend durchführen.

Erläuterst du mir nun noch den Unterschied zu den von mir gemachten Aussagen?

diesen "gesonderten Hash" brauchst du, egal ob du "Samba mit PAM" oder "Samba ohne PAM" verwendest. Diesbezüglich hat also keine der beiden Varianten irgendwelche Vor- oder Nachteile.

Für das Endergebnis nicht, aber PAM wird damit überflüssig und zu einer unnötigen Fehlerquelle.

Daraufhin wollte ich die "Erklärung des Bekannten" hören

Hast du ja.

[hawkeye78]

Irgendwie läuft die ganze Diskussion im moment etwas aus dem Ruder zumindestens habe ich so den Eindruck, aber wie dem auch immer sei, ich werde mich dazu erst wirklich äußern können und wollen wenn ich die Gelgenheit gefunden habe, ein Windows zu booten um nachzuschauen ob ich von dort auf die Sambafreigabe (dessen Authentifizierung über PAM und LDAP läuft) zugreifen kann und wenn das funktioniert gehe ich einfach davon aus das es funktioniert und schmeisse alle Theoritischen Überlegungen ob der nun die Passwörter verschlüsselt oder unverschlüsselt sendet über Bord.