PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba-Passwörter > Unix-Passwörter ?



ballaballa
01.02.04, 12:59
Hi,

ist es möglich, die SMB-Passwörter als Unix-Passwörter zu übernehmen?
Die Frage stelle ich deshalb, weil wir in der Schule jetzt auf einen Debian-Terminalserver umsteigen wollen. Bisher lief auf allen Clients Windows NT und auf dem Server Samba. Die User haben wir schon übernommen (kopieren der /etc/passwd), aber in der /etc/shadow steht bei jedem User als Passwort bloß ein "!!". Damit kann sich der User natürlich nicht einloggen und es wäre mühsam, für jeden User einzeln ein neues Passwort festlegen zu müssen...

Discipulus
01.02.04, 19:13
AFAIK kannst du mit den Optionen von Samba "unix password sync = yes" und "passwd program = /usr/bin/passwd %u" die Samba-Passwörter übernehmen. Ich weiss aber nicht, ob das im nachhinein noch geht. Gedacht ist es, wenn ein user sein smb-passwd ändert, dieses auch bei den unix-passwörtern ändert. Soweit ich dich verstanden habe, willst du diese aber im nachhinein übernehmen?

mamue
01.02.04, 20:37
Ich würde vermuten, dass pam das kann. Das Modul pam_smb sollte zuständig sein.

mamue

ballaballa
10.02.04, 16:42
@Discipulus: Genau, im Nachinein....

@mamue: Kannst du mir ein paar Informationen zu geben?

emba
10.02.04, 19:21
jo @ mamue


pam_smb is a PAM module/server which allows authentication of UNIX users using an NT server.

[...more...] (http://www.csn.ul.ie/~airlied/pam_smb/)

greez

ballaballa
10.02.04, 19:55
@emba: Danke! Ich glaube, das ist schon einmal recht gut, allerdings kann man sich damit, wenn ich alles richtig verstanden habe, bloß einloggen, wenn der Samba-Server noch läuft. Da wir ja aber bald ganz umsteigen wollen, ist das nicht sehr langfristig...
Gibt es da vielleicht eine Möglichkeit, in der smb.conf Samba mitzuteilen, dass es das Klartext-Passwort in einer Datei schreiben soll, wenn der User sich einloggt? Dieses PW könnte man dann mit einer Schleife als Linux-PWs übernehmen...

emba
12.02.04, 08:38
achso, der samba server wird als zentrale anmeldestation abgeschaltet....
dann nützt dir das pam modul wenig

und in der smb.conf so etwas einstellen, dass er die pw mitlogt, ist auch net...

[möglichkeiten

a) du kannst dir höchstens mal den parameter "password sync" anschaun, greift aber nur beim ändern des smb-pw

b) noch eine möglichkeit wäre der "angriff" auf die im secrets file gespeicherten smb passwörter - der mechanismus (AFAIK LM) gilt als schwach und innerhalb weniger sekunden gebrochen - wie das mit dem NTPassword aussieht (NTLMv2 ?), weiß ich nicht genau

im ldap speichert samba zumindest beide verschlüsselunsmechanismen, sodass es für root ein leichtes sein sollte, ein smb pw zu cracken, in eine datei zu leiten und das via script an "passwd user" schicken

c) unverschlüsselte passwörter erlauben (encrypt passwords = no), das verlangen eh die älteren clients (AFAIK bis 95) und die NT maschinen sollten abwärtskompatibel sein

greez

ballaballa
13.02.04, 16:40
Danke, emba, für deine Antwort!


Original geschrieben von emba
b) noch eine möglichkeit wäre der "angriff" auf die im secrets file gespeicherten smb passwörter - der mechanismus (AFAIK LM) gilt als schwach und innerhalb weniger sekunden gebrochen - wie das mit dem NTPassword aussieht (NTLMv2 ?), weiß ich nicht genau

im ldap speichert samba zumindest beide verschlüsselunsmechanismen, sodass es für root ein leichtes sein sollte, ein smb pw zu cracken, in eine datei zu leiten und das via script an "passwd user" schickenwDas klingt schon einmal interessant, aber leider habe ich keine Ahnung, was "NTLMv2" und "LDAP" sind. Und google hat mir auch nicht wirklich sehr weitergeholfen.
Es wäre also nett, wenn du mir sagen könntest, wo ich diese wohl leicht verschlüsselte Passwort-Datei finden und knacken kann.


Original geschrieben von emba
c) unverschlüsselte passwörter erlauben (encrypt passwords = no), das verlangen eh die älteren clients (AFAIK bis 95) und die NT maschinen sollten abwärtskompatibel sein Das mag sein, aber wenn ich das einschalte, wird sich keiner mehr einloggen können, da in der smbpasswd noch die verschlüsselten PWs drin stehen....

emba
15.02.04, 19:13
hey

schau mal hier
http://heise.de/newsticker/result.xhtml?url=/newsticker/meldung/38808&words=NTLMv1%20NTLMv2

greez