PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SAMBA: Einloggen von Maschine ohne Trust Account.



Clive
17.08.05, 20:33
Hi zusammen

Irgendwie bin ich etwas durcheinander.

Wie ist es möglich, dass ich auf Shares zugreifen kann, von einer Maschine aus, welche unter Samba keinen Trust Account besitzt?

D.h. ich melde mich nicht an der Domain an, sondern mit einem lokalen Computer-Account (auf einem PC ohne Trust Account) und greife dann so auf die Shares im Netz zu:
\\server\MyShare
-> Es wird lediglich ein gültiger Username und ein gültiges Password benötigt!

Security-Level ist auf User konfiguriert (nicht auf Share!!).

So könnte ja jeder von irgeneinem Rechner aus, meine Shares knacken! (zb. Brute-Force)

Kann mir jemand auf die Sprünge helfen?

Thanks.

terpator
18.08.05, 12:31
In dem Moment, in dem Du Dein Username & Kennwort an den Server schickst, prüft dieser, ob so ein Domänenuser existiert.
Ich weiß nicht, ob man das irgendwo abschalten kann.

Viele Grüße, Tobias

Clive
18.08.05, 13:55
Kann mir jemand einfach auf diese Frage antworten:

Wieso kann ich auf Shares zugreifen ohne einen Domain-Logon vorher durchgeführt zu haben?
Die Antwort würde mich evt. schon weiterbringen.


Merci Clive

[CCCB]m0p
18.08.05, 18:36
ist guestlogin eingeschaltet??

Clive
18.08.05, 19:46
Nein guest logins sind nicht zugelassen.

Ich bin ja auch nicht ein Gast wenn ich auf diese Shares zugreife, ich muss mich mit Username/Password authentifizieren. Aber ich kann das auch von einem Rechner machen ohne Trust Account auf dem Samba Server. Das finde ich seltsam!

emba
18.08.05, 22:09
wieso ist das seltsam? weißt du, was ein win-pc macht? das gleiche, zumindest per default (im detail kenne ich mich nicht mit allen servervarianten aus) ...

der hacker müsste zunächst die richtige kombination aus username/password finden - natürlich ist das machbar, wenn die kombinationen einfach sind und die daten mitgesnifft werden können; das gleiche gilt aber auch für dienste, wie ssh, nfs, telnet, ...

wenn du mehr infos suchst, kannst du dich an die samba mailingliste wenden
sobald du eine aussagekräftige antwort bekommst (egal wo), poste sie bitte

greez

RichieX
19.08.05, 19:13
Auch auf eine Windows-Server kann man von einem nicht in der Domain registrierten PC zugreifen (gestestet mit W2K Server und WinXP Home). Also warum sollte Samba (3.x) das anders machen?

Ich glaube eine Group Policy kann das verhindern, aber die gibts erst ab Samba 4.

der2of6
20.08.05, 12:38
Warum trägst du nicht einfach die rechner die auf den server zugreifen dürfen in die smb.conf ein?

Und es ist gewollt, das man auch von einem nicht-domänen PC auf eine Domäne zugreifen kann.
Alles andere währe ja auch schwachsinn.

Clive
22.08.05, 17:21
Habe weitere Abklärungen in der Mailing-Liste von Samba durchgeführt.


Für diejenigen die an einer Lösung interessiert sind:

Abhilfe für das genannte Problem schafft winbind.

Der Aufwand "Samba mit winbind" zu konfigurieren wird aber ein wenig grösser (aber durchaus machbar).


Gruss Clive