[samba] geen smbpasswd, maar gewoon unix passwords? - Linux en overige clients

dinsdag 23 september 2003 14:09

Acties:

Verwijderd

Topicstarter

Euj iedereen,

Ik zit hier in een Linux/Windows omgeving (dus met meerdere Linux en Windows clients) en een Linux server met (sinds kort) Samba.

Nu wil ik dat mensen zowel op linux als onder windows kunnen inloggen. Ik heb echter niet zoveel zin om alle users die al bestaan op die linux-pc nu te gaan omzetten met smbpasswd -a user naar de smbpasswd file. Bovendien weet ik alle wachtwoorden niet.

Hoe kan ik gewoon tegen samba zeggen dat hij users mag toelaten op basis van /etc/passwd? Dus zonder gedoe met smbpasswd! Tnx!

dinsdag 23 september 2003 14:14

Acties:

bakkerl

Let there be light.

Dat was toch iets met pam en samba combinatie.
Maar dat staat volgens mij geheel beschreven in de docs welke te vinden zijn op samba.org

dinsdag 23 september 2003 14:18

Acties:

EXX

EXtended eXchange

Er bestaat een mogelijkheid om Sambe en Linux user account te synchroniseren. Dat kun je aangeven in de smb.conf file.

For it is the doom of men that they forget... Huidige en vroegere hardware specs The Z80 is still alive!

dinsdag 23 september 2003 14:20

Acties:

Verwijderd

Topicstarter

Ja... Maar dan synchroniseert samba je unix account op het moment dat jij onder Windows (dus via samba) je password voor samba verandert... En dat wil ik niet. Het hele samba password-file idee moet weg, hij moet gewoon unix passwords gebruiken!

dinsdag 23 september 2003 14:23

Acties:

MikeN

Om even een (hopelijk) iets volledig antwoord te geven:

De passwords in /etc/passwd (eigenlijk /etc/shadow) zijn gehashed, ze zijn dus niet terug te krijgen naar het originele wachtwoord.
De wachtwoorden die windows verstuurt zijn sinds Win98/NT4 (geloof ik) ook standaard gehashed, maar met een andere algoritme.
Samba kan dus met geen mogelijkheid de wachtwoorden die windows stuurt vergelijken met de wachtwoorden in /etc/shadow.

Om die reden moet je dan ook elke user apart toevoegen met smbpasswd.

Wat je echter wel in kan stellen (en waar EXX al naar refereert) is dat, zodra mensen via Windows/samba hun wachtwoord wijzigen, het wachtwoord in /etc/shadow óók wordt gewijzigd. Zie daarvoor http://ftp.easynet.be/sam...f.5.html#UNIXPASSWORDSYNC

dinsdag 23 september 2003 14:30

Acties:

Verwijderd

Topicstarter

Owkee... So far so good. Maar wat doet dan de config optie "obey pam restrictions". De Engelse documentation snap ik niet helemaal goed...

dinsdag 23 september 2003 14:34

Acties:

MikeN

Dat gaat over de mate waarin Samba PAM moet gebruiken (alleen voor pass of ook voor session/auth login). Echter:

Note that Samba always ignores PAM for authentication in the case of encrypt passwords = yes .

Aangezien dit tegenwoordig standaard is op windows (het is uit te zetten, minder veilig, maar als het puur voor je thuisnetwerk is is er wel een patch voor windows te vinden), heb je niets met deze directive te maken.

Maar goed, als je dus echt alles via PAM (en dus /etc/passwd / shadow) wil laten gaan kun je al je Windows bakken patchen met een registry patch en Samba het via PAM uit laten zoeken, met encrypt passwords = no.

dinsdag 23 september 2003 14:36

Acties:

bakkerl

Let there be light.

[copy & paste samba docs]
Earlier we said that password synchronization is limited. This is because there is no reverse synchronization of the encrypted smbpasswd file when a standard Unix password is updated by a user. There are various strategies to get around this, including NIS and freely available implementations of the Pluggable Authentication Modules (PAM) standard, but none of them really solves all the problems.
[end copy & paste samba docs]

Verderop op http://ftp.easynet.be/samba/docs/using_samba/ch09.html is te vinden hoe de boel geconfigged moet worden.

dinsdag 23 september 2003 14:39

Acties:

Verwijderd

Topicstarter

Samenvattend:

Ik kan PAM (en dus m'n unix-passwords) gebruiken als ik Windowsclients instel op plain-passwords?

dinsdag 23 september 2003 14:41

Acties:

MikeN

Ja. Zie verder het linkje van bakkerl

Denk er echter wel om dat dit minder veilig is.

[ Voor 38% gewijzigd door MikeN op 23-09-2003 14:41 ]

dinsdag 23 september 2003 14:45

Acties:

Verwijderd

Ik weet niet of die mensen je familie zijn

, maar dan zou ik niet te snel zeggen dat het wel goed komt

dinsdag 23 september 2003 14:46

Acties:

MikeN

offtopic:
Vergeet Afbeeldingslocatie: http://gathering.tweakers.net/global/templates/got/images/icons/edit.gif

niet aub

Vergeet niet dat zelfs op een lokaal netwerk mensen een sniffer kunnen installen om zo andere mensen hun wachtwoord af te luisteren

Ik heb geen idee of "unix password sync" ook werkt bij plaintext passwords, de documentatie heeft het alleen maar over encrypted passes.

[ Voor 7% gewijzigd door MikeN op 23-09-2003 14:46 ]

woensdag 24 september 2003 09:24

Acties:

M4RTiN

ik deed altijd met de plugin van samba op webmin, 1 één klap elke user omzetten naar smb user..?

misschien een optie of snap ik de vraag verkeerd?

woensdag 24 september 2003 13:07

Acties:

Verwijderd

Topicstarter

Als ik de rest van het topic goed begrijp, zou dat onmogelijk zijn omdat alle Unix-passwors zwaar gecodeerd zijn, en niet te decoderen zijn.

Dat zou betekenen dat webmin nooit de passwords mee kan nemen. Maar ik vind dat PAM wel een goed idee, ik ga het waarschijnlijk vanmiddag nog testen.

woensdag 24 september 2003 18:47

Acties:

Verwijderd

Topicstarter

Ik krijg PAM niet aan de praat. Ik heb het voor elkaar dat W2K in m'n domein zit (met plaintext passwords) en dat ik kan inloggen met accounts uit smbpasswd, maar als ik wil inloggen onder een andere naam (die wel gewoon op de console werkt), dan kom ik er niet in. In de samba logs staat gewoon dat de authentication failed.

Ik heb in /etc/pam.conf staan:

code:

samba auth required /lib/security/pam_unix.so
samba account required /lib/security/pam_unix.so
samba session required /lib/security/pam_unix.so
samba password required /lib/security/pam_unix.so

Wat het precies inhoudt, weet ik niet. Ik heb het een een document dat ik niet helemaal begreep maar waar stond dat het zo moest gaan werken.
Owja, en ik heb (de debian package van) libpam-smbpass geinstalleerd (ergens las ik dat dat moest).

Het werkt dus niet, wat doe ik fout?

woensdag 24 september 2003 19:08

Acties:

M4RTiN

mwoa ik weet niet, ik doel op deze functie:

Afbeeldingslocatie: http://m4rtin.dnsalias.net/pic/zooi/smb_unix_user.jpg

hiermee worden de bestaande unix users in samba gezet met dezelfde w8woorden....

woensdag 24 september 2003 19:10

Acties:

Verwijderd

Topicstarter

Niet dus... Er staat toch:

For newly created users, set the password to: No password

Er staat niet zoiets bij als "system password".

Maar het liefst zou ik alles op 1 plek regelen in het systeem: gewoon de authenticatie via de standaard unix-manier: /etc/passwd en /etc/shadow.

En dat moet kunnen via pam, maar het werkt gewoon niet!

woensdag 24 september 2003 19:23

Acties:

M4RTiN

hmm, ja mijn smb users hebben dezelfde password als de unix users...

naja zo werkte het toen bij mij

woensdag 24 september 2003 19:46

Acties:

_JGC_

Als je alles centraal wilt gaan gebruiken, kom je aan bij LDAP.
Waar het op neer komt bij LDAP is dat je een entry voor elke user en elke host hebt, met daarin een lmPassword, userPassword en een ntPassword. De lm en ntPassword zijn voor windows NT4/2K/XP en Lanmanager (WfW3.11, DOS LM, misschien win95).
De userPassword is je unix password.

Met de juiste tooltjes kan je je LDAP tree onderhouden en zijn deze passwords dus altijd in sync. Het is even wat opzetten, maar het heeft wel degelijk voordelen:
- je /etc/passwd staat niet vol met onnodige entries
- hang er andere hosts in je netwerk aan
- zeer simpel te backuppen
- ook te gebruiken voor vele andere toepassingen, posixAccounts worden zowat overal voor gebruikt als het gaat om LDAP authenticatie

Edit:
dr is een leuke PDF op http://samba.idealx.org voor Samba 2.2.x

[ Voor 5% gewijzigd door _JGC_ op 24-09-2003 19:47 ]

woensdag 24 september 2003 20:53

Acties:

Verwijderd

Topicstarter

Owkee! PAM werkt vanaf een andere linuxcomputer (console, smbclient)! Alleen niet vanuit Windows 2000. W2k is lid van het domein, en kan inloggen met users uit smbpasswd. Maar op het moment dat ik een linux-username (dus uit /etc/passwd) probeer op w2k, dan zegt ie dat gebruikersnaam/wachtwoord niet kloppen! Iemand enig idee?

[ Voor 1% gewijzigd door Verwijderd op 24-09-2003 20:54 . Reden: foutje ]

woensdag 24 september 2003 21:14

Acties:

MikeN

Staat encrypt passwords nu op no in je smb.conf?
Volgens mij wil de Win2K bak namelijk nog steeds via encrypte passes authen waarbij samba dan je smbpasswd file pakt [/wild guess]

woensdag 24 september 2003 21:43

Acties:

Verwijderd

NOS policy - updated 01/04/03

Wij zijn hier nog steeds geen helpdesk. "Iemand enig idee?" is niet wat wij verstaan onder eigen initiatief. Als je zelf zoekt, dan leer je daar ook wat van. Door simpelweg voor ieder wissewasje iemand een antwoord te laten zoeken ipv het zelf te doen, daar leer je niet van. Ga eens wat zoekwerk doen, lees eens een paar howto's (of nog beter, boeken), ga een heeeeeleboel proberen en als je er dan niet uitkomt, hier een topic openen. Dit topic gaat op slot.