Verwenden Sie das PAM -Unterstützungsmodul für / etc / passwd.
Aktualisieren:
Es gibt einen Grund, warum Sie diese Authentifizierungsmechanismen nicht auf einfache Weise vereinheitlichen können.
- Für die Authentifizierung nach Unix und Linux / etc / passwd muss das Kennwort des Benutzers dem Server angezeigt werden. Dies kann sich in einem verschlüsselten Kanal befinden (wie bei der SSH-Kennwortauthentifizierung, wenn keine Authentifizierung mit privatem Schlüssel verwendet wird).
- NTLM- und MS-Kerberos-Authentifizierung übertragen keine Kennwörter. Sie senden einen Hash eines Kennworts. Der authentifizierende Server übernimmt die Kopie des Kennworts des Benutzers, erstellt einen Hash mit demselben Algorithmus und vergleicht das Hash-Ergebnis mit dem vom Client angezeigten Hash. Da / etc / passwd keine Kennwörter speichert und einen anderen Hash-Algorithmus verwendet, verfügt / etc / passwd nicht über ausreichende Informationen zur Authentifizierung von NTLM / Kerberos-Clients.
- Wirklich alte SMB-Authentifizierungsprotokolle übermitteln das Passwort (im Klartext, dh ungeschützt), und ein SMB-Server kann daher einen Hash vom Typ / etc / passwd dieses Typs berechnen und mit dem in / etc / passwd gespeicherten Hash vergleichen.
Aus dem Vorstehenden folgt, dass Sie eine separate Datei zum Speichern von Kennwörtern (smbpasswd) oder einen Domänencontroller benötigen, wenn Sie vermeiden möchten, dass Klartextkennwörter für Ihr LAN verwendet werden.