So teilen Sie Linux-Benutzerkennwörter und Samba-Kennwörter

3017
reinierpost

Ich habe ein Linux-System mit einer eigenen Benutzerkontenverwaltung eingerichtet. Es ist nicht Teil einer Domäne (außer DNS). Jetzt möchte ich seinen Benutzern erlauben, ihre Home-Verzeichnisse auf einem Windows-System bereitzustellen.

Eine Möglichkeit, dies zu erreichen, besteht darin, zwei Benutzerkontenadministrationen beizubehalten: eine mit passwd, die andere mit smbpasswd. Dies erscheint unnötig kompliziert. Ich möchte nur einen behalten.

Wie kann ich das am besten arrangieren? Das System läuft unter Ubuntu 12.04 (Desktop).

3

1 Antwort auf die Frage

2
RedGrittyBrick

Verwenden Sie das PAM -Unterstützungsmodul für / etc / passwd.

Aktualisieren:

Es gibt einen Grund, warum Sie diese Authentifizierungsmechanismen nicht auf einfache Weise vereinheitlichen können.

  • Für die Authentifizierung nach Unix und Linux / etc / passwd muss das Kennwort des Benutzers dem Server angezeigt werden. Dies kann sich in einem verschlüsselten Kanal befinden (wie bei der SSH-Kennwortauthentifizierung, wenn keine Authentifizierung mit privatem Schlüssel verwendet wird).
  • NTLM- und MS-Kerberos-Authentifizierung übertragen keine Kennwörter. Sie senden einen Hash eines Kennworts. Der authentifizierende Server übernimmt die Kopie des Kennworts des Benutzers, erstellt einen Hash mit demselben Algorithmus und vergleicht das Hash-Ergebnis mit dem vom Client angezeigten Hash. Da / etc / passwd keine Kennwörter speichert und einen anderen Hash-Algorithmus verwendet, verfügt / etc / passwd nicht über ausreichende Informationen zur Authentifizierung von NTLM / Kerberos-Clients.
  • Wirklich alte SMB-Authentifizierungsprotokolle übermitteln das Passwort (im Klartext, dh ungeschützt), und ein SMB-Server kann daher einen Hash vom Typ / etc / passwd dieses Typs berechnen und mit dem in / etc / passwd gespeicherten Hash vergleichen.

Aus dem Vorstehenden folgt, dass Sie eine separate Datei zum Speichern von Kennwörtern (smbpasswd) oder einen Domänencontroller benötigen, wenn Sie vermeiden möchten, dass Klartextkennwörter für Ihr LAN verwendet werden.

Um was zu tun? Alle Verwendung von / etc / passwd durch die Verwendung der von smbpasswd verwalteten Kennwortdatei zu ersetzen? reinierpost vor 11 Jahren 0
@reinerpost, ich hatte das Gegenteil im Sinn. Samba anweisen, / etc / passwd (über PAM) zu verwenden. Dies scheint mir ein einfacherer Vorschlag zu sein :-) Der Link in meiner Antwort verweist auf die Samba-Dokumentation, nicht auf die allgemeine Linux-Dokumentation. RedGrittyBrick vor 11 Jahren 0
Ich habe es versucht, aber es scheint, dass der Windows-Client das Kennwort im Klartext sendet (http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/pam.html#id2667015) oder ein Mechanismus zur Passwortsynchronisierung, der nur in eine Richtung zu funktionieren scheint (http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/pam.html#id2667199), beide meiner Meinung nach eher suboptimale Problemumgehungen. reinierpost vor 11 Jahren 0
@reinierpost: Soweit ich weiß, ist die häufigste Lösung für diesen Anforderungssatz (verschlüsselte Anmeldeinformationen auf Draht, Single Point of User Admin) die Authentifizierung über einen Windows-Domänencontroller (oder Samba als solchen). RedGrittyBrick vor 11 Jahren 0
Das ist auch mein Eindruck, aber es wäre hilfreich zu wissen. Daher meine Frage. reinierpost vor 11 Jahren 0
@reinierpost: Es gibt wenig Gründe für die Synchronisierung, um in die andere Richtung zu arbeiten, da Windows das Ändern von Kennwörtern über SMB nicht unterstützt, wenn Sie sich nicht in einer Domäne befinden (daher ist eine Desynchronisierung nahezu unmöglich). grawity vor 11 Jahren 0
Hm ... kann ich die Box als eigene Windows-Domäne mit einem Computer einrichten, ohne die Domäne meiner Organisation zu beeinträchtigen (auf der diese Box als Linxu-Maschine nicht zulässig ist)? Und inwieweit kann ich / etc / passwd und / etc / shadow insgesamt loswerden? Wenn ich Samba-Passwörter für alles verwenden kann (dh wenn alle von mir verwendeten Ubuntu-Anwendungen PAM unterstützen), ist diese Lösung für mich in Ordnung. reinierpost vor 11 Jahren 0
Wäre [Winscp] (http://winscp.net/deu/docs/interfaces#explorer_interface) + Public-Key-Authentifizierung akzeptabel? RedGrittyBrick vor 11 Jahren 0
@RedGrittyBrick; Nicht wirklich. Ich bin auf der Suche nach einer Möglichkeit, um zu vermeiden, dass meine Kollegen spezielle Software auf der Windows-Seite verwenden müssen. Sie wissen, wie man scp macht, das ist nicht das Problem. reinierpost vor 11 Jahren 0

Verwandte Probleme