Re: Linux- und Samba-Accounts auf mehrere Server verteilen
Hallo,
Peter Funk <pf@artcom-gmbh.de>:
>> Alternativ lässt sich Samba auch so konfigurieren, dass die Unix PAM
>> Authentifizierung statt einer eigenen Passwortdatenbank verwendet wird.
>> Damit lassen sich alle NSS Module nutzen (auch NIS ist ein NSS Modul).
>> Allerdings muss man Einschränkungen bei der Security in Kauf nehmen,
>...
>Die letzte Aussage hat mich neugierig gemacht: Welche
>Einschränkungen (oder Sicherheits-Risiken?) sind
>Deiner Ansicht nach zu befürchten?
Eine Authentifizierung über PAM-Unix bedeutet, dass das Passwort im
Klartext vorliegen muss. Es wird mit dem in der Shadow Map verwendeten
Salt gehasht und dann mit dem vorhandenen Eintrag verglichen.
Bei Samba wird aber standardmässig ein Challenge-Response-Authentifikations-
verfahren (NTLM oder seine Nachfolger) verwendet, bei dem das Passwort nicht
im Klartext übertragen wird. Daher muss Samba (und der Client)
umkonfiguriert werden, so dass ein älteres Protokoll (LANMAN) verwendet
wird.
Die Übertragung des Passwortes im Klartext über das Netz wird in manchen
Umgebungen als Sicherheitsrisiko angesehen.
Dazu kommt, dass LANMAN allgemein als unsicher gilt. Das liegt daran, dass
ältere Windows-Systeme eine unsichere Hashfunktion (LM-Hash) verwendet
haben, um die gehashten Passwörter zu speichern. Mit Samba und PAM-Unix hat
das zwar nichts zu tun, aber es führt dazu, dass neuere Windows Versionen
LANMAN per Default nicht mehr erlauben. Man kann das wohl per Registry Key
ändern, aber hierzu muss sich jemand äußern, der davon mehr Ahnung hat als
ich.
Gruß, Harald
Reply to: