วิธีแบ่งปันรหัสผ่านผู้ใช้ Linux และรหัสผ่าน Samba


3

ฉันตั้งระบบ Linux ด้วยการจัดการบัญชีผู้ใช้ของตัวเอง มันไม่ได้เป็นส่วนหนึ่งของโดเมนใด ๆ (นอกเหนือจาก DNS) ตอนนี้ฉันต้องการอนุญาตให้ผู้ใช้ติดตั้งโฮมไดเรกทอรีของตนบนระบบ Windows

วิธีหนึ่งในการทำเช่นนี้คือโดยการรักษาสองเข็มบัญชีผู้ใช้: หนึ่งคงpasswdที่อื่น ๆ smbpasswdที่มี ดูเหมือนว่าจะไม่มีความซับซ้อน ฉันต้องการรักษาเพียงหนึ่ง

ฉันจะจัดการสิ่งนี้ให้ดีที่สุดได้อย่างไร ระบบกำลังใช้งาน Ubuntu 12.04 (เดสก์ท็อป)

คำตอบ:


2

ใช้โมดูลการสนับสนุนของPAMสำหรับ / etc / passwd


ปรับปรุง:

มีเหตุผลพื้นฐานที่คุณไม่สามารถรวมกลไกการพิสูจน์ตัวตนเหล่านี้ด้วยวิธีการง่ายๆ

  • การพิสูจน์ตัวตน Unix และ Linux / etc / passwd ต้องการให้แสดงรหัสผ่านของผู้ใช้ไปยังเซิร์ฟเวอร์ สิ่งนี้สามารถอยู่ในแชนเนลที่เข้ารหัสได้ (เช่นเดียวกับการตรวจสอบรหัสผ่าน SSH เมื่อไม่ได้ใช้การตรวจสอบคีย์ส่วนตัว)
  • การรับรองความถูกต้อง NTLM และ MS-Kerberos ไม่ส่งรหัสผ่านที่ส่งรหัสแฮชและเซิร์ฟเวอร์ที่ตรวจสอบความถูกต้องจะคัดลอกรหัสผ่านของผู้ใช้สร้างการแฮชโดยใช้อัลกอริทึมเดียวกันและเปรียบเทียบผลลัพธ์แฮชกับไคลเอ็นต์ที่นำเสนอ เนื่องจาก / etc / passwd ไม่เก็บรหัสผ่านและใช้อัลกอริทึมการแฮชที่แตกต่างกัน / etc / passwd มีข้อมูลไม่เพียงพอสำหรับการตรวจสอบสิทธิ์ไคลเอนต์ NTLM / Kerberos
  • โปรโตคอลการตรวจสอบความถูกต้อง SMB เก่าจริงๆผ่านรหัสผ่าน (ในแบบธรรมดา, ไม่มีการป้องกัน) และเซิร์ฟเวอร์ SMB จึงสามารถคำนวณแฮชประเภท / etc / passwd ของสิ่งนี้และเปรียบเทียบกับแฮชที่เก็บไว้ใน / etc / passwd

จากด้านบนเป็นไปตามที่คุณต้องการไฟล์แยกต่างหากเพื่อเก็บรหัสผ่าน (smbpasswd) หรือตัวควบคุมโดเมนหากคุณต้องการหลีกเลี่ยงรหัสผ่านแบบข้อความธรรมดาที่กำลังผ่าน LAN ของคุณ


ทำอะไร หากต้องการแทนที่การใช้ / etc / passwd ทั้งหมดด้วยการใช้ไฟล์รหัสผ่านที่จัดการโดย smbpasswd?
reinierpost

@ ป้ายบอกทางฉันมีในใจตรงข้าม บอกให้แซมบ้าใช้ / etc / passwd (ผ่าน PAM) นี่เป็นข้อเสนอที่ง่ายกว่าสำหรับฉัน :-) ลิงก์ในคำตอบของฉันชี้ไปที่เอกสารแซมบ้าไม่ใช่เอกสาร Linux ทั่วไป
RedGrittyBrick

ฉันพยายามทำเช่นนั้นแล้ว แต่ดูเหมือนว่าจะต้องมีไคลเอนต์ Windows ที่ส่งรหัสผ่านใน cleartext ( samba.org/samba/docs/man/Samba-HOWTO-Collection/ … ) หรือกลไกการซิงโครไนซ์รหัสผ่านที่ทำงานได้เฉพาะใน ทิศทางเดียว ( samba.org/samba/docs/man/Samba-HOWTO-Collection/ … ) ทั้งสองวิธีค่อนข้างจะดีขึ้นในมุมมองของฉัน
reinierpost

@reierierpost: เท่าที่ฉันทราบวิธีแก้ปัญหาที่พบบ่อยที่สุดสำหรับชุดของข้อกำหนดนั้น (ข้อมูลประจำตัวที่เข้ารหัสไว้บน wire, ผู้ดูแลระบบผู้ใช้เพียงจุดเดียว) คือการตรวจสอบสิทธิ์ผ่านตัวควบคุมโดเมน Windows (หรือ Samba ที่ทำหน้าที่ดังกล่าว)
RedGrittyBrick

นั่นเป็นความประทับใจของฉันด้วย แต่มันจะเป็นประโยชน์หากรู้อย่างแน่นอน ดังนั้นคำถามของฉัน
reinierpost
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.