ntlm_auth - pode efetuar login no AD com senhas antigas e novas

6

Eu tenho problema com o AD e o ntlm_auth. Eu uso o seguinte comando, para consultar o servidor AD para verificar a existência do usuário:

ntlm_auth --use-cached-creds --username=SOME_USER --password=SOME_PASS --domain=SOME_DOMAIN

Mas o fato é que, quando eu altero a senha do usuário no AD, ambas as seguintes consultas funcionam:

ntlm_auth --use-cached-creds --username=SOME_USER --password=OLD_PASS --domain=SOME_DOMAIN
ntlm_auth --use-cached-creds --username=SOME_USER --password=NEW_PASS --domain=SOME_DOMAIN

Se eu excluir os arquivos .tdb do cache em /var/cache/samba/ , posso fazer o login apenas com o NEW_PASS. Como posso resolver isso? Existe alguma maneira de fazer o servidor não para armazenar senhas em cache? Ou qualquer sinalizador para ntlm_auth, que eu posso usar para não levar em consideração a senha antiga?

Estou usando o CentOS5 e o ntlm_auth 3.3.8.

Obrigado antecipadamente.

    
por mtndesign 27.12.2012 / 12:04

2 respostas

4

Parece que você está executando um "recurso" introduzido no Server 2003 SP1 e ainda presente no mínimo no Server 2008 R2. Por padrão, os controladores de domínio agora permitem que a senha anterior mais recente seja usada para autenticação NTLM por uma hora. Esse comportamento pode ser modificado criando um valor DWORD de OldPasswordAllowedPeriod at HKLM\SYSTEM\CurrentControlSet\Control\Lsa . O valor é em minutos, um valor de 0 irá desativá-lo e não é necessário reiniciar. Note também que:

  1. Isso se aplica somente ao NTLM, não à autenticação Kerberos.
  2. Essa alteração deve ser feita em cada controlador de domínio.
  3. A política de senha do usuário deve ter o histórico de senhas ativado ou esse recurso está efetivamente desativado.

Consulte O Windows Server 2003 Service Pack 1 modifica o comportamento de autenticação de rede do NTLM para obter detalhes.

EDIT: dando crédito onde é devido, eu originalmente tropeçou neste artigo em link e lembrou que esta pergunta não foi respondida.

    
por 03.03.2013 / 20:09
0

ntlm_auth por padrão use /etc/samba/smb.conf. Tente configurar a tag abaixo em smb.conf

winbind offline logon = false
    
por 02.01.2013 / 16:53