Autenticação de compartilhamento Debian Samba com servidor RADIUS

Navegue suas respostas
1

Estou tentando configurar o Samba ( apt-get install samba ) para autenticar usuários usando um servidor RADIUS e não consigo encontrar nada útil. É possível?

Eu pensei que eu poderia definir o Samba para usar a autenticação do PAM e, em seguida, configurar o PAM para usar o servidor RADIUS. Mas eu encontrei em Servidor de arquivos Samba + PAM + Berkeley DB ou Samba + PAM

Samba can not use PAM because the SMB protocol specific a (set of) incompatible hashes which can not be used with PAM (which requires the cleartext password, or certain hashed versions of the password).

SO: Debian 7.8 x64

RADIUS: FreeRadius 2.1.12

Samba do pacote: 2: 4.1.17 + dfsg-2

    
por Joshua 08.06.2015 / 19:20

1 resposta

1

O texto que você encontrou está correto, o SMB requer autenticação ntlm que não é compatível com o PAM.

O problema com o PAM é que o usuário (ou um agente agindo em nome dos usuários, como seria o servidor samba) deve enviar a senha em texto puro do usuário, que o servidor Samba nunca conhece, porque o cliente SMB nunca envia .

O cliente SMB, em vez disso, envia o hash MD4 do unicode little endian de 16 bits da senha do usuário, com um desafio do servidor Samba.

No mundo real, o Samba geralmente se autentica no AD, e o RADIUS também se autentica no AD (via winbindd), e é assim que você obtém credenciais sincronizadas.

O Samba também autentica contra o LDAP simples, portanto, você pode, alternativamente, usá-lo como seu armazenamento de credenciais comum.

    
por 09.06.2015 / 05:35

Tags

Implicações de segurança do Linux para sudo, su para conta de serviço e adicionar grupo secundário ao administrador do Tomcat? Definindo o limite de arquivo mapeado de memória para Windows?