Re: quesiti su samba e gestione password

On Wed, 2004-04-21 at 09:26, Tiziano Tissino wrote:
> Salve,
> 
> Sto cercando di configurare samba in modo che gestisca 'seriamente' le
> password di accesso, applicando una serie di policy (durata della
> password, lunghezza, 'robustezza', ecc).
> 
> La mia intenzione sarebbe quella di utilizzare PAM e la libreria
> cracklib, ma non riesco a venirne fuori e vorrei capire cos'Ã che mi sfugge.
> 
> Sul server su cui gira samba, ho installato una Debian Stable, la
> versione di samba à la 2.2.3a-13; oltre a samba, ho installati i
> seguenti pacchetti: libpam-cracklib (v. 0.72-35), libpam-smb (v.
> 1.1.6-1.1woody1), libpam-smbpass (v. 2.2.3a-13).
> 
> questo à il contenuto del file /etc/pam.d/samba:
> 
> auth            required        pam_unix.so
> account         required        pam_unix.so
> session         required        pam_unix.so
> password        required        pam_warn.so
> password        required        pam_cracklib.so dcredit=0 ucredit=0
> ocredit=0 lcredit=0 minlen=8 difok=3
> password        required        pam_unix.so
> 
> (la terzultima e penultima riga, in realtÃ, sono un'unica riga nel file)
> mentre questo à un estratto dal file /etc/samba/smb.conf:
> 
> 	min passwd length = 8
> 	obey pam restrictions = Yes
> 	pam password change = Yes
> 	passwd program = /usr/bin/passwd %u
> 	passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
> *Retype\snew\sUNIX\spassword:* %n\n
> 
> Se uso passwd per cambiare la password di un utente, cracklib (che Ã
> richiamato in /etc/pam.d/passwd, dove c'Ã una riga identica a quella
> riportata in /etc/pam.d/samba),fa tutti i controlli che deve fare.
> 
> Se invece uso smbpasswd, il file /etc/pam.d/samba sembra essere
> completamente ignorato: pam_warn dovrebbe causare la registrazione del
> tentativo su syslog, ma questo non avviene; cracklib dovrebbe
> controllare tutta una serie di cose che non vengono controllate,
> pam_unix dovrebbe aggiornare la password di UNIX ed invece viene
> modificato solo il file /etc/samba/smbpasswd (mentre sia etc/passwd che
> /etc/shadow restano inalterati). Per di piÃ, smbpassword non mi
> controlla nemmeno la 'min passwd length'.
> 
> Cos'Ã che mi sfugge?

Che smbpasswd à un tool che serve _solo_ a modificare le password di
samba (in uno dei suoi storage) e non usa PAM.

E anche samba non usa PAM quando controlla o la password viene cambiata
via web per il semplice motico che il protocollo di
autenticazione/cambio password del mondo Windows non à compatibile col
modo in cui sono strutturate le librerie PAM che sostanzialmente
funzionano solo se ricevono la password in chiaro.

In samba 3.0.3pre* avevamo una patch che usava cracklib ma à stata tolta
perchà a quanto pare, in modo abbastanza idiota, cracklib in alcune
condizioni invece di tornare un errore chiama una exit() !!

La cosa giusta per fare un controllo delle password su samba à integrare
il meccanismo in samba e usare le RPC per fare i cambi password. Si puÃ
fare agelvomente scrivendo un modulo di autenticazione ad hoc
probabilmente.

Simo.

-- 
Simo Sorce - simo.sorce@xxxxxxx
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List