LINUX.ORG.RU
ФорумAdmin

Samba и /etc/passwd, /etc/shadow. Возможно или нет?


0

0

Стоит Samba с security = user. Хочу чтобы пароли пользователей брались из /etc/passwd. В интернетах говорят, что это невозможно, потому что пароли по разному передаются и по разному хранятся, но в стандартном Debian'овском конфиге есть строчки

# This boolean parameter controls whether Samba attempts to sync the Unix
# password with the SMB password when the encrypted SMB password in the
# passdb is changed.
unix password sync = yes

# For Unix password sync to work on a Debian GNU/Linux system, the following
# parameters must be set (thanks to Ian Kahan <<kahan@informatik.tu-muenchen.de$
# sending the correct chat script for the passwd program in Debian Sarge).
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n$

Проверил, passwd и smbpasswd всё равно меняют каждый что-то своё. Таки возможно использовать для хранения пользователей /etc/passwd, а для хранения паролей /etc/shadow? Можно ли держать пароли синхронизированными постоянно, или нужно регулярно запускать mksmbpasswd? И, кстати, что это за сценарий? На его использование есть какие-то ограничения?

★★★★★

Re: Samba и /etc/passwd, /etc/shadow. Возможно или нет?

в smb.conf есть два параметра, один отвечает за синхронизацию smb pass->system pass, другой - system pass->smb pass

Вариантов "использовать passwd/shadow" я не делал, а вот варианты с openldap, в котором общесистемные учетки - делал, работает. И система и samba хранят соотв. в одном месте. :)И опции синхронизации соотв. отлично работают.

zgen ★★★★★ ()

Глюки.

Да, я тоже так сделал, но на большом сервере. А экземпляр Samb'ы о котором идёт речь поднят на Debian'е в chroot'е на настольном NAS'е D-Link DNS-323 (процессор ARM).

Проблема в том, что SMB и shadow по разному хэшуют пароли, поэтому чтобы Samba могла аутентифицировать через shadow, нужно отключить шифрование паролей, то есть прописать

encrypt passwords = false

Тогда пароли будут передаваться по сети в открытом виде, хэшаться уже Samb'ой (точнее PAM'ом), а не клиентской машиной, и сравниваться с содержимым shadow. При включённом шифровании все настройки PAM в Samb'е игнорируются. Собственно должен был заработать такой вариант: отключаем шифрование, включаем PAM, настраиваем PAM на проверку пароля в /etc/shadow. Но при отключении шифрования у меня вообще аутентификация отваливается :-[

Camel ★★★★★ ()
Ответ на: Глюки. от Camel

Re: Глюки.

Может быть попробовать сделать наоборот? Т.е. аутентифицировать системных пользователей из самбы, например через winbind/pam_winbind/libnss_winbind.

qwe ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.