shadow. Возможно или нет?

0

0

Стоит Samba с security = user. Хочу чтобы пароли пользователей брались из /etc/passwd. В интернетах говорят, что это невозможно, потому что пароли по разному передаются и по разному хранятся, но в стандартном Debian'овском конфиге есть строчки

# This boolean parameter controls whether Samba attempts to sync the Unix
# password with the SMB password when the encrypted SMB password in the
# passdb is changed.
unix password sync = yes

# For Unix password sync to work on a Debian GNU/Linux system, the following
# parameters must be set (thanks to Ian Kahan <<kahan@informatik.tu-muenchen.de$
# sending the correct chat script for the passwd program in Debian Sarge).
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n$

Проверил, passwd и smbpasswd всё равно меняют каждый что-то своё. Таки возможно использовать для хранения пользователей /etc/passwd, а для хранения паролей /etc/shadow? Можно ли держать пароли синхронизированными постоянно, или нужно регулярно запускать mksmbpasswd? И, кстати, что это за сценарий? На его использование есть какие-то ограничения?

Ссылка

←	[MySQL]: параметр thread_concurrency в my.cnf

Охрененный таймер ядра.

→

в smb.conf есть два параметра, один отвечает за синхронизацию smb pass->system pass, другой - system pass->smb pass

Вариантов "использовать passwd/shadow" я не делал, а вот варианты с openldap, в котором общесистемные учетки - делал, работает. И система и samba хранят соотв. в одном месте. :)И опции синхронизации соотв. отлично работают.

~~zgen~~ ★★★★★
(05.05.09 23:27:48 MSD)

Ответ на: комментарий от zgen 05.05.09 23:27:48 MSD

Глюки.

Да, я тоже так сделал, но на большом сервере. А экземпляр Samb'ы о котором идёт речь поднят на Debian'е в chroot'е на настольном NAS'е D-Link DNS-323 (процессор ARM).

Проблема в том, что SMB и shadow по разному хэшуют пароли, поэтому чтобы Samba могла аутентифицировать через shadow, нужно отключить шифрование паролей, то есть прописать

encrypt passwords = false

Тогда пароли будут передаваться по сети в открытом виде, хэшаться уже Samb'ой (точнее PAM'ом), а не клиентской машиной, и сравниваться с содержимым shadow. При включённом шифровании все настройки PAM в Samb'е игнорируются. Собственно должен был заработать такой вариант: отключаем шифрование, включаем PAM, настраиваем PAM на проверку пароля в /etc/shadow. Но при отключении шифрования у меня вообще аутентификация отваливается :-[

Camel ★★★★★
(06.05.09 10:36:39 MSD) автор топика