Изменение метода шифрования в PDC LDAP

samba, smbldap-tools

0

1

Доброго дня.

Переносим почту на хостинг. Та сторона из всех видов хешей поддерживает лишь MD5 и SHA, а в моём ldap по умолчанию всё хранится в SSHA.
В /etc/smbldap-tools/smbldap.conf есть директива hash_encrypt, которой я могу присвоить значение, например, MD5 и при следующем вызове smbldap-passwd у меня всё станет хорошо.
Но при смене пароля пользователем из Windows этого не происходит: в ldap по-прежнему остаётся SSHA.

«passwd program» в smb.conf, насколько я понял, здесь ни причём. Похоже, что smbldap-tools при смене пароля из винды вообще никак не задействуемы.

Так бы я всех заставил сменить пароли при следующем логине и всё ок.

Ссылка

←	Ubuntu Server: реконфигурирование в процессе эксплуатации

Чем быстро проверить прохождение UDP пакетов на 500-м порту?

→

1. smb.conf:
ldap passwd sync = yes
or
2. smb.conf:
unix password sync (!)
passwd program

~~zgen~~ ★★★★★
(04.03.13 22:40:09 MSK)

На самом деле почта, которая вместо bind() к ldap сравнивает хеши - это жесть и содомия. Учтите это, оно вам еще аукнется.

~~zgen~~ ★★★★★
(04.03.13 22:56:37 MSK)

Ответ на: комментарий от zgen 04.03.13 22:56:37 MSK

На самом деле почта, которая вместо bind() к ldap сравнивает хеши - это жесть и содомия.

Да нет. Сама почта тут ни причём. Дело в миграции пользователей на GoogleApps: они предоставляют API и соответствующее клиентское ПО, которое заливает к ним содержимое моего LDAP. Но вот количество поддерживаемых хешей у них ограничено: SHA & MD5.

markevichus ★★★
(06.03.13 10:10:00 MSK) автор топика

Ответ на: комментарий от markevichus 06.03.13 10:10:00 MSK

Не смущает необходимость «слить» хэши паролей своих пользователей в «корпорацию добра»? Может лучше сделать пользователям отдельные пароли?

Slipeer
(06.03.13 10:15:57 MSK)

Ответ на: комментарий от Slipeer 06.03.13 10:15:57 MSK

Нет, не смущает. Более того, собираюсь их синхронизировать (в сторону Google, разумеется).
Это и не должно смущать, если доступ к внутренним сервисам компании чётко регламентирован.

markevichus ★★★
(06.03.13 10:27:05 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 04.03.13 22:40:09 MSK

Спасибо, заработало. Приведу пример, ибо такие параметры, как «passwd chat», тоже важны:

ldap passwd sync = no
unix password sync = yes
passwd program = /usr/sbin/smbldap-passwd -u %u
passwd chat = "*New password*" %n\n "*Retype new password*" %n\n

markevichus ★★★
(12.03.13 20:45:00 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ubuntu Server: реконфигурирование в процессе эксплуатации

Admin

Чем быстро проверить прохождение UDP пакетов на 500-м порту?

→

Похожие темы