web-dev-qa-db-ja.com

DebianSambaはRADIUSサーバーと認証を共有します

Sambaを構成しようとしています(apt-get install samba)RADIUSサーバーを使用してユーザーを認証すると、有用なものが見つかりません。可能ですか?

PAM認証を使用するようにSambaを設定してから、RADIUSサーバーを使用するようにPAMを構成できると思いました。しかし Sambaファイルサーバー+ PAM + BerkeleyDBまたはSamba + PAM

SMBプロトコル固有の(一連の)互換性のないハッシュで、PAMでは使用できないため(クリアテキストパスワードまたは特定のハッシュバージョンのパスワードが必要)、SambaはPAMを使用できません。

OS:Debian 7.8 x64

RADIUS:FreeRadius 2.1.12

パッケージサンバ:2:4.1.17 + dfsg-2

2
Joshua

見つかったテキストは正しいです。SMBにはPAMと互換性のないntlm認証が必要です。

PAMの問題は、ユーザー(またはSambaサーバーのようにユーザーに代わって動作するエージェント)がユーザーのプレーンテキストパスワードを送信する必要があることです。これは、SMBクライアントのため、Sambaサーバーが知ることはありません。決して送信しません。

代わりに、SMBクライアントは、ユーザーパスワードの16ビットリトルエンディアンユニコードのMD4ハッシュを送信し、Sambaサーバーからのチャレンジでハッシュされます。

実際のセットアップでは、Sambaは通常ADに対して認証し、RADIUSもADに対して(winbinddを介して)認証します。これにより、同期された資格情報を取得できます。

SambaはプレーンLDAPに対しても認証するため、代わりに、それを共通の資格情報ストアとして使用できます。

1