Forum Linux.debian/ubuntu Samba+LDAP mot de passes

Posté par  .
Étiquettes : aucune
0
30
mai
2008
Bonjour,

Je migre une base d'utilisateurs LDAP a une solution SAMBA +LDAP.
Le serveur tourne bien et j'ai restauré mes utilisateurs LDAP via un fichier LDIF et la commande smbldap-populate.

Mon problème et que les champs necessaires à Samba ne semblent pas avoir été remplis et je suis obligé, pour qu'un utilisateur soit reconnu de le mettre a jour via smbldap-usermod -a %user et smbldap-passwd -u %user ( et taper un mot de passe a la mimine ).

Ce que je voudrais savoir :

Est t'il possible de mettre a jours mes comptes ( + de 600 ) avec les champs samba et un mot de passe généré a partir du mot de passe Unix ( champs UserPassword ) ?
ou
Existe t'il un script qui peux me generer les mdp samba a partir du UnixPassword?

Malheureusement, je ne peux vraiment pas demander a mes utilisateurs de retaper leur mot de passe....

Merci de m'avoir lu ^^

Quelques infos

cexemple de compte importé avec "smbldap-populate dump.ldif" ( missing all samba information ! ) :

dn: uid=chaxrasse,ou=Users,dc=mri.cnrs,dc=fr
loginShell: /bin/bash
sn: Chaxrasse
objectClass: top,inetOrgPerson,posixAccount,mri-user
gidNumber: 513
accountType: user
status: active
mail: sophie.chaxrasse@BLAH.fr
givenName: Sophie
uid: charrasse
uidNumber: 1583
cn: charrasse
userPassword: {MD5}c+URcajBLAHDcSObg==
homeDirectory: /home/alluser

même compte, maintenant valide, modifié avec "smbldap-usermod -a %user" et "smbldap-passwd -u %user"

dn: uid=chaxrasse,ou=Users,dc=mri.cnrs,dc=fr
loginShell: /bin/bash
sn: Chaxrasse
objectClass: top,inetOrgPerson,posixAccount,mri-user,sambaSamAccount
gidNumber: 513
accountType: user
status: active
mail: sophie.chaxrasse@BLAH.fr
givenName: Sophie
uid: chaxrasse
uidNumber: 1583
cn: chaxrasse
homeDirectory: /home/alluser
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: User
sambaSID: S-1-5-21-1510206305-3765163916-174898732-4166
sambaLMPassword: 48FF388ABA3E5B33AAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: BB37D7E678271274F1BF1133F9694C29
sambaPwdLastSet: 1212142328
sambaPwdMustChange: 1527502328
userPassword: {MD5}uJ96BLAHctrDiypn9w==
  • # samba/ldap/mot de passe crypté

    Posté par  (site web personnel) . Évalué à 1.

    le *soucis* est que le mot de passe n'est pas facilement reversible.
    => le mot de passe samba sera différent , c'est bien mieux d'un point de vue sécurité.

    Pour le script en python ça passe tout seul.

    Système - Réseau - Sécurité Open Source

    • [^] # Re: samba/ldap/mot de passe crypté

      Posté par  . Évalué à 1.

      Merci de la réponse.
      Mais le but de ma manoeuvre c'est de proposer un maximum de service avec le meme couple user/password.

      En même temps ma demande doit être un peu irréaliste.
      • [^] # Re: samba/ldap/mot de passe crypté

        Posté par  (site web personnel) . Évalué à 1.

        A moins de stocker les mots de passe en clair dans ldap ( via connexion ssl ) et les réencoder via smbpasswd je ne vois guère de solution.

        Ecrire un programme qui identifie les users et stocke le mdp samba
        pourrait être une solution.

        Système - Réseau - Sécurité Open Source

      • [^] # Re: samba/ldap/mot de passe crypté

        Posté par  . Évalué à 1.

        MDS (http://mds.mandriva.org ) te permet d'avoir un ldap et un accès à différents services avec un meme couple user/passwd (samba, mail...). Le tout gégré via une interface web ajaxifiée. Peut-etre que çà pourrait t'interresser.
        • [^] # Re: samba/ldap/mot de passe crypté

          Posté par  . Évalué à 1.

          Merci,

          Oui ça à l'air intéressant, je regarderais, mais le problème restera intact. Les Hash NT ne peuvent pas se generer a partir du Hash MD5...
          Voici une copie de réponse sur la liste de discussion samba de samba.org... Lisez, mais je pense que c'est mort. Comme proposé plus haut, il va falloir passer par un script/page web qui propose de retaper le mdp...

          ______________

          From : Charlie

          The MD5 hash you are using for your LDAP "userPassword" attribute is
          non-reversible - there isn't any straightforward way to convert it
          into anything else. Unless you happen to have a supercomputer grid
          handy to brute-force crack them, that is.

          See, whenever you use that password, your machine takes some string
          that the end-user has supplied and runs it through MD5. Then the
          machine compares the UserPassword value with the MD5-hash of the
          password string that the user supplied. If they match, you are
          allowed in. But the machine does not actually know your password, and
          it can't unconvert the MD5 into a string that could be NT-hashed for
          an SMB password. The NT-hash is similarly not reversible, although
          it's not very good (no salt, for one thing) so it is relatively easy
          to crack (and quick, if you use rainbow tables).

          When I converted our networks to samba a decade or more ago, I started
          out by trying to crack all our user passwords by brute force, but I
          could only get about 90% of them in any reasonable time frame. So,
          instead, we modified our password changing process to produce the NT
          and LM hashes as well as the MD5 hashes and made all our users
          passwords expire over the course of the next two weeks.

          That way I had matching NT, LM, and SMD5 password hashes which we've
          maintained to this day in our enterprise LDAP directory.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.