Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba direkt gegen LDAP bzw. PAM authentifizieren

Frage Linux Samba

Mitglied: ferdinand24

ferdinand24 (Level 1) - Jetzt verbinden

17.02.2011, aktualisiert 11:37 Uhr, 3816 Aufrufe

(Wie) ist es möglich, Samba-User direkt aus einem LDAP-Verzeichnis zu beziehen, ohne den NTLM-Hash separat speichern zu müssen?

Liebe Administratoren,

ich plane, für eine Arbeitsgruppe mit etwa 20 Benutzern einen (Linux-)Fileserver neu zu konfigurieren.
Dabei soll jetzt erstmals eine "Single-source-of-signon"-Lösung zum Einsatz kommen, um nicht an verschiedenen Stellen im Netzwerk Benutzerdaten gespeichert haben zu müssen.

  • Genutzte Dienste sind hierbei:
    1. Samba3 (nicht als DC, sondern als Backup- und DataExchange-Medium)
    2. eine Webapp auf PHP-Basis (nur ggf.)
    3. SSH/Systemlogins


Ich wollte dazu ein LDAP-Verzeichnis nutzen.
Mit PAM (und pam_ldap.so) und NSS läuft die Auth der Unix-Benutzer per SSH und direkt ohne Probleme.

Samba (mit ldapsam als passdb backend) speichert nun allerdings natürlich seine NTLM-Hashes und kann sich nicht direkt gegen einen DN im LDAP-Dir authentifizieren.
Gibt es eine Möglichkeit, das umzusetzen?


Das Problem ist jenes, dass die Daten zwar zentral im Verzeichnis gespeichert sind, aber in jedem DN dann eben wieder zwei Attribute Passwörter speichern.

  • Um das Passwort zu ändern bin ich also auf das CLI und smbpasswd (mit ldap passwd sync = Yes) angewiesen.
  • Über eine Webapp den Benutzer das Passwort ändern zu lassen, ist also dann nur möglich, wenn ich
    1. PHP auf Apache direkt smbpasswd ausführen lasse (bzw. ein Shellscript schreibe, das mir das wrappt) (mit entsprechender Sudo-Config)
    2. mir selbst eine Lösung bastle, die mit PHP das DN-Passwort und den NTLM-Hash im DN modifiziert.

Der zweite Punkt scheint mir am Sinnvollsten, aber auch keine saubere Lösung, wenn es auch anders gehen sollte.


Ich freu mich auf Antworten,

danke und viele Grüße,
Ferdinand
Ähnliche Inhalte
Samba
Samba 3 - Neuer Logonserver (2)

Frage von schneerunzel zum Thema Samba ...

Samba
Samba AD V 4.3.11-Ubuntu (Frage zu Best-Practice) (6)

Frage von Belephor zum Thema Samba ...

Exchange Server
Exchange 2010 per Zertfikat auf den Smartphones authentifizieren (4)

Frage von Leo-le zum Thema Exchange Server ...

Linux
Dovecot , ACLs und LDAP - das ewige Wehleiden (1)

Frage von DerWindowsFreak2 zum Thema Linux ...

Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Hardware
16-20 Port POE Switch mit VLAN (19)

Frage von thomasreischer zum Thema Hardware ...

Windows Server
Exchange HyperV Prozessorlast (18)

Frage von theoberlin zum Thema Windows Server ...

Windows Userverwaltung
Nicht Administratoren Installation von Software erlauben (14)

Frage von WinLiCLI zum Thema Windows Userverwaltung ...