삼바에게 /etc/shadow를 사용하도록 지시할 수 있습니다.

삼바에게 /etc/shadow를 사용하도록 지시할 수 있습니다.

이는 RHEL/CentOS >= 7.6의 모든 Samba 버전에서 작동합니다.
나는 Samba >= 4.8이라고 생각한다.

모든 사용자 계정에 Samba에 대한 액세스 권한을 부여하기 위해 다음과 같이 했습니다 smbpasswd -a <user>. 따라서 사용자의 시스템 로그인 비밀번호는 Samba 비밀번호와 별개입니다.

그런 방법이 있나요

  • 사용자는 절대로 할 필요가 없습니다smbpasswd
  • 삼바는 비밀번호 문제를 해결할 수 있습니다/etc/shadow

답변1

문제: 호환되지 않는 비밀번호 해싱 방법

Windows NT4/Windows 2000 시절에는 요구 사항에 맞는 방식으로 Samba 인증을 설정하는 것이 가능했으며 실제로는 매우 일반적이었습니다. 그러나 그럼에도 불구하고 Samba 문서에서는 명백한 보안 결함이 있기 때문에 이를 강력히 권장하지 않았습니다.네트워크를 통해 암호화되지 않은 상태로 비밀번호를 전송해야 합니다.그 당시에도 이는 나쁜 생각이었습니다. 최신 무선 네트워크와 자체 장치 가져오기 솔루션이 확산되면서 네트워크를 통해 암호화되지 않은 비밀번호를 보내는 것은 전혀 용납되지 않습니다.

Windows와 Linux 모두 시스템 비밀번호를 일반 텍스트로 저장하지 않습니다. 대신 비밀번호와소금가치는단방향 해시, 솔트 값과 결과 해시 값을 저장합니다. 따라서 누구도(시스템 관리자도 포함) 어떤 목적으로든 저장된 해시에서 일반 텍스트 버전의 비밀번호를 쉽게 복구할 수 없습니다. 항상 무차별 대입이나 거대한 무지개 테이블이 필요합니다.

비밀번호를 확인해야 할 경우 저장된 비밀번호는아니요복호화는 기본적으로 불가능하기 때문입니다. 대신, 알고리즘은 관련 사용자의 솔트 값을 찾아 이를 사용하여 사용자가 입력한 비밀번호를 해시한 다음 결과 해시를 저장된 해시와 비교합니다. 정확히 일치하면 비밀번호가 올바른 것입니다.

네트워크를 통해 이 작업을 수행하려면 추가 보호도 필요합니다. 서버가 클라이언트에 솔트 값만 제공하고 클라이언트가 해시된 비밀번호를 제공할 때까지 기다리는 경우 네트워크를 통해 전달되는 데이터는 다음과 같습니다.비밀번호에 해당스누핑 공격자는 수정된 악의적 클라이언트를 통해 해시를 있는 그대로 재사용할 수 있습니다. 이를 "재생 공격" 또는 "해시 공격 통과"라고 합니다.

따라서 Windows 또는 Samba 클라이언트가 네트워크를 통해 비밀번호화할 암호화된 인증 패킷을 생성할 때 재생 공격 보호와 호환되는 해싱 체계를 사용해야 합니다. 그러나 이는 또한 서버가 Windows 스타일 비밀번호 해시를 일반 텍스트로 반환하는 것을 방지합니다. 이는 /etc/shadow.

해결책

이 문제를 해결할 수 있는 유일한 곳은 비밀번호 변경 프로세스 중입니다. 이 시점에서 서버는 비밀번호를 해시하고 저장할 수 있도록 비밀번호의 일반 텍스트 버전을 알아야 합니다. 실제로 이 프로세스를 수정하여 업데이트할 수 있습니다.둘 다시스템 로그인 비밀번호와 Samba 비밀번호를 동시에 입력하세요.

Samba 서버가 도메인 컨트롤러가 아닌 경우 파일 unix password sync에서 매개변수를 활성화하고 Samba 비밀번호가 업데이트될 때 Samba가 해당 시스템 로그인 비밀번호를 자동으로 업데이트하도록 smb.conf지정할 수 있습니다. passwd program이렇게 하면 사용자에게 항상 을 사용 smbpasswd하고 을 사용하지 않도록 지시해야 합니다 passwd.

또는 pam_smbpass.so시스템의 PAM 구성에 PAM 모듈을 추가할 수 있습니다. RHEL/CentOS 6.x 및 7.x용 RPM 패키지로 제공됩니다.

이를 사용하는 방법에는 두 가지가 있습니다 pam_smbpass.so. PAM을 사용하는 모든 서비스의 기본 시스템 비밀번호 저장소로 Samba 비밀번호 저장소를 사용하거나(고대 소스 코드로 구축된 끔찍한 레거시 Unix 프로그램을 사용해야 하는 경우를 제외하고 기본적으로 모든 서비스는 PAM을 사용합니다) 일반 passwd명령(또는 시스템 로그인 비밀번호를 업데이트하는 다른 PAM 기반 방법)이 /etc/shadowSamba 비밀번호도 업데이트하도록 PAM 기반 비밀번호 변경 프로세스에 이를 삽입하기만 하면 됩니다 . 그러면 사용자는 passwd항상 smbpasswd.

답변2

대규모 사용자 프로모션을 위해 Samba를 사용할 계획이 아니라면 자신만의 방식으로 사용하는 것이 좋습니다. Samba에는 기본적으로 (2)개의 사용자 이름/비밀번호 데이터베이스 백엔드 선택 사항이 있습니다.tdbsam(기본값) 또는ldapsam. ldap을 설치/구성하려면 Samba를 설정하여 사용할 수 있습니다. 자세한 내용 보기 man smb.conf.

편집: Windows 도메인 컨트롤러로 Samba를 인증하도록 할 수도 있습니다.

관련 정보