1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • HS: samba+ldap, login smbclient

    From =?utf-8?Q?Rapha=C3=ABl_POITEVIN?=@21:1/5 to All on Thu Jan 13 00:10:01 2022
    Bonsoir,

    Debian 10 Buster.

    Sur un samba connecté à LDAP, je cherche à me connecter avec
    smbclient. Cependant, la seule manière fonctionnelle est :
    smbclient --pw-nt-hash //smb/repertoire/
    en passant le hash de sambaNTPassword récupéré manuellement depuis
    LDAP. Sinon, login failed.

    Un chiffrement qui ne se fait pas quelque part ?

    Merci du coup de main …
    --
    Raphaël
    www.leclavierquibave.fr

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Haricophile@21:1/5 to All on Thu Jan 13 13:20:02 2022
    Le Thu, 13 Jan 2022 00:03:43 +0100,
    Raphaël POITEVIN <raphael.poitevin@gmail.com> a écrit :

    Un chiffrement qui ne se fait pas quelque part ?

    Merci du coup de main

    Je suis très loin d'être spécialiste, mais sous Windows il faut explicitement dire si on veut des accès non authentifiés. L'ancien
    protocole plus pratique mais «insecure» est désactivé par défaut.

    J'avoue ne pas m'être penché sur le système, le très peu que j'utilise fonctionne (avec authentification).

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From didier gaumet@21:1/5 to All on Thu Jan 13 15:10:01 2022
    Avertissement: je n'y connais vraiment *rien* (je n'ai jamais utilisé/paramétré LDAP et j'ai dû utiliser une fois smbclient il y a
    des années)

    de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
    tu emploies un contournement utilisé par les crackers: https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/

    *peut-être* trouveras-tu des réponses ici: https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
    https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
    mais il est fort possible (ou même probable) que mon ignorance du sujet m'interdise de comprendre que ces liens ne sont pas en rapport direct
    avec ton problème, desolé :-)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Rapha=C3=ABl_POITEVIN?=@21:1/5 to Haricophile on Thu Jan 13 21:10:02 2022
    Haricophile <haricophile@aranha.fr> writes:

    Je suis très loin d'être spécialiste, mais sous Windows il faut explicitement dire si on veut des accès non authentifiés. L'ancien protocole plus pratique mais «insecure» est désactivé par défaut.

    Pardon, je me suis trompé, je voulais dire :
    smbclient --pw-nt-hash //smb/repertoire -U utilisateur

    donc avec authentification.

    J'avoue ne pas m'être penché sur le système, le très peu que j'utilise fonctionne (avec authentification).

    Authentification par samba lui-même je suppose.

    Merci,
    --
    Raphaël
    www.leclavierquibave.fr

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Rapha=C3=ABl_POITEVIN?=@21:1/5 to didier gaumet on Thu Jan 13 21:20:01 2022
    Merci pour ces pistes, je vais consulter ces liens.

    Raphaël

    didier gaumet <didier.gaumet@gmail.com> writes:

    Avertissement: je n'y connais vraiment *rien* (je n'ai jamais utilisé/paramétré LDAP et j'ai dû utiliser une fois smbclient il y a
    des années)

    de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
    tu emploies un contournement utilisé par les crackers: https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/

    *peut-être* trouveras-tu des réponses ici: https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
    https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
    mais il est fort possible (ou même probable) que mon ignorance du sujet m'interdise de comprendre que ces liens ne sont pas en rapport direct
    avec ton problème, desolé :-)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From didier gaumet@21:1/5 to All on Fri Jan 14 09:10:02 2022
    *sous toutes réserves*, peut-être que le problème vient d'une
    correspondance entre systèmes d'autentification Windows/Linux, ça
    semble géré par IDMAP. La page man de idmap_ldap pourrait
    éventuellement t'éclairer, et plus largement (suivant l'architecture du réseau considéré, même avec du LDAP dedans?) toutes les pages man
    idmap_*

    Les pages man sont là:
    https://www.samba.org/samba/docs/current/man-html/

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Rapha=C3=ABl_POITEVIN?=@21:1/5 to didier gaumet on Wed Jan 19 23:20:02 2022
    Bonsoir,

    Le problème était simple. Le hash du mot de passe ne correspondait pas à
    mon mot de passe. Dans mes tentatives pour faire marcher la solution,
    car j’ai eu pleins de problèmes, j’avais dû changer le mot de passe. Et comme j’avais laissé le chantier tomber quelques mois, je ne m’en souvenais plus.

    Par ailleurs, j’ai été obligé de rajouter un champ LDAP sambaUserPwdLastSet avec le timestamp du jour car j’avais "Password must
    be changed".

    Merci,

    Raphaël

    didier gaumet <didier.gaumet@gmail.com> writes:

    *sous toutes réserves*, peut-être que le problème vient d'une correspondance entre systèmes d'autentification Windows/Linux, ça
    semble géré par IDMAP. La page man de idmap_ldap pourrait
    éventuellement t'éclairer, et plus largement (suivant l'architecture du réseau considéré, même avec du LDAP dedans?) toutes les pages man
    idmap_*

    Les pages man sont là:
    https://www.samba.org/samba/docs/current/man-html/

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Mathias Dufresne@21:1/5 to All on Wed Mar 16 13:30:01 2022
    Salut,

    Pardon je déterre un peu là, faut croire que je m'ennuie :p

    Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant
    tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?
    J'imagine qu'aujourd'hui, Samba pouvant servir à fabriquer un AD en lieu et place des domaines NT4, l'authentification est gérée par un AD. Si c'est le cas, pourquoi ne pas simplement passer à une authentification Kerberos ?

    Un coup de kinit pour générer un ticket puis ce ticket est utilisable pour remplacer le mot de passe, de mémoire avec quelque chose qui ressemble à "smbclient -k //hostname/share"

    Le ven. 14 janv. 2022 à 09:06, didier gaumet <didier.gaumet@gmail.com> a écrit :



    *sous toutes réserves*, peut-être que le problème vient d'une correspondance entre systèmes d'autentification Windows/Linux, ça
    semble géré par IDMAP. La page man de idmap_ldap pourrait
    éventuellement t'éclairer, et plus largement (suivant l'architecture du réseau considéré, même avec du LDAP dedans?) toutes les pages man
    idmap_*

    Les pages man sont là:
    https://www.samba.org/samba/docs/current/man-html/






    <div dir="ltr"><div>Salut,</div><div><br></div><div>Pardon je déterre un peu là, faut croire que je m&#39;ennuie :p</div><div><br></div><div>Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant tourner un domaine NT4 (ou pire, un
    domaine NT4 : ) ?<br></div><div>J&#39;imagine qu&#39;aujourd&#39;hui, Samba pouvant servir à fabriquer un AD en lieu et place des domaines NT4, l&#39;authentification est gérée par un AD. Si c&#39;est le cas, pourquoi ne pas simplement passer à une
    authentification Kerberos ?</div><div><br></div><div>Un coup de kinit pour générer un ticket puis ce ticket est utilisable pour remplacer le mot de passe, de mémoire avec quelque chose qui ressemble à &quot;smbclient -k //hostname/share&quot;<br></
    </div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le ven. 14 janv. 2022 à 09:06, didier gaumet &lt;<a href="mailto:didier.gaumet@gmail.com">didier.gaumet@gmail.com</a>&gt; a écrit :<br></div><blockquote class="gmail_quote"
    style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>

    *sous toutes réserves*, peut-être que le problème vient d&#39;une<br> correspondance entre systèmes d&#39;autentification Windows/Linux, ça<br> semble géré par IDMAP. La page man de idmap_ldap pourrait<br>
    éventuellement t&#39;éclairer, et plus largement (suivant l&#39;architecture du<br>
    réseau considéré, même avec du LDAP dedans?) toutes les pages man<br> idmap_* <br>

    Les pages man sont là:<br>
    <a href="https://www.samba.org/samba/docs/current/man-html/" rel="noreferrer" target="_blank">https://www.samba.org/samba/docs/current/man-html/</a><br>




    </blockquote></div>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?utf-8?Q?Rapha=C3=ABl_POITEVIN?=@21:1/5 to Mathias Dufresne on Thu Apr 28 14:00:01 2022
    Mathias Dufresne <mathias.dufresne@gmail.com> writes:

    Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant
    tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?
    J'imagine qu'aujourd'hui, Samba pouvant servir à fabriquer un AD en lieu et place des domaines NT4, l'authentification est gérée par un AD. Si c'est le cas, pourquoi ne pas simplement passer à une authentification Kerberos
    ?

    Parce que la plupart de nos services ont pour backend d’authentification
    LDAP donc autant exploiter l’existant. Mais c’est réglé, il fallait relier le tout au pam Unix avec NSCD, ajouter le champ sambaLastPassword
    et générer des bon sambaSID dans LDAP.
    --
    Raphaël
    www.leclavierquibave.fr

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)