[samba-jp:22780] Re: Windows-ADとの連携

[TAKAHASHI Motonobu/高橋 基信]

たかはしもとのぶです。

まず、Sambaではなく、Windowsサーバで構築されたActive Directoryを
想定した場合、ユーザのパスワードのハッシュ値の取得自体がセキュリティ
上基本的には行えない（クラッキング的な技法を使うなど、行う方法も
ありますが）ので以下のようなアプローチ自体できません。

竹内さんがおっしゃっているように、ADの前にID管理ツールを置いて、ID
管理ツールから双方のADに対して同期を行うといった構成が無難ですが、
AD間でパスワード同期をしたいのであれば、マイクロソフト社製品で
いうとMIM(Microsoft Identity Manager)のような製品を使って、
パスワード同期を行うといった手法もあります。

ハッシュ値を無理やり同期したいのであれば、

> > - ldbsearchでエントリのパスワード属性を抽出する。
> > - samba側ではsamba-toolを使ってユーザを仮で登録しておく。
> > - ldbmodifyを使ってパスワード属性の値を変更させる。

以外にも、pdbedit -w でハッシュ値を取得したうえで、Samba 4.4
以降（だったと思います）で追加された --set-nt-hash オプションで
それを設定するとか、いくつかの方法で同様のことは可能です。

ただ、いずれにしてもMicrosoft的に本来想定された手法ではない、
Samba独自の実装に依存した方法になるので、何等かセキュリティが
強化されると、使えなくなる可能性はあると思いますし、
当初のメールでいう「いい方法」といったものも存在しないと思います。

-- 
TAKAHASHI Motonobu/高橋 基信 <monyo ＠ monyo.com>