[samba-jp:22780] Re: Windows-ADとの連携
TAKAHASHI Motonobu/高橋 基信
monyo @ monyo.com
2016年 9月 14日 (水) 09:39:03 JST
たかはしもとのぶです。
まず、Sambaではなく、Windowsサーバで構築されたActive Directoryを
想定した場合、ユーザのパスワードのハッシュ値の取得自体がセキュリティ
上基本的には行えない(クラッキング的な技法を使うなど、行う方法も
ありますが)ので以下のようなアプローチ自体できません。
竹内さんがおっしゃっているように、ADの前にID管理ツールを置いて、ID
管理ツールから双方のADに対して同期を行うといった構成が無難ですが、
AD間でパスワード同期をしたいのであれば、マイクロソフト社製品で
いうとMIM(Microsoft Identity Manager)のような製品を使って、
パスワード同期を行うといった手法もあります。
ハッシュ値を無理やり同期したいのであれば、
> > - ldbsearchでエントリのパスワード属性を抽出する。
> > - samba側ではsamba-toolを使ってユーザを仮で登録しておく。
> > - ldbmodifyを使ってパスワード属性の値を変更させる。
以外にも、pdbedit -w でハッシュ値を取得したうえで、Samba 4.4
以降(だったと思います)で追加された --set-nt-hash オプションで
それを設定するとか、いくつかの方法で同様のことは可能です。
ただ、いずれにしてもMicrosoft的に本来想定された手法ではない、
Samba独自の実装に依存した方法になるので、何等かセキュリティが
強化されると、使えなくなる可能性はあると思いますし、
当初のメールでいう「いい方法」といったものも存在しないと思います。
--
TAKAHASHI Motonobu/高橋 基信 <monyo @ monyo.com>
samba-jp メーリングリストの案内