HS: samba+ldap, login smbclient

8 réponses
Avatar
Raphaël POITEVIN
Bonsoir,

Debian 10 Buster.

Sur un samba connecté Í  LDAP, je cherche Í  me connecter avec
smbclient. Cependant, la seule manière fonctionnelle est :
smbclient --pw-nt-hash //smb/repertoire/
en passant le hash de sambaNTPassword récupéré manuellement depuis
LDAP. Sinon, login failed.

Un chiffrement qui ne se fait pas quelque part ?

Merci du coup de main …
--
Raphaël
www.leclavierquibave.fr

8 réponses

Avatar
Haricophile
Le Thu, 13 Jan 2022 00:03:43 +0100,
Raphaël POITEVIN a écrit :
Un chiffrement qui ne se fait pas quelque part ?
Merci du coup de main

Je suis très loin d'être spécialiste, mais sous Windows il faut
explicitement dire si on veut des accès non authentifiés. L'ancien
protocole plus pratique mais «insecure» est désactivé par défaut.
J'avoue ne pas m'être penché sur le système, le très peu que j'utilise
fonctionne (avec authentification).
Avatar
didier gaumet
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais
utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a
des années)
de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
tu emploies un contournement utilisé par les crackers:
https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/
*peut-être* trouveras-tu des réponses ici:
https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
mais il est fort possible (ou même probable) que mon ignorance du sujet
m'interdise de comprendre que ces liens ne sont pas en rapport direct
avec ton problème, desolé :-)
Avatar
Raphaël POITEVIN
Haricophile writes:
Je suis très loin d'être spécialiste, mais sous Windows il faut
explicitement dire si on veut des accès non authentifiés. L'ancien
protocole plus pratique mais «insecure» est désactivé par défaut.

Pardon, je me suis trompé, je voulais dire :
smbclient --pw-nt-hash //smb/repertoire -U utilisateur
donc avec authentification.
J'avoue ne pas m'être penché sur le système, le très peu que j'utilise
fonctionne (avec authentification).

Authentification par samba lui-même je suppose.
Merci,
--
Raphaël
www.leclavierquibave.fr
Avatar
Raphaël POITEVIN
Merci pour ces pistes, je vais consulter ces liens.
Raphaël
didier gaumet writes:
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais
utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a
des années)
de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
tu emploies un contournement utilisé par les crackers:
https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/
*peut-être* trouveras-tu des réponses ici:
https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
mais il est fort possible (ou même probable) que mon ignorance du sujet
m'interdise de comprendre que ces liens ne sont pas en rapport direct
avec ton problème, desolé :-)
Avatar
didier gaumet
*sous toutes réserves*, peut-être que le problème vient d'une
correspondance entre systèmes d'autentification Windows/Linux, ça
semble géré par IDMAP. La page man de idmap_ldap pourrait
éventuellement t'éclairer, et plus largement (suivant l'architecture du
réseau considéré, même avec du LDAP dedans?) toutes les pages man
idmap_*
Les pages man sont lÍ :
https://www.samba.org/samba/docs/current/man-html/
Avatar
Raphaël POITEVIN
Bonsoir,
Le problème était simple. Le hash du mot de passe ne correspondait pas Í 
mon mot de passe. Dans mes tentatives pour faire marcher la solution,
car j’ai eu pleins de problèmes, j’avais dÍ» changer le mot de passe. Et
comme j’avais laissé le chantier tomber quelques mois, je ne m’en
souvenais plus.
Par ailleurs, j’ai été obligé de rajouter un champ LDAP
sambaUserPwdLastSet avec le timestamp du jour car j’avais "Password must
be changed".
Merci,
Raphaël
didier gaumet writes:
*sous toutes réserves*, peut-être que le problème vient d'une
correspondance entre systèmes d'autentification Windows/Linux, ça
semble géré par IDMAP. La page man de idmap_ldap pourrait
éventuellement t'éclairer, et plus largement (suivant l'architecture du
réseau considéré, même avec du LDAP dedans?) toutes les pages man
idmap_*
Les pages man sont lÍ :
https://www.samba.org/samba/docs/current/man-html/
Avatar
Mathias Dufresne
--000000000000f33d3105da54ff5f
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
Salut,
Pardon je d̓©terre un peu l̓ , faut croire que je m'ennuie :p
Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant
tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?
J'imagine qu'aujourd'hui, Samba pouvant servir ̓  fabriquer un AD en lieu et
place des domaines NT4, l'authentification est g̓©r̓©e par un AD. Si c'est le
cas, pourquoi ne pas simplement passer ̓  une authentification Kerberos ?
Un coup de kinit pour g̓©n̓©rer un ticket puis ce ticket est utilisable pour
remplacer le mot de passe, de m̓©moire avec quelque chose qui ressemble ̓ 
"smbclient -k //hostname/share"
Le ven. 14 janv. 2022 ̓  09:06, didier gaumet a
̓©crit :
*sous toutes r̓©serves*, peut-̓ªtre que le probl̓¨me vient d'une
correspondance entre syst̓¨mes d'autentification Windows/Linux, ̓§a
semble g̓©r̓© par IDMAP. La page man de idmap_ldap pourrait
̓©ventuellement t'̓©clairer, et plus largement (suivant l'architecture du
r̓©seau consid̓©r̓©, m̓ªme avec du LDAP dedans?) toutes les pages man
idmap_*
Les pages man sont l̓ :
https://www.samba.org/samba/docs/current/man-html/

--000000000000f33d3105da54ff5f
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable
<div dir="ltr"><div>Salut,</div><div><br></div><div>Pardon je d̓©terre un peu l̓ , faut croire que je m&#39;ennuie :p</div><div><br></div><div>Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?<br></div><div>J&#39;imagine qu&#39;aujourd&#39;hui, Samba pouvant servir ̓  fabriquer un AD en lieu et place des domaines NT4, l&#39;authentification est g̓©r̓©e par un AD. Si c&#39;est le cas, pourquoi ne pas simplement passer ̓  une authentification Kerberos ?</div><div><br></div><div>Un coup de kinit pour g̓©n̓©rer un ticket puis ce ticket est utilisable pour remplacer le mot de passe, de m̓©moire avec quelque chose qui ressemble ̓  &quot;smbclient -k //hostname/share&quot;<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le͂ ven. 14 janv. 2022 ̓ ͂ 09:06, didier gaumet &lt;<a href="mailto:"></a>&gt; a ̓©crit͂ :<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
*sous toutes r̓©serves*, peut-̓ªtre que le probl̓¨me vient d&#39;une<br>
correspondance entre syst̓¨mes d&#39;autentification Windows/Linux, ̓§a<br>
semble g̓©r̓© par IDMAP. La page man de idmap_ldap pourrait<br>
̓©ventuellement t&#39;̓©clairer, et plus largement (suivant l&#39;architecture du<br>
r̓©seau consid̓©r̓©, m̓ªme avec du LDAP dedans?) toutes les pages man<br>
idmap_* <br>
<br>
Les pages man sont l̓ :<br>
<a href="https://www.samba.org/samba/docs/current/man-html/" rel="noreferrer" target="_blank">https://www.samba.org/samba/docs/current/man-html/</a><br>
<br>
<br>
<br>
<br>
</div>
--000000000000f33d3105da54ff5f--
Avatar
Raphaël POITEVIN
Mathias Dufresne writes:
Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant
tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?
J'imagine qu'aujourd'hui, Samba pouvant servir Í  fabriquer un AD en lieu et
place des domaines NT4, l'authentification est gérée par un AD. Si c'est le
cas, pourquoi ne pas simplement passer Í  une authentification Kerberos
?

Parce que la plupart de nos services ont pour backend d’authentification
LDAP donc autant exploiter l’existant. Mais c’est réglé, il fallait
relier le tout au pam Unix avec NSCD, ajouter le champ sambaLastPassword
et générer des bon sambaSID dans LDAP.
--
Raphaël
www.leclavierquibave.fr