Sur un samba connecté Í LDAP, je cherche Í me connecter avec
smbclient. Cependant, la seule manière fonctionnelle est :
smbclient --pw-nt-hash //smb/repertoire/
en passant le hash de sambaNTPassword récupéré manuellement depuis
LDAP. Sinon, login failed.
Un chiffrement qui ne se fait pas quelque part ?
Merci du coup de main …
--
Raphaël
www.leclavierquibave.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Haricophile
Le Thu, 13 Jan 2022 00:03:43 +0100, Raphaël POITEVIN a écrit :
Un chiffrement qui ne se fait pas quelque part ? Merci du coup de main
Je suis très loin d'être spécialiste, mais sous Windows il faut explicitement dire si on veut des accès non authentifiés. L'ancien protocole plus pratique mais «insecure» est désactivé par défaut. J'avoue ne pas m'être penché sur le système, le très peu que j'utilise fonctionne (avec authentification).
Le Thu, 13 Jan 2022 00:03:43 +0100,
Raphaël POITEVIN <raphael.poitevin@gmail.com> a écrit :
Un chiffrement qui ne se fait pas quelque part ?
Merci du coup de main
Je suis très loin d'être spécialiste, mais sous Windows il faut
explicitement dire si on veut des accès non authentifiés. L'ancien
protocole plus pratique mais «insecure» est désactivé par défaut.
J'avoue ne pas m'être penché sur le système, le très peu que j'utilise
fonctionne (avec authentification).
Le Thu, 13 Jan 2022 00:03:43 +0100, Raphaël POITEVIN a écrit :
Un chiffrement qui ne se fait pas quelque part ? Merci du coup de main
Je suis très loin d'être spécialiste, mais sous Windows il faut explicitement dire si on veut des accès non authentifiés. L'ancien protocole plus pratique mais «insecure» est désactivé par défaut. J'avoue ne pas m'être penché sur le système, le très peu que j'utilise fonctionne (avec authentification).
didier gaumet
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a des années) de ce que je comprends de ce lien (aux paragraphes smbclient et ldap), tu emploies un contournement utilisé par les crackers: https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/ *peut-être* trouveras-tu des réponses ici: https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html mais il est fort possible (ou même probable) que mon ignorance du sujet m'interdise de comprendre que ces liens ne sont pas en rapport direct avec ton problème, desolé :-)
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais
utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a
des années)
de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
tu emploies un contournement utilisé par les crackers:
https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/
*peut-être* trouveras-tu des réponses ici:
https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
mais il est fort possible (ou même probable) que mon ignorance du sujet
m'interdise de comprendre que ces liens ne sont pas en rapport direct
avec ton problème, desolé :-)
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a des années) de ce que je comprends de ce lien (aux paragraphes smbclient et ldap), tu emploies un contournement utilisé par les crackers: https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/ *peut-être* trouveras-tu des réponses ici: https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html mais il est fort possible (ou même probable) que mon ignorance du sujet m'interdise de comprendre que ces liens ne sont pas en rapport direct avec ton problème, desolé :-)
Raphaël POITEVIN
Haricophile writes:
Je suis très loin d'être spécialiste, mais sous Windows il faut explicitement dire si on veut des accès non authentifiés. L'ancien protocole plus pratique mais «insecure» est désactivé par défaut.
Pardon, je me suis trompé, je voulais dire : smbclient --pw-nt-hash //smb/repertoire -U utilisateur donc avec authentification.
J'avoue ne pas m'être penché sur le système, le très peu que j'utilise fonctionne (avec authentification).
Authentification par samba lui-même je suppose. Merci, -- Raphaël www.leclavierquibave.fr
Haricophile <haricophile@aranha.fr> writes:
Je suis très loin d'être spécialiste, mais sous Windows il faut
explicitement dire si on veut des accès non authentifiés. L'ancien
protocole plus pratique mais «insecure» est désactivé par défaut.
Pardon, je me suis trompé, je voulais dire :
smbclient --pw-nt-hash //smb/repertoire -U utilisateur
donc avec authentification.
J'avoue ne pas m'être penché sur le système, le très peu que j'utilise
fonctionne (avec authentification).
Je suis très loin d'être spécialiste, mais sous Windows il faut explicitement dire si on veut des accès non authentifiés. L'ancien protocole plus pratique mais «insecure» est désactivé par défaut.
Pardon, je me suis trompé, je voulais dire : smbclient --pw-nt-hash //smb/repertoire -U utilisateur donc avec authentification.
J'avoue ne pas m'être penché sur le système, le très peu que j'utilise fonctionne (avec authentification).
Authentification par samba lui-même je suppose. Merci, -- Raphaël www.leclavierquibave.fr
Raphaël POITEVIN
Merci pour ces pistes, je vais consulter ces liens. Raphaël didier gaumet writes:
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a des années) de ce que je comprends de ce lien (aux paragraphes smbclient et ldap), tu emploies un contournement utilisé par les crackers: https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/ *peut-être* trouveras-tu des réponses ici: https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html mais il est fort possible (ou même probable) que mon ignorance du sujet m'interdise de comprendre que ces liens ne sont pas en rapport direct avec ton problème, desolé :-)
Merci pour ces pistes, je vais consulter ces liens.
Raphaël
didier gaumet <didier.gaumet@gmail.com> writes:
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais
utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a
des années)
de ce que je comprends de ce lien (aux paragraphes smbclient et ldap),
tu emploies un contournement utilisé par les crackers:
https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/
*peut-être* trouveras-tu des réponses ici:
https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html
https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html
mais il est fort possible (ou même probable) que mon ignorance du sujet
m'interdise de comprendre que ces liens ne sont pas en rapport direct
avec ton problème, desolé :-)
Merci pour ces pistes, je vais consulter ces liens. Raphaël didier gaumet writes:
Avertissement: je n'y connais vraiment *rien* (je n'ai jamais utilisé/paramétré LDAP et j'ai dÍ» utiliser une fois smbclient il y a des années) de ce que je comprends de ce lien (aux paragraphes smbclient et ldap), tu emploies un contournement utilisé par les crackers: https://www.n00py.io/2020/12/alternative-ways-to-pass-the-hash-pth/ *peut-être* trouveras-tu des réponses ici: https://docs.netapp.com/us-en/ontap/smb-admin/ldap-signing-sealing-concepts-concept.html https://docs.netapp.com/us-en/ontap/smb-admin/enable-ldap-signing-sealing-task.html mais il est fort possible (ou même probable) que mon ignorance du sujet m'interdise de comprendre que ces liens ne sont pas en rapport direct avec ton problème, desolé :-)
didier gaumet
*sous toutes réserves*, peut-être que le problème vient d'une correspondance entre systèmes d'autentification Windows/Linux, ça semble géré par IDMAP. La page man de idmap_ldap pourrait éventuellement t'éclairer, et plus largement (suivant l'architecture du réseau considéré, même avec du LDAP dedans?) toutes les pages man idmap_* Les pages man sont lÍ : https://www.samba.org/samba/docs/current/man-html/
*sous toutes réserves*, peut-être que le problème vient d'une
correspondance entre systèmes d'autentification Windows/Linux, ça
semble géré par IDMAP. La page man de idmap_ldap pourrait
éventuellement t'éclairer, et plus largement (suivant l'architecture du
réseau considéré, même avec du LDAP dedans?) toutes les pages man
idmap_*
Les pages man sont lÍ :
https://www.samba.org/samba/docs/current/man-html/
*sous toutes réserves*, peut-être que le problème vient d'une correspondance entre systèmes d'autentification Windows/Linux, ça semble géré par IDMAP. La page man de idmap_ldap pourrait éventuellement t'éclairer, et plus largement (suivant l'architecture du réseau considéré, même avec du LDAP dedans?) toutes les pages man idmap_* Les pages man sont lÍ : https://www.samba.org/samba/docs/current/man-html/
Raphaël POITEVIN
Bonsoir, Le problème était simple. Le hash du mot de passe ne correspondait pas Í mon mot de passe. Dans mes tentatives pour faire marcher la solution, car j’ai eu pleins de problèmes, j’avais dÍ» changer le mot de passe. Et comme j’avais laissé le chantier tomber quelques mois, je ne m’en souvenais plus. Par ailleurs, j’ai été obligé de rajouter un champ LDAP sambaUserPwdLastSet avec le timestamp du jour car j’avais "Password must be changed". Merci, Raphaël didier gaumet writes:
*sous toutes réserves*, peut-être que le problème vient d'une correspondance entre systèmes d'autentification Windows/Linux, ça semble géré par IDMAP. La page man de idmap_ldap pourrait éventuellement t'éclairer, et plus largement (suivant l'architecture du réseau considéré, même avec du LDAP dedans?) toutes les pages man idmap_* Les pages man sont lÍ : https://www.samba.org/samba/docs/current/man-html/
Bonsoir,
Le problème était simple. Le hash du mot de passe ne correspondait pas Í
mon mot de passe. Dans mes tentatives pour faire marcher la solution,
car j’ai eu pleins de problèmes, j’avais dÍ» changer le mot de passe. Et
comme j’avais laissé le chantier tomber quelques mois, je ne m’en
souvenais plus.
Par ailleurs, j’ai été obligé de rajouter un champ LDAP
sambaUserPwdLastSet avec le timestamp du jour car j’avais "Password must
be changed".
Merci,
Raphaël
didier gaumet <didier.gaumet@gmail.com> writes:
*sous toutes réserves*, peut-être que le problème vient d'une
correspondance entre systèmes d'autentification Windows/Linux, ça
semble géré par IDMAP. La page man de idmap_ldap pourrait
éventuellement t'éclairer, et plus largement (suivant l'architecture du
réseau considéré, même avec du LDAP dedans?) toutes les pages man
idmap_*
Les pages man sont lÍ :
https://www.samba.org/samba/docs/current/man-html/
Bonsoir, Le problème était simple. Le hash du mot de passe ne correspondait pas Í mon mot de passe. Dans mes tentatives pour faire marcher la solution, car j’ai eu pleins de problèmes, j’avais dÍ» changer le mot de passe. Et comme j’avais laissé le chantier tomber quelques mois, je ne m’en souvenais plus. Par ailleurs, j’ai été obligé de rajouter un champ LDAP sambaUserPwdLastSet avec le timestamp du jour car j’avais "Password must be changed". Merci, Raphaël didier gaumet writes:
*sous toutes réserves*, peut-être que le problème vient d'une correspondance entre systèmes d'autentification Windows/Linux, ça semble géré par IDMAP. La page man de idmap_ldap pourrait éventuellement t'éclairer, et plus largement (suivant l'architecture du réseau considéré, même avec du LDAP dedans?) toutes les pages man idmap_* Les pages man sont lÍ : https://www.samba.org/samba/docs/current/man-html/
Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant tourner un domaine NT4 (ou pire, un domaine NT4 : ) ? J'imagine qu'aujourd'hui, Samba pouvant servir Í fabriquer un AD en lieu et place des domaines NT4, l'authentification est gérée par un AD. Si c'est le cas, pourquoi ne pas simplement passer Í une authentification Kerberos ?
Parce que la plupart de nos services ont pour backend d’authentification LDAP donc autant exploiter l’existant. Mais c’est réglé, il fallait relier le tout au pam Unix avec NSCD, ajouter le champ sambaLastPassword et générer des bon sambaSID dans LDAP. -- Raphaël www.leclavierquibave.fr
Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant
tourner un domaine NT4 (ou pire, un domaine NT4 : ) ?
J'imagine qu'aujourd'hui, Samba pouvant servir Í fabriquer un AD en lieu et
place des domaines NT4, l'authentification est gérée par un AD. Si c'est le
cas, pourquoi ne pas simplement passer Í une authentification Kerberos
?
Parce que la plupart de nos services ont pour backend d’authentification
LDAP donc autant exploiter l’existant. Mais c’est réglé, il fallait
relier le tout au pam Unix avec NSCD, ajouter le champ sambaLastPassword
et générer des bon sambaSID dans LDAP.
--
Raphaël
www.leclavierquibave.fr
Pourquoi une authentification LDAP ? Est-ce vraiment un Samba faisant tourner un domaine NT4 (ou pire, un domaine NT4 : ) ? J'imagine qu'aujourd'hui, Samba pouvant servir Í fabriquer un AD en lieu et place des domaines NT4, l'authentification est gérée par un AD. Si c'est le cas, pourquoi ne pas simplement passer Í une authentification Kerberos ?
Parce que la plupart de nos services ont pour backend d’authentification LDAP donc autant exploiter l’existant. Mais c’est réglé, il fallait relier le tout au pam Unix avec NSCD, ajouter le champ sambaLastPassword et générer des bon sambaSID dans LDAP. -- Raphaël www.leclavierquibave.fr
