Samba - univerzální heslo uživatelů

Ahoj, mám sambu jako PDC s LDAPem. Občas je třeba abych se jako admin přihlásil na profil někoho a třeba něco upravil, srovnal a pod. Je možné nějak zajistit pro všechny usery jedno supertajné společné heslo? Tedy abych se nemusel vždy dotyčného ptát "a jaké že máš heslo?" ale prostě abych se na něj dokázal přihlásit sám :). Popřípadě nějak domluvit sambě aby mi hesla někam logovala (i když to asi nepujde vzhledem k šifrování hesel...).

Popřípadě jak vy řešíte obdobný problém jaký teď já?

děkuji za nápady, Johny

Můj web o táborech: Letní dětské tábory, Hudební tábor , Můj nový blog na Nul.cz

Odpovědi

NE, NENÍ TO MOŽNÉ.

--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---

20.2.2008 15:50 Johny z Podoli | skóre: 26 | blog: rocfdebian
Rozbalit Rozbalit vše Re: Samba - univerzální heslo uživatelů

seš si tim naprosto jistej? že to píšeš celé velkejma písmenama :)

Můj web o táborech: Letní dětské tábory, Hudební tábor , Můj nový blog na Nul.cz

20.2.2008 18:00 Martin H. | skóre: 27 | blog: linservis | Brno
Rozbalit Rozbalit vše Re: Samba - univerzální heslo uživatelů

Protože jsem klepnul do CapsLock a nevšiml jsem si toho, víš? Proto.

A jistej si tím samo nejsem, koneckonců, čím si může v dnešní době být člověk jistý ?

--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---

Ještě me napadlo, ale nezkoušel jsem to.
Soubor /ETC/SAMBA/SMBPASWD zazálohovat a uživateli příkazem smbpasswd uzivatel změnit heslo, přihlásit se, něco opravit a nahrát původní zazálohovaný smbpasswd. Tím by mělo jít obejít to, že by uživatel poznal změnu hesla (akorát se v té době nepřihlásí. Ale jelikož používáš LDAP, tak nevím ... s LDAPem zkušenosti nemám, třeba by to šlo taky tak nějak podobně ...

--- Kapitalismus je lepší, než socialismus ... ale horší, než jsem čekal. (Jiří Suchý) ---

20.2.2008 15:51 Johny z Podoli | skóre: 26 | blog: rocfdebian
Rozbalit Rozbalit vše Re: Samba - univerzální heslo uživatelů

takto jsem to dělal na staré doméně... nicméně toto není pohodlné, vyžaduje to víc než jen sednu, přihlásím, nastavím, odhlásím.

Napadlo mě, nějak upravit script který ověřuje heslo, netušíte někdo v sambě který to je? Vložit do něj nějakou podmínku typu "if heslo=abcd then; echo 1; else ...." popřípadě k takové binárce napsat jakýsi "frontend" který by za ni tuto práci přebral... co vy na to?

Můj web o táborech: Letní dětské tábory, Hudební tábor , Můj nový blog na Nul.cz

20.2.2008 16:47 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Samba - univerzální heslo uživatelů

Pokud máte databázi uživatelů v LDAPu, nedělá to žádný skript, ale modul v Céčku. Ale klidně si ho můžete upravit, ten zdroják je celkem přehledný. Jenom si pak budete muset udržovat opatchovanou verzi Samby.

20.2.2008 16:52 Johny z Podoli | skóre: 26 | blog: rocfdebian
Rozbalit Rozbalit vše Re: Samba - univerzální heslo uživatelů

tak cčko na "produkční" úrovni bohužel nezvládám :-(

jen se mi nechce věřit že jsem první na světě kdo řeší právě tohle :)

Můj web o táborech: Letní dětské tábory, Hudební tábor , Můj nový blog na Nul.cz

20.2.2008 19:58 osladil | skóre: 12
Rozbalit Rozbalit vše Re: Samba - univerzální heslo uživatelů

yep, zamena hesla v smbpasswd funguje uplne stejne jako v passwd. jen musis byt rychlej :-)

obcas jsem to pouzival

admin users = muj_login

Ale pozor tento uzivatel se pak prakticky stane rootem. Lze to nastavovat globalne i per sdileni.

20.2.2008 17:36 Johny z Podoli | skóre: 26 | blog: rocfdebian
Rozbalit Rozbalit vše Re: Samba - univerzální heslo uživatelů

to jsem asi nepochopil, toto je pro nastavování práv, má toto nastavení i nějaký vliv na heslo uživatele? nicméně toto asi nbude to, co chci. Já bych prostě rád dosáhl "dvojího" hesla pro usera :)) nic víc :D

Můj web o táborech: Letní dětské tábory, Hudební tábor , Můj nový blog na Nul.cz

Tak me napada napriklad tenhle zpusob.

Uzivatel servis ma heslo ulozene v LDAPu v nejake hash podobe. Puvodni heslo (hash) onoho uzivatele si uloz nekam bokem a nahrad ho tim servisnim. Po dokonceni aktivit pod uzivatelem vratis zpatky ono puvodni heslo (hash). Uzivatelske heslo tudis nepotrebujes znat a muzes se prihlasit pomoci sveho servisniho.

Nicmene asi by bylo dobre stihnout spravcovskou aktivitu driv, nez se uzivatel bude chtit prilasit se svym heslem ;-)

Ale je to plesnive reseni, jako bych ho ani nerek :-)

Pro inspiraci - přesně na tohle se dá dost dobře využít PAM, když jsem přecházel z hesel v plaintextu u mailserveru do formátu md5, tak aby se uživatelé mohli přihlásit, umožnil jsem využití obou formátů najednou:

auth sufficient pam_mysql.so user=DBUZIVATEL passwd=DBHESLO host=localhost db=postfix table=postfix_users usercolumn=email passwdcolumn=clear
auth sufficient pam_mysql.so user=DBUZIVATEL passwd=DBHESLO host=localhost db=postfix table=postfix_users usercolumn=email passwdcolumn=crypt crypt=1 md5=y
auth required pam_deny.so

-- Nezdar není hanbou, hanbou je strach z pokusu.

Dotaz: Samba - univerzální heslo uživatelů

Odpovědi