Samba und NT4.0 und NT4.0 incl. Servicepack 3

Supportdatenbank (samba_crypt)

Symptom:

Ab NT4.0 wird mit verschlüsselten Paßworten gearbeitet. Während NT4.0 als 'Fallback' weiterhin mit Plaintext-Paßworten arbeiten kann -macht sich dadurch bemerkbar, daß man durch wiederholte Angabe des Logins und des Paßwortes einen Share mounten kann-, ist NT4.0 incl. Servicepack 3 nicht mehr dazu in der Lage (mehr dazu unter /usr/doc/packages/samba/ENCRYPTION.txt).

Lösung:

Zum einen kann man über einen Eintrag in der Windows-Registry NT dazu bewegen, Plaintext-Paßworte zu benutzen, zum anderen kann man die folgende Möglichkeit nutzen:
  1. Im Sourcepaket von Samba befindet sich ein Script namens mksmbpasswd.sh. Mit Hilfe dieses Scripts muß eine spezielle Paßwortdatei aus der vorhandenen Paßwortdatei erzeugt werden.

    mksmbpasswd.sh:

    #!/bin/sh
awk 'BEGIN {FS=":"
	printf("#\n# SMB password file.\n#\n")
	}
{ printf( "%s:%s:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:%s:%s:%s\n", $1, $3, $5, $6, $7) }
'
    Beispiel:
    1. cat /etc/passwd | mksmbpasswd.sh > /etc/smbpasswd, oder
    2. ypcat passwd | mksmbpasswd.sh > /etc/smbpasswd auf einem NIS-Server, bzw. -Client.
    Hinterher sind die Zugriffsrechte auf diese Datei zu setzen: chmod 600 /etc/smbpasswd.
    Weiterhin ist zu beachten, daß /etc/smbpasswd von SuSE als Default in den Sourcen eingestellt wurde.
  2. Nachdem /etc/smbpasswd erzeugt wurde, muß für jeden Benutzer noch ein Paßwort generiert werden. Dafür ist das Programm smbpasswd zuständig. Falls jeder beliebige Benutzer das selbst vornehmen soll, so ist das SETUID-Bit zu setzen (chmod u+s /usr/bin/smbpasswd). Ansonsten kann nur der Benutzer 'root' die Paßworte der einzelnen Benutzer setzen.
  3. Die Datei /etc/smb.conf muß danach um folgendes erweitert werden (in der global-section): 
    	encrypt passwords = yes
Falls man mehrere Samba-Maschinen im Netz hat, so muß die o.g. Prozedur nicht auf jeder dieser Rechner durchgeführt werden. Es ist nämlich möglich, Samba so zu konfigurieren, daß die Paßworte von einem anderen Rechner (NT-Server oder ein anderer Samba-Server) geholt werden. Dazu muß folgendes in die global-section eingefügt werden: 
	security = server
	password server = YOURSERVER
wobei zu beachten ist, daß 'YOURSERVER' der NetBIOS-Name des Rechners ist (NetBIOS- und DNS-Namen können unterschiedlich sein; NetBIOS-Namen haben eine maximale Länge von 15 Buchstaben), und daß die obigen Einträge nicht auf dem Paßwortserver selbst eingetragen werden, da es sonst zu Loops kommen kann.

WICHTIG:
Sie sollten auf jeden Fall eine möglichst aktuelle Version von Samba benutzen (mindestens Version 1.9.18p2 ist zu empfehlen)!

Siehe auch:
o Samba-Tuning
o Samba: Kennwort für nicht vorhandene share
Stichwörter: SAMBA, NT, PASSWORD, VERSCHLÜSSELT, BSUPP
Kategorien: Samba
SDB-samba_crypt, Copyright SuSE Linux AG, Nürnberg, Germany - Version: 06. Feb 1998
SuSE Linux AG - Zuletzt generiert: 10. Mai 2001 von choeger (sdb_gen 1.40.0)