Bonjour,
J’essai de comprendre le fonctionnement de la gestion des identifiants et du cryptage des mots de passe dans samba.
J’ai monté une maquette avec un seven 64BITS et un samba3 sur debian squeeze.
En mettant la directive “encrypt password = no” et en n’ajoutant pas de user dans le smbpasswd il est possible d’accéder au partage apparemment, mais en envoyant le mot de passe en clair après modification de la base de registre:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanWorkStation\parameters]
modifier la chaine “EnablePlainTextPassword”=dword:00000001
J’aimerai que l’on me confirme ou infirme mes déductions:
Ce que j’en déduis, c’est qu’avec la directive “encrypt password = no”, samba reçois le mot de passe de session windows en clair et le transmet tel-quel au systeme linux. Afin de pouvoir faire la comparaison du mot de passe reçu, le syteme linux à besoin de le recvoir en clair puis de le hasher en sha-512 et de le comparer au hash dans /etc/shadow. Donc sans base de donnée de passwords hashés smbpasswd, il faut que le mdp arrive en clair pour que unix sache l’interpréter.
Par contre si on passe la directive “encrypt password = yes” alors il faut obligatoirement la base de donnée de passwords hashés avec “smbpasswd” afin que windows puisse envoyer son mot de passe crypté avec NTLM ou NTLMv2 et que samba puisse faire la comparaison du hash recu avec sa base smbpasswd.
Est-ce bien comme cela que ça fonctionne?