Samba a WinXP

[Honza Houstek]

> Wokna standartne posilaj hesla kryptovany (a je to potreba mit v sambe
> zapnuty). POkud by jste to chtel vypnout, tak se musi nekde neco
> prenastavit v registrech Woken, ale s tim Vam neporadim. S woknama tolik
> neumim a bylo by to taky na jinou konferenci.

Ne, tohle jsou nesouvisejici veci. Ten RequireSignOrSeal problem se tyka
jen samby v roli PDC a jen kdyz se hlasim do domeny. Jinak se pripojit k
nejakemu share lze i bez toho.

Je skutecne potreba zapnout sifrovana hesla (encrypt passwords). Duvodem,
proc se to neustale omila s periodou nekolika tydnu v ruznych konferencich
a forech je to, ze v sambe to je DEFAULTNE VYPNUTO.

Duvodem je to, ze hashe, ktere windoze pouzivaji, jsou jine, nez v UNIXu
(tedy v 95/98 je to nejaky genialni napad se zasifrovanim znameho retezce
pomoci DES s heslem jako klicem a v NT a vys pak variace na tema MD4).
Pokud ma pak samba nejak spolupracovat s vecmi jako je PAM apod., tak
potrebuje ta hesla v ciste podobe.

Skutecnost je ale jeste horsi. To "sifrovani" hesel znamena jen to, ze se
posila hash misto hesla, nicmene znalost hashe bohate staci na to ziskat
pristup k tomu uctu. A ani to neda moc prace, kdyz uz tu je open source
smbclient <g>.

Nicmene zda se, ze do budoucna je tomu konec, protoze ted by mely windoze
vymenit tyhle podivne hashe za Kerberos (*), coz sice v mych ocich taky
neni zadna vyhra, ale je to tak o pet radu lepsi nez to predtim.

-- Honza Houstek


(*) samozrejme ten jejich Kerberos je dostatecne nekompatibilni se zbytkem
sveta, ale to nikoho neprekvapuje