Proposition Scénario #23999
Génération de Hash supplémentaires dans l'attribut SupplementalCredentials
% réalisé:
0%
Description
A partir de la version samba 4.7, il est possible de générer des Hash supplémentaires qui sont stockés dans l'attribut SupplementalCredentials
La configuration est simple, il suffit d'ajouter un ligne dans smb.conf avec les formats attendus :
- password hash userPassword schemes = CryptSHA256 CryptSHA512*
Dans cette exemple, au prochain changement de mot de passe du user via CTRL ALT SUPP ou bien via samba-tool, cela génèrera dans l'attribut supplementalCredentials deux hash :
root@pdc-ad1:~# samba-tool user getpassword toto --attributes=virtualCryptSHA512,virtualCryptSHA256 dn: CN=toto,CN=Users,DC=ac-test,DC=eole Got password OK root@pdc-ad1:~# samba-tool user getpassword toto --attributes=virtualCryptSHA512,virtualCryptSHA256 dn: CN=toto,CN=Users,DC=ac-test,DC=eole virtualCryptSHA256: {CRYPT}$5$Bg0Vq1Nm22S4ITbE$YUIa8/bDvD58iBT6KzAmVT4sRIb3brY ri5B2do4ap77 virtualCryptSHA512: {CRYPT}$6$V8BOezBunSOZ7fcK$uzngXi8P4GhC06JM9PQ/125KHKuiIr5 Yxz7WYkdjwdxmj0VPbbZ3PvKR35qbEUhFKAcG66mrm750KapIIU3pu. Got password OK
Les formats proposés sont décrits dans MAN smb.conf :
password hash userPassword schemes (G) This parameter determines whether or not samba(8) acting as an Active Directory Domain Controller will attempt to store additional passwords hash types for the user The values are stored as 'Primary:userPassword' in the supplementalCredentials attribute. The value of this option is a hash type. The currently supported hash types are: · CryptSHA256 · CryptSHA512 Multiple instances of a hash type may be computed and stored. The password hashes are calculated using the crypt(3) call. The number of rounds used to compute the hash can be specified by adding ':rounds=xxxx' to the hash type, i.e. CryptSHA512:rounds=4500 would calculate an SHA512 hash using 4500 rounds. If not specified the Operating System defaults for crypt(3) are used. As password changes can occur on any domain controller, you should configure this on each of them. Note that this feature is currently available only on Samba domain controllers. Currently the NT Hash of the password is recorded when these hashes are calculated and stored. When retrieving the hashes the current value of the NT Hash is checked against the stored NT Hash. This detects password changes that have not updated the password hashes. In this case samba-tool user will ignore the stored hash values. Being able to obtain the hashed password helps, when they need to be imported into other authentication systems later (see samba-tool user getpassword) or you want to keep the passwords in sync with another system, e.g. an OpenLDAP server (see samba-tool user syncpasswords). Related command: unix password sync Default: password hash userPassword schemes = Example: password hash userPassword schemes = CryptSHA256 Example: password hash userPassword schemes = CryptSHA256 CryptSHA512 Example: password hash userPassword schemes = CryptSHA256:rounds=5000 CryptSHA512:rounds=7000
H2. Evolution à faire coté EOLE : ajouter un attribut permettant de désigner les hash à générer
Demandes liées
Historique
#1 Mis à jour par Emmanuel IHRY il y a presque 6 ans
- Points de scénarios mis à 2.0
#2 Mis à jour par Emmanuel IHRY il y a presque 6 ans
- Echéance mis à 13/07/2018
- Version cible mis à Sprint 2018 26-28 Equipe PNE-SR
- Début mis à 25/06/2018
#3 Mis à jour par Emmanuel IHRY il y a presque 6 ans
- Assigné à mis à force bleue
#4 Mis à jour par Emmanuel GARETTE il y a presque 6 ans
- Points de scénarios changé de 2.0 à 1.0
#5 Mis à jour par Emmanuel IHRY il y a presque 6 ans
- Version cible changé de Sprint 2018 26-28 Equipe PNE-SR à Sprint 2018 29-34 Equipe PNE-SR
#6 Mis à jour par Emmanuel IHRY il y a presque 6 ans
- Version cible changé de Sprint 2018 29-34 Equipe PNE-SR à Sprint 2018 35-37 Equipe PNE-SR
#7 Mis à jour par Emmanuel IHRY il y a plus de 5 ans
- Version cible changé de Sprint 2018 35-37 Equipe PNE-SR à Sprint 2018 38-40 Equipe PNE-SR
#8 Mis à jour par Emmanuel IHRY il y a plus de 5 ans
- Version cible changé de Sprint 2018 38-40 Equipe PNE-SR à Sprint 2018 44-46 Equipe PNE-SR
#9 Mis à jour par Emmanuel IHRY il y a plus de 5 ans
- Version cible changé de Sprint 2018 44-46 Equipe PNE-SR à Sprint 2018 47-49 Equipe PNE-SR
#10 Mis à jour par Emmanuel IHRY il y a plus de 5 ans
- Version cible changé de Sprint 2018 47-49 Equipe PNE-SR à Sprint 2018 44-46 Equipe PNE-SR
#11 Mis à jour par Emmanuel IHRY il y a plus de 5 ans
- Version cible changé de Sprint 2018 44-46 Equipe PNE-SR à Sprint 2018 50-52 Equipe PNE-SR
#12 Mis à jour par Emmanuel IHRY il y a plus de 5 ans
- Echéance
13/07/2018supprimé - Version cible
Sprint 2018 50-52 Equipe PNE-SRsupprimé - Début
29/05/2018supprimé
#13 Mis à jour par Emmanuel IHRY il y a plus de 5 ans
- Echéance mis à 25/01/2019
- Version cible mis à sprint 2019 2-4 Equipe MENSR
- Début mis à 07/01/2019
#14 Mis à jour par Benjamin Bohard il y a plus de 5 ans
- Dupliqué par Scénario #26377: Évolution de la configuration de Samba ajouté
#15 Mis à jour par Joël Cuissinat il y a plus de 5 ans
- Tracker changé de Scénario à Proposition Scénario
- Statut changé de Nouveau à Fermé
- Version cible
sprint 2019 2-4 Equipe MENSRsupprimé
#16 Mis à jour par Joël Cuissinat il y a plus de 5 ans
- Dupliqué par Scénario #26377: Évolution de la configuration de Samba supprimé
#17 Mis à jour par Joël Cuissinat il y a plus de 5 ans
- Duplique Scénario #26377: Évolution de la configuration de Samba ajouté