Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Serveur samba et fichier de mot passe

pikaraph

Bonjour,

mon serveur samba ne me génère pas de fichier /etc/samba/smbpasswd alors que je l'ai bien mis dans la configuration de smb.conf

Je peux malgré tout ajoute rdes machines windows et des utilisteurs avec smbpasswd -a nom_user et adduser nom_machine$, mais je ne retrouve pas de fichier smbpasswd où que ce soit.

J'ai fait un which qui ne me donne qu'un fichier, le programme /usr/bin/smbpasswd.

Comment est-ce possible que samba fonctionne sans créer un fichier smbpasswd ?

pmarion

J'ai fait un which qui ne me donne qu'un fichier, le programme /usr/bin/smbpasswd.

which est une commande qui travaille avec le PATH pour localiser un fichier (exécutable?) dans les répertoires de ce PATH.
locate est une commande plus précise surtout pour trouver un ou plusieurs fichiers.
Essaie
locate smbpasswd

Le fichier smbpasswd a été déplacé avec la version 3.0 dans un répertoire «private» où il est plus à l'abris que dans /etc/samba (qui est historiquement accessible en lecture à tout le monde).

Pour savoir ou samba stocke son répertoire private :
smbd -b | grep PRIVATE_DIR
PRIVATE_DIR: /var/lib/samba/private
puis
ls /var/lib/samba/private

De plus selon les paramètres samba les login/passwd ne sont pas dans smbpasswd, mais dans des fichiers «tdb».
Depuis la version 3.0 et la collaboration (quelque peu forcée par Bruxelles ? ) avec Micro$oft, il existe tout une série de fichiers «tdb» dans /var/lib pour faciliter l'interopérabilité avec Window$ . Et l'équipe samba pour rester cohérente a déplacé smbpasswd.
Merci l'interopérabilité.
En 2007, PFIF (Protocol Freedom Information Foundation ), indépendante de Samba, a payé à Micro$oft 10.000 € pour obtenir les informations tant attendues par les équipes de Samba.
Tout en restant OpenSource samba s'est engagé à ne pas publier les secrets de fabrication tout en pouvant publier le code relatif à l'interopérabilité. Un accord qui est donc compatible avec les versions 2 et 3 de la GNU. (samba est passé en GNU/GPL 3)

pikaraph

Merci beaucoup pour ces infos, je pense qu'il y a un paquet de monde qui se posait la question !

Je me retrouve avec un fichier /var/lib/samba/private/passdb.tdb, il contient les utilisateurs que j'ai créées, mais vu la gueule du fichier je ne peux pas intervenir dedans pour zapper des infos ou modifier... y a-t-il une solution pour lire correctement ce fichier ?

pmarion

Merci beaucoup pour ces infos, je pense qu'il y a un paquet de monde qui se posait la question !

Ce paquet de monde n'a qu'à faire comme toi, poser une question (précise?) pour avoir une (des?) reponses (précises?)

mais vu la gueule du fichier je ne peux pas intervenir dedans pour zapper des infos ou modifier... y a-t-il une solution pour lire correctement ce fichier ?

Bien sûr qu'il y a des moyens de le lire des fichiers tdb (quant au correctement, c'est à toi de voir).
tdbdump nom_fichier_tdb (plutôt orienté développeur tdb)

{
key(13) = "USER_mon-xp$\00"
data(197) = "\00\00\00\00\FF\FF\FF\7F\FF\FF\FF\7F\00\00\00\00:\D6\92I\00\00\00\00\FF\FF\FF\7F\08\00\00\00MON-XP$\00\0B\00\00\00MONDOMAINE\00\01\00\00\00\00\08\00\00\00MON-XP$\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\01\00\00\00\00\01\00\00\00\00\00\00\00\00\01\00\00\00\00\E9\03\00\00\01\02\00\00\00\00\00\00\10\00\00\00\FF\EF2V\A2\BA\FB\FA~\F16xH\E1#\B4\00\00\00\00\80\00\00\00\A8\00\15\00\00\00 \00\00\00\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\EC\04\00\00"
}
{
key(13) = "RID_000003e8\00"
data(5) = "root\00"
}
{
key(9) = "USER_pma\00"
data(187) = "\00\00\00\00\FF\FF\FF\7F\FF\FF\FF\7F\00\00\00\00fEII\00\00\00\00\FF\FF\FF\7F\04\00\00\00pma\00\09\00\00\00SERVEUR1\00\01\00\00\00\00\04\00\00\00pma\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\01\00\00\00\00\01\00\00\00\00\00\00\00\00\01\00\00\00\00\D0\07\00\00\01\02\00\00\00\00\00\00\10\00\00\00\9D\B3!\1E\884\A2\0B\BA\F7\9E\C4\98iXd\00\00\00\00\10\00\00\00\A8\00\15\00\00\00 \00\00\00\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\EC\04\00\00"
}
{
key(13) = "RID_000003e9\00"
data(8) = "mon-xp$\00"
}
{
key(13) = "RID_000007d0\00"
data(4) = "pma\00"
}
{
key(13) = "INFO/version\00"
data(4) = "\03\00\00\00"
}
{
key(10) = "USER_root\00"
data(191) = "\00\00\00\00\FF\FF\FF\7F\FF\FF\FF\7F\00\00\00\00h\DA\92I\00\00\00\00\FF\FF\FF\7F\05\00\00\00root\00\0B\00\00\00MONDOMAINE\00\01\00\00\00\00\05\00\00\00root\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\01\00\00\00\00\01\00\00\00\00\00\00\00\00\01\00\00\00\00\E8\03\00\00\01\02\00\00\00\00\00\00\10\00\00\00\9D\B3!\1E\884\A2\0B\BA\F7\9E\C4\98iXd\00\00\00\00\10\00\00\00\A8\00\15\00\00\00 \00\00\00\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\FF\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\EC\04\00\00"
}

Autre commande
pbedit -L nom_utilisateur (pour ceux qui veulent tout savoir)

Home server: serveur1
Unix username:        pma
NT username:          
Account Flags:        [U          ]
User SID:             S-1-5-21-450892892-3028577695-3961594777-2000
Finding user pma
Trying _Get_Pwnam(), username as lowercase is pma
Get_Pwnam_internals did find user [pma]!
Primary Group SID:    S-1-5-21-450892892-3028577695-3961594777-513
Full Name:            pma
Home Directory:       \\serveur1\pma
HomeDir Drive:        
Logon Script:         
Profile Path:         \\serveur1\pma\profile
Domain:               SERVEUR1
Account desc:         
Workstations:         
Munged dial:          
Logon time:           0
Logoff time:          never
Kickoff time:         never
Password last set:    mer, 17 déc 2008 19:31:02 CET
Password can change:  mer, 17 déc 2008 19:31:02 CET
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

Enfin pour faire plus simple et te rassurer (j'ai volontairement commencé par le plus compliqué)
pdbedit -L

root:0:root
MON-XP$:4294967295:MON-XP$
pma:500:pma

Voir
apropos tdb
man tdbdump
man pdbedit

pikaraph

OK super, tu me sauves la mise !!

Ils ont pas trouvé plus compliqué ?! J'aimais bien mon fichier smbpasswd...:hammer:

par contre je ne trouve pas comment modifier les données dans passdb.tdb dans le man. Je ne peux que lister. On est obligé de supprimer avec -x ?

pmarion

Ils ont pas trouvé plus compliqué

N'importe qui pouvait récupérer un fichier smbpasswd et lancer autour des outils de craquage avec les conséquences que l'on peut imaginer.
Pour l'authentification UNIX (Linux) le fichier /etc/shadow (qui contient réellement le mot de passe) est inaccessible aux utilisateurs non priviligiés, mais si tu laisse une fenêtre ouverte sous root, attention aux risques de craquage (sur une autre machine, ou une batterie de machines).

J'aimais bien mon fichier smbpasswd...

Allez il ne faut pas être trop passéiste.
L'évolution de samba semble être la même que firefox, ... qui utilisent maintenant des fichiers de type db plutôt que des fichiers plats.
Il n'y a pas que des raisons de sécurité, mais aussi des raisons de performances.

Tant que l'on peut visualiser/exporter ce dont on a besoin, il n'y a pas de problème.
Ce n'est pas toujours le cas avec des automatismes comme le nouvel Xorg qui a la prétention de tout configurer automatiquement dans la plus totale opacité (à part un log illisible).
Ce qui pose des problèmes.

Heldwin wrote:Mais ça vient peut-être du faite que je n'ai connu que pdbedit pour modifier ces données.

Oui mais pour ceux qui ont plus de douze ans d'ancienneté sur samba (sous UNIX IV ou V) , il y a eu énormément d'évolution dans samba et le passage aux «tdb» n'est qu'une des ces évolutions.

je ne pense pas qu'il y ait une différence entre
pdbedit -Lv nom_utilisateur
et
pdbedit -v nom_utilisateur

Exemple :
pdbedit -Lv nom_utilisateur | sum
pdbedit -v nom_utilisateur | sum

donnent le même résultat