Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

PAM accepte n'importe quel mot de passe pour les utilisateurs valides

ayi

Je viens de relier ma station de travail Arch Linux au Samba AD que j’ai mis en place pour notre entreprise. Je l’ai testé et ça a fonctionné, ou du moins je le pensais. Il a accepté mon mot de passe quand j’ai fait <code>su - utilisateur_ad</code>. Mais ensuite j’ai découvert qu’il accepte n’importe quel mot de passe pour les utilisateurs AD valides.
N’importe quel mot de passe fonctionne, même un mot de passe vide. C’est un sérieux problème de sécurité. Voici ma configuration PAM.

ayi_2

Analysons la section d’authentification de votre configuration PAM en détail.
<pre><code class="lang-auto">auth sufficient pam_unix.so nullok try_first_pass

</code></pre>
Le problème est le mot-clé <code>sufficient</code> combiné avec <code>nullok</code>. Quand <code>pam_unix.so</code> est marqué comme <code>sufficient</code> avec <code>nullok</code>, si le module ne peut pas vérifier le mot de passe (car l’utilisateur n’existe pas localement), il retourne une réponse non concluante qui est interprétée comme un succès par la pile PAM.
La solution est de réorganiser vos modules PAM pour que <code>pam_winbind.so</code> (ou <code>pam_sss.so</code>) soit vérifié en premier pour les utilisateurs du domaine, et de retirer <code>nullok</code> de <code>pam_unix.so</code>.