Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

PAM accepte n'importe quel mot de passe pour les utilisateurs valides

ayi

Je viens de relier ma station de travail Arch Linux au Samba AD que j'ai mis en place pour notre entreprise. Je l'ai testé et ça a fonctionné, ou du moins je le pensais. Il a accepté mon mot de passe quand j'ai fait su - utilisateur_ad. Mais ensuite j'ai découvert qu'il accepte n'importe quel mot de passe pour les utilisateurs AD valides.

N'importe quel mot de passe fonctionne, même un mot de passe vide. C'est un sérieux problème de sécurité. Voici ma configuration PAM.

ayi

Analysons la section d'authentification de votre configuration PAM en détail.

auth        sufficient    pam_unix.so nullok try_first_pass

Le problème est le mot-clé sufficient combiné avec nullok. Quand pam_unix.so est marqué comme sufficient avec nullok, si le module ne peut pas vérifier le mot de passe (car l'utilisateur n'existe pas localement), il retourne une réponse non concluante qui est interprétée comme un succès par la pile PAM.

La solution est de réorganiser vos modules PAM pour que pam_winbind.so (ou pam_sss.so) soit vérifié en premier pour les utilisateurs du domaine, et de retirer nullok de pam_unix.so.