Je viens de relier ma station de travail Arch Linux au Samba AD que j’ai mis en place pour notre entreprise. Je l’ai testé et ça a fonctionné, ou du moins je le pensais. Il a accepté mon mot de passe quand j’ai fait su - utilisateur_ad. Mais ensuite j’ai découvert qu’il accepte n’importe quel mot de passe pour les utilisateurs AD valides.
N’importe quel mot de passe fonctionne, même un mot de passe vide. C’est un sérieux problème de sécurité. Voici ma configuration PAM.
Analysons la section d’authentification de votre configuration PAM en détail.
auth sufficient pam_unix.so nullok try_first_pass
Le problème est le mot-clé sufficient combiné avec nullok. Quand pam_unix.so est marqué comme sufficient avec nullok, si le module ne peut pas vérifier le mot de passe (car l’utilisateur n’existe pas localement), il retourne une réponse non concluante qui est interprétée comme un succès par la pile PAM.
La solution est de réorganiser vos modules PAM pour que pam_winbind.so (ou pam_sss.so) soit vérifié en premier pour les utilisateurs du domaine, et de retirer nullok de pam_unix.so.