Переместите пароли Linux в Active Directory
ssh... передают использование Fugu на Mac и Filezilla на Linux/Windows как клиенты.
Нет никакого способа действительно иметь плоскость "FTP" быть безопасным, когда имя пользователя/пароль отправляется в открытом тексте.
Вы могли бы хотеть исследовать использование формы WebDAV для легких передач файлов клиентам; если это - что-то в бизнесе на внутренней LAN, почему доля файла не возможна?
иначе vsftpd работал довольно хорошо в прошлом, но снова мы не хлопаем много для совместного использования там, потому что это небезопасно как протокол, и мы обычно обращаемся к долям с помощью Windows Samba/собственного компонента для перемещения файлов.
Проблема, которую я вижу, - то, что локальные пароли UNIX посолились хеши. Я не думаю, что ActiveDirectory делает, и нет никакого способа добраться от соленого хеша до незашифрованного пароля. Чтобы сделать это, необходимо было бы по существу осуществить сниффинг пароля, поскольку пользователь вводит его и проверяет его против хеша. Можно сделать это (это может или не может быть легко), но это неправильно в принципе.
Почему Вы так отказываетесь изменить пароли? Я исследовал бы это сначала, потому что мне кажется, что безотносительно причины позади того нежелания, это - вероятно, проблема безопасности.
-
1Мы отказываемся сделать, чтобы они изменили пароли, потому что у нас есть более чем 400 пользователей, и то, чтобы заставлять их сделать что-либо берет немного организации. Кроме того, Мы только используем AD для части инфраструктуры и не всего, таким образом, мы не собираемся связывать эту AD систему с любыми полями Linux. – RaginBajin 21 July 2010 в 16:18
Это кажется невозможным мне также. Поэтому для дальнейшего использования люди прикладывают много сил для аутентификации Kerberos на полях Linux или движения полного на совместимости домена Windows с Samba/Winbind. Это пресекает эту проблему в корне.
Так, если бы у Ваших пользователей уже есть параллельные учетные записи домена, они не используют на полях Linux, что было бы легче, реверс: получение аутентификации Kerberos, которая лежит в основе AD, чтобы работать над полями Linux и изменить PAM для приоритизации аутентификации с AD/обочиной перед подсистемами локальной аутентификации. Не уверенный, если это имеет смысл, но у Вас есть надежда, если это возможно для Вас. Это не настолько плохо, как это звучит.
-
1Они не имеют в распоряжении параллельных систем. Это было бы добавлением на этом, мы делаем для создания Рекламной сети для людей для использования. Возможно, если бы все думали, что AD система была успешна, то мы могли бы переместить ее, но это - длинный путь от действительности. – RaginBajin 21 July 2010 в 16:19
-
2@RaginBajin, я слышу Вас. Я перечитал вопрос и комментарии. Я был в Вашем положении прежде, и те пользователи, живые в их собственном небольшом рае в результате. Извините, если я был педантичен, кажется, что Вы хорошо знаете об альтернативах на основе своих комментариев. – songei2f 21 July 2010 в 16:43