Sécurité: mount_smbfs versus smbclient... quelques observations
12 réponses
jperrocheau
Bonjour,
En faisant des essais de connexion vers un serveur SMB* sur lequel le
cryptage des login/mot de passe a été désactivé (lanman, NTLMv1 ou
NTLMv2/LMv2, je ne sais pas), je me suis aperçu que le Finder se
connecte sans pb alors que smbclient en CLI refuse.
A priori le Finder utilise mount_smbfs. J'en conclue que mount_smbfs
autorise silencieusement la connection avec envoi du mot de passe en
clair alors que smbclient ne l'autorise pas.
Qu'en pensent les spécialistes ?
*Selon mes investigations, c'est une machine sous Windows 2k qui sert de
pont en SMB pour atteindre l'espace disque qui nous est alloué à la Fac.
Je suis sur que l'encryptage du mot de passe a été désactivé, car on m'a
fait changé la clef d'un client WinXP qui lui par défaut empêche l'envoi
du mot de passe sans cryptage.
P.S. léger cruci-postage sur fr.comp.os.mac-os.serveurs, où doivent ses
trouver les spécialistes... ;-)
--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com
On Fri, 13 Oct 2006 21:16:57 +0200, (Jacques Perrocheau) wrote:
Qu'en pensent les spécialistes ? Va voir tes GPO
-- Nina
Patrick Stadelmann
In article <1hn5yps.zef52m13tf74oN%, (Jacques Perrocheau) wrote:
En faisant des essais de connexion vers un serveur SMB* sur lequel le cryptage des login/mot de passe a été désactivé (lanman, NTLMv1 ou NTLMv2/LMv2, je ne sais pas), je me suis aperçu que le Finder se connecte sans pb alors que smbclient en CLI refuse.
A priori le Finder utilise mount_smbfs. J'en conclue que mount_smbfs autorise silencieusement la connection avec envoi du mot de passe en clair alors que smbclient ne l'autorise pas.
Qu'en pensent les spécialistes ?
Ca ne devrait pas être le cas en 10.4.x : http://docs.info.apple.com/article.html?artnum01580
Patrick -- Patrick Stadelmann
In article <1hn5yps.zef52m13tf74oN%jperrocheau@mac.com.invalid>,
jperrocheau@mac.com.invalid (Jacques Perrocheau) wrote:
En faisant des essais de connexion vers un serveur SMB* sur lequel le
cryptage des login/mot de passe a été désactivé (lanman, NTLMv1 ou
NTLMv2/LMv2, je ne sais pas), je me suis aperçu que le Finder se
connecte sans pb alors que smbclient en CLI refuse.
A priori le Finder utilise mount_smbfs. J'en conclue que mount_smbfs
autorise silencieusement la connection avec envoi du mot de passe en
clair alors que smbclient ne l'autorise pas.
Qu'en pensent les spécialistes ?
Ca ne devrait pas être le cas en 10.4.x :
http://docs.info.apple.com/article.html?artnum01580
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1hn5yps.zef52m13tf74oN%, (Jacques Perrocheau) wrote:
En faisant des essais de connexion vers un serveur SMB* sur lequel le cryptage des login/mot de passe a été désactivé (lanman, NTLMv1 ou NTLMv2/LMv2, je ne sais pas), je me suis aperçu que le Finder se connecte sans pb alors que smbclient en CLI refuse.
A priori le Finder utilise mount_smbfs. J'en conclue que mount_smbfs autorise silencieusement la connection avec envoi du mot de passe en clair alors que smbclient ne l'autorise pas.
Qu'en pensent les spécialistes ?
Ca ne devrait pas être le cas en 10.4.x : http://docs.info.apple.com/article.html?artnum01580
Patrick -- Patrick Stadelmann
laurent.pertois
Nina Popravka wrote:
On Fri, 13 Oct 2006 21:16:57 +0200, (Jacques Perrocheau) wrote:
Qu'en pensent les spécialistes ?
Va voir tes GPO
Sur un Mac, ça ne va pas être simple...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nina Popravka <Nina@nospam> wrote:
On Fri, 13 Oct 2006 21:16:57 +0200, jperrocheau@mac.com.invalid
(Jacques Perrocheau) wrote:
Qu'en pensent les spécialistes ?
Va voir tes GPO
Sur un Mac, ça ne va pas être simple...
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
On Fri, 13 Oct 2006 21:16:57 +0200, (Jacques Perrocheau) wrote:
Qu'en pensent les spécialistes ?
Va voir tes GPO
Sur un Mac, ça ne va pas être simple...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Nina Popravka
On Fri, 13 Oct 2006 23:13:19 +0200, (Laurent Pertois) wrote:
Va voir tes GPO Sur un Mac, ça ne va pas être simple...
Voui, j'étais partie à l'envers :-)))))
Je croyais qu'il y avait des morceaux de Win là où il fallait... -- Nina
On Fri, 13 Oct 2006 23:13:19 +0200, laurent.pertois@alussinan.org
(Laurent Pertois) wrote:
Va voir tes GPO
Sur un Mac, ça ne va pas être simple...
Voui, j'étais partie à l'envers :-)))))
Je croyais qu'il y avait des morceaux de Win là où il fallait...
--
Nina
Cela doit être du jargon microsoftien le plus achevé...
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
jperrocheau
Patrick Stadelmann wrote:
Ca ne devrait pas être le cas en 10.4.x : http://docs.info.apple.com/article.html?artnum01580
Exact, j'ai oublié de dire que je faisais cela à partir d'un Mac OS X 10.3.9.
Merci pour le lien, j'ai la réponse à ma question dans cet article.
---- Unlike Mac OS X 10.3, the Mac OS X 10.4 SMB/CIFS client by default only supports encrypted passwords. Most modern Samba or Windows (SMB/CIFS) servers use encrypted passwords by default, while some Samba servers might have to be reconfigured. ----
La question suivante est, peut-on reconfigurer le mount_smbfs de Mac OS X 10.3.9 pour qu'il se comporte comme celui de Mac OS X 10.4.x (interdiction d'envoi de mot de passe en clair) ?
J'ai cherché dans le man de Mac OS X 10.4.8
$ man nsmb.conf No manual entry for nsmb.conf
Dans celui de smb.conf et mount_smbfs, je n'ai rien trouvé concernant ce "/etc/nsmb.conf". Il est juste question d'un "~/.nsmbrc" dans le man de mount_smbfs et de smbutil.
Même avec cela <http://nixdoc.net/man-pages/FreeBSD/man5/nsmb.conf.5.html> je ne vois pas ce que je peux faire... Je ne vois pas trop la syntaxe à utiliser... pour faire l'inverse de
[default] minauth=none
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Ca ne devrait pas être le cas en 10.4.x :
http://docs.info.apple.com/article.html?artnum01580
Exact, j'ai oublié de dire que je faisais cela à partir d'un Mac OS X
10.3.9.
Merci pour le lien, j'ai la réponse à ma question dans cet article.
----
Unlike Mac OS X 10.3, the Mac OS X 10.4 SMB/CIFS client by default only
supports encrypted passwords. Most modern Samba or Windows (SMB/CIFS)
servers use encrypted passwords by default, while some Samba servers
might have to be reconfigured.
----
La question suivante est, peut-on reconfigurer le mount_smbfs de Mac OS
X 10.3.9 pour qu'il se comporte comme celui de Mac OS X 10.4.x
(interdiction d'envoi de mot de passe en clair) ?
J'ai cherché dans le man de Mac OS X 10.4.8
$ man nsmb.conf
No manual entry for nsmb.conf
Dans celui de smb.conf et mount_smbfs, je n'ai rien trouvé concernant ce
"/etc/nsmb.conf". Il est juste question d'un "~/.nsmbrc" dans le man de
mount_smbfs et de smbutil.
Même avec cela
<http://nixdoc.net/man-pages/FreeBSD/man5/nsmb.conf.5.html> je ne vois
pas ce que je peux faire... Je ne vois pas trop la syntaxe à utiliser...
pour faire l'inverse de
[default]
minauth=none
--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com
Ca ne devrait pas être le cas en 10.4.x : http://docs.info.apple.com/article.html?artnum01580
Exact, j'ai oublié de dire que je faisais cela à partir d'un Mac OS X 10.3.9.
Merci pour le lien, j'ai la réponse à ma question dans cet article.
---- Unlike Mac OS X 10.3, the Mac OS X 10.4 SMB/CIFS client by default only supports encrypted passwords. Most modern Samba or Windows (SMB/CIFS) servers use encrypted passwords by default, while some Samba servers might have to be reconfigured. ----
La question suivante est, peut-on reconfigurer le mount_smbfs de Mac OS X 10.3.9 pour qu'il se comporte comme celui de Mac OS X 10.4.x (interdiction d'envoi de mot de passe en clair) ?
J'ai cherché dans le man de Mac OS X 10.4.8
$ man nsmb.conf No manual entry for nsmb.conf
Dans celui de smb.conf et mount_smbfs, je n'ai rien trouvé concernant ce "/etc/nsmb.conf". Il est juste question d'un "~/.nsmbrc" dans le man de mount_smbfs et de smbutil.
Même avec cela <http://nixdoc.net/man-pages/FreeBSD/man5/nsmb.conf.5.html> je ne vois pas ce que je peux faire... Je ne vois pas trop la syntaxe à utiliser... pour faire l'inverse de
[default] minauth=none
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
blanc
Jacques Perrocheau wrote:
Il est juste question d'un "~/.nsmbrc" dans le man de mount_smbfs et de smbutil.
Il y est dit que tu peux obtenir un mot de passe (faiblement) crypté par la commande :
smbutil crypt
que tu peux le mettre ensuite dans ~/.nsmbrc
et enfin que tu peux utiliser mount_smbfs avec l'option -N pour lire un tel mot de passe dans ce fichier plutôt que d'en demander un au clavier.
C'est du moins ce que je comprends à la lecture de ces deux man. Je n'ai pas testé, et je ne sais pas si ça marche en 10.3.9.
JPaul.
-- /==/==- Jean-Paul BLANC / /--/--// quelque-part (somewhere) |/| L | en (in) /|| = ||| FRANCE
Jacques Perrocheau <jperrocheau@mac.com.invalid> wrote:
Il est juste question d'un "~/.nsmbrc" dans le man de
mount_smbfs et de smbutil.
Il y est dit que tu peux obtenir un mot de passe (faiblement) crypté par
la commande :
smbutil crypt
que tu peux le mettre ensuite dans ~/.nsmbrc
et enfin que tu peux utiliser mount_smbfs avec l'option -N pour lire un
tel mot de passe dans ce fichier plutôt que d'en demander un au clavier.
C'est du moins ce que je comprends à la lecture de ces deux man. Je n'ai
pas testé, et je ne sais pas si ça marche en 10.3.9.
JPaul.
--
/==/==\- Jean-Paul BLANC
/ /--/--//\ quelque-part (somewhere)
|/| L |\ en (in)
/|| = |||\ FRANCE
Il est juste question d'un "~/.nsmbrc" dans le man de mount_smbfs et de smbutil.
Il y est dit que tu peux obtenir un mot de passe (faiblement) crypté par la commande :
smbutil crypt
que tu peux le mettre ensuite dans ~/.nsmbrc
et enfin que tu peux utiliser mount_smbfs avec l'option -N pour lire un tel mot de passe dans ce fichier plutôt que d'en demander un au clavier.
C'est du moins ce que je comprends à la lecture de ces deux man. Je n'ai pas testé, et je ne sais pas si ça marche en 10.3.9.
JPaul.
-- /==/==- Jean-Paul BLANC / /--/--// quelque-part (somewhere) |/| L | en (in) /|| = ||| FRANCE
jperrocheau
JPaul wrote:
Il est juste question d'un "~/.nsmbrc" dans le man de mount_smbfs et de smbutil.
Il y est dit que tu peux obtenir un mot de passe (faiblement) crypté par la commande :
smbutil crypt
que tu peux le mettre ensuite dans ~/.nsmbrc
et enfin que tu peux utiliser mount_smbfs avec l'option -N pour lire un tel mot de passe dans ce fichier plutôt que d'en demander un au clavier.
C'est du moins ce que je comprends à la lecture de ces deux man. Je n'ai pas testé, et je ne sais pas si ça marche en 10.3.9.
Certes, certes, mais ce n'est pas cela qui m'interesse, c'est de ne pas autoriser le mount_smbfs de Mac OS X 10.3.9 à envoyer un mot de passe en clair et donc de refuser la connexion avec les serveur SMB qui n'exige pas le cryptage du mot de passe comme le fait par défaut celui de Mac OS X 10.4.x.
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
JPaul <blanc@empty.org> wrote:
Il est juste question d'un "~/.nsmbrc" dans le man de
mount_smbfs et de smbutil.
Il y est dit que tu peux obtenir un mot de passe (faiblement) crypté par
la commande :
smbutil crypt
que tu peux le mettre ensuite dans ~/.nsmbrc
et enfin que tu peux utiliser mount_smbfs avec l'option -N pour lire un
tel mot de passe dans ce fichier plutôt que d'en demander un au clavier.
C'est du moins ce que je comprends à la lecture de ces deux man. Je n'ai
pas testé, et je ne sais pas si ça marche en 10.3.9.
Certes, certes, mais ce n'est pas cela qui m'interesse, c'est de ne pas
autoriser le mount_smbfs de Mac OS X 10.3.9 à envoyer un mot de passe en
clair et donc de refuser la connexion avec les serveur SMB qui n'exige
pas le cryptage du mot de passe comme le fait par défaut celui de Mac OS
X 10.4.x.
--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:jperrocheau@mac.com
Il est juste question d'un "~/.nsmbrc" dans le man de mount_smbfs et de smbutil.
Il y est dit que tu peux obtenir un mot de passe (faiblement) crypté par la commande :
smbutil crypt
que tu peux le mettre ensuite dans ~/.nsmbrc
et enfin que tu peux utiliser mount_smbfs avec l'option -N pour lire un tel mot de passe dans ce fichier plutôt que d'en demander un au clavier.
C'est du moins ce que je comprends à la lecture de ces deux man. Je n'ai pas testé, et je ne sais pas si ça marche en 10.3.9.
Certes, certes, mais ce n'est pas cela qui m'interesse, c'est de ne pas autoriser le mount_smbfs de Mac OS X 10.3.9 à envoyer un mot de passe en clair et donc de refuser la connexion avec les serveur SMB qui n'exige pas le cryptage du mot de passe comme le fait par défaut celui de Mac OS X 10.4.x.
-- Jacques PERROCHEAU ________________________________________________________________________ e-mail: mailto:
Patrick Stadelmann
In article <1hn7f0a.10de1nw1hjtgcsN%, (Jacques Perrocheau) wrote:
Certes, certes, mais ce n'est pas cela qui m'interesse, c'est de ne pas autoriser le mount_smbfs de Mac OS X 10.3.9 à envoyer un mot de passe en clair et donc de refuser la connexion avec les serveur SMB qui n'exige pas le cryptage du mot de passe comme le fait par défaut celui de Mac OS X 10.4.x.
Ce serait plutôt une modifications à faire côté serveur.
Patrick -- Patrick Stadelmann
In article <1hn7f0a.10de1nw1hjtgcsN%jperrocheau@mac.com.invalid>,
jperrocheau@mac.com.invalid (Jacques Perrocheau) wrote:
Certes, certes, mais ce n'est pas cela qui m'interesse, c'est de ne pas
autoriser le mount_smbfs de Mac OS X 10.3.9 à envoyer un mot de passe en
clair et donc de refuser la connexion avec les serveur SMB qui n'exige
pas le cryptage du mot de passe comme le fait par défaut celui de Mac OS
X 10.4.x.
Ce serait plutôt une modifications à faire côté serveur.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1hn7f0a.10de1nw1hjtgcsN%, (Jacques Perrocheau) wrote:
Certes, certes, mais ce n'est pas cela qui m'interesse, c'est de ne pas autoriser le mount_smbfs de Mac OS X 10.3.9 à envoyer un mot de passe en clair et donc de refuser la connexion avec les serveur SMB qui n'exige pas le cryptage du mot de passe comme le fait par défaut celui de Mac OS X 10.4.x.
Ce serait plutôt une modifications à faire côté serveur.