smb.confのntlm authの設定について
http://www.samba.gr.jp/project/translation/current/htmldocs/manpages/smb.conf.5.html
ntlm auth (G)
smbd(8) がローカル passdb(SAM すなわち アカウントデータベース)に対して、NTLM レスポンスを用いたユーザー認証を 行なうかどうかを設定する。
このパラメーターを無効にした場合は、ローカル passdb に対しての NTLM 認証と LanMan 認証の両方が無効になる。
この設定はあくまでローカルユーザーに対して適用されるものであって、 参加しているドメインにおける認証は、どのようなドメインであってもフォワード され NTLM 認証が行われる。信頼されるドメインであれば、このパラメーター設定 が無効であったり、NTLMv2 認証のみに設定されていても構わない。 ドメインユーザーに対する NTLM 認証を制御するには、このパラメーターを各 DC において設定する必要がある。
lanman auth を no と設定し、 ntlm auth を ntlmv2-only と設定する のが既定値であり、この場合 NTLMv2 によるログインのみが許可される。 たいていのクライアントは NTLMv2 を既定としてサポートしているが、 古いクライアントの中には特別な設定を必要とするものもある。
NTLMv1 は、VPN や 802.1X で用いられる MS-CHAPv2 で主に利用されている。
利用可能な設定は以下のとおり。
警告: Microsoft Windows と Samba の リードオンリドメインコントローラ (RODC) の両方とも、平文による LDAP の単純なバインド をNTLMv2 認証に 変換して、完全な DC に転送する。このオプションを 無効 にすると、それらの認証情報の転送は失敗 する。
さらに、Samba が Active Directory ドメインコントローラとして 動作している場合、ユーザアカウントに対して、 nt hash store が既定の設定 autoだった場合、新規ユーザ用またはパスワード 変更後に、NT ハッシュは、 sam.ldb データベースに 格納されない。
ntlmv1-permitted (yes の別名)- 全クライアントに対し、NTLMv1 以上の認証を許可する。
ntlmv2-only (no の別名)- NTLMv1 の利用を許可せず NTLMv2 の利用を許可する。
mschapv2-and-ntlmv2-only – クライアントが(ntlm_auth ツール のような)MSCHAPv2 認証を提供することが確実である場合に限って NTLMv1 認証を行う。
disabled – NTLM(または LanMan)の どのようなレベルであっても認証を受けつけない。また NTLM パスワード の変更も受けつけない。
Samba 4.5 において、既定値が yes から no に変更された。Samba 4.7 からはさらに ntlmv2-only に変更されたが、その動作は変わって いない。
既定値: ntlm auth = ntlmv2-only
コメント