From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <a.bokovoy@sam-solutions.net>
Date: Tue, 24 Sep 2002 21:00:00 +0300
From: Alexander Bokovoy <a.bokovoy@sam-solutions.net>
To: community@altlinux.ru
Subject: Re: [Comm] samba3 as PDC & Win2K
Message-ID: <20020924180000.GA14370@sam-solutions.net>
References: <02091916303203.11142@fileserver.masterlist.ru> <20020919222035.23ac218b.avl@l14.ru> <5515828550.20020919225230@park-net.ru> <20020920070146.GA20821@sam-solutions.net> <1762815548.20020924111824@pochtamt.ru>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <1762815548.20020924111824@pochtamt.ru>
Sender: community-admin@altlinux.ru
Errors-To: community-admin@altlinux.ru
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.0.13
Precedence: bulk
Reply-To: community@altlinux.ru
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Id: <community.altlinux.ru>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
List-Archive: <http://www.altlinux.ru/pipermail/community/>
Archived-At: <http://lore.altlinux.org/community/20020924180000.GA14370@sam-solutions.net/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

On Tue, Sep 24, 2002 at 11:18:24AM +1200, Alexey Borovskoy wrote:
> Добрый день.
> 
> Вы писали 20 сентября 2002 г., 19:01:46:
> 
> AB> On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
> 
> AB> Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
> AB> отвратительные свойства. Одно из них, например, позволяет, пользуясь
> AB> только привилегиями машинной учетной записи, устроить Denial of Service
> AB> любой Windows 2000/XP с любым сервис-паком.
> А каким образом?
Подробности пока рассказать не могу. Дыра маленькая, окно ее существования
в природе тоже мало -- время присоединения в домен -- но есть способ
эксплуатации, не требующий наличия этого окна.

 
> >> А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
> >> теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
> >> как AD server, но и не сказано, то  что не может. Так только клиент
> >> или  и сервер тоже?
> AB> Только клиент. Работа на серверной функциональностью сейчас идет
> AB> совместными усилиями IBM, Quantum, PADL Software и еще целого ряда
> AB> организаций. Кое-какие наработки уже есть.
> 
> А где можно посмотреть?
На CIFS2002 IBM обещала отдать имеющийся код как только получится. У них
есть определенный процесс, включающий в том числе и итерации с участием
юристов. Но это еще не полноценный сервер, а прототип.

> 
> AB> Самба сама указывает в GSSAPI, какие TGT требуются. Фактически, из
> AB> krb5.conf нужен только один или два параметра, а скоро для клиента вообще
> AB> ничего не надо будет.
> 
> А можно по-подробнее?
Могу только отправить в исходники Samba 3.0, source/libads/*

-- 
/ Alexander Bokovoy
---
It just doesn't seem right to go over the river and through the woods
to Grandmother's condo.