[Comm] samba3 as PDC & Win2K

[Alexander Bokovoy]

On Tue, Sep 24, 2002 at 11:18:24AM +1200, Alexey Borovskoy wrote:
> Добрый день.
> 
> Вы писали 20 сентября 2002 г., 19:01:46:
> 
> AB> On Thu, Sep 19, 2002 at 10:52:30PM +0400, grimnir wrote:
> 
> AB> Ничего на самом деле здорового в этом нет. Сама реализация имеет очень
> AB> отвратительные свойства. Одно из них, например, позволяет, пользуясь
> AB> только привилегиями машинной учетной записи, устроить Denial of Service
> AB> любой Windows 2000/XP с любым сервис-паком.
> А каким образом?
Подробности пока рассказать не могу. Дыра маленькая, окно ее существования
в природе тоже мало -- время присоединения в домен -- но есть способ
эксплуатации, не требующий наличия этого окна.

 
> >> А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
> >> теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
> >> как AD server, но и не сказано, то  что не может. Так только клиент
> >> или  и сервер тоже?
> AB> Только клиент. Работа на серверной функциональностью сейчас идет
> AB> совместными усилиями IBM, Quantum, PADL Software и еще целого ряда
> AB> организаций. Кое-какие наработки уже есть.
> 
> А где можно посмотреть?
На CIFS2002 IBM обещала отдать имеющийся код как только получится. У них
есть определенный процесс, включающий в том числе и итерации с участием
юристов. Но это еще не полноценный сервер, а прототип.

> 
> AB> Самба сама указывает в GSSAPI, какие TGT требуются. Фактически, из
> AB> krb5.conf нужен только один или два параметра, а скоро для клиента вообще
> AB> ничего не надо будет.
> 
> А можно по-подробнее?
Могу только отправить в исходники Samba 3.0, source/libads/*

-- 
/ Alexander Bokovoy
---
It just doesn't seem right to go over the river and through the woods
to Grandmother's condo.