Samba 作為 PDC 和離線身份驗證
假設我有一台已連接到域的 Windows 筆記型電腦。該域有一個 Samba 伺服器作為 PDC。
現在假設我將筆記型電腦移出網路(網路完全無法訪問)。我可以登錄到我之前在筆記型電腦上訪問過的帳戶(通過 GINA)嗎?
更新:查看
smb.comf
文件我注意到設置winbind offline logon
:This parameter is designed to control whether Winbind should allow to login with the pam_winbind module using Cached Credentials. If enabled, winbindd will store user credentials from successful logins encrypted in a local cache.
。在我看來,這似乎解決了這個問題,但其他人可以確認它和/或指出是否需要設置任何其他值?
如果您的Windows筆記型電腦是域成員,則使用winbind 離線登錄不會影響其記憶體憑據登錄的能力,因為 Winbind 正在記憶體 Samba 安裝的憑據,而不是其客戶端。
記憶體憑據是 Windows 2000 和更新版本中可用的域客戶端功能。它與 Active Directory DC 以及 NT4 樣式的 DC (Samba) 一起使用。來自 Microsoft KB 913485:
預設情況下,作業系統會記憶體每個唯一使用者最近十次有效登錄的驗證程序。此值可以設置為 0 到 50 之間的任何值。有關詳細資訊,請點擊以下文章編號以查看 Microsoft 知識庫中的文章: 172931記憶體域登錄資訊
您的客戶需要
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount
取消設置 (REG_SZ) 或將其設置為大於零的值才能從此功能中受益。請記住,儘管在您無法保證物理安全的機器上記憶體憑據(實際上 Windows 不是記憶體憑據,而是對憑據進行加鹽的單向雜湊)可能會帶來安全風險 - 雜湊可以離線破解強製或字典攻擊。