假设我有一台已连接到域的 Windows 笔记本电脑。该域有一个 Samba 服务器作为 PDC。
现在假设我将笔记本电脑移出网络(网络完全无法访问)。我是否能够登录之前在笔记本电脑上访问过的帐户(通过 GINA)?
更新:查看smb.comf文档时我注意到了设置winbind offline logon:This parameter is designed to control whether Winbind should allow to login with the pam_winbind module using Cached Credentials. If enabled, winbindd will store user credentials from successful logins encrypted in a local cache.。对我来说,这似乎解决了问题,但其他人可以确认和/或指出是否需要设置任何其他值吗?
答案1
如果你有一个视窗笔记本电脑是域成员,使用winbind 离线登录不会影响其缓存凭据登录的能力,因为 Winbind 正在缓存您的 Samba 安装的凭据,而不是其客户端的凭据。
缓存凭据是 Windows 2000 及更新版本中提供的域客户端功能。它与 Active Directory DC 以及 NT4 样式 DC(Samba)配合使用。来自 Microsoft KB913485:
默认情况下,操作系统会缓存每个唯一用户的最近十次有效登录的验证程序。此值可以设置为 0 到 50 之间的任何值。有关详细信息,请单击以下文章编号以查看 Microsoft 知识库中的文章: 172931缓存的域登录信息
您的客户端需要HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon\CachedLogonsCount取消设置 (REG_SZ) 或将其设置为大于零的值才能享受此功能。
但请记住,在没有任何手段保证物理安全的机器上缓存凭据(实际上 Windows 不是缓存凭据,而是缓存凭据的加盐单向哈希值)可能会带来安全风险 - 哈希值是离线可通过暴力破解或字典攻击破解。