Все о Samba » password server

security (G)

admin1 — Sat, 09 May 2009 11:37:17 +0000

Значение по умолчанию:

security = USER

Пример:

security = DOMAIN

англ. security (G)

Этот параметр влияет на то, как будут себя вести клиенты Samba и это один из наиболее важных параметров файла smb.conf.

Он устанавливает "security mode bit" в репликах к smbd в момент согласования протокола, тем самым включая или отключая режим безопасности. Клиенты, основываясь на этой информации, определяют нужно ли (и если да то как) передавать серверу имя пользователя и пароль.

Значение по умолчанию security = USER, т.к. это наиболее подходящее значение для связи с Windows 98 и Windows NT. Другие значения: SHARE, SERVER или DOMAIN.

В версиях Samba до 2.0.0, значением по умолчанию было SHARE в основном потому, что это было единственное значение, имевшее тогда смысл. Есть одна ошибка в Windows для рабочих групп (Windows for Workgroups, WfWg), которая имеет отношение к этому параметру. При работе в режиме USER или SERVER, клиенты Windows для рабочих групп игнорируют имя пользователя и пароль, указываемые в диалоге для доступа к ресурсу. "Благодаря" этому практически невозможно присоединиться к сервису Samba пользователем, отличным от того, с правами которого произведен вход в Windows. Если на Ваших ПК имена пользователей такие же как имена пользователей в UNIX, тогда Вам нужно использовать режим USER. Если Вы используете имена, которые не существуют на сервере UNIX тогда используйте режим SHARE. Вам также следует использовать режим SHARE, если Вы хотите открыть гостевой доступ. В основном это используется для принт-серверов. Настроить гостевой доступ при использовании USER сложнее, смотрите секцию map to guest для получения более подробной информации. Возможно настроить smbd в смешанном режиме, когда Samba будет обслуживать оба режима (USER и SHARE), используя разные псевдонимы NetBIOS.

security = SHARE

Когда клиенты присоединяются к ресурсу с security = SHARE им не нужно регистрироваться с использованием действительного имени пользователя и пароля (хотя современные клиенты Windows 95/98 и Windows NT посылают запрос на вход в систему с именем пользователя без пароля, когда подсоединяются к серверу, находящемуся в режиме SHARE). Вместо этого, клиенты посылают информацию аутентификации (пароли) на конкретный ресурс, в тот момент, когда хотят получить доступ к этому ресурсу. Заметьте, что smbd ВСЕГДА использует реального пользователя UNIX, когда обслуживает клиента, даже если установлено security = SHARE. Т.к. в режиме SHARE от пользователя не требуется посыла его имени, smbd использует несколько приемов для определения пользователя UNIX.

Список предполагаемых имен пользователей UNIX и соответствующих им паролей определяется следующим образом:

Если установлен параметр guest only, тогда все остальные сценарии пропускаются и используется только имя гостевой учетки (guest account).
Если имя пользователя послано вместе с запросом на установление соединения после сопоставления (см. username map), добавляется в список.
Если клиент выполнял запрос logon (вызов SessionSetup SMB), тогда имя пользователя, использовавшееся в этом вызове будет добавлено в список.
Имя сервиса, которое запросил клиент, будет добавлено в список. NetBIOS имя клиента добавляется в список. Все пользователи из списка пользователей добавляются в этот список.

Если параметр guest only не установлен, тогда этот список пользователей обрабатывается с соответствующими паролями. Первый пользователь, пароль которого совпадет с реальным будет использован в качестве действующего пользователя UNIX.

Если параметр guest only установлен или не найдено подходящего имени пользователя, тогда, если Samba разрешено "принимать гостей" (usershare allow guests), будет использоваться гостевая учетка, в противном случае доступ будет запрещен.

Заметьте, что при использовании уровня безопасности SHARE может быть очень сложно определить какой же пользователь UNIX будет использован в конечном счете.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

security = USER

Это значение по умолчанию в Samba 3.0. При этом, клиент должен сначала произвести вход (logon), с существующим именем пользователя и паролем (имя может быть транслировано с помощью параметра username map). Шифрованные пароли (см. encrypted passwords) также могут быть использованы в этом режиме.

Такие параметры, как user и guest only, если они установлены на ресурс, могут поменять значение пользователя UNIX, который будет использоваться в конечном счете, НО только после того как пользователь успешно пройдет аутентификацию.

Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетки не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей.

См. секцию параметра map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

security = DOMAIN

Такой режим будет работать только в том случае, если была использована команда net(8) для добавления этого компьютера в домен Windows NT. Это требует установленного параметра encrypted passwords = yes.

В этом режиме Samba попытается опознать имя пользователя и пароль, передав их первичному или резервному домен контроллерам Windows NT, т.е. сделает тоже самое, что сделал бы сервер Windows NT.

Заметьте, что реальный пользователь UNIX все-таки должен быть, потому что Samba придется проверять права доступа пользователя UNIX (пусть даже и транслированного в другого, прим. перев.), к файлу в файловой системе UNIX. С точки зрения клиента, нет разницы между режимами DOMAIN и USER. Это затрагивает лишь то, как сервер проводит аутентификацию, только и всего.

Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые шары не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей, чтобы сервер аутентифицировал пользователя используются параметр guest account.

Обязательно ознакомьтесь с map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

И еще смотрите секции параметров password server и encrypted passwords.

security = SERVER

В этом режиме Samba попытается определить правильность пары пользователь/пароль, передав ее другому серверу SMB, такому как NT. Если это не получится, будет работать security = USER.

Шифрованные пароли (см. encrypted passwords) также могут быть использованы в этом режиме (конечно удаленный сервер должен поддерживать их). Тем не менее, если на этапе согласования параметров соединения, Samba уже НЕ сможет вернуться к режиму проверки файла паролей UNIX, у нее должен быть файл smbpasswd, в котором она и будет проверять пользователей. Как это сделать? — см Samba HOWTO Collection.

Замечание. В зтом режиме есть серьезные недостатки, потому что он уязвим для атак посредника (man-in-the-middle) и подмене сервера. В частности, этот режим работы может вызвать значительно потребление ресурсов первичного контроллера домена, т.к. должен обслуживать активное соединение все то время пока оно активно. Более того, если соединение потеряно, нет вариантов переподключиться и будущие аутентификации могут провалиться (от одного клиента, пока он не отсоединится).

Замечание. С точки зрения клиента, нет разницы в режимах SERVER и USER. Это затрагивает лишь то, как сервер проводит аутентификацию, только и всего. Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетки не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей.

См. секцию параметра map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

И еще смотрите секции параметров password server и encrypted passwords.

security = ADS

В этом режиме Samba работает как член домена AD.

Для работы в этом режиме, компьютеру, на котором запущена Samba, необходим будет установленный и настроенный Kerberos, и Samba должна быть присоеденина к области AD с использованием утилиты net.

Заметим, что этот режим НЕ заставляет Samba работать в качестве доменного контроллера AD.

Прочитайте раздел Domain Membership в HOWTO для получения более подробной информации.

password server (G)

admin1 — Sat, 09 May 2009 11:16:26 +0000

Указав имя другого SMB сервера или домен-контроллера АД и при использовании режима security = [ads|domain|server] с помощью этого параметра становится возможным производить проверку имени пользователя и пароля используя удаленный сервер. Этот параметр устанавливает имя или IP адрес сервера проверки паролей. Был добавлен новый синтаксис для определения порта, который следует использовать для подключения к серверу на случай если используется ADS. Для указания порта, отличного от значения порта LDAP (389) установленного по умолчанию , добавьте к имени или IP адресу двоеточие и номер порта (напр., 192.168.1.100:389).

Если Вы не укажете порт, то Самба будет пытаться установить соединение по стандартному порту LDAP tcp/389. Заметьте, что номер порта не имеет смысла при использовании серверов Windows NT 4.0 . Если указано имя сервера, по нему определяется адрес, использую очередность, указанную в параметре name resolve order. Имя может быть определено с помощью любого из этих методов. Сервер паролей должен поддерживать протокол “LM1.2X002″ или “NT LM 0.12″ и он должен быть настроен в режиме безопасности уровня пользователя (USER).

В имени сервера паролей можно использовать макросы, но, вероятно, полезным будет только %m , которое означает что Самба будет использовать клиентов в качестве сервера паролей. Если это так, то клиенты должны быть внушающими доверие и вам следовало бы ограничить их с помощью hosts allow! Если параметр безопасности (security) выставлен в domain или ads, тогда список компьютеров в этом параметре должен быть списком первичных или резервных доменных контроллеров или символом ‘*’ , поскольку Самба находится в этом домене и будет использовать криптографически аутентифицированные вызовы удаленных процедур для аутентификации пользователя, выполняющего процедуру входа. Преимущество использования security = domain состоит в том, что если Вы указываете несколько узлов в параметре password server тогда демон smbd будет пытаться обработать каждый сервер из списка, пока не будет найден откликающийся сервер.

Если параметр password server установлен в ‘*’ , тогда Самба будет пытаться автоматически определить первичный или резервный доменные контроллеры относительно которого аутентифицировать учетки. Самба будет посылать запросы для имени WORKGROUP<1C> , затем установит соединение с каждым сервером, адрес которого будет возвращен в результате выполнения запроса. Если список серверов содержит имена/IP адреса и символ ‘*’ , список будет обработан как список предпочтительных доменных контроллеров и кроме этого, в список будут занесены те доменные контроллеры, которые получены с помощью авто поиска (auto lookup). Самба НЕ будет пытаться оптимизировать этот список, определяя ближайший доменный контроллер. Если параметр безопасности установлен в server , тогда есть определенные ограничения по сравнению с security = domain :

* Вы можете указывать несколько серверов паролей в параметре password server, тем не менее, если демон smbd устанавливает соединение с сервером паролей и впоследствии сервер паролей ломается, с этого smbd больше ни один пользователь не сможет аутентифицироваться. Это ограничение протокола SMB/CIFS в режиме security = server и не может быть компенсировано средствами Самбы.

* Если Вы используете сервер Windows NT в качестве сервера паролей, тогда вам придется удостовериться в том, что Ваши пользователи могут аутентифицироваться на сервере Самбы, т.к. в режиме security = server сетевой вход будет произведен именно при помощи сервера, а не с рабочей станции.

Замечание;

Использование сервера паролей означает, что ваш компьютер с UNIX и Самбой безопасен настолько, насколько безопасен ваш сервер паролей (password server). НЕ УКАЗЫВАЙТЕ СЕРВЕР ПАРОЛЕЙ, КОТОРОМУ ВЫ НЕ ДОВЕРЯЕТЕ. Никогда не указывайте Самбе на саму себя. Это вызовет бесконечный цикл и Ваш сервер заблокируется!

Значение по умолчанию:

password server =

Пример:

password server = NT-PDC, NT-BDC1, NT-BDC2, *

или

password server = windc.mydomain.com:389 192.168.1.101 *

или

password server = *

add user script (G)

admin1 — Sat, 09 May 2009 09:03:12 +0000

Это путь к сценарию, который будет выполнен демоном smbd (8) от пользователя root при специальных обстоятельствах, описанных ниже. Обычно, сервер Samba требует, чтобы пользователи UNIX были созданы для всех пользователей, обращающихся к файлам на этом сервере. Для сайтов, с базой данных учетных записей Windows NT как первичной пользовательской базой данных (Samba не является контроллером), создание этих пользователей и хранение пользовательского списка при синхронизации с Windows NT PDC тяжелая задачей. Этот параметр позволяет smbd создавать требуемых пользователей UNIX ПО ТРЕБОВАНИЮ, когда пользователь обращается к серверу Samba. Чтобы использовать эту опцию, smbd (8) не должен быть настроен в режиме security = share и сценарий добавления пользователей должен содержать полное имя пути для сценария, который создаст пользователя UNIX с одним параметром %u (также смотрите ВАРИАНТЫ ЗАМЕН), который преобразуется в имя пользователя UNIX.

Когда пользователь Windows пытается обратиться к серверу Samba, при входе в систему (установка сессии в SMB протоколе), smbd (8) соединяется с сервером пароля и пытается подтвердить подлинность данного пользователя с данным паролем. Если аутентификация успешна smbd, пытается найти пользователя UNIX в базе данных паролей UNIX, чтобы сопоставить его пользователю Windows. Если происходит сбой поиска, и add user script установлен, тогда smbd вызовет указанный сценарий от root, преобразуя любой %u параметр, чтобы создать пользователя. Если этот сценарий успешно создает пользователя тогда smbd работает, как если бы пользователь UNIX уже существовал. Этим способом, пользователи UNIX создаются динамически, чтобы соответствовать существующим учетным записям Windows NT.

См. также security, password server, delete user script.

По умолчанию:

add user script =

Пример:

add user script = /usr/local/samba/bin/add_user %u