Эта страница является переводом man smbpasswd(5) из пакета Samba.

ИМЯ

smbpasswd — шифрованый файл паролей Samba

СИНТАКСИС

smbpasswd

ОПИСАНИЕ

Утилита часть пакета samba(7).

smbpasswd — шифрованый файл паролей Samba. Он содержит имя пользователя, UNIX ID пользователя и SMB хеш пароля пользователя, а также информацию об активности учетной записи и время последнего изменения пароля. Формат этого файла меняется вместе с Samba и пережил несколько разных форматов в прошлом.

ФОРМАТ ФАЙЛА

Формат файла smbpasswd используемый Samba 2.2 очень похож на формат Unix файла passwd(5). Это файл в формате ASCII, содержащий одну строку на каждого пользователя. Кажое поле в строке отделено от следующего двоеточием. Любая запись, начинающаяся с # игнорируется. Smbpasswd файл содержит следующую информацию для каждого пользователя:

name

Имя пользователя. Это может быть имя, которое уже существует в стандартном файле паролей UNIX.

uid

Это UNIX UID. Он должен совпадать с полем uid для некоторого пользователя в стандартном файле паролей UNIX. Если не совпадает Samba не признает эту запись файла smbpasswd действительной для пользователя.

Lanman Password Hash

LanMan хеш пароль пользователя кодируется в виде 32 шестнадцатеричных цифр. LanMan хеш создается путем DES шифрования известной строки с помощью пароля пользователя в качестве ключа DES. Это тот же пароль используется компьютерами Windows 95/98. Заметьте, что такой хэш пароля считается слабым, он уязвим для атаки по словарю, и если двум пользователям выбрать одинаковый пароль хеш получится идентичным (такие пароли не используются в качестве паролей UNIX). Если у пользователя пустой пароль, то в области пароля будут символы "НЕТ ПАРОЛЯ" в начале шестнадцатеричной строки. Если шестнадцатеричная строка содержит 32 символа 'X', то учетная запись пользователя помечена как отключенная, и пользователь не сможет авторизоваться на сервере Samba.

ВНИМАНИЕ! Протокол аутентификации SMB / CIFS работает по принципу запрос-ответ, поэтому все кто знают хеш пароля могут им воспользоваться. По этой причине эти хэши известны как простые эквиваленты текста и не должны быть доступны для всех, кроме root пользователя. Для защиты этих паролей smbpasswd файл помещается в папку с правами на чтение и траверс доступ только root пользователю, а на сам файл smbpasswd устанавливается доступ на чтение/запись только пользователю root.

NT Password Hash

Windows NT хеш пароля пользователя кодируется как 32 шестнадцатеричных цифр. Хэш Windows NT создается путем принятия пароля пользователя в 16-битном формате, little-endian UNICODE, а затем применением к нему MD4 (RFC 1321) алгоритма хэширования.

Этот хеш пароля считается более безопасным, чем LanMan хеш пароля. Он сохраняет регистр пароля и использует гораздо более высокое качество алгоритма шифрования. Однако по-прежнему если двум пользователям выбрать одинаковый пароль хеш получится идентичным (такие пароли не используются в качестве паролей UNIX).

ВНИМАНИЕ! Протокок аутентификации SMB / CIFS работает по принципу запрос-ответ, поэтому все кто знают хеш пароля могут им воспользоваться. По этой причине эти хэши известны как простые эквиваленты текста и не должны быть доступны для всех, кроме root пользователя. Для защиты этих паролей smbpasswd файл помещается в папку с правами на чтение и траверс доступ только root пользователю, а на сам файл smbpasswd устанавливается доступ на чтение/запись только пользователю root.

Account Flags

Секция содержит флаги описывающие атрибуты учетной записи пользователя. Это поле содержит символы квадратных скобок '[' и ']' а также тринадцать символов (включая символы скобок). Содержимое поля может быть одним из следующих символов:

  • U - Означает что запись является учетной записью пользователя;
  • N - Означает что учетная запись не имеет пароля (поле паспорта LANMAN Password Hash или NT Password Hash игнорируется). Заметьте, пользователям быдет позволен вход без пароля только если установлен параметр null passwords в конфигурационном файле smb.conf;
  • D - Учетная запись отключена и SMB / CIFS логин не разрешен пользователю;
  • X - Пароль не имеет срока давности, т.е. не истечет;
  • W - Означает что эта учетная запись "Workstation Trust". Используется в коде Samba PDC для доступа Windows NT Workstations и Servers для ввода в домен Samba PDC.

Другие флаги могут быть добавлены в будущем. Пустое место заполнено пробелами. Для получения дополнительной справки по флагам обратитесь к странице справки команды pdbedit.

Last Change Time

Время последней модификации учетной записи. Поле содержит символы 'LCT-' и временем в цифровой кодировке UNIX в секундах с начала эпохи (1970) на момент последнего изменения учетной записи.

Все другие поля разделенные двоеточиями в настоящее время игнорируются.

ВЕРСИЯ

Страница man корректна для 3 версии пакета Samba.

СМОТРИТЕ ТАКЖЕ

smbpasswd(8), RFC 1321 для большей информации о алгоритме MD4.

АВТОР

Изначально Samba и сопутствующие утилиты были разработаны Эндрю Тридгеллом (Andrew Tridgell). Сейчас Samba разрабатывается Samba Team в качестве Open Source проекта – напоминает то, как разрабатывается ядро Linux.

Изначально страницы man поддерживал Karl Auer. Исходные коды страниц man конвертировались в формат YODL (доступно здесь yodl.sourceforge.net) и обновлялись для релизов Samba 2.0 Jeremy Allison. Переведено в формат DocBook для Samba 2.2 Джерардом Картером (Gerald Carter). Переведено в формат XML 4.2 для Samba 3.0 Александром Боковым.

Перевод на русский язык Айзятуллен Рамиль.

Обсудить данный перевод можно в соответствующей ветке форума.