120 likes | 246 Views
SAMBA. Características Técnicas e Operacionais. Suporte a Senhas Criptografadas. Requisito de configuração do SAMBA para ser um servidor PDC ou cliente de domínio; Tráfego em formato seguro através da rede; Dificulta a captura por outras pessoas;
E N D
SAMBA Características Técnicas e Operacionais
Suporte a Senhas Criptografadas • Requisito de configuração do SAMBA para ser um servidor PDC ou cliente de domínio; • Tráfego em formato seguro através da rede; • Dificulta a captura por outras pessoas; • Versões mais recentes do Windows - padrão para login e utilização de serviços da rede; • Não é recomendável desativar o uso de senhas criptografadas; • Armazenadas no arquivo /etc/samba/smbpasswd. • smbpasswd - utilizado para gerenciar o arquivo de senhas;
Suporte a Senhas Criptografadas • Migração de senhas; • Sem necessidade do usuário realizar o logoff durante a mudança; • update encrypted = yes na seção [global] do arquivo smb.conf. • Senha criptografada definida assim que o usuário se logar; • Remover assim que todas as senhas estejam trocadas.
Suporte a Senhas Criptografadas • Exemplo de adição de usuários no smbpasswd: • Adição com adduser: • useradd -g grupo-dominio -c "Usuário de Domínio" -s /bin/false -d /dev/null joao • Adição no samba com smbpasswd: • smbpasswd -a joao
Suporte a Senhas Criptografadas • Exemplo de remoção de usuários no smbpasswd: • smbpasswd -x usuario • Exemplo de alteração de senha: • smbpasswd -U usuario • Para alterar a senha de um usuário remoto, utilize: • smbpasswd -r servidor -U usuario
Suporte a Senhas em Texto Plano • Forma de autenticação enviada por implementações NetBIOS antigas; • Encontrada no Lan Manager, Windows for Workgroups e Windows 95 OSR1; • As versões mais novas enviam a senha em formato criptografado; • Necessário também usar o formato criptografado no SAMBA para que possa se autenticar;
Senhas Criptografadas x Senhas em Texto Plano • Criptografada: • Enviada de uma forma que dificulta sua captura por pessoas maliciosas; • NT não permite navegaçãono ambiente de rede em um sistema SAMBA com nível de acesso por usuário autenticando usando senhas em texto plano. • Solicitação reconexão em cada compartilhamento da máquina. • Windows NT 4 a partir SP3 e Windows 95 OSR/2 – padrão; • Texto plano: • A senha utilizada = /etc/passwd (servindo para ftp, login, etc) • O servidor PDC pode ser usado para logon; • Não são armazenadas no disco da estação cliente; • Não será perguntado por uma senha durante cada reconexão de recurso.
Mapeamento de usuários/grupos em clientes • Controle de acesso aos arquivos/diretórios a nível de usuário. • Windows: isto permite que cada arquivo/diretório tenha o acesso leitura/gravação somente para os usuários definidos e autenticados no controlador de domínio. • Windows 9X: Painel de Controle > Propriedades de Rede > Controle de Acesso. • Linux: permissões de arquivos e diretórios podem ser definidas para o usuário do PDC; • Garante mesmo nível de controle de acesso. • winbind - mecanismo nsswitch para obter outras fontes de dados de usuários e os associa nas ferramentas de gerenciamento de contas.
Controle de Acesso • Acessa um compartilhamento > o usuário do samba é mapeado com o UID respectivo de usuário do sistema ou o usuário guest (especificado pela opção "guest account") no caso de um acesso público. • Processo filho do smbdexecutado sobre o UID e GID deste usuário. • Nunca o SAMBA dará mais permissões que as necessárias para o usuário (com excessão de quando é usado o parâmetro admin users)
Controle de Acesso • Restrição de Acesso por IP: • Parâmetros allow hosts e deny hosts tanto em serviços individuais ou em todo o servidor. • Os parâmetros hosts allow e hosts deny são equivalentes a estes acima. • EXCEPT - excessão de um ou mais endereços IPs, por exemplo: • hosts allow = 192.168.1. EXCEPT 192.168.1.20 • Restrição de acesso por usuários: • Controle é feito pelos parâmetros valid users e invalid users.
Controle de Acesso • Compartilhamento para acesso sem senha: • Compartilhamento acessível publicamente; • Exemplos: • diretório que contém drivers de impressoras; • arquivos comuns; • diretórios temporários. • Compartilhamento com acesso somente leitura: • Proteção é útil quando pessoas não podem alterar o conteúdo de um compartilhamento. • Duas formas: • negando o acesso de gravação para todo o compartilhamento; • permitindo leitura somente para algumas pessoas;
Controle de Acesso • Compartilhamento com acesso somente leitura (exemplo): • [teste] comment = Acesso a leitura para todos • path = /tmp • read only = yes • public = yes • Diretório /tmpfoi compartilhado com o nome teste;