[ Pobierz całość w formacie PDF ]
. 160 Rozdzia³ 6: U¿ytkownicy, bezpieczeñstwo i domenyZabezpieczenia na poziomie serweraKontrola dostêpu na poziomie serwera przypomina kontrolê na poziomie u¿ytkow-nika.Jednak¿e w tym przypadku Samba deleguje uwierzytelnianie hase³ do serwerahase³ SMB, zwykle innego serwera Samby lub serwera Windows NT dzia³aj¹cegojako podstawowy kontroler domeny.Zauwa¿, ¿e Samba nadal przechowuje swoj¹listê udzia³Ã³w i ich konfiguracji w pliku smb.conf.Kiedy klient próbuje nawi¹zaæpo³¹czenie z udzia³em, Samba sprawdza, czy u¿ytkownik jest rzeczywiScie upraw-niony do korzystania z udzia³u.Nastêpnie próbuje zweryfikowaæ has³o, ³¹cz¹c siêz serwerem hase³ SMB za poSrednictwem znanego protoko³u i przedstawiaj¹c do za-twierdzenia nazwê u¿ytkownika i has³o.JeSli has³o zostanie zaakceptowane, Sambanawi¹¿e sesjê z klientem.Konfiguracjê tê przedstawia rysunek 6.2.Rysunek 6.2.Typowa konfiguracja zabezpieczeñ na poziomie serweraMo¿esz skonfigurowaæ Sambê do wspó³pracy z serwerem hase³ (kiedy u¿ywasz za-bezpieczeñ na poziomie serwera) za pomoc¹ globalnej opcji password server, jakw poni¿szym przyk³adzie:[global]security = serverpassword server = FENIKS120 HYDRA134Zauwa¿, ¿e w opcji password server mo¿esz podaæ nazwy kilku komputerów.Samba bêdzie ³¹czyæ siê z kolejnym serwerem na liScie, jeSli pierwszy wybrany bê-dzie niedostêpny.Serwery w opcji password server okreSla siê za pomoc¹ nazwNetBIOS-owych, a nie nazw DNS lub równowa¿nych im adresów IP.JeSli zaS którySz serwerów odrzuci podane has³o, po³¹czenie nie powiedzie siê  Samba nie bêdzie³¹czyæ siê z nastêpnym serwerem.Jedno zastrze¿enie: mimo ¿e korzystasz z tej opcji, nadal musisz mieæ konto reprezen-tuj¹ce u¿ytkownika w serwerze Samby.A to dlatego, ¿e Unix wymaga nazwy u¿yt-kownika podczas wykonywania ró¿nych operacji wejScia-wyjScia.Aby omin¹æ tenproblem, najczêSciej zak³ada siê konto u¿ytkownika w serwerze Samby i wy³¹czahas³o tego konta przez zast¹pienie go gwiazdk¹ (*) w systemowym pliku hase³ (naprzyk³ad /etc/passwd). Uwierzytelnianie u¿ytkowników 161Zabezpieczenia na poziomie domenyKontrola dostêpu na poziomie domeny przypomina kontrolê na poziomie u¿ytkow-nika.Jednak¿e w tym wypadku Samba dzia³a jako cz³onek domeny Windows.Jakdowiedzia³eS siê w rozdziale 1, w ka¿dej domenie znajduje siê kontroler domeny zwykle serwer Windows NT Swiadcz¹cy us³ugi uwierzytelniania hase³.Dziêki kon-trolerowi domeny grupa robocza dysponuje autorytatywnym serwerem hase³.Kon-trolery domeny przechowuj¹ nazwy u¿ytkowników i has³a we w³asnym modulebezpieczeñstwa (Security Authentication Module, SAM) i uwierzytelniaj¹ u¿ytkowni-ków, gdy ci loguj¹ siê po raz pierwszy lub chc¹ skorzystaæ z udzia³Ã³w innego kom-putera.Jak wspomniano ju¿ w tym rozdziale, Samba mo¿e obs³ugiwaæ zabezpieczenia napoziomie u¿ytkownika, ale opcja ta jest uniksocentryczna i zak³ada uwierzytelnia-nie u¿ytkowników z wykorzystaniem uniksowych plików hase³.JeSli uniksowykomputer wchodzi w sk³ad domeny NIS lub NIS+, Samba bêdzie uwierzytelniaæu¿ytkowników w oparciu o wspó³dzielony plik hase³, na sposób typowo uniksowy.Samba umo¿liwia zatem dostêp do domeny NIS lub NIS+ z poziomu Windows.OczywiScie, pojêcie domeny NIS i domeny Windows to dwie ró¿ne rzeczy.Dziêki zabezpieczeniom na poziomie domeny mo¿emy wykorzystaæ rodzimy me-chanizm bezpieczeñstwa Windows NT.Metoda taka ma wiele zalet:· Umo¿liwia znacznie SciSlejsz¹ integracjê z NT: w opcjach pliku smb.conf maj¹cychzwi¹zek z obs³ug¹ domen jest znacznie mniej  prowizorki ni¿ w innych opcjachodpowiadaj¹cych za wspó³pracê z Windows.Dziêki temu mo¿na wykorzystaæ wszerszym zakresie narzêdzia do zarz¹dzania systemem NT, na przyk³ad programUser Manager for Domains, który pozwala personelowi wsparcia technicznegotraktowaæ serwery Samby jak komputery NT.· Lepsza integracja oznacza poprawki w protokole i kodzie, dziêki którym zespó³programistów Samby mo¿e ³atwiej Sledziæ ewoluuj¹ce implementacje systemuNT.NT Service Pack 4 koryguje pewne b³êdy protoko³u, a SciSlejsza integracjau³atwia wySledzenie tych zmian i zaadaptowanie siê do nich.· Zmniejsza siê obci¹¿enie podstawowego kontrolera domeny, poniewa¿ niepo-trzebne jest jedno ze sta³ych po³¹czeñ miêdzy nim a serwerem Samby.W przeci-wieñstwie do protoko³u wykorzystywanego w razie u¿ycia opcji security =server, serwer Samby mo¿e korzystaæ ze zdalnych wywo³añ procedury (RemoteProcedure Call, RPC) tylko wtedy, gdy chce uzyskaæ informacje uwierzytelniaj¹ce.Nie musi w tym celu utrzymywaæ sta³ego po³¹czenia.· Wreszcie, mechanizm domenowego uwierzytelniania NT zwraca pe³ny zbióratrybutów u¿ytkownika, nie tylko informacjê o powodzeniu lub b³êdzie.W sk³adtych atrybutów wchodz¹ d³u¿sze, sieciowe wersje uniksowego identyfikatorau¿ytkownika, grupy NT i inne informacje, w tym:· nazwa u¿ytkownika,· nazwisko,· opis, 162 Rozdzia³ 6: U¿ytkownicy, bezpieczeñstwo i domeny· identyfikator bezpieczeñstwa (domenowe rozszerzenie uniksowego identyfi-katora u¿ytkownika),· przynale¿noSæ do grup NT,· dozwolone godziny logowania oraz informacja o tym, czy u¿ytkownik bêdziezmuszony do natychmiastowego wylogowania siê,· stacje robocze, z których mo¿e korzystaæ u¿ytkownik,· data wygaSniêcia konta,· katalog macierzysty,· skrypt logowania,· profil,· typ konta.· Twórcy Samby wykorzystali zabezpieczenia na poziomie domeny w wersji 2.4Samby do pó³automatycznego dodawania i usuwania u¿ytkowników domenowych.Model ten umo¿liwia te¿ stosowanie dodatkowych funkcji znanych z NT, takich jakobs³uga list kontroli dostêpu i zmienianie praw dostêpu do plików z klienta.Zalet¹ takiego podejScia jest zmniejszenie nak³adu pracy administratora: wystarczysynchronizowaæ jedn¹ bazê informacji uwierzytelniaj¹cych.Lokalne administrowa-nie serwerem Samby sprowadza siê do tworzenia katalogów roboczych dla u¿yt -kowników oraz dodawania wpisów z identyfikatorami i grupami u¿ytkowników dopliku /etc/passwd.Dodawanie serwera Samby do domeny Windows NTJeSli masz ju¿ domenê Windows NT, mo¿esz ³atwo dodaæ do niej serwer Samby.Najpierw musisz zatrzymaæ demony Samby.Nastêpnie dodaj serwer Samby do do-meny NT z podstawowego kontrolera domeny, u¿ywaj¹c programu Windows NTServer Manager for Domains.Kiedy program zapyta o typ komputera, wybierz Windows NT Workstation or Server i podaj NetBIOS-ow¹ nazwê serwera Samby.W ten sposób utworzysz konto na serwerze NT.Nastêpnie wygeneruj has³o dla komputera za pomoc¹ narzêdzia smbpasswd, któreomówiono dok³adnie w nastêpnym podrozdziale.JeSli na przyk³ad nasza domenama nazwê PROSTA, a podstawowy kontroler domeny Windows NT to beowulf,powinieneS wydaæ nastêpuj¹ce polecenie na serwerze Samby:smbpasswd -j PROSTA -r beowulfTeraz dopisz poni¿sze opcje do sekcji [global] pliku smb.conf i ponownie uru -chom demony Samby.[global]security = domaindomain logins = yesworkgroup = PROSTApassword server = beowulfSamba powinna teraz korzystaæ z zabezpieczeñ na poziomie domeny.Opcjê doma-in logins wyjaSnimy szczegó³owo dalej w tym rozdziale. Has³a 163Has³aHas³a w Sambie to sprawa naje¿ona trudnoSciami  do tego stopnia, ¿e niemal zaw-sze stanowi¹ pierwszy powa¿ny problem po zainstalowaniu Samby i ich w³aSnie do-tyczy zdecydowana wiêkszoSæ pytañ w grupach dyskusyjnych poSwiêconych Sam-bie [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • swpc.opx.pl
  •