Samba (3)

[ Pobierz całość w formacie PDF ]
.160 Rozdzia� 6: U�ytkownicy, bezpiecze�stwo i domenyZabezpieczenia na poziomie serweraKontrola dost�pu na poziomie serwera przypomina kontrol� na poziomie u�ytkow-nika.Jednak�e w tym przypadku Samba deleguje uwierzytelnianie hase� do serwerahase� SMB, zwykle innego serwera Samby lub serwera Windows NT dzia�aj�cegojako podstawowy kontroler domeny.Zauwa�, �e Samba nadal przechowuje swoj�list� udzia�ów i ich konfiguracji w pliku smb.conf.Kiedy klient próbuje nawi�za�po��czenie z udzia�em, Samba sprawdza, czy u�ytkownik jest rzeczywiScie upraw-niony do korzystania z udzia�u.Nast�pnie próbuje zweryfikowa� has�o, ��cz�c si�z serwerem hase� SMB za poSrednictwem znanego protoko�u i przedstawiaj�c do za-twierdzenia nazw� u�ytkownika i has�o.JeSli has�o zostanie zaakceptowane, Sambanawi��e sesj� z klientem.Konfiguracj� t� przedstawia rysunek 6.2.Rysunek 6.2.Typowa konfiguracja zabezpiecze� na poziomie serweraMo�esz skonfigurowa� Samb� do wspó�pracy z serwerem hase� (kiedy u�ywasz za-bezpiecze� na poziomie serwera) za pomoc� globalnej opcji password server, jakw poni�szym przyk�adzie:[global]security = serverpassword server = FENIKS120 HYDRA134Zauwa�, �e w opcji password server mo�esz poda� nazwy kilku komputerów.Samba b�dzie ��czy� si� z kolejnym serwerem na liScie, jeSli pierwszy wybrany b�-dzie niedost�pny.Serwery w opcji password server okreSla si� za pomoc� nazwNetBIOS-owych, a nie nazw DNS lub równowa�nych im adresów IP.JeSli zaS którySz serwerów odrzuci podane has�o, po��czenie nie powiedzie si� Samba nie b�dzie��czy� si� z nast�pnym serwerem.Jedno zastrze�enie: mimo �e korzystasz z tej opcji, nadal musisz mie� konto reprezen-tuj�ce u�ytkownika w serwerze Samby.A to dlatego, �e Unix wymaga nazwy u�yt-kownika podczas wykonywania ró�nych operacji wejScia-wyjScia.Aby omin�� tenproblem, najcz�Sciej zak�ada si� konto u�ytkownika w serwerze Samby i wy��czahas�o tego konta przez zast�pienie go gwiazdk� (*) w systemowym pliku hase� (naprzyk�ad /etc/passwd).Uwierzytelnianie u�ytkowników 161Zabezpieczenia na poziomie domenyKontrola dost�pu na poziomie domeny przypomina kontrol� na poziomie u�ytkow-nika.Jednak�e w tym wypadku Samba dzia�a jako cz�onek domeny Windows.Jakdowiedzia�eS si� w rozdziale 1, w ka�dej domenie znajduje si� kontroler domeny zwykle serwer Windows NT Swiadcz�cy us�ugi uwierzytelniania hase�.Dzi�ki kon-trolerowi domeny grupa robocza dysponuje autorytatywnym serwerem hase�.Kon-trolery domeny przechowuj� nazwy u�ytkowników i has�a we w�asnym modulebezpiecze�stwa (Security Authentication Module, SAM) i uwierzytelniaj� u�ytkowni-ków, gdy ci loguj� si� po raz pierwszy lub chc� skorzysta� z udzia�ów innego kom-putera.Jak wspomniano ju� w tym rozdziale, Samba mo�e obs�ugiwa� zabezpieczenia napoziomie u�ytkownika, ale opcja ta jest uniksocentryczna i zak�ada uwierzytelnia-nie u�ytkowników z wykorzystaniem uniksowych plików hase�.JeSli uniksowykomputer wchodzi w sk�ad domeny NIS lub NIS+, Samba b�dzie uwierzytelnia�u�ytkowników w oparciu o wspó�dzielony plik hase�, na sposób typowo uniksowy.Samba umo�liwia zatem dost�p do domeny NIS lub NIS+ z poziomu Windows.OczywiScie, poj�cie domeny NIS i domeny Windows to dwie ró�ne rzeczy.Dzi�ki zabezpieczeniom na poziomie domeny mo�emy wykorzysta� rodzimy me-chanizm bezpiecze�stwa Windows NT.Metoda taka ma wiele zalet:� Umo�liwia znacznie SciSlejsz� integracj� z NT: w opcjach pliku smb.conf maj�cychzwi�zek z obs�ug� domen jest znacznie mniej prowizorki ni� w innych opcjachodpowiadaj�cych za wspó�prac� z Windows.Dzi�ki temu mo�na wykorzysta� wszerszym zakresie narz�dzia do zarz�dzania systemem NT, na przyk�ad programUser Manager for Domains, który pozwala personelowi wsparcia technicznegotraktowa� serwery Samby jak komputery NT.� Lepsza integracja oznacza poprawki w protokole i kodzie, dzi�ki którym zespó�programistów Samby mo�e �atwiej Sledzi� ewoluuj�ce implementacje systemuNT.NT Service Pack 4 koryguje pewne b��dy protoko�u, a SciSlejsza integracjau�atwia wySledzenie tych zmian i zaadaptowanie si� do nich.� Zmniejsza si� obci��enie podstawowego kontrolera domeny, poniewa� niepo-trzebne jest jedno ze sta�ych po��cze� mi�dzy nim a serwerem Samby.W przeci-wie�stwie do protoko�u wykorzystywanego w razie u�ycia opcji security =server, serwer Samby mo�e korzysta� ze zdalnych wywo�a� procedury (RemoteProcedure Call, RPC) tylko wtedy, gdy chce uzyska� informacje uwierzytelniaj�ce.Nie musi w tym celu utrzymywa� sta�ego po��czenia.� Wreszcie, mechanizm domenowego uwierzytelniania NT zwraca pe�ny zbióratrybutów u�ytkownika, nie tylko informacj� o powodzeniu lub b��dzie.W sk�adtych atrybutów wchodz� d�u�sze, sieciowe wersje uniksowego identyfikatorau�ytkownika, grupy NT i inne informacje, w tym:� nazwa u�ytkownika,� nazwisko,� opis,162 Rozdzia� 6: U�ytkownicy, bezpiecze�stwo i domeny� identyfikator bezpiecze�stwa (domenowe rozszerzenie uniksowego identyfi-katora u�ytkownika),� przynale�noS� do grup NT,� dozwolone godziny logowania oraz informacja o tym, czy u�ytkownik b�dziezmuszony do natychmiastowego wylogowania si�,� stacje robocze, z których mo�e korzysta� u�ytkownik,� data wygaSni�cia konta,� katalog macierzysty,� skrypt logowania,� profil,� typ konta.� Twórcy Samby wykorzystali zabezpieczenia na poziomie domeny w wersji 2.4Samby do pó�automatycznego dodawania i usuwania u�ytkowników domenowych.Model ten umo�liwia te� stosowanie dodatkowych funkcji znanych z NT, takich jakobs�uga list kontroli dost�pu i zmienianie praw dost�pu do plików z klienta.Zalet� takiego podejScia jest zmniejszenie nak�adu pracy administratora: wystarczysynchronizowa� jedn� baz� informacji uwierzytelniaj�cych.Lokalne administrowa-nie serwerem Samby sprowadza si� do tworzenia katalogów roboczych dla u�yt -kowników oraz dodawania wpisów z identyfikatorami i grupami u�ytkowników dopliku /etc/passwd.Dodawanie serwera Samby do domeny Windows NTJeSli masz ju� domen� Windows NT, mo�esz �atwo doda� do niej serwer Samby.Najpierw musisz zatrzyma� demony Samby.Nast�pnie dodaj serwer Samby do do-meny NT z podstawowego kontrolera domeny, u�ywaj�c programu Windows NTServer Manager for Domains.Kiedy program zapyta o typ komputera, wybierz Windows NT Workstation or Server i podaj NetBIOS-ow� nazw� serwera Samby.W ten sposób utworzysz konto na serwerze NT.Nast�pnie wygeneruj has�o dla komputera za pomoc� narz�dzia smbpasswd, któreomówiono dok�adnie w nast�pnym podrozdziale.JeSli na przyk�ad nasza domenama nazw� PROSTA, a podstawowy kontroler domeny Windows NT to beowulf,powinieneS wyda� nast�puj�ce polecenie na serwerze Samby:smbpasswd -j PROSTA -r beowulfTeraz dopisz poni�sze opcje do sekcji [global] pliku smb.conf i ponownie uru -chom demony Samby.[global]security = domaindomain logins = yesworkgroup = PROSTApassword server = beowulfSamba powinna teraz korzysta� z zabezpiecze� na poziomie domeny.Opcj� doma-in logins wyjaSnimy szczegó�owo dalej w tym rozdziale.Has�a 163Has�aHas�a w Sambie to sprawa naje�ona trudnoSciami do tego stopnia, �e niemal zaw-sze stanowi� pierwszy powa�ny problem po zainstalowaniu Samby i ich w�aSnie do-tyczy zdecydowana wi�kszoS� pyta� w grupach dyskusyjnych poSwi�conych Sam-bie [ Pobierz całość w formacie PDF ]

Wątki