samba (2)

[ Pobierz całość w formacie PDF ]
.Zauwa�, �e dzi�ki temu plikowi mo�esz tak�e odwzorowa� jednego u�ytkownikauniksowego na drugiego.Uwa�aj z tym jednak, gdy� w takim przypadku SambaUwierzytelnianie u�ytkowników 155i klient mog� nie powiadomi� u�ytkownika o dokonaniu odwzorowania, a Sambab�dzie oczekiwa� innego has�a.username levelKlienty SMB (takie jak Windows) cz�sto wysy�aj� nazwy u�ytkowników w ��da -niach SMB zapisane du�ymi literami; innymi s�owy, wielkoS� liter w nazwach u�yt-kowników klientów nie ma znaczenia.W serwerze uniksowym wielkoS� liter jestjednak rozró�niana: u�ytkownik ANDRZEJ ró�ni si� od u�ytkownika andrzej.Do-mySlnie Samba rozwi�zuje ten problem w nast�puj�cy sposób:1.Sprawdza, czy istnieje konto u�ytkownika o nazwie identycznej z t� przys�an�przez klienta.2.Sprawdza nazw� u�ytkownika zapisan� samymi ma�ymi literami.3.Sprawdza nazw� u�ytkownika zapisan� ma�ymi literami, ale rozpoczynaj�c� si�du�� liter�.JeSli chcesz, aby Samba wypróbowywa�a wi�cej kombinacji liter du�ych i ma�ych,mo�esz pos�u�y� si� opcj� konfiguracyjn� username level.Opcja ta przyjmujeliczb� ca�kowit�, która okreSla, ile liter w nazwie u�ytkownika nale�y zamieni� nadu�e litery podczas próby po��czenia z udzia�em.Opcji tej u�ywa si� nast�puj�co:[global]username level = 3W tym przyk�adzie Samba wypróbuje wszystkie permutacje nazw u�ytkownika,które da si� utworzy� z wykorzystaniem trzech du�ych liter.Im wi�ksza wartoS�opcji, tym wi�cej oblicze� b�dzie musia�a wykona� Samba w celu dopasowania na-zwy u�ytkownika i tym d�u�ej b�dzie trwa�o uwierzytelnianie.Uwierzytelnianie u�ytkownikówTeraz pora na omówienie uwierzytelniania u�ytkowników przez Samb�.Ka�dyu�ytkownik, który próbuje po��czy� si� z udzia�em nie dopuszczaj�cym goScinnegodost�pu, musi poda� has�o, aby pomySlnie nawi�za� po��czenie.Operacje, któreSamba przeprowadza na tym haSle a w konsekwencji strategia uwierzytelnianiau�ytkowników zale�� od opcji konfiguracyjnej security.Obecnie istniej� czterypoziomy zabezpiecze�, które Samba mo�e obs�ugiwa� w swojej sieci: poziom udzia-�u, u�ytkownika, serwera i domeny.Zabezpieczenia na poziomie udzia�uKa�dy udzia� w grupie roboczej jest chroniony oddzielnym has�em.Ka�dy, ktozna has�o dost�pu do udzia�u, mo�e z tego udzia�u korzysta�.Zabezpieczenia na poziomie u�ytkownikaKa�dy udzia� w grupie roboczej jest skonfigurowany tak, aby pozwala� na do-st�p tylko okreSlonym u�ytkownikom.Po wst�pnym nawi�zaniu po��czeniaz zasobem, serwer Samby weryfikuje u�ytkowników i ich has�a, zanim przyznaim dost�p do udzia�u.156 Rozdzia� 6: U�ytkownicy, bezpiecze�stwo i domenyZabezpieczenia na poziomie serweraPodobne do zabezpiecze� na poziomie u�ytkownika, ale Samba u�ywa oddziel-nego serwera SMB, który zatwierdza u�ytkowników i ich has�a przed przyzna-niem dost�pu do udzia�u.Zabezpieczenia na poziomie domenySamba staje si� cz�onkiem domeny Windows i uwierzytelnia klienty za po-Srednictwem podstawowego kontrolera domeny (PDC).Po uwierzytelnieniuu�ytkownik otrzymuje specjalny �eton, który umo�liwia mu korzystanie ze wszyst-kich udzia�ów, do których ma odpowiednie uprawnienia.Dzi�ki temu �etonowi,PDC nie b�dzie musia� ponownie weryfikowa� has�a u�ytkownika za ka�dym ra-zem, kiedy ten spróbuje po��czy� si� z innym udzia�em w domenie.Omówione wy�ej mechanizmy bezpiecze�stwa mo�na w��czy� za pomoc� global-nej opcji security (patrz tabela 6.3).Tabela 6.3.Opcja securityOpcja Parametry Funkcja WartoS� Zasi�gdomySlnasecurity domain, server, OkreSla poziom bezpiecze�- user Globalnyshare lub user stwa serwera Samby (Samba 2.0)lub share(Samba 1.9)Zabezpieczenia na poziomie udzia�uJeSli korzystasz z zabezpiecze� na poziomie udzia�u, ka�dy udzia� ma jedno lub kil-ka zwi�zanych z nim hase�.W stosunku do innych trybów bezpiecze�stwa nie matutaj �adnych dodatkowych ogranicze� co do tego, kto mo�e korzysta� z udzia�u, je-Sli tylko ta osoba zna poprawne has�o.Udzia�y cz�sto maj� kilka ró�nych hase�.Jed-no z nich mo�e umo�liwia� dost�p tylko do odczytu, inne dawa� prawo do zapisui tak dalej.Bezpiecze�stwo jest zachowywane dopóty, dopóki nieautoryzowaniu�ytkownicy nie odkryj� has�a udzia�u, do którego nie powinni mie� dost�pu.Systemy OS/2 i Windows 95/98 umo�liwiaj� zabezpieczanie swoich zasobów na po-ziomie udzia�u.W Windows 95/98 trzeba otworzy� okno dialogowe Sie� z Panelu ste-rowania i klikn�� kart� Kontrola dost�pu.Nast�pnie nale�y zaznaczy� pole opcji Kon-trola dost�pu na poziomie zasobów (co spowoduje usuni�cie zaznaczenia z pola Kon-trola dost�pu na poziomie u�ytkownika) i klikn�� przycisk OK (patrz rysunek 6.1).Nast�pnie kliknij prawym przyciskiem myszy dowolny zasób na przyk�ad dysktwardy lub CD-ROM i wybierz z menu polecenie W�aSciwoSci.Uka�e si� okno dia-logowe z w�aSciwoSciami zasobu.Wybierz kart� Udost�pnianie na górze okna dialo-gowego i zaznacz pole opcji Udost�pniony jako.Tutaj mo�esz okreSli�, jakwspó�dzielony zasób b�dzie widziany przez ró�nych u�ytkowników.Mo�esz tak�ezdecydowa�, czy zasób b�dzie przeznaczony tylko do odczytu, do odczytu i zapisu,czy te� b�dzie pozwala� na zapis w zale�noSci od podanego has�a.Uwierzytelnianie u�ytkowników 157Rysunek 6.1.Ustawianie zabezpiecze� na poziomie udzia�uBy� mo�e s�dzisz, �e taki model bezpiecze�stwa niezbyt przystaje do Samby.I maszracj�.W rzeczywistoSci, jeSli ustawisz opcj� security = share w pliku konfigura-cyjnym, Samba nadal b�dzie uwierzytelnia� u�ytkowników na podstawie ich nazwi hase� zapisanych w systemowych plikach hase�.RciSlej rzecz bior�c, kiedy klientza��da po��czenia przy zabezpieczeniu na poziomie udzia�u, Samba podejmie na-st�puj�ce czynnoSci:1.Kiedy nadejdzie ��danie po��czenia, Samba przyjmie has�o i nazw� u�ytkownikaklienta (jeSli zostanie przes�ana).2.JeSli udzia� jest przeznaczony tylko dla goSci (opcja guest only), u�ytkowniknatychmiast uzyska dost�p z uprawnieniami okreSlonymi przez opcj� guestaccount; Samba nie b�dzie weryfikowa� has�a.3.W przypadku innych udzia�ów Samba do��czy nazw� u�ytkownika do listy u�yt-kowników, którzy mog� korzysta� z udzia�u.Nast�pnie spróbuje zweryfikowa�has�o przes�ane wraz z nazw� u�ytkownika.JeSli operacja ta si� powiedzie, Sam-ba przyzna dost�p do udzia�u z uprawnieniami przypisanymi danemu u�ytkow-nikowi.U�ytkownik nie b�dzie ponownie uwierzytelniany, chyba �e w definicjiudzia�u znajduje si� opcja revalidate = yes.4.JeSli uwierzytelnianie si� nie powiedzie, Samba spróbuje zweryfikowa� has�o,korzystaj�c z listy skompilowanej podczas wczeSniejszych prób nawi�zaniapo��czenia, a tak�e z opcji okreSlonych w definicjach udzia�ów w pliku konfigu-racyjnym.JeSli has�o nie odpowiada �adnej nazwie u�ytkownika (okreSlonejw systemowym pliku hase�, zwykle /etc/passwd), u�ytkownik nie uzyska dost�pudo udzia�u pod t� nazw� u�ytkownika.158 Rozdzia� 6: U�ytkownicy, bezpiecze�stwo i domeny5 [ Pobierz całość w formacie PDF ]

download * ebook * pdf * do ÂściÂągnięcia * pobieranie

Tematy