[ Pobierz całość w formacie PDF ]
.Zauwa¿, ¿e dziêki temu plikowi mo¿esz tak¿e odwzorowaæ jednego u¿ytkownikauniksowego na drugiego.Uwa¿aj z tym jednak, gdy¿ w takim przypadku Samba Uwierzytelnianie u¿ytkowników 155i klient mog¹ nie powiadomiæ u¿ytkownika o dokonaniu odwzorowania, a Sambabêdzie oczekiwaæ innego has³a.username levelKlienty SMB (takie jak Windows) czêsto wysy³aj¹ nazwy u¿ytkowników w ¿¹da -niach SMB zapisane du¿ymi literami; innymi s³owy, wielkoSæ liter w nazwach u¿yt-kowników klientów nie ma znaczenia.W serwerze uniksowym wielkoSæ liter jestjednak rozró¿niana: u¿ytkownik ANDRZEJ ró¿ni siê od u¿ytkownika andrzej.Do-mySlnie Samba rozwi¹zuje ten problem w nastêpuj¹cy sposób:1.Sprawdza, czy istnieje konto u¿ytkownika o nazwie identycznej z t¹ przys³an¹przez klienta.2.Sprawdza nazwê u¿ytkownika zapisan¹ samymi ma³ymi literami.3.Sprawdza nazwê u¿ytkownika zapisan¹ ma³ymi literami, ale rozpoczynaj¹c¹ siêdu¿¹ liter¹.JeSli chcesz, aby Samba wypróbowywa³a wiêcej kombinacji liter du¿ych i ma³ych,mo¿esz pos³u¿yæ siê opcj¹ konfiguracyjn¹ username level.Opcja ta przyjmujeliczbê ca³kowit¹, która okreSla, ile liter w nazwie u¿ytkownika nale¿y zamieniæ nadu¿e litery podczas próby po³¹czenia z udzia³em.Opcji tej u¿ywa siê nastêpuj¹co:[global]username level = 3W tym przyk³adzie Samba wypróbuje wszystkie permutacje nazw u¿ytkownika,które da siê utworzyæ z wykorzystaniem trzech du¿ych liter.Im wiêksza wartoSæopcji, tym wiêcej obliczeñ bêdzie musia³a wykonaæ Samba w celu dopasowania na-zwy u¿ytkownika i tym d³u¿ej bêdzie trwa³o uwierzytelnianie.Uwierzytelnianie u¿ytkownikówTeraz pora na omówienie uwierzytelniania u¿ytkowników przez Sambê.Ka¿dyu¿ytkownik, który próbuje po³¹czyæ siê z udzia³em nie dopuszczaj¹cym goScinnegodostêpu, musi podaæ has³o, aby pomySlnie nawi¹zaæ po³¹czenie.Operacje, któreSamba przeprowadza na tym haSle  a w konsekwencji strategia uwierzytelnianiau¿ytkowników  zale¿¹ od opcji konfiguracyjnej security.Obecnie istniej¹ czterypoziomy zabezpieczeñ, które Samba mo¿e obs³ugiwaæ w swojej sieci: poziom udzia-³u, u¿ytkownika, serwera i domeny.Zabezpieczenia na poziomie udzia³uKa¿dy udzia³ w grupie roboczej jest chroniony oddzielnym has³em.Ka¿dy, ktozna has³o dostêpu do udzia³u, mo¿e z tego udzia³u korzystaæ.Zabezpieczenia na poziomie u¿ytkownikaKa¿dy udzia³ w grupie roboczej jest skonfigurowany tak, aby pozwalaæ na do-stêp tylko okreSlonym u¿ytkownikom.Po wstêpnym nawi¹zaniu po³¹czeniaz zasobem, serwer Samby weryfikuje u¿ytkowników i ich has³a, zanim przyznaim dostêp do udzia³u. 156 Rozdzia³ 6: U¿ytkownicy, bezpieczeñstwo i domenyZabezpieczenia na poziomie serweraPodobne do zabezpieczeñ na poziomie u¿ytkownika, ale Samba u¿ywa oddziel-nego serwera SMB, który zatwierdza u¿ytkowników i ich has³a przed przyzna-niem dostêpu do udzia³u.Zabezpieczenia na poziomie domenySamba staje siê cz³onkiem domeny Windows i uwierzytelnia klienty za po-Srednictwem podstawowego kontrolera domeny (PDC).Po uwierzytelnieniuu¿ytkownik otrzymuje specjalny ¿eton, który umo¿liwia mu korzystanie ze wszyst-kich udzia³Ã³w, do których ma odpowiednie uprawnienia.Dziêki temu ¿etonowi,PDC nie bêdzie musia³ ponownie weryfikowaæ has³a u¿ytkownika za ka¿dym ra-zem, kiedy ten spróbuje po³¹czyæ siê z innym udzia³em w domenie.Omówione wy¿ej mechanizmy bezpieczeñstwa mo¿na w³¹czyæ za pomoc¹ global-nej opcji security (patrz tabela 6.3).Tabela 6.3.Opcja securityOpcja Parametry Funkcja WartoSæ ZasiêgdomySlnasecurity domain, server, OkreSla poziom bezpieczeñ- user Globalnyshare lub user stwa serwera Samby (Samba 2.0)lub share(Samba 1.9)Zabezpieczenia na poziomie udzia³uJeSli korzystasz z zabezpieczeñ na poziomie udzia³u, ka¿dy udzia³ ma jedno lub kil-ka zwi¹zanych z nim hase³.W stosunku do innych trybów bezpieczeñstwa nie matutaj ¿adnych dodatkowych ograniczeñ co do tego, kto mo¿e korzystaæ z udzia³u, je-Sli tylko ta osoba zna poprawne has³o.Udzia³y czêsto maj¹ kilka ró¿nych hase³.Jed-no z nich mo¿e umo¿liwiaæ dostêp tylko do odczytu, inne dawaæ prawo do zapisui tak dalej.Bezpieczeñstwo jest zachowywane dopóty, dopóki nieautoryzowaniu¿ytkownicy nie odkryj¹ has³a udzia³u, do którego nie powinni mieæ dostêpu.Systemy OS/2 i Windows 95/98 umo¿liwiaj¹ zabezpieczanie swoich zasobów na po-ziomie udzia³u.W Windows 95/98 trzeba otworzyæ okno dialogowe Sieæ z Panelu ste-rowania i klikn¹æ kartê Kontrola dostêpu.Nastêpnie nale¿y zaznaczyæ pole opcji Kon-trola dostêpu na poziomie zasobów (co spowoduje usuniêcie zaznaczenia z pola Kon-trola dostêpu na poziomie u¿ytkownika) i klikn¹æ przycisk OK (patrz rysunek 6.1).Nastêpnie kliknij prawym przyciskiem myszy dowolny zasób  na przyk³ad dysktwardy lub CD-ROM  i wybierz z menu polecenie W³aSciwoSci.Uka¿e siê okno dia-logowe z w³aSciwoSciami zasobu.Wybierz kartê Udostêpnianie na górze okna dialo-gowego i zaznacz pole opcji Udostêpniony jako.Tutaj mo¿esz okreSliæ, jakwspó³dzielony zasób bêdzie widziany przez ró¿nych u¿ytkowników.Mo¿esz tak¿ezdecydowaæ, czy zasób bêdzie przeznaczony tylko do odczytu, do odczytu i zapisu,czy te¿ bêdzie pozwala³ na zapis w zale¿noSci od podanego has³a. Uwierzytelnianie u¿ytkowników 157Rysunek 6.1.Ustawianie zabezpieczeñ na poziomie udzia³uByæ mo¿e s¹dzisz, ¿e taki model bezpieczeñstwa niezbyt przystaje do Samby.I maszracjê.W rzeczywistoSci, jeSli ustawisz opcjê security = share w pliku konfigura-cyjnym, Samba nadal bêdzie uwierzytelniaæ u¿ytkowników na podstawie ich nazwi hase³ zapisanych w systemowych plikach hase³.RciSlej rzecz bior¹c, kiedy klientza¿¹da po³¹czenia przy zabezpieczeniu na poziomie udzia³u, Samba podejmie na-stêpuj¹ce czynnoSci:1.Kiedy nadejdzie ¿¹danie po³¹czenia, Samba przyjmie has³o i nazwê u¿ytkownikaklienta (jeSli zostanie przes³ana).2.JeSli udzia³ jest przeznaczony tylko dla goSci (opcja guest only), u¿ytkowniknatychmiast uzyska dostêp z uprawnieniami okreSlonymi przez opcjê guestaccount; Samba nie bêdzie weryfikowaæ has³a.3.W przypadku innych udzia³Ã³w Samba do³¹czy nazwê u¿ytkownika do listy u¿yt-kowników, którzy mog¹ korzystaæ z udzia³u.Nastêpnie spróbuje zweryfikowaæhas³o przes³ane wraz z nazw¹ u¿ytkownika.JeSli operacja ta siê powiedzie, Sam-ba przyzna dostêp do udzia³u z uprawnieniami przypisanymi danemu u¿ytkow-nikowi.U¿ytkownik nie bêdzie ponownie uwierzytelniany, chyba ¿e w definicjiudzia³u znajduje siê opcja revalidate = yes.4.JeSli uwierzytelnianie siê nie powiedzie, Samba spróbuje zweryfikowaæ has³o,korzystaj¹c z listy skompilowanej podczas wczeSniejszych prób nawi¹zaniapo³¹czenia, a tak¿e z opcji okreSlonych w definicjach udzia³Ã³w w pliku konfigu-racyjnym.JeSli has³o nie odpowiada ¿adnej nazwie u¿ytkownika (okreSlonejw systemowym pliku hase³, zwykle /etc/passwd), u¿ytkownik nie uzyska dostêpudo udzia³u pod t¹ nazw¹ u¿ytkownika. 158 Rozdzia³ 6: U¿ytkownicy, bezpieczeñstwo i domeny5 [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • higrostat.htw.pl
  •