samba (2)

Startseite

[ Pobierz całość w formacie PDF ]
.W pliku konfiguracyjnym mo�esz poda� u�ytkowników, którzy powinni zosta�wst�pnie wpisani na list� kontroli dost�pu na poziomie udzia�u, u�ywaj�c opcjiusername, jak w poni�szym przyk�adzie:[global]security = share[ksiegowosc1]path = /home/samba/ksiegowosc1guest ok = nowritable = yesusername = dawid, piotr, andrzejW takim przypadku, gdy u�ytkownik spróbuje po��czy� si� z udzia�em, Samba zwe-ryfikuje przes�ane has�o w oparciu o w�asn� list� u�ytkowników, a tak�e o has�au�ytkowników dawid, piotr i andrzej.JeSli znajdzie pasuj�ce has�o, po��czeniezostanie zatwierdzone i u�ytkownik uzyska dost�p do udzia�u.W przeciwnym ra-zie po��czenie z tym zasobem nie powiedzie si�.Opcje zabezpiecze� na poziomie udzia�uW tabeli 6.4 wymienione s� opcje zwykle kojarzone z zabezpieczeniami na poziomieudzia�u.Tabela 6.4.Opcje kontroli dost�pu na poziomie udzia�uOpcja Parametry Funkcja WartoS� Zasi�gdomySlnaonly user WartoS� OkreSla, czy jedynymi no Udzia�logiczna dopuszczalnymi nazwamiu�ytkownika b�d� te okreSlonew opcji usernameusername �a�cuch Podaje list� u�ytkowników, Brak Udzia�(user lub (lista nazw których has�a b�d� porównywaneusers) u�ytkowników) z has�em dostarczonym przezklientaonly userTa opcja okreSla, czy Samba zezwoli na po��czenia z udzia�em (jeSli wykorzystywa-ne s� zabezpieczenia na poziomie udzia�u) tylko tym u�ytkownikom, którzy zostaliokreSleni w opcji username, a nie tym zgromadzonym na wewn�trznej liScie Sam-by.DomySlna wartoS� tej opcji to no.Mo�esz zmieni� j� dla ka�dego udzia�u z osob-na, jak w poni�szym przyk�adzie:[global]security = share[dane]username = andrzej, piotr, weronikaonly user = yesUwierzytelnianie u�ytkowników 159usernameOpcja ta wymienia u�ytkowników, których has�a Samba porówna z has�em dostar-czonym przez klienta.Zwykle u�ywa si� jej po to, aby pozwoli� klientom (korzy-staj�cym z zabezpiecze� na poziomie udzia�u) na po��czenie si� z konkretnym zaso-bem tylko na podstawie odpowiedniego has�a takiego, które odpowiada has�uokreSlonego u�ytkownika.[global]security = share[dane]username = andrzej, piotr, annaNie zalecamy u�ywania tej opcji, chyba �e konfigurujesz serwer Samby do pracyz zabezpieczeniami na poziomie udzia�u.Zabezpieczenia na poziomie u�ytkownikaPreferowany model bezpiecze�stwa w Sambie to zabezpieczenia na poziomie u�ytkow-nika.W tym rodzaju zabezpieczenia ka�demu udzia�owi przypisuje si� u�ytkow-ników, którzy mog� z niego korzysta�.Kiedy u�ytkownik za��da po��czenia z udzia�em,Samba uwierzytelnia go, porównuj�c jego nazw� i has�o z list� autoryzowanychu�ytkowników w pliku konfiguracyjnym oraz z plikiem hase� serwera Samby.Jakwspomniano wczeSniej w tym rozdziale, jednym ze sposobów ograniczenia dost�p-noSci udzia�u jest u�ycie opcji valid users:[global]security = user[ksiegowosc1]writable = yesvalid users = robert, jacek, sylwiaKa�dy z wymienionych u�ytkowników b�dzie móg� po��czy� si� z udzia�em, jeSlidostarczone przez niego has�o b�dzie odpowiada� temu przechowywanemu w ba-zie hase� serwera.JeSli wst�pne uwierzytelnienie powiedzie si�, u�ytkownik nie b�-dzie musia� ponownie wpisywa� has�a, aby po��czy� si� z udzia�em, o ile nie usta-wiono opcji revalidate = yes.Has�a mog� by� przesy�ane do serwera Samby w postaci zaszyfrowanej lub nieza-szyfrowanej.JeSli w twojej sieci znajduj� si� systemy obu typów, powinieneS upew-ni� si�, �e has�a poszczególnych u�ytkowników s� przechowywane zarówno w tra-dycyjnej bazie hase�, jak i w bazie zaszyfrowanych hase� Samby.Dzi�ki temu autory-zowani u�ytkownicy b�d� mogli uzyska� dost�p do swoich udzia�ów z klienta do-wolnego typu*.JeSli jednak zale�y ci szczególnie na bezpiecze�stwie sieci, zalecamystosowanie hase� zaszyfrowanych i rezygnacj� z hase� niezaszyfrowanych.W pod-rozdziale Has�a wyjaSnimy, jak u�ywa� hase� obu typów.* To, �e w sieci mog� znajdowa� si� zarówno klienty u�ywaj�ce hase� zaszyfrowanych, jak i niezaszyfro-wanych, jest jeszcze jednym powodem, dla którego Samba pozwala do��cza� (lub nie) ró�ne opcje do plikukonfiguracyjnego w zale�noSci od systemu operacyjnego klienta lub nazwy komputera.160 Rozdzia� 6: U�ytkownicy, bezpiecze�stwo i domenyZabezpieczenia na poziomie serweraKontrola dost�pu na poziomie serwera przypomina kontrol� na poziomie u�ytkow-nika.Jednak�e w tym przypadku Samba deleguje uwierzytelnianie hase� do serwerahase� SMB, zwykle innego serwera Samby lub serwera Windows NT dzia�aj�cegojako podstawowy kontroler domeny.Zauwa�, �e Samba nadal przechowuje swoj�list� udzia�ów i ich konfiguracji w pliku smb.conf.Kiedy klient próbuje nawi�za�po��czenie z udzia�em, Samba sprawdza, czy u�ytkownik jest rzeczywiScie upraw-niony do korzystania z udzia�u.Nast�pnie próbuje zweryfikowa� has�o, ��cz�c si�z serwerem hase� SMB za poSrednictwem znanego protoko�u i przedstawiaj�c do za-twierdzenia nazw� u�ytkownika i has�o.JeSli has�o zostanie zaakceptowane, Sambanawi��e sesj� z klientem.Konfiguracj� t� przedstawia rysunek 6.2.Rysunek 6.2.Typowa konfiguracja zabezpiecze� na poziomie serweraMo�esz skonfigurowa� Samb� do wspó�pracy z serwerem hase� (kiedy u�ywasz za-bezpiecze� na poziomie serwera) za pomoc� globalnej opcji password server, jakw poni�szym przyk�adzie:[global]security = serverpassword server = FENIKS120 HYDRA134Zauwa�, �e w opcji password server mo�esz poda� nazwy kilku komputerów.Samba b�dzie ��czy� si� z kolejnym serwerem na liScie, jeSli pierwszy wybrany b�-dzie niedost�pny.Serwery w opcji password server okreSla si� za pomoc� nazwNetBIOS-owych, a nie nazw DNS lub równowa�nych im adresów IP.JeSli zaS którySz serwerów odrzuci podane has�o, po��czenie nie powiedzie si� Samba nie b�dzie��czy� si� z nast�pnym serwerem.Jedno zastrze�enie: mimo �e korzystasz z tej opcji, nadal musisz mie� konto reprezen-tuj�ce u�ytkownika w serwerze Samby.A to dlatego, �e Unix wymaga nazwy u�yt-kownika podczas wykonywania ró�nych operacji wejScia-wyjScia.Aby omin�� tenproblem, najcz�Sciej zak�ada si� konto u�ytkownika w serwerze Samby i wy��czahas�o tego konta przez zast�pienie go gwiazdk� (*) w systemowym pliku hase� (naprzyk�ad /etc/passwd).Uwierzytelnianie u�ytkowników 161Zabezpieczenia na poziomie domenyKontrola dost�pu na poziomie domeny przypomina kontrol� na poziomie u�ytkow-nika.Jednak�e w tym wypadku Samba dzia�a jako cz�onek domeny Windows.Jakdowiedzia�eS si� w rozdziale 1, w ka�dej domenie znajduje si� kontroler domeny zwykle serwer Windows NT Swiadcz�cy us�ugi uwierzytelniania hase�.Dzi�ki kon-trolerowi domeny grupa robocza dysponuje autorytatywnym serwerem hase� [ Pobierz całość w formacie PDF ]

zanotowane.pl

Le Guin Ursula K Opowiesci z Ziemiomorza

Chmielewska Joanna Trudny Trup

Auel Jean M Wielka wedrowka (2)

Estep Jennifer Akademia mitu 02 Pocałunek Gwen Frost

KS. DR PROF. MICHAŁ SOPOĆKO MIŁOSIERDZIE BOGA W DZIEŁACH JEGO TOM IV

Alistair Maclean Szatanski Wirus poprawiony v 1 (3)