Безопасность на уровне пользователей

Начиная с версии 2.0, по умолчанию используется значение securty user. Безопасность на уровне пользователей требует от клиента подключаться к разделяемым ресурсам при помощи корректных имени пользователя и пароля (соответствие которых именам пользователей UNX-системы может быть указано при помощи параметра username map). В этом режиме безопасности также могут использоваться шифрованные пароли (см. параметр encrypt passwords). Если установлены такие параметры, как user и guest only, то они применяются и могут изменить имя пользователя UNX-системы, с правами которого устанавливается соединение — но это происходит только после успешной аутентификации пользователя. Это связано с тем, что имя ресурса, запрос на соединение с которым производится, пересылается на сервер только после успешной аутентификации клиента. Именно поэтому публично доступные ресурсы не будут работать при использовании безопасности на уровне пользователей без автоматического отображения неизвестных серверу пользователей в гостевую учетную запись (см. параметр map to guest, Securty optons).

Значение securty - share не требует от клиентов подключения к серверу с использованием имени пользователя и пароля до попытки подключения к разделяемому ресурсу. Клиенты на базе Wndows 95/98 и Wndows NT при подключении к серверу, на котором используется безопасность на уровне ресурсов, будут по-прежнему передавать запрос на аутентификацию, в котором будет указано имя пользователя, но не будет указан пароль. Пароли для аутентификашш отправляются клиентами для каждого ресурса отдельно, непосредственно при попытке подключения к нему. Служба smbd всегда выполняет запросы клиента от имени существующего пользователя UNX-системы, лаже при использовании безопасности на уровне ресурса Демон smbd использует несколько методов для определения, от имени какого конкретно пользователя он должен работать при выполнении того или иного запроса. Сначала создается список возможных пользователей для проверки пароля, потом производится проверка пароля:

- Если установлен параметр smbd, то все другие стадии пропускаются и проверяется только имя гостевой учетной записи.

- Если при запросе на подключение к разделяемому ресурсу клиентом было передано имя пользователя, то это имя пользопателя (после отображения в локальные имена, см. параметр username map) добавляется в список.

- Если клиент подключался к серверу ранее, то использованное им при предыдущем подключении имя добавляется в список. Имя ресурса, подключение к которому запрашивает клиент, также добавляется в список в качестве имени пользователя. В список также добавляется NetBOS-имя клиента.

- Если не установлен параметр guest only, то производится проверка соответствия указанного клиентом пароля всем именам из списка. Первый пользователь из списка, для которого данный пароль подошел, и будет тем UNX-пользователем, от имени которого работает smbd.

- Если параметр guest only установлен или имя пользователя, соответствующее паролю, не найдено, то производится проверка — является ли запрашиваемый ресурс публично доступным.

- Если ресурс является публично доступным, то smbd работает от имени пользо-вателя-гостя, в противном случае в подключении будет отказано.

В режиме securty - server Samba пытается проверять корректность пароля для данного имени пользователя передавая их другому SMB-серверу (возможно, NT-системе). Если проверка закончилась неуспехом, то Samba переходит па использование безопасности на уровне пользователей (securty - user). Однако если используются шифрованные пароли (а если вы работаете с NT, вы работаете с шифрованными паролями), то возврат к проверке UNX-паролей невозмояен. В этом случае для проверки паролей вы должны создать файл smbpasswd. Вы можете создать файл smbpasswd из файла /etc/passwd следующим образом: cat /etc/passwd | mksmbpasswd. sh > /usr/local/samba/prlvate/smbpasswd. Если ваш сервер использует NS, то команда будет выглядеть так: ypcat passwd | mksmbpasswd sh > /usn local/samba/prlvate/smbpasswd


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок