Post on 23-Feb-2016
description
SAMBACaracterísticas Técnicas e Operacionais
Requisito de configuração do SAMBA para ser um servidor PDC ou cliente de domínio;
Tráfego em formato seguro através da rede;◦ Dificulta a captura por outras pessoas;
Versões mais recentes do Windows - padrão para login e utilização de serviços da rede;
Não é recomendável desativar o uso de senhas criptografadas;
Armazenadas no arquivo /etc/samba/smbpasswd. smbpasswd - utilizado para gerenciar o arquivo
de senhas;
Suporte a Senhas Criptografadas
Migração de senhas; Sem necessidade do usuário realizar o logoff durante a mudança;
update encrypted = yes na seção [global] do arquivo smb.conf.
Senha criptografada definida assim que o usuário se logar;
Remover assim que todas as senhas estejam trocadas.
Suporte a Senhas Criptografadas
Exemplo de adição de usuários no smbpasswd:◦ Adição com adduser:
useradd -g grupo-dominio -c "Usuário de Domínio" -s /bin/false -d /dev/null joao
◦ Adição no samba com smbpasswd: smbpasswd -a joao
Suporte a Senhas Criptografadas
Exemplo de remoção de usuários no smbpasswd:◦ smbpasswd -x usuario
Exemplo de alteração de senha:◦ smbpasswd -U usuario◦ Para alterar a senha de um usuário remoto,
utilize: smbpasswd -r servidor -U usuario
Suporte a Senhas Criptografadas
Forma de autenticação enviada por implementações NetBIOS antigas;
Encontrada no Lan Manager, Windows for Workgroups e Windows 95 OSR1;
As versões mais novas enviam a senha em formato criptografado;◦ Necessário também usar o formato criptografado
no SAMBA para que possa se autenticar;
Suporte a Senhas em Texto Plano
Criptografada:◦ Enviada de uma forma que dificulta sua captura por pessoas
maliciosas; ◦ NT não permite navegaçãono ambiente de rede em um sistema
SAMBA com nível de acesso por usuário autenticando usando senhas em texto plano.
◦ Solicitação reconexão em cada compartilhamento da máquina. ◦ Windows NT 4 a partir SP3 e Windows 95 OSR/2 – padrão;
Texto plano: ◦ A senha utilizada = /etc/passwd (servindo para ftp, login, etc) ◦ O servidor PDC pode ser usado para logon;◦ Não são armazenadas no disco da estação cliente; ◦ Não será perguntado por uma senha durante cada reconexão de
recurso.
Senhas Criptografadas x Senhas em Texto Plano
Controle de acesso aos arquivos/diretórios a nível de usuário.◦ Windows: isto permite que cada arquivo/diretório tenha
o acesso leitura/gravação somente para os usuários definidos e autenticados no controlador de domínio. Windows 9X: Painel de Controle > Propriedades de Rede >
Controle de Acesso.◦ Linux: permissões de arquivos e diretórios podem ser
definidas para o usuário do PDC; Garante mesmo nível de controle de acesso.
winbind - mecanismo nsswitch para obter outras fontes de dados de usuários e os associa nas ferramentas de gerenciamento de contas.
Mapeamento de usuários/grupos em clientes
Acessa um compartilhamento > o usuário do samba é mapeado com o UID respectivo de usuário do sistema ou o usuário guest (especificado pela opção "guest account") no caso de um acesso público.
Processo filho do smbd executado sobre o UID e GID deste usuário.◦ Nunca o SAMBA dará mais permissões que as
necessárias para o usuário (com excessão de quando é usado o parâmetro admin users)
Controle de Acesso
Restrição de Acesso por IP:◦ Parâmetros allow hosts e deny hosts tanto em
serviços individuais ou em todo o servidor.◦ Os parâmetros hosts allow e hosts deny são
equivalentes a estes acima.◦ EXCEPT - excessão de um ou mais endereços IPs,
por exemplo: hosts allow = 192.168.1. EXCEPT 192.168.1.20
Restrição de acesso por usuários:◦ Controle é feito pelos parâmetros valid users e invalid users.
Controle de Acesso
Compartilhamento para acesso sem senha:◦ Compartilhamento acessível publicamente;◦ Exemplos:
diretório que contém drivers de impressoras; arquivos comuns; diretórios temporários.
Compartilhamento com acesso somente leitura:◦ Proteção é útil quando pessoas não podem alterar o
conteúdo de um compartilhamento. ◦ Duas formas:
negando o acesso de gravação para todo o compartilhamento;
permitindo leitura somente para algumas pessoas;
Controle de Acesso
Compartilhamento com acesso somente leitura (exemplo):◦ [teste] comment = Acesso a leitura para todos ◦ path = /tmp◦ read only = yes◦ public = yes
Diretório /tmp foi compartilhado com o nome teste;
Controle de Acesso