Samba server ja paroolikontroll

Allikas: Kuutõrvaja

Sissejuhatus

Samba serveri abil on võimalik konfigureerida teenuseid, mis on võrgus kättesaadavad kõigile kasutajaile vabalt või nõuavad enne kasutamist kasutaja autentimist.

Autentimisel kontrollitakse, kas kasutaja poolt näidatud kasutajanimi ja parool vastavad süsteemi andmebaasis olevaile ning selle alusel otsustatakse kasutajat teenindada või mitte.

Samba võimaldab kasutada erinevaid autentimisskeeme, käsitleme kahte populaarsemat

  • UNIXi paroolifail - puuduseks on, et üle võrgu liiguvad paroolid lahtise tekstina; eeliseks, et kasutajal on üks universaalne parool nii Samba serveri kui teiste UNIXi teenuste kasutamiseks
  • Samba paroolifail - eeliseks on, et üle võrgu liiguvad krüptitud paroolid; puudus, et kasutajal on tarvis tegeleda eraldi Samba ja UNIXi teenuste parooliga ning need on sõltumatud.

Windows 98/2000/NT kasutavad vaikimisi krüptitud paroole ja selle muutmiseks on vaja muuta veidi Windowsi registrit.

Samba kasutab UNIXi paroolifaili

Kasutajale on see ilmselt kõige mugavam variant. Kui on tegemist näiteks maskeraadi taha varjatud alamvõrguga, kus tõenäoliselt keegi võrku pealt ei kuula, siis pole ka krüptimata paroolide üle võrgu liikumisest lugu. Põhimõttelisel ei kujune olukord ebaturvalisemaks, kui Telneti või FTP kasutamine, mispuhul liiguvad samuti krüptimata paroolid.

Sellise süsteemi kasutamiseks peab muutma veidi Windowsi masinate registrit:

Windows NT

Käivitage programm regedit ning liikuge sektsiooni

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]

ning lisage

"EnablePlainTextPassword"=dword:00000001

Tegevust illustreerib pilt

Ntregedit.gif

Windows 98

Sarnaselt eelnevaga tekitage registrisse element

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]

"EnablePlainTextPassword"=dword:00000001

Windows 2000

Sarnaselt eelnevaga tekitage registrisse element

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
"EnablePlainTextPassword"=dword:00000001

Windows XP täiendavaid muudatusi registris ei vaja

Vista ja Windows7 vajavad täiendavat kontrolli.

Samba kasutab oma paroolifaili

Kasutajaile veidi tülikam, kuid turvalisem, on seada Samba server kasutama oma paroolifaili. Üle võrgu liiguvad krüptitud paroolid ja kuna nad on krüptitud LAN algoritmiga, siis peab neid säilitama eraldi paroolifailis, tavaliselt failis /usr/local/samba/lib/smbpasswd.

Selle variandi kasutamiseks ei ole vaja Windowsi klientide registriga midagi teha.

Kasutaja Samba kasutajanimi valitakse reeglina sama, mis tema UNIXi kasutajanimigi. Kasutaja lisatakse Samba paroolifaili käsuga smbpasswd selliselt

# smbpasswd -a priit

kus -a tähendab uue kasutaja lisamist, samas tuleb ka kasutajale parool omistada. Esimese kasutaja lisamisel antakse hirmus veateade, kuid sellest pole lugu.

Uuematel samba versioonidel (nt 3.5) on smbpasswd käsk puudu, kasutajad tuleb luua käsuga

# pdbedit -a priit

Nii administraator kui ka kasutaja ise saavad kasutaja Samba parooli muuta sama käsuga, näiteks

$ smbpasswd priit

Selleks, et server saaks aru, et õiendatakse krüptitud paroolidega, peab lisama Samba konfiguratsioonifaili üldossa rea

encrypt passwords = yes