Samba server ja paroolikontroll
Sisukord
Sissejuhatus
Samba serveri abil on võimalik konfigureerida teenuseid, mis on võrgus kättesaadavad kõigile kasutajaile vabalt või nõuavad enne kasutamist kasutaja autentimist.
Autentimisel kontrollitakse, kas kasutaja poolt näidatud kasutajanimi ja parool vastavad süsteemi andmebaasis olevaile ning selle alusel otsustatakse kasutajat teenindada või mitte.
Samba võimaldab kasutada erinevaid autentimisskeeme, käsitleme kahte populaarsemat
- UNIXi paroolifail - puuduseks on, et üle võrgu liiguvad paroolid lahtise tekstina; eeliseks, et kasutajal on üks universaalne parool nii Samba serveri kui teiste UNIXi teenuste kasutamiseks
- Samba paroolifail - eeliseks on, et üle võrgu liiguvad krüptitud paroolid; puudus, et kasutajal on tarvis tegeleda eraldi Samba ja UNIXi teenuste parooliga ning need on sõltumatud.
Windows 98/2000/NT kasutavad vaikimisi krüptitud paroole ja selle muutmiseks on vaja muuta veidi Windowsi registrit.
Samba kasutab UNIXi paroolifaili
Kasutajale on see ilmselt kõige mugavam variant. Kui on tegemist näiteks maskeraadi taha varjatud alamvõrguga, kus tõenäoliselt keegi võrku pealt ei kuula, siis pole ka krüptimata paroolide üle võrgu liikumisest lugu. Põhimõttelisel ei kujune olukord ebaturvalisemaks, kui Telneti või FTP kasutamine, mispuhul liiguvad samuti krüptimata paroolid.
Sellise süsteemi kasutamiseks peab muutma veidi Windowsi masinate registrit:
Windows NT
Käivitage programm regedit ning liikuge sektsiooni
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
ning lisage
"EnablePlainTextPassword"=dword:00000001
Tegevust illustreerib pilt
Windows 98
Sarnaselt eelnevaga tekitage registrisse element
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
"EnablePlainTextPassword"=dword:00000001
Windows 2000
Sarnaselt eelnevaga tekitage registrisse element
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters] "EnablePlainTextPassword"=dword:00000001
Windows XP täiendavaid muudatusi registris ei vaja
Vista ja Windows7 vajavad täiendavat kontrolli.
Samba kasutab oma paroolifaili
Kasutajaile veidi tülikam, kuid turvalisem, on seada Samba server kasutama oma paroolifaili. Üle võrgu liiguvad krüptitud paroolid ja kuna nad on krüptitud LAN algoritmiga, siis peab neid säilitama eraldi paroolifailis, tavaliselt failis /usr/local/samba/lib/smbpasswd.
Selle variandi kasutamiseks ei ole vaja Windowsi klientide registriga midagi teha.
Kasutaja Samba kasutajanimi valitakse reeglina sama, mis tema UNIXi kasutajanimigi. Kasutaja lisatakse Samba paroolifaili käsuga smbpasswd selliselt
# smbpasswd -a priit
kus -a tähendab uue kasutaja lisamist, samas tuleb ka kasutajale parool omistada. Esimese kasutaja lisamisel antakse hirmus veateade, kuid sellest pole lugu.
Uuematel samba versioonidel (nt 3.5) on smbpasswd käsk puudu, kasutajad tuleb luua käsuga
# pdbedit -a priit
Nii administraator kui ka kasutaja ise saavad kasutaja Samba parooli muuta sama käsuga, näiteks
$ smbpasswd priit
Selleks, et server saaks aru, et õiendatakse krüptitud paroolidega, peab lisama Samba konfiguratsioonifaili üldossa rea
encrypt passwords = yes