Коллективная безопасность

Опция безопасности share дает Samba указание ограничить доступ, основываясь на полномочиях для совместно используемых ресурсов. Это самая старая модель безопасности, доступная в Samba, и она обеспечивает наименьшую защиту.

Защита на уровне пользователя

Опция защиты на уровне пользователя - user дает Samba указание использовать правомочность имени пользователя на доступ к сетевым совместно используемым ресурсам. Когда пользователь пытается подсоединиться к коллективным ресурсам на сервере Samba, то Samba, в свою очередь, пытается проверить допустимость имени пользователя и пароль в локальном файле пароля. Если пользователь идентифицирован, то далее, на основании полномочий доступа к совместно используемым ресурсам, он будет либо допущен к ним, либо ему будет в этом отказано. Эта опция очень полезна, ели ваши регистрационные данные, ориентированные на PC, имеют те же имена пользователей, что и ваши регистрационные данные, ориентированные на Linux.

Для использования опции защиты на уровне пользователя необходимо создать регистрационные данные на вашей системе Linux для всех пользователей PC, которые будут подсоединяться к совместно используемым ресурсам Samba. Некоторые системные администраторы могут выполнять это неохотно, поскольку такое действие может значительно увеличить число элементов Пользователей в системном файле пароля и, таким образом, очень затруднить управление этим файлом.

Защита на уровне сервера

К счастью, существует решение проблемы, связанной с необходимостью обеспечения именами пользователей Linux всех пользователей, ориентированных на PC. Samba теперь позволяет переадресовывать все запросы на идентификацию пользователя отдельному серверу SMB. Этот сервер SMB не обязательно должен быть еще одной системой Linux с запущенным пакетом Samba; это может быть любой сервер SMB, способный идентифицировать пользователей, такой, например, как компьютер Windows NT. Таким образом, выбрав использование модели защиты на уровне сервера, вы можете сосредоточить все имена пользователей PC и пароли в системе NT и использовать ее для идентификации Samba!

Для установки защиты, базирующейся на сервере, добавьте к разделу [global] файла smb.conf две строки, аналогичные следующим:

      security=server
      password server = NTSRV1

Первая строка - "security=server" сообщает Samba о необходимости использования модели защиты на уровне сервера. Вторая строка сообщает Samba, какой компьютер будет работать в качестве идентифицирующего сервера. Для идентификации сервера вы должны задать имя Net BIOS, а не его имя DNS. Существует вероятность того, что вам придется редактировать свой файл /etc/hosts и добавлять элемент для идентификации имени Net BIOS для сервера

Используя серверную идентификацию, вы доверяете другому серверу точно проверять всех пользователей и идентифицировать их для вас. Никогда не полагайтесь на парольный сервер, которому вы полностью не доверяете!

Удаленный идентифицирующий сервер будет идентифицировать все имена пользователей и пароли автоматически. Если идентификация не пройдет, то Samba обратиться за помощью к модели защиты на уровне пользователя, как к механизму нейтрализации ошибки (fallback).






Наш баннер
Вы можете установить наш баннер на своем сайте или блоге, скопировав этот код:
RSS новости