Esettanulmány: Samba+LDAP+ddwrt
A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(Új oldal, tartalma: „A SaMBa egy SMB/CIFS szolgáltatásokat megvalósitó kliens/szerver szoftver. == Története == *majd ide jon vmi == Jelszókezelés == *smbpasswd **a titkositott jel...”) |
|||
3. sor: | 3. sor: | ||
== Története == |
== Története == |
||
*majd ide jon vmi |
*majd ide jon vmi |
||
− | + | ? |
|
== Jelszókezelés == |
== Jelszókezelés == |
||
28. sor: | 28. sor: | ||
== Hozzáférések kezelése == |
== Hozzáférések kezelése == |
||
+ | *''hosts allow'' , ''hosts deny'' |
||
*'''Security level''' : a legalapvetőbb beállitás, megadja a megosztásokhoz való hozzáférés menetét. 3.0 óta 5-féle létezik : |
*'''Security level''' : a legalapvetőbb beállitás, megadja a megosztásokhoz való hozzáférés menetét. 3.0 óta 5-féle létezik : |
||
− | **'''Share-level''' : |
+ | **'''Share-level''' |
***nem használ user-neveket |
***nem használ user-neveket |
||
***minden megosztásnak van egy jelszava ('null' is lehet), aminek ismeretében bárki hozzáférhet |
***minden megosztásnak van egy jelszava ('null' is lehet), aminek ismeretében bárki hozzáférhet |
||
40. sor: | 41. sor: | ||
username = rdan,bela |
username = rdan,bela |
||
</pre> |
</pre> |
||
+ | |||
+ | ***ez a fajta megosztás semmiképp nem ajánlott, kivéve ha egyszerüen csak meg akarunk valamit osztani mindenféle szabályozás nélkül |
||
+ | |||
+ | **'''User-level''' |
||
+ | ***a felhasználónak be kell jelentkeznie |
||
+ | ***léteznie kell az smbpasswd fájlban |
||
+ | ***vagy map paranccsal |
||
+ | ?ide pl-t |
||
+ | |||
+ | ***valid users |
||
+ | ***invalid users |
||
+ | ***admin users |
||
+ | ***write list |
||
+ | ***read list |
||
+ | ***map to guest : megadhatjuk, hogy bizonyos esetekben automatikusan ''guest account''-hoz ''map''-olja a felhasználót |
||
+ | *****never |
||
+ | *****bad username |
||
+ | *****bad password |
||
+ | *****bad uid |
||
+ | ***3.0 óta ez az alapbeállitás |
||
+ | |||
+ | **'''Server-level''' |
||
+ | ***ugyanaz, mint az előző, csak itt másik SMB szerverre bizzuk a hitelesitést |
||
+ | ***ezeket a ''password server'' opcióval lehet megadni (ez lehet NetBIOS-név vagy IP-cim is) |
||
+ | <pre> |
||
+ | [global] |
||
+ | security = server |
||
+ | password server = 152.66.238.132 wiki |
||
+ | </pre> |
||
+ | ***a szerver nem hitelesiti magát - érzékeny a megszemélyesitésre. |
||
+ | ***ha nem jár sikerrel akkor visszavált USER módba |
||
+ | |||
+ | **'''Domain-level''' |
||
+ | ***a szerver NT-tartománytagként viselkedik, és a hitelesitést a PDC (vagy a BDC) végzi. |
||
+ | ***csak NT domain-ekhez való, AD-hez ott az ADS mód (lejjebb) - ergo ma már nem sok értelme van |
||
+ | |||
+ | **'''ADS-level''' |
||
+ | ***Active Directory tagként müködik |
||
+ | ***a szerveren konfigurálni kell a Kerberost, és be kell léptetni a tartományba |
||
+ | ***viszont ettől még továbbra sem ő a DC |
||
+ | ***''allow trusted domains'' : elfogad-e más tartományból érkező kéréseket is (alapból igen) |
A lap 2008. december 11., 22:24-kori változata
A SaMBa egy SMB/CIFS szolgáltatásokat megvalósitó kliens/szerver szoftver.
1 Története
- majd ide jon vmi
?
2 Jelszókezelés
- smbpasswd
- a titkositott jelszavakat tárolja LANMan és NTLM formátumban
- tárolja még az UID-t, meg 4 féle flag-et:
- U : "sima" felhasználó
- D : disabled, nem jelentkezhet be
- N : no password
- W : workstation trust account, akkor lenne értelme,ha PDC-ként konfiguráljuk a Samba-t
- minden usert fel kell venni (vagy egy felvett userhez map-olni) akit a szerveren akarunk hitelesiteni
- ezenkivül minden ide felvett usernek a \etv\passwd-ben is léteznie kell
- van lehetőség a kettö szinkronizálására
unix password sync = yes
- a titkositott jelszavak fogadását ki is lehet kapcsolni, ekkor figyelmen kivül hagyja
[global] encrypt passwords = no
3 Hozzáférések kezelése
- hosts allow , hosts deny
- Security level : a legalapvetőbb beállitás, megadja a megosztásokhoz való hozzáférés menetét. 3.0 óta 5-féle létezik :
- Share-level
- nem használ user-neveket
- minden megosztásnak van egy jelszava ('null' is lehet), aminek ismeretében bárki hozzáférhet
- sőt,ha guest ok paraméter igaz, mindenki alapból megkapja a guest account-al definiált user jogait
- a jelszavakat a hozzájuk tartozó user-nevekkel adjuk meg, a példában rdan és bela felhasználók jelszavával lehet hozzáférni a megosztáshoz
- Share-level
[global] security = share [share1] username = rdan,bela
- ez a fajta megosztás semmiképp nem ajánlott, kivéve ha egyszerüen csak meg akarunk valamit osztani mindenféle szabályozás nélkül
- User-level
- a felhasználónak be kell jelentkeznie
- léteznie kell az smbpasswd fájlban
- vagy map paranccsal
- User-level
?ide pl-t
- valid users
- invalid users
- admin users
- write list
- read list
- map to guest : megadhatjuk, hogy bizonyos esetekben automatikusan guest account-hoz map-olja a felhasználót
- never
- bad username
- bad password
- bad uid
- 3.0 óta ez az alapbeállitás
- Server-level
- ugyanaz, mint az előző, csak itt másik SMB szerverre bizzuk a hitelesitést
- ezeket a password server opcióval lehet megadni (ez lehet NetBIOS-név vagy IP-cim is)
- Server-level
[global] security = server password server = 152.66.238.132 wiki
- a szerver nem hitelesiti magát - érzékeny a megszemélyesitésre.
- ha nem jár sikerrel akkor visszavált USER módba
- Domain-level
- a szerver NT-tartománytagként viselkedik, és a hitelesitést a PDC (vagy a BDC) végzi.
- csak NT domain-ekhez való, AD-hez ott az ADS mód (lejjebb) - ergo ma már nem sok értelme van
- Domain-level
- ADS-level
- Active Directory tagként müködik
- a szerveren konfigurálni kell a Kerberost, és be kell léptetni a tartományba
- viszont ettől még továbbra sem ő a DC
- allow trusted domains : elfogad-e más tartományból érkező kéréseket is (alapból igen)
- ADS-level