Esettanulmány: Samba+LDAP+ddwrt

A Unix/Linux szerverek üzemeltetése wikiből
A lap korábbi változatát látod, amilyen Raddan (vitalap | szerkesztései) 2008. december 11., 22:24-kor történt szerkesztése után volt.

A SaMBa egy SMB/CIFS szolgáltatásokat megvalósitó kliens/szerver szoftver.

1 Története

  • majd ide jon vmi

?

2 Jelszókezelés

  • smbpasswd
    • a titkositott jelszavakat tárolja LANMan és NTLM formátumban
    • tárolja még az UID-t, meg 4 féle flag-et:
      • U : "sima" felhasználó
      • D : disabled, nem jelentkezhet be
      • N : no password
      • W : workstation trust account, akkor lenne értelme,ha PDC-ként konfiguráljuk a Samba-t
    • minden usert fel kell venni (vagy egy felvett userhez map-olni) akit a szerveren akarunk hitelesiteni
    • ezenkivül minden ide felvett usernek a \etv\passwd-ben is léteznie kell
      • van lehetőség a kettö szinkronizálására 
unix password sync = yes
  • a titkositott jelszavak fogadását ki is lehet kapcsolni, ekkor figyelmen kivül hagyja 
[global]
    encrypt passwords = no


3 Hozzáférések kezelése

  • hosts allow , hosts deny
  • Security level : a legalapvetőbb beállitás, megadja a megosztásokhoz való hozzáférés menetét. 3.0 óta 5-féle létezik :
    • Share-level
      • nem használ user-neveket
      • minden megosztásnak van egy jelszava ('null' is lehet), aminek ismeretében bárki hozzáférhet
      • sőt,ha guest ok paraméter igaz, mindenki alapból megkapja a guest account-al definiált user jogait
      • a jelszavakat a hozzájuk tartozó user-nevekkel adjuk meg, a példában rdan és bela felhasználók jelszavával lehet hozzáférni a megosztáshoz 
[global]
    security = share
[share1]
    username = rdan,bela
      • ez a fajta megosztás semmiképp nem ajánlott, kivéve ha egyszerüen csak meg akarunk valamit osztani mindenféle szabályozás nélkül
    • User-level
      • a felhasználónak be kell jelentkeznie
      • léteznie kell az smbpasswd fájlban
      • vagy map paranccsal

?ide pl-t

      • valid users
      • invalid users
      • admin users
      • write list
      • read list
      • map to guest  : megadhatjuk, hogy bizonyos esetekben automatikusan guest account-hoz map-olja a felhasználót
          • never
          • bad username
          • bad password
          • bad uid
      • 3.0 óta ez az alapbeállitás
    • Server-level
      • ugyanaz, mint az előző, csak itt másik SMB szerverre bizzuk a hitelesitést
      • ezeket a password server opcióval lehet megadni (ez lehet NetBIOS-név vagy IP-cim is) 
[global]
    security = server
    password server = 152.66.238.132 wiki
      • a szerver nem hitelesiti magát - érzékeny a megszemélyesitésre.
      • ha nem jár sikerrel akkor visszavált USER módba
    • Domain-level
      • a szerver NT-tartománytagként viselkedik, és a hitelesitést a PDC (vagy a BDC) végzi.
      • csak NT domain-ekhez való, AD-hez ott az ADS mód (lejjebb) - ergo ma már nem sok értelme van
    • ADS-level
      • Active Directory tagként müködik
      • a szerveren konfigurálni kell a Kerberost, és be kell léptetni a tartományba
      • viszont ettől még továbbra sem ő a DC
      • allow trusted domains : elfogad-e más tartományból érkező kéréseket is (alapból igen)
A lap eredeti címe: „http://unixlinux.tmit.bme.hu/index.php?title=Esettanulm%C3%A1ny:_Samba%2BLDAP%2Bddwrt&oldid=2901
Személyes eszközök