terça-feira, 30 de junho de 2009

SAMBA

Alguma notas rápidas sobre SAMBA.

Um servidor num domínio Windows pode ter os seguintes papéis:
  • Controlador de domínio (Domain Controller)
  • Membro de domínio (Domain Member Server)
  • Standalone server
Um controlador de domínio pode ser:
  • Primary Domain Controller
  • Backup Domain Controller
  • Active Directory Controller
Um membro de domínio pode ser:
  • AD Domain Server (mais recente)
  • NT4 Domain Server (mais antigo)
Um Standalone Server:
  • não faz parte de nenhum domínio;
  • os recursos são (usualmente) disponibilizados através de share ou user mode;
  • apenas usa (normalmente) contas de utilizadores locais;
  • não tem serviços de logon na rede (ou seja, o logon dos users não é feito na rede, nem sequer no servidor, apenas depende dos shares);
  • é preciso mapear o username de logon (externo) a um username no servidor;
  • a autenticação no samba é independente do servidor, por isso, mesmo sem pertencer a um domínio, o standalone server pode fazer a autenticação dos users num servidor remoto (LDAP, PAM) ou local (smbpasswd, /etc/passwd);
Modos de segurança:
  • share
  • user
  • domain
  • ADS
  • server
Share:
  • cada share precisa de uma autenticação autónoma;
  • cada vez que se tenta aceder ao share é necessário enviar o user/pass.
User:
  • o acesso é definido por user/pass e eventualmente o nome da máquina;
  • os shares só são pedidos pelo cliente DEPOIS de a password ser aceite, por isso o share não pode ser usado para determinar se o pedido é aceite ou não;
  • depois de o user/pass ser aceite não é necessário reenviar para aceder a outros shares.
Domain level:
  • a autenticação é feita na máquina central (PDC);
  • todos os servidores se comportam como clientes do PDC (mesmo o próprio PDC);
  • todas as máquinas que participam na segurança do domínio precisam de uma conta na base de dados de segurança;
  • basicamente é semelhante ao user level, mas os users estão todos no PDC;
  • o SAMBA no modo de segurança domain level pode assumir os papéis de Domain Member Server (DMS), Backup Domain Controller (BDC) ou Primary Domain Controller (PDC).
DMS:
  • define-se com:
[global]
security=domain
workgroup=WORKGROUP
  • é preciso que exista uma conta de máquina no PDC/BDC;
  • no servidor "cliente":
    net rpc join -U admin%pass
  • é preciso que exista uma conta de user na máquina DMS (mesmo que apenas tenha a shell /bin/false)
ADS level:
  • O SAMBA pode fazer parte de um AD em modo nativo
Server security:
  • é um modelo de segurança antigo e obsoleto: NÃO USAR
PDC:
  • Só pode haver 1
  • tem o original do SAM
BDC:
  • pode haver vários ou nenhum;
  • cada um tem uma cópia do SAM
DMS:
  • pode haver vários ou nenhum;
  • não têm cópia do SAM;
  • autentica os utilizadores no PDC ou BDC;
Standalone Server:
  • pode haver vários ou nenhum;
  • só faz autenticação local, não participa na segurança.
Para o SAMBA 3 poder ser um PDC:
  • configurar TCP/IP básico e MSWinNetworking;
  • security=user
  • configurar name resolution
  • configurar logons (NT4/2000/XP)
  • configurar roaming/local profiles;
  • configurar network policies;
  • manage domain accounts
  • configurar clientes windows;
Para SAMBA 3 ser domain controller:
  • ter um share "netlogon";
  • providenciar serviços de netlogon;
  • anunciar-se como DC;

Sem comentários:

Enviar um comentário