SAMBA

Alguma notas rápidas sobre SAMBA.

Um servidor num domínio Windows pode ter os seguintes papéis:

• Controlador de domínio (Domain Controller)
  
• Membro de domínio (Domain Member Server)
• Standalone server

Um controlador de domínio pode ser:

• Primary Domain Controller
• Backup Domain Controller
• Active Directory Controller

Um membro de domínio pode ser:

• AD Domain Server (mais recente)
• NT4 Domain Server (mais antigo)

Um Standalone Server:

• não faz parte de nenhum domínio;
• os recursos são (usualmente) disponibilizados através de share ou user mode;
• apenas usa (normalmente) contas de utilizadores locais;
• não tem serviços de logon na rede (ou seja, o logon dos users não é feito na rede, nem sequer no servidor, apenas depende dos shares);
• é preciso mapear o username de logon (externo) a um username no servidor;
• a autenticação no samba é independente do servidor, por isso, mesmo sem pertencer a um domínio, o standalone server pode fazer a autenticação dos users num servidor remoto (LDAP, PAM) ou local (smbpasswd, /etc/passwd);
  

Modos de segurança:

• share
• user
• domain
• ADS
• server

Share:

• cada share precisa de uma autenticação autónoma;
• cada vez que se tenta aceder ao share é necessário enviar o user/pass.

User:

• o acesso é definido por user/pass e eventualmente o nome da máquina;
• os shares só são pedidos pelo cliente DEPOIS de a password ser aceite, por isso o share não pode ser usado para determinar se o pedido é aceite ou não;
• depois de o user/pass ser aceite não é necessário reenviar para aceder a outros shares.

Domain level:

• a autenticação é feita na máquina central (PDC);
• todos os servidores se comportam como clientes do PDC (mesmo o próprio PDC);
• todas as máquinas que participam na segurança do domínio precisam de uma conta na base de dados de segurança;
• basicamente é semelhante ao user level, mas os users estão todos no PDC;
• o SAMBA no modo de segurança domain level pode assumir os papéis de Domain Member Server (DMS), Backup Domain Controller (BDC) ou Primary Domain Controller (PDC).

DMS:

• define-se com:
  

[global]
security=domain
workgroup=WORKGROUP

• é preciso que exista uma conta de máquina no PDC/BDC;
• no servidor "cliente":
  net rpc join -U admin%pass
• é preciso que exista uma conta de user na máquina DMS (mesmo que apenas tenha a shell /bin/false)

ADS level:

• O SAMBA pode fazer parte de um AD em modo nativo

Server security:

• é um modelo de segurança antigo e obsoleto: NÃO USAR

PDC:

• Só pode haver 1
• tem o original do SAM

BDC:

• pode haver vários ou nenhum;
• cada um tem uma cópia do SAM

DMS:

• pode haver vários ou nenhum;
• não têm cópia do SAM;
• autentica os utilizadores no PDC ou BDC;

Standalone Server:

• pode haver vários ou nenhum;
• só faz autenticação local, não participa na segurança.

Para o SAMBA 3 poder ser um PDC:

• configurar TCP/IP básico e MSWinNetworking;
• security=user
• configurar name resolution
• configurar logons (NT4/2000/XP)
• configurar roaming/local profiles;
• configurar network policies;
• manage domain accounts
• configurar clientes windows;

Para SAMBA 3 ser domain controller:

• ter um share "netlogon";
• providenciar serviços de netlogon;
• anunciar-se como DC;