[ Pobierz całość w formacie PDF ]
.Has³a s¹ wysy³ane przez Internet jawnym tekstem i mog¹ zostaæ prze-chwycone z pakietów TCP.JeS
li jednak uwa¿asz, ¿e twoja sieæ jest bezpiecznai chcesz u¿ywaæ standardowego uwierzytelniania wszystkich klientów z wykorzy-staniem pliku /etc/passwd, mo¿esz tak zrobiæ, ale bêdziesz musia³ wy³¹czyæ szyfro-wanie hase³ w tych klientach Windows, które domyS
lnie z niego korzystaj¹.W tym celu musisz zmodyfikowaæ rejestr Windows, instaluj¹c dwa pliki w ka¿dymsystemie.W zale¿noS
ci od platformy bêd¹ to pliki NT4_PlainPassword.reg lubWin95_PlainPassword.reg.Instalacja polega na skopiowaniu odpowiednich plików.reg z katalogu /docs dystrybucji Samby na dyskietkê dosow¹ i uruchomieniu ich zapomoc¹ polecenia Uruchom w menu Start.Plik.reg przeznaczony dla Windows 95dzia³a tak¿e w Windows 98.Po ponownym uruchomieniu komputera klient nie bêdzie szyfrowa³ swoich hase³przed wys³aniem ich do serwera.Oznacza to, ¿e has³a równowa¿ne jawnemu teksto-Has³a 165wi bêd¹ widoczne w pakietach TCP rozg³aszanych w sieci.PodkreS
lmy jeszcze raz, ¿ejest to niewskazane, jeS
li nie jesteS
ca³kowicie pewien, ¿e twoja sieæ jest bezpieczna.JeS
li has³a nie s¹ szyfrowane, powinieneS
zaznaczyæ to w pliku konfiguracyjnymSamby:[global]security = userencrypt passwords = noPlik smbpasswdSamba przechowuje zaszyfrowane has³a w pliku o nazwie smbpasswd, który domyS
l-nie znajduje siê w katalogu /usr/local/samba/private.Plik smbpasswd nale¿y chroniædok³adnie tak samo, jak plik passwd; powinien znajdowaæ siê w katalogu, w którymprawo do odczytu i zapisu ma tylko u¿ytkownik root.Inni u¿ytkownicy w ogóle niepowinni mieæ prawa do odczytu tego katalogu.Oprócz tego sam plik smbpasswd po-winien byæ dostêpny tylko dla roota.Zanim zaczniesz korzystaæ z zaszyfrowanych hase³, musisz utworzyæ wpis dla ka¿-dego uniksowego u¿ytkownika w pliku smbpasswd.Struktura tego pliku przypomi-na nieco uniksowy plik passwd, ale ma inne pola.Na rysunku 6.3 przedstawionosk³adniê wpisu w pliku smbpasswd; w rzeczywistoS
ci wpis ten zajmuje tylko jedn¹ li-niê pliku, któr¹ z³amano na potrzeby rysunku.Rysunek 6.3.Struktura wpisu w pliku smbpasswd (w rzeczywistoS
ci jedna linia)Oto opis poszczególnych pól:Nazwa u¿ytkownikaJest to nazwa u¿ytkownika konta.Jest pobierana bezpoS
rednio z systemowegopliku hase³.Identyfikator u¿ytkownikaJest to identyfikator u¿ytkownika konta.Podobnie jak nazwa, jest pobierany bez-poS
rednio z systemowego pliku hase³ i musi odpowiadaæ u¿ytkownikowi, któ -rego tam reprezentuje.166 Rozdzia³ 6: U¿ytkownicy, bezpieczeñstwo i domenySuma mieszana has³a w formacie LAN ManageraJest to 32-bitowa sekwencja szesnastkowa reprezentuj¹ca has³o u¿ywane przezklienty Windows 95 i 98.Otrzymuje siê j¹ przez zaszyfrowanie ³añcucha KGS!@#$%za pomoc¹ 56-bitowego algorytmu DES, z wykorzystaniem klucza w postacidwukrotnie powtórzonego has³a u¿ytkownika (które wyrównuje siê do d³ugoS
ci14 bajtów i przekszta³ca na du¿e litery).JeS
li u¿ytkownik obecnie nie ma has³a,suma mieszana bêdzie sk³adaæ siê z tekstu NO PASSWORD uzupe³nionego znaka-mi X a¿ do koñca pola.JeS
li zaS
has³o zostanie wy³¹czone, suma bêdzie siê sk³adaæz 32 znaków X.Samba nie zezwoli na dostêp u¿ytkownikowi bez has³a, chyba ¿eustawiona jest opcja null passwords.Suma mieszana has³a w formacie NTJest to 32-bitowa sekwencja szesnastkowa reprezentuj¹ca has³o u¿ywane przezklienty Windows NT.Otrzymuje siê j¹ przez zaszyfrowanie has³a u¿ytkownika(reprezentowanego przez 16-bitow¹ sekwencjê Unikodu w formacie  m³odszybajt  starszy bajt ) za pomoc¹ sumy MD4.Has³o nie jest wstêpnie zamieniane nadu¿e litery.Znaczniki kontaPole to sk³ada siê z 11 znaków ujêtych w nawiasy kwadratowe ([]).Mo¿e zawie-raæ poni¿sze znaki, wystêpuj¹ce w dowolnej kolejnoS
ci, i powinno byæ uzu-pe³nione spacjami.U To konto jest standardowym kontem u¿ytkownika.D To konto jest obecnie wy³¹czone i Samba nie powinna zezwalaæ na logowanie.N To konto nie ma przypisanego has³a.W Jest to konto zaufanej stacji roboczej, którego mo¿na u¿yæ do skonfigurowa-nia Samby jako podstawowego kontrolera domeny, gdy chcemy zezwoliækomputerom NT na do³¹czanie siê do jej domeny.Czas ostatniej modyfikacjiTo pole sk³ada siê ze znaków LCT-, po których nastêpuje szesnastkowa repre-zentacja liczby sekund, które up³ynê³y od pocz¹tku epoki (pó³noc 1 stycznia 1970roku) do momentu ostatniej zmiany has³a.Dodawanie wpisów do pliku smbpasswdIstnieje kilka sposobów na dodanie nowego wpisu do pliku smbpasswd:· Mo¿esz u¿yæ programu smbpasswd z opcj¹ -a, aby automatycznie dodaæ dowol-nego u¿ytkownika, który obecnie ma standardowe konto uniksowe w serwerze.Program ten znajduje siê w katalogu /usr/local/samba/bin.· Mo¿esz u¿yæ pliku wykonywalnego addtosmbpass, znajduj¹cego siê w katalogu/usr/local/samba/bin.Jest to prosty skrypt awk, który analizuje systemowy plik hase³i wydobywa z niego nazwê i identyfikator u¿ytkownika dla ka¿dego wpisu, którychcesz dodaæ do pliku hase³ SMB.Nastêpnie umieszcza w pozosta³ych polachwpisu domyS
lne wartoS
ci, które mo¿esz póx
niej zmieniæ za pomoc¹ programusmbpasswd.Aby skorzystaæ z tego skryptu, prawdopodobnie bêdziesz musia³Has³a 167zmieniæ jego pierwsz¹ liniê, która musi wskazywaæ po³o¿enie programu awkw twoim systemie.· Gdyby oba powy¿sze sposoby zawiod³y, mo¿esz rêcznie utworzyæ domyS
lny wpisw pliku smbpasswd.Wpis powinien mieS
ciæ siê w jednej linii.Ka¿de pole powinnobyæ oddzielone dwukropkiem, a ca³y wpis powinien wygl¹daæ mniej wiêcej tak:dawid:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U ]:LCT-00000000:Wpis sk³ada siê z nazwy i identyfikatora u¿ytkownika (jak w systemowym plikuhase³), dwóch zbiorów zawieraj¹cych po 32 znaki X, znaczników konta i czasuostatniej modyfikacji.Kiedy dodasz ten wpis, bêdziesz musia³ zmieniæ has³ou¿ytkownika za pomoc¹ programu smbpasswd.Zmienianie zaszyfrowanego has³aProgramu smbpasswd mo¿esz u¿yæ tak¿e wtedy, gdy chcesz zmieniæ zaszyfrowanehas³o w pliku smbpasswd.Zauwa¿, ¿e program do zmieniania hase³ ma tak¹ sam¹ na-zwê, co plik hase³, wiêc nie pomyl jednego z drugim.Program smbpasswd dzia³a niemal identycznie jak program passwd, s³u¿¹cy do zmie-niania hase³ uniksowych.Program prosi po prostu o wprowadzenie starego has³a(o ile nie jesteS
u¿ytkownikiem uprzywilejowanym), a nastêpnie o dwukrotne wpi-sanie nowego.Znaki sk³adaj¹ce siê na has³a nie s¹ wyS
wietlane na ekranie.# smbpasswd dawidOld SMB password:New SMB password:Retype new SMB password:Password changed for user dawidPo wydaniu tego polecenia mo¿esz zajrzeæ do pliku smbpasswd i upewniæ siê, czysumy mieszane has³a w formacie LAN Managera i NT zosta³y zapisane w odpo-wiednich polach.Kiedy w bazie danych znajd¹ siê has³a u¿ytkowników, bêd¹ onimogli ³¹czyæ siê z udzia³ami, u¿ywaj¹c zaszyfrowanych hase³!Synchronizowanie hase³Gdy musisz pos³ugiwaæ siê zarówno zwyk³¹, jak i zaszyfrowan¹ wersj¹ tego samegohas³a, wprowadzanie w nich jakichkolwiek zmian mo¿e byæ k³opotliwe.Na szczê-S
cie Samba ma pewne mo¿liwoS
ci synchronizowania hase³.Istniej¹ opcje konfigura-cyjne, które pozwalaj¹ na automatyczne uaktualnianie zwyk³ego has³a uniksowego,kiedy ulegnie zmianie jego zaszyfrowana wersja [ Pobierz caÅ‚ość w formacie PDF ]

Podobne

• Start
• samba (2)
• Podstawy Sieci IP [O'Reilly, 345s]
• (30) Niemirski Arkadiusz
• Zaleski W. Rok koÂścielny z MaryjÄ…
• Terry Pratchett 01 Kolor Magi
• Albert Speer Wspomnienia (2)
• FrÄ…czek M, Hausner J, Mazur S Wokół ekonomii spoÅ‚ecznej
• Dean R. Koontz Nocne dreszcze
• Chalker Jack L. Powrót Nathana Brazila
• Heinlein Robert A Luna to surowa pani (2)
• zanotowane.pl
• doc.pisz.pl
• pdf.pisz.pl
• tokolno.xlx.pl