X


[ Pobierz całość w formacie PDF ]
.Has�a s� wysy�ane przez Internet jawnym tekstem i mog� zosta� prze-chwycone z pakietów TCP.JeSli jednak uwa�asz, �e twoja sie� jest bezpiecznai chcesz u�ywa� standardowego uwierzytelniania wszystkich klientów z wykorzy-staniem pliku /etc/passwd, mo�esz tak zrobi�, ale b�dziesz musia� wy��czy� szyfro-wanie hase� w tych klientach Windows, które domySlnie z niego korzystaj�.W tym celu musisz zmodyfikowa� rejestr Windows, instaluj�c dwa pliki w ka�dymsystemie.W zale�noSci od platformy b�d� to pliki NT4_PlainPassword.reg lubWin95_PlainPassword.reg.Instalacja polega na skopiowaniu odpowiednich plików.reg z katalogu /docs dystrybucji Samby na dyskietk� dosow� i uruchomieniu ich zapomoc� polecenia Uruchom w menu Start.Plik.reg przeznaczony dla Windows 95dzia�a tak�e w Windows 98.Po ponownym uruchomieniu komputera klient nie b�dzie szyfrowa� swoich hase�przed wys�aniem ich do serwera.Oznacza to, �e has�a równowa�ne jawnemu teksto- Has�a 165wi b�d� widoczne w pakietach TCP rozg�aszanych w sieci.PodkreSlmy jeszcze raz, �ejest to niewskazane, jeSli nie jesteS ca�kowicie pewien, �e twoja sie� jest bezpieczna.JeSli has�a nie s� szyfrowane, powinieneS zaznaczy� to w pliku konfiguracyjnymSamby:[global]security = userencrypt passwords = noPlik smbpasswdSamba przechowuje zaszyfrowane has�a w pliku o nazwie smbpasswd, który domySl-nie znajduje si� w katalogu /usr/local/samba/private.Plik smbpasswd nale�y chroni�dok�adnie tak samo, jak plik passwd; powinien znajdowa� si� w katalogu, w którymprawo do odczytu i zapisu ma tylko u�ytkownik root.Inni u�ytkownicy w ogóle niepowinni mie� prawa do odczytu tego katalogu.Oprócz tego sam plik smbpasswd po-winien by� dost�pny tylko dla roota.Zanim zaczniesz korzysta� z zaszyfrowanych hase�, musisz utworzy� wpis dla ka�-dego uniksowego u�ytkownika w pliku smbpasswd.Struktura tego pliku przypomi-na nieco uniksowy plik passwd, ale ma inne pola.Na rysunku 6.3 przedstawionosk�adni� wpisu w pliku smbpasswd; w rzeczywistoSci wpis ten zajmuje tylko jedn� li-ni� pliku, któr� z�amano na potrzeby rysunku.Rysunek 6.3.Struktura wpisu w pliku smbpasswd (w rzeczywistoSci jedna linia)Oto opis poszczególnych pól:Nazwa u�ytkownikaJest to nazwa u�ytkownika konta.Jest pobierana bezpoSrednio z systemowegopliku hase�.Identyfikator u�ytkownikaJest to identyfikator u�ytkownika konta.Podobnie jak nazwa, jest pobierany bez-poSrednio z systemowego pliku hase� i musi odpowiada� u�ytkownikowi, któ -rego tam reprezentuje. 166 Rozdzia� 6: U�ytkownicy, bezpiecze�stwo i domenySuma mieszana has�a w formacie LAN ManageraJest to 32-bitowa sekwencja szesnastkowa reprezentuj�ca has�o u�ywane przezklienty Windows 95 i 98.Otrzymuje si� j� przez zaszyfrowanie �a�cucha KGS!@#$%za pomoc� 56-bitowego algorytmu DES, z wykorzystaniem klucza w postacidwukrotnie powtórzonego has�a u�ytkownika (które wyrównuje si� do d�ugoSci14 bajtów i przekszta�ca na du�e litery).JeSli u�ytkownik obecnie nie ma has�a,suma mieszana b�dzie sk�ada� si� z tekstu NO PASSWORD uzupe�nionego znaka-mi X a� do ko�ca pola.JeSli zaS has�o zostanie wy��czone, suma b�dzie si� sk�ada�z 32 znaków X.Samba nie zezwoli na dost�p u�ytkownikowi bez has�a, chyba �eustawiona jest opcja null passwords.Suma mieszana has�a w formacie NTJest to 32-bitowa sekwencja szesnastkowa reprezentuj�ca has�o u�ywane przezklienty Windows NT.Otrzymuje si� j� przez zaszyfrowanie has�a u�ytkownika(reprezentowanego przez 16-bitow� sekwencj� Unikodu w formacie  m�odszybajt  starszy bajt ) za pomoc� sumy MD4.Has�o nie jest wst�pnie zamieniane nadu�e litery.Znaczniki kontaPole to sk�ada si� z 11 znaków uj�tych w nawiasy kwadratowe ([]).Mo�e zawie-ra� poni�sze znaki, wyst�puj�ce w dowolnej kolejnoSci, i powinno by� uzu-pe�nione spacjami.U To konto jest standardowym kontem u�ytkownika.D To konto jest obecnie wy��czone i Samba nie powinna zezwala� na logowanie.N To konto nie ma przypisanego has�a.W Jest to konto zaufanej stacji roboczej, którego mo�na u�y� do skonfigurowa-nia Samby jako podstawowego kontrolera domeny, gdy chcemy zezwoli�komputerom NT na do��czanie si� do jej domeny.Czas ostatniej modyfikacjiTo pole sk�ada si� ze znaków LCT-, po których nast�puje szesnastkowa repre-zentacja liczby sekund, które up�yn�y od pocz�tku epoki (pó�noc 1 stycznia 1970roku) do momentu ostatniej zmiany has�a.Dodawanie wpisów do pliku smbpasswdIstnieje kilka sposobów na dodanie nowego wpisu do pliku smbpasswd:� Mo�esz u�y� programu smbpasswd z opcj� -a, aby automatycznie doda� dowol-nego u�ytkownika, który obecnie ma standardowe konto uniksowe w serwerze.Program ten znajduje si� w katalogu /usr/local/samba/bin.� Mo�esz u�y� pliku wykonywalnego addtosmbpass, znajduj�cego si� w katalogu/usr/local/samba/bin.Jest to prosty skrypt awk, który analizuje systemowy plik hase�i wydobywa z niego nazw� i identyfikator u�ytkownika dla ka�dego wpisu, którychcesz doda� do pliku hase� SMB.Nast�pnie umieszcza w pozosta�ych polachwpisu domySlne wartoSci, które mo�esz póxniej zmieni� za pomoc� programusmbpasswd.Aby skorzysta� z tego skryptu, prawdopodobnie b�dziesz musia� Has�a 167zmieni� jego pierwsz� lini�, która musi wskazywa� po�o�enie programu awkw twoim systemie.� Gdyby oba powy�sze sposoby zawiod�y, mo�esz r�cznie utworzy� domySlny wpisw pliku smbpasswd.Wpis powinien mieSci� si� w jednej linii.Ka�de pole powinnoby� oddzielone dwukropkiem, a ca�y wpis powinien wygl�da� mniej wi�cej tak:dawid:500:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U ]:LCT-00000000:Wpis sk�ada si� z nazwy i identyfikatora u�ytkownika (jak w systemowym plikuhase�), dwóch zbiorów zawieraj�cych po 32 znaki X, znaczników konta i czasuostatniej modyfikacji.Kiedy dodasz ten wpis, b�dziesz musia� zmieni� has�ou�ytkownika za pomoc� programu smbpasswd.Zmienianie zaszyfrowanego has�aProgramu smbpasswd mo�esz u�y� tak�e wtedy, gdy chcesz zmieni� zaszyfrowanehas�o w pliku smbpasswd.Zauwa�, �e program do zmieniania hase� ma tak� sam� na-zw�, co plik hase�, wi�c nie pomyl jednego z drugim.Program smbpasswd dzia�a niemal identycznie jak program passwd, s�u��cy do zmie-niania hase� uniksowych.Program prosi po prostu o wprowadzenie starego has�a(o ile nie jesteS u�ytkownikiem uprzywilejowanym), a nast�pnie o dwukrotne wpi-sanie nowego.Znaki sk�adaj�ce si� na has�a nie s� wySwietlane na ekranie.# smbpasswd dawidOld SMB password:New SMB password:Retype new SMB password:Password changed for user dawidPo wydaniu tego polecenia mo�esz zajrze� do pliku smbpasswd i upewni� si�, czysumy mieszane has�a w formacie LAN Managera i NT zosta�y zapisane w odpo-wiednich polach.Kiedy w bazie danych znajd� si� has�a u�ytkowników, b�d� onimogli ��czy� si� z udzia�ami, u�ywaj�c zaszyfrowanych hase�!Synchronizowanie hase�Gdy musisz pos�ugiwa� si� zarówno zwyk��, jak i zaszyfrowan� wersj� tego samegohas�a, wprowadzanie w nich jakichkolwiek zmian mo�e by� k�opotliwe.Na szcz�-Scie Samba ma pewne mo�liwoSci synchronizowania hase�.Istniej� opcje konfigura-cyjne, które pozwalaj� na automatyczne uaktualnianie zwyk�ego has�a uniksowego,kiedy ulegnie zmianie jego zaszyfrowana wersja [ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • szamanka888.keep.pl
  • Drogi użytkowniku!

    W trosce o komfort korzystania z naszego serwisu chcemy dostarczać Ci coraz lepsze usługi. By móc to robić prosimy, abyś wyraził zgodę na dopasowanie treści marketingowych do Twoich zachowań w serwisie. Zgoda ta pozwoli nam częściowo finansować rozwój świadczonych usług.

    Pamiętaj, że dbamy o Twoją prywatność. Nie zwiększamy zakresu naszych uprawnień bez Twojej zgody. Zadbamy również o bezpieczeństwo Twoich danych. Wyrażoną zgodę możesz cofnąć w każdej chwili.

     Tak, zgadzam się na nadanie mi "cookie" i korzystanie z danych przez Administratora Serwisu i jego partnerów w celu dopasowania treści do moich potrzeb. Przeczytałem(am) Politykę prywatności. Rozumiem ją i akceptuję.

     Tak, zgadzam się na przetwarzanie moich danych osobowych przez Administratora Serwisu i jego partnerów w celu personalizowania wyświetlanych mi reklam i dostosowania do mnie prezentowanych treści marketingowych. Przeczytałem(am) Politykę prywatności. Rozumiem ją i akceptuję.

    Wyrażenie powyższych zgód jest dobrowolne i możesz je w dowolnym momencie wycofać poprzez opcję: "Twoje zgody", dostępnej w prawym, dolnym rogu strony lub poprzez usunięcie "cookies" w swojej przeglądarce dla powyżej strony, z tym, że wycofanie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania na podstawie zgody, przed jej wycofaniem.