| Linux – Friheden til systemadministration: Version 2.8.20060113 – 2021-01-07 | ||
|---|---|---|
| forrige | Kapitel 10. Linux som server i Windows-netværk (Samba) | næste |
SMB bruger en krypteringsteknik, der ligner standard Unix-kryptering. Det er dog kun tilsyneladende, at de to teknikker er ens, Unix-variationen sender nemlig typisk kodeordet i klar tekst over netværket, når man skal logge ind. SMB sender i modsætning hertil en kodet version af adgangskoden.
Hvorvidt man vælger at bruge krypterede adgangskoder eller ej, er op til den enkelte at afgøre, da der er både fordele og ulemper, som listet nedenfor. Bruger man nyere versioner af Microsoft Windows og NT vil vi dog anbefale at bruge kryptering, idet man slipper for at skulle sætte alle sine klienter op. Som det vil fremgå lidt senere, er det uhyre enkelt at få Samba til at benytte krypterede adgangskoder.
Fordele ved krypterede adgangskoder:
Sikkerhed. Adgangskoder bliver ikke sendt over netværket i klar tekst.
Windows 95 med OSR2, Windows 98 og NT 4.0 SP4 vil som standard kun tale med en server, der anvender krypterede adgangskoder.
Ulemper ved krypterede adgangskoder:
Der skal vedligeholdes endnu en passwd-fil.
Hvis du allerede bruger services, der sender adgangskoder i klar tekst (f.eks telnet og ftp), gør det ikke den store forskel, om SMB også gør det.
Windows 98 og Windows NT 4 (SP3 og senere) kræver som standard brug af krypterede adgangskoder. Det betyder, at du har to valg:
Du sætter Samba til at bruge krypterede adgangskoder.
Du ændrer Windows 98/95/NT registry, så de ikke kræver krypterede adgangskoder.
I modsætning til tidligere er Samba i dag født til at kunne håndtere krypterede adgangskoder. Det eneste man skal gøre, er at tilføje følgende linje til [global]-sektionen i /etc/smb.conf
encrypt password = yes
Hvis du gerne vil have flyttet dine Unix-adgangskoder over til Samba, skal du lave en ny passwd-fil til brug for Samba alene. Der findes et program, som kan generere en Samba-adgangskodefil (/etc/samba/smbpasswd) ud fra den eksisterende Unix-adgangskodefil (/etc/passwd):
[root@linus /root]# mksmbpasswd.sh < /etc/passwd > /etc/samba/smbpasswd
I SuSE 6.3 er smbpasswd.sh placeret i kataloget /usr/sbin, og katalogplaceringen skal med i kommandoen. Desuden har filen i den distribution ikke rettigheder til at kunne køres, hvilke den således skal tildeles, før kommandoen udføres.
Kommandoen opretter filen til de krypterede adgangskoder, men den opretter ikke selve de krypterede adgangskoder. Uanset om du vælger, at brugerne skal have samme Samba-adgangskode, som de er tildelt som brugere i dit Linux-system, skal du alligevel bagefter tildele dem krypterede Samba-adgangskoder ved hjælp af kommandoen smbpasswd.
Selv hvis du med linjen null passwords = yes i /etc/smb.conf under global-sektionen har tilladt, at Samba-adgangskoden er blank, skal du alligevel oprette en "blank" adgangskode med kommandoen smbpasswd.
Du bør bruge samba-1.9.18p10 eller senere (2.0.7 er pt. den seneste), da kryptering er slået til som standard – dette gælder i hvert fald for Red Hat. Bruger du andre distributioner, bør du tjekke, hvordan Samba er sat op. Hvis du gerne vil oversætte dit eget programmel, skal du anvende linkerflaget -lcrypt til LIBSM.
Som udgangspunkt er Windows sat op til at sende krypterede adgangskoder, så hvis man ikke ønsker kryptering, skal dette fortælles til Windows, da man ellers ikke vil kunne logge sig på.
På Windows 95/98-maskiner skal følgende skrives i registreringsdatabasen for at få Windows til at undlade at sende krypterede adgangskoder:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP] "EnablePlainTextPassword"=dword:00000001
Tilsvarende for Windows NT:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters] "EnablePlainTextPassword"=dword:00000001
Hvis man ikke har mod på at ændre i registreringsdatabasen selv, kan man kopiere en af følgende filer til sin Windows-maskine og afvikle dem fra stifinder:
Win95_PlainPassword.reg
Win98_PlainPassword.reg
NT4_PlainPassword.reg
Win2000_PlainPassword.reg
Hvis man afvikler dem, vil ovenstående ændringer automatisk blive tilføjet i registreringsdatabasen.
En meget udførlig beskrivelse af brugen findes i filen ENCRYPTION.txt, som følger med Samba-distributionen.