14.4. Samba Sicherheitsmodi
Es gibt nur zwei Arten von Sicherheitsmodi für Samba, Share-Level und User-Level, welche allgemein als Security Levels oder Sicherheits-Levels bekannt sind. Share-Level-Security kann nur auf eine Art und Weise implementiert werden, während User-Level-Security auf vier verschieden Arten implementiert werden kann. Die verschiedenen Arten einen Sicherheits-Level zu implementieren, werden Sicherheitsmodi genannt.
14.4.1. User-Level Security
User-Level Security ist die standardmäßige Einstellung für Samba. Auch wenn die security = user-Anweisung nicht in dersmb.conf-Datei aufgelistet ist, wird diese von Samba benutzt. Wenn der Server Benutzername/Passwort des Client akzeptiert, kann der Client sodann mehrfache Shares mounten, ohne dabei für jeden einzelnen Fall ein Passwort spezifizieren zu müssen. Samba kann auch Sitzungs-basierte Benutzer/Passwort-Anfragen akzeptieren. Der Client unterhält mehrere Authentifizierungs-Kontexte unter der Verwendung einer einzigartigen UID für jede einzelne Anmeldung.
In smb.conf ist die security = user-Anweisung, die User-Level Security festlegt, wie folgt:
[GLOBAL] ... security = user ... |
14.4.2. Share-Level Security
Mit Share-Level Security akzeptiert der Server lediglich ein Passwort ohne expliziten Benutzername vom Client. Der Server erwartet ein Passwort für jedes Share, ungeachtet des Benutzernamens. Kürzlich wurde davon berichtet, dass Microsoft Windows Clients Kompatibilitätsprobleme mit Share-Level Security Servern besitzen. Samba-Entwickler raten strengstens von der Verwendung von Share-Level Security ab.
In smb.conf ist die security = share-Anweisung, welche die Share-Level Security festlegt, wie folgt:
[GLOBAL] ... security = share ... |
14.4.3. Domänen-Sicherheitsmodus (User-Level Security)
Im Domänen-Sicherheitsmodus besitzt der Samba-Server einen Maschinen-Account (Domain Security Trust Account) und veranlasst, dass alle Authentifizeirungs-Anfragen zu den Domänencontrollers weitergeleitet werden. Der Samba-Server wird mittels folgender Anweisungen in smb.conf zum Domänenmitglieder-Server:
[GLOBAL] ... security = domain workgroup = MARKETING ... |
14.4.4. Active Directory Sicherheitsmodus (User-Level Security)
In einer Active Directory Umgebung ist es möglich, sich mit der Domäne als ein authentisches (native) Active Directory Mitglied zu verbinden. Auch wenn Sicherheitspolicen die Benutzung eines NT-kompatiblen Authentifizierungsprotokolls nur begrenzt erlauben, so kann sich der Samba-Server mit einemADS mittels Kerberos verbinden. Samba im Active Directory Mitgliedermodus kann Kerberos Tickets annehmen.
In smb.conf machen folgende Anweisungen Samba zu einem Active Directory Mitgliederserver:
[GLOBAL] ... security = ADS realm = EXAMPLE.COM password server = kerberos.example.com ... |
14.4.5. Server-Sicherheitsmodus (User-Level Security)
Server-Sicherheitsmodus wurde bisher benutzt, als Samba sich noch nicht als Domänenmitglieder-Server betätigen konnte.
 | Anmerkung |
|---|---|
Es wird strengstens empfohlen diesen Modus nicht zu verwenden, da zahlreiche Sicherheitsmankos bestehen. |
In smb.conf ermöglichen folgende Anweisungen Samba im Server-Sicherheitsmodus zu arbeiten:
[GLOBAL] ... encrypt passwords = Yes security = server password server = "NetBIOS_of_Domain_Controller" ... |