Пред. | Как настроить Samba 2.2 в качестве Основного Контроллера Домена (Primary Domain Controller) | След. |
Доверенный бюджет машины - бюджет пользователя samba, владелец которого - компьютер. Пароль этого бюджета выступает в роли разделяемого секрета для безопасной связи с контроллером домена. Это свойство безопасности для предотвращения подключению к домену и получения доступа к пользовательским/групповым бюджетам, не уполномоченным машинам с таким же NetBIOS именем. Следовательно, Windows 9x компьютер никогда не является истинным членом домена, так как он не обладает доверенным бюджетом машины, и, таким образом, не имеет разделяемого с контроллером домена секрета.
На Windows NT PDC, пароли доверенных бюджетов машин хранятся в реестре. Samba PDC хранит эти бюджеты вместе с хешами LanMan и NT паролей (в настоящее время smbpasswd). Однако доверенные бюджеты машин владеют и используют только хеш пароля NT.
Так как Samba требует, чтобы бюджеты машин обрабатывали UNIX uid, из которого может быть сгенерирован NT SID, все эти бюджеты должны содержать элемент в /etc/passwd и smbpasswd. Будущие выпуски будут облегчать необходимость создания элементов /etc/passwd.
Есть два способа создания доверенных бюджетов машин:
Создать вручную для подключения клиентов к домену. В этом случае, пароль устанавливается на известное значение - NetBIOS имя машины в нижнем регистре.
Создать бюджет во время подключения домена. В этом случае, ключ сессии административного бюджета, используемого для подключения клиента к домену, выступает в роли ключа шифра для установки пароля в случайное значение (Это рекомендуемый метод).
Первый шаг создания доверенного бюджета машины вручную состоит в создании элемента для машины в /etc/passwd. Это может быть сделано с помощью vipw или любой из команд добавления пользователя, которые обычно используются для создания бюджетов пользователей UNIX. Вот пример для Samba сервера на основе Linux:
root# /usr/sbin/useradd -g 100 -d /dev/null -c "machine nickname" -s /bin/false machine_name$
root# passwd -l machine_name$
Элемент /etc/passwd должен содержать имя машины с добавленным $, без пароля, должен иметь null оболочку и без домашнего каталога. Например, машина с именем 'doppy' будет иметь такую запись в файле /etc/passwd:
doppy$:x:505:501:machine_nickname:/dev/null:/bin/false |
Выше, machine_nickname может быть любым описательным именем компьютера, например, BasementComputer. machine_name должно быть NetBIOS именем добавляемого в домен компьютера. В конец NetBIOS имени компьютера должен быть добавлен "$", иначе samba не распознает этот бюджет машины.
После создания UNIX бюджета следующим шагом будет создание элемента машины в smbpasswd содержащего хорошо известный начальный пароль доверенного бюджета. Это можно сделать с помощью команды smbpasswd(8) как показано ниже:
root# smbpasswd -a -m machine_name
где machine_name - NetBIOS имя машины.
Непосредственное подключение клиента к домену |
Ручное создание доверенного бюджета машины таким способом эквивалентно созданию бюджета машины на Windows NT PDC, используя "Server Manager". Со времени создания бюджета до того времени, когда клиент подключится к домену и изменит свой пароль, ваш домен уязвим для взломщика, подключающегося к домену используя машину, с таким же NetBIOS именем. PDC свойственно доверять членам домена, и он будет выдавать большую часть пользовательской информации таким клиентам. Вы предупреждены! |
Второй, и наиболее предпочтительный путь создания доверенных бюджетов машин состоит в создании их во время подключения клиента к домену. Вам необходимо указать значение параметра add user script. Ниже приводится пример для системы RedHat 6.2 Linux.
add user script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -M %u |
В Samba 2.2.1, для создания бюджетов таким способом может использоваться только бюджет пользователя root. Таким образом, требуется создать элемент в smbpasswd и для root. По соображениям безопасности пароль ДОЛЖЕН быть иным, нежели в элементе файла /etc/passwd.
Пред. | Начало | След. |
Настройка контроллера домена на Samba | Уровень выше | Общие проблемы и ошибки |