14.4. Samba Sicherheitsmodi
Es gibt nur zwei Arten von Sicherheitsmodi f�r Samba, Share-Level und User-Level, welche allgemein als Security Levels oder Sicherheits-Levels bekannt sind. Share-Level-Security kann nur auf eine Art und Weise implementiert werden, w�hrend User-Level-Security auf vier verschieden Arten implementiert werden kann. Die verschiedenen Arten einen Sicherheits-Level zu implementieren, werden Sicherheitsmodi genannt.
14.4.1. User-Level Security
User-Level Security ist die standardm��ige Einstellung f�r Samba. Auch wenn die security = user-Anweisung nicht in dersmb.conf-Datei aufgelistet ist, wird diese von Samba benutzt. Wenn der Server Benutzername/Passwort des Client akzeptiert, kann der Client sodann mehrfache Shares mounten, ohne dabei f�r jeden einzelnen Fall ein Passwort spezifizieren zu m�ssen. Samba kann auch Sitzungs-basierte Benutzer/Passwort-Anfragen akzeptieren. Der Client unterh�lt mehrere Authentifizierungs-Kontexte unter der Verwendung einer einzigartigen UID f�r jede einzelne Anmeldung.
In smb.conf ist die security = user-Anweisung, die User-Level Security festlegt, wie folgt:
[GLOBAL]
...
security = user
... |
14.4.2. Share-Level Security
Mit Share-Level Security akzeptiert der Server lediglich ein Passwort ohne expliziten Benutzername vom Client. Der Server erwartet ein Passwort f�r jedes Share, ungeachtet des Benutzernamens. K�rzlich wurde davon berichtet, dass Microsoft Windows Clients Kompatibilit�tsprobleme mit Share-Level Security Servern besitzen. Samba-Entwickler raten strengstens von der Verwendung von Share-Level Security ab.
In smb.conf ist die security = share-Anweisung, welche die Share-Level Security festlegt, wie folgt:
[GLOBAL]
...
security = share
... |
14.4.3. Dom�nen-Sicherheitsmodus (User-Level Security)
Im Dom�nen-Sicherheitsmodus besitzt der Samba-Server einen Maschinen-Account (Domain Security Trust Account) und veranlasst, dass alle Authentifizeirungs-Anfragen zu den Dom�nencontrollers weitergeleitet werden. Der Samba-Server wird mittels folgender Anweisungen in smb.conf zum Dom�nenmitglieder-Server:
[GLOBAL]
...
security = domain
workgroup = MARKETING
... |
14.4.4. Active Directory Sicherheitsmodus (User-Level Security)
In einer Active Directory Umgebung ist es m�glich, sich mit der Dom�ne als ein authentisches (native) Active Directory Mitglied zu verbinden. Auch wenn Sicherheitspolicen die Benutzung eines NT-kompatiblen Authentifizierungsprotokolls nur begrenzt erlauben, so kann sich der Samba-Server mit einemADS mittels Kerberos verbinden. Samba im Active Directory Mitgliedermodus kann Kerberos Tickets annehmen.
In smb.conf machen folgende Anweisungen Samba zu einem Active Directory Mitgliederserver:
[GLOBAL]
...
security = ADS
realm = EXAMPLE.COM
password server = kerberos.example.com
... |
14.4.5. Server-Sicherheitsmodus (User-Level Security)
Server-Sicherheitsmodus wurde bisher benutzt, als Samba sich noch nicht als Dom�nenmitglieder-Server bet�tigen konnte.
 | Anmerkung |
|---|
| | Es wird strengstens empfohlen diesen Modus nicht zu verwenden, da zahlreiche Sicherheitsmankos bestehen. |
In smb.conf erm�glichen folgende Anweisungen Samba im Server-Sicherheitsmodus zu arbeiten:
[GLOBAL]
...
encrypt passwords = Yes
security = server
password server = "NetBIOS_of_Domain_Controller"
... |
