Esta seção contém explicações sobre o gerenciamento de senhas no SAMBA. Show
Ativando o suporte a senhas criptografadasO uso de senhas criptografadas é um requisito quando você deseja configurar o SAMBA para ser um servidor PDC ou um cliente de um domínio. Quando utiliza senhas criptografadas, elas trafegam em formato seguro através da rede, dificultando a captura por outras pessoas. Em versões mais recentes do Windows (a partir da OSR/2 e NT 4 service pack3) o suporte a senhas criptografadas vem habilitado como padrão para login e utilização de serviços da rede. Não é recomendável desativar o uso de senhas criptografadas, mas se mesmo assim for necessário veja “Senhas criptografadas ou em texto puro?”. Quando usamos senhas criptografadas, elas são armazenadas no arquivo /etc/samba/smbpasswd ao invés do /etc/passwd, isto permite que possamos controlar as permissões de usuários separadamente das do sistema e diferenciar os logins do domínio dos logins do sistema (usuários que possuem shell). Caso tenha um servidor que já possua muitas contas de usuários acessando em texto plano, recomendo ler “Migrando de senhas texto plano para criptografadas” para facilitar o processo de migração de contas. O utilitário smbpasswd é o programa utilizado para gerenciar este arquivo de senhas e também o status de contas de usuários/máquinas do domínio. Siga estes passos para ativar o uso de senhas criptografadas no SAMBA:
Migrando de senhas texto plano para criptografadasNo SAMBA, é possível fazer um processo de migração de senhas em texto plano de usuários para criptografadas sem que eles deixem de acessar o servidor durante esta mudança. Caso este seja seu caso, insira o parâmetro update encrypted = yesna seção [global] do seu arquivo de configuração smb.conf. A senha criptografada é definida assim que o usuário se logar usando sua senha em texto plano. Não se esqueça de desativar esta opção ou remove-la após o prazo necessário para que todas as senhas sejam trocadas. Adicionando usuários no smbpasswdA adição de um usuário no smbpasswd segue duas etapas: primeiro é necessário adiciona-lo no sistema com o adduser e depois no samba com o smbpasswd. Você deve estar se perguntando qual a vantagem de se ter um arquivo separado de usuários se ainda é preciso criar o login nos dois arquivos; O SAMBA para fazer o controle de acesso aos arquivos utiliza além dos mecanismos tradicionais do NT, o controle de permissões a nível UNIX para manter os arquivos ainda mais restritos. Além disso, será necessário usuários e grupos para criação e acesso ao sistema.
Removendo usuários do smbpasswdUtilize o comando smbpasswd -x usuario para remover um usuário do arquivo smbpasswd. Se desejar, você pode manter o usuário no /etc/passwd ou remove-lo com o userdel. OBS: Removendo um usuário deste arquivo fará que ele não tenha mais acesso ao SAMBA. Utilize o comando smbpasswd -a teste Desabilitando uma conta no smbpasswdComo administrador, pode ser necessário que precise desativar temporariamente uma conta de usuário por alguma situação qualquer (má utilização de recursos, dúvida se a conta está sendo usada, para que ele ligue reclamando de autenticação para ter aquela desejada conversa (hehe), etc.). Remover uma conta e novamente adiciona-la então não é uma situação muito prática. Utilize então o seguinte comando para desativar uma conta de usuário: smbpasswd -d usuarioQuando a conta de usuário é desativada, uma flag "D" é adicionada às opções do usuário (junto com as opções "UX"). Veja “Habilitando uma conta no smbpasswd” para reativar a conta. Habilitando uma conta no smbpasswdUma conta desativada com o uso do comando smbpasswd -d pode ser novamente ativada usando: smbpasswd -e usuarioAlterando a senha de um usuárioO utilitário smbpasswd pode ser usado tanto para alterar a senha de usuários locais do SAMBA ou de uma conta em um servidor remoto (seja SAMBA, NT, W2K). Para alterar a senha de um usuário local, digite: smbpasswd -U usuarioLhe será pedida a antiga senha, a nova senha e a confirmação. Caso seja o usuário root, somente a nova senha e a confirmação. Isto é mecanismo de proteção para usuários que esquecem a senha ;-) Para alterar a senha de um usuário remoto, utilize: smbpasswd -r servidor -U usuarioNote que apenas foi adicionada a opção -r servidor comparado com a opção anterior. A diferença é que a senha antiga do usuário sempre será solicitada para troca (pois o root das 2 máquinas pode não ser o mesmo). Definindo acesso sem senha para o usuárioPara fazer um usuário acessar sem senha, use o comando: smbpasswd -n usuarioIsto é completamente desencorajado e necessita que a opção null passwords da seção [global] no arquivo smb.conf esteja ajustada para yes (que NÃO é o padrão). Ativando o suporte a senhas em texto plano
Esta forma de autenticação é enviada por implementações NetBIOS antigas, como a encontrada no Lan Manager, Windows for Workgroups e Windows 95 OSR1. As versões mais novas destas implementações enviam a senha em formato criptografado, sendo necessário também usar o formato criptografado no SAMBA para que possa se autenticar (veja “Ativando o suporte a senhas criptografadas”). Em “Senhas criptografadas ou em texto puro?” é feita uma comparação entre o uso de autenticação usando senhas em texto plano e senhas criptografadas. Em geral, o administrador prefere a utilização da autenticação usando texto plano quando deseja usar o /etc/passwd para autenticação e está usando grupos de trabalho é necessário usar senhas criptografadas para autenticação). Para configurar o SAMBA para utilizar senhas em texto, modifique o parâmetro encrypt passwords para no: [global] encrypt passwords = noReinicie o SAMBA (“Iniciando o servidor/reiniciando/recarregando a configuração”) e a partir de agora, ele usará o /etc/passwd para autenticação. OBS: Tenha certeza de não estar participando de um domínio ou que sua máquina seja o PDC antes de fazer esta modificação. Configurando o acesso de clientes para uso de senhas em texto planoEsta seção descreve como configurar clientes para acessar o servidor SAMBA usando autenticação em texto plano. Atualmente o guia cobre os seguintes clientes:
Em cada seção, também é explicado como habilitar novamente a autenticação usando senhas criptografadas (se suportado pelo cliente). Lan ManagerCliente NetBIOS para DOS. Ele trabalha somente com senhas em texto plano. Windows for WorkgroupsEste é o padrão de autenticação do Windows for Workgroups caso não tenha feito nenhuma alteração específica (mas desconheço algo que faça-o trabalhar com senhas criptografadas). Windows 95 / Windows 95AO Windows 95 até a release "A", utiliza texto plano como padrão para autenticação (veja qual a release clicando com o botão direito em Meu Computador e Propriedades. Windows 95BCopie o seguinte conteúdo para um arquivo chamado win95-textoplano.reg: REGEDIT4 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP] "EnablePlainTextPassword"=dword:00000001Após isto, execute no Windows 95 o seguinte comando: regedit win95-textoplano.reg e reinicie o computador para fazer efeito. Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e executa novamente o regedit. Windows NT Server/WorkStationCopie o seguinte conteúdo para um arquivo chamado winNT-textoplano.reg: REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters] "EnablePlainTextPassword"=dword:00000001Após isto, execute no Windows NT o seguinte comando: regedit winNT-textoplano.reg e reinicie o computador para fazer efeito. Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e execute novamente o regedit. Windows 2000Copie o seguinte conteúdo para um arquivo chamado win2000-textoplano.reg: REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters] "EnablePlainTextPassword"=dword:00000001Após isto, execute no Windows 2000 o seguinte comando: regedit win2000-textoplano.reg e reinicie o computador para fazer efeito. Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e execute novamente o regedit. Qual comando é usado para criptografar todas as senhas em um arquivo de configuração do roteador?Outro comando bastante útil impede que as senhas apareçam como texto comum na visualização de arquivos de configuração. Esse é o comando service password-encryption. Esse comando faz com que ocorra a criptografia de senhas quando uma senha for configurada.
Qual comando impedirá que todas as senhas não criptografadas?Qual comando impedirá que todas as senhas não criptografadas sejam exibidas em texto simples em um arquivo de configuração? Explicação: Para evitar que todas as senhas configuradas apareçam em texto simples nos arquivos de configuração, um administrador pode executar o comando de criptografia de senha de serviço.
Para que serve o comando show running config?O comando do Cisco IOS copy running-config startup-config salva a configuração atual na memória NVRAM que é permanente e usada para armazenar a configuração de inicialização dos roteadores e switches com Cisco IOS.
O que é Vty Cisco?As linhas VTY são as linhas de Terminal virtual do roteador, usadas unicamente para controlar as conexões Telnet de entrada. Elas são virtuais, pois são uma função do software - não há nenhum hardware associado a elas. Elas aparecem na configuração como a linha vty 0 4.
|