Наши партнеры








Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

Создание доверенных бюджетов машин и подключение клиентов к домену

Доверенный бюджет машины - бюджет пользователя samba, владелец которого - компьютер. Пароль этого бюджета выступает в роли разделяемого секрета для безопасной связи с контроллером домена. Это свойство безопасности для предотвращения подключению к домену и получения доступа к пользовательским/групповым бюджетам, не уполномоченным машинам с таким же NetBIOS именем. Следовательно, Windows 9x компьютер никогда не является истинным членом домена, так как он не обладает доверенным бюджетом машины, и, таким образом, не имеет разделяемого с контроллером домена секрета.

На Windows NT PDC, пароли доверенных бюджетов машин хранятся в реестре. Samba PDC хранит эти бюджеты вместе с хешами LanMan и NT паролей (в настоящее время smbpasswd). Однако доверенные бюджеты машин владеют и используют только хеш пароля NT.

Так как Samba требует, чтобы бюджеты машин обрабатывали UNIX uid, из которого может быть сгенерирован NT SID, все эти бюджеты должны содержать элемент в /etc/passwd и smbpasswd. Будущие выпуски будут облегчать необходимость создания элементов /etc/passwd.

Есть два способа создания доверенных бюджетов машин:

  • Создать вручную для подключения клиентов к домену. В этом случае, пароль устанавливается на известное значение - NetBIOS имя машины в нижнем регистре.

  • Создать бюджет во время подключения домена. В этом случае, ключ сессии административного бюджета, используемого для подключения клиента к домену, выступает в роли ключа шифра для установки пароля в случайное значение (Это рекомендуемый метод).

Создание доверенного бюджета машины вручную

Первый шаг создания доверенного бюджета машины вручную состоит в создании элемента для машины в /etc/passwd. Это может быть сделано с помощью vipw или любой из команд добавления пользователя, которые обычно используются для создания бюджетов пользователей UNIX. Вот пример для Samba сервера на основе Linux:

root# /usr/sbin/useradd -g 100 -d /dev/null -c "machine nickname" -s /bin/false machine_name$

root# passwd -l machine_name$

Элемент /etc/passwd должен содержать имя машины с добавленным $, без пароля, должен иметь null оболочку и без домашнего каталога. Например, машина с именем 'doppy' будет иметь такую запись в файле /etc/passwd:

doppy$:x:505:501:machine_nickname:/dev/null:/bin/false

Выше, machine_nickname может быть любым описательным именем компьютера, например, BasementComputer. machine_name должно быть NetBIOS именем добавляемого в домен компьютера. В конец NetBIOS имени компьютера должен быть добавлен "$", иначе samba не распознает этот бюджет машины.

После создания UNIX бюджета следующим шагом будет создание элемента машины в smbpasswd содержащего хорошо известный начальный пароль доверенного бюджета. Это можно сделать с помощью команды smbpasswd(8), как показано ниже:

root# smbpasswd -a -m machine_name

где machine_name - NetBIOS имя машины.

Непосредственное подключение клиента к домену

Ручное создание доверенного бюджета машины таким способом эквивалентно созданию бюджета машины на Windows NT PDC, используя "Server Manager". Со времени создания бюджета до того времени, когда клиент подключится к домену и изменит свой пароль, ваш домен уязвим для взломщика, подключающегося к домену используя машину, с таким же NetBIOS именем. PDC свойственно доверять членам домена, и он будет выдавать большую часть пользовательской информации таким клиентам. Вы предупреждены!

Создание доверенных бюджетов машин "на лету"

Второй, и наиболее предпочтительный путь создания доверенных бюджетов машин состоит в создании их во время подключения клиента к домену. Вам необходимо указать значение параметра add user script. Ниже приводится пример для системы RedHat 6.2 Linux.

add user script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -M %u 

В Samba 2.2.1, для создания бюджетов таким способом может использоваться только бюджет пользователя root. Таким образом, требуется создать элемент в smbpasswd и для root. По соображениям безопасности пароль ДОЛЖЕН быть иным, нежели в элементе файла /etc/passwd.