14.4. Modes de sécurité pour Samba
Il existe seulement deux types de modes de sécurité pour Samba, à savoir share-level (niveau du partage) et user-level (niveau de l'utilisateur) ; collectivement, on fait référence à ces deux modes sous le terme niveaux de sécurité. La sécurité au niveau du partage peut être implémentée d'une seule manière alors que la sécurité au niveau de l'utilisateur peut elle être mise en oeuvre de quatre manières différentes. On appelle modes de sécurité les différentes manières d'implémenter un niveau de sécurité.
14.4.1. Sécurité au niveau de l'utilisateur
La sécurité au niveau de l'utilisateur est le choix par défaut pour Samba. Même si la directive security = user n'est pas présente dans le fichier smb.conf, elle est utilisée par Samba. Si le serveur accepte le nom d'utilisateur/mot de passe du client, ce dernier peut alors monter des partages multiples sans devoir saisir un mot de passe à chaque fois. Samba peut aussi accepter des requêtes nom d'utilisateur/mot de passe basées sur les sessions. Le client maintient des contextes d'authentification multiples grâce à l'utilisation d'un identifiant utilisateur unique (ou UID) pour chaque connexion.
Dans smb.conf, la directive security = user définissant la sécurité au niveau de l'utilisateur est :
[GLOBAL] ... security = user ... |
14.4.2. Sécurité au niveau du partage
Dans la cas de la sécurité au niveau du partage, le serveur accepte seulement un mot de passe sans demander un nom d'utilisateur explicite de la part du client. Le serveur attend la saisie d'un mot de passe pour chaque partage, indépendemment du nom d'utilisateur. Un certain nombre de rapports indiquent que les clients Microsoft Windows rencontrent des problèmes de compatibilité avec les serveurs implémentant la sécurité au niveau du partage. Les développeurs de Samba découragent fortement l'utilisation de la sécurité au niveau du partage.
Dans smb.conf, la directive security = share définissant la sécurité au niveau du partage est :
[GLOBAL] ... security = share ... |
14.4.3. Mode de sécurité domaine (Sécurité au niveau de l'utilisateur)
En mode de sécurité domaine, le serveur Samba dispose d'un compte machine (un compte de confiance pour la sécurité du domaine) qui force toutes les requêtes d'authentification à passer par les contrôleurs de domaine. Le serveur Samba se voit devenir un serveur membre du domaine en utilisant la directive suivante dans smb.conf :
[GLOBAL] ... security = domain workgroup = MARKETING ... |
14.4.4. Mode de sécurité Active Directory (Sécurité au niveau de l'utilisateur)
Si vous avez un environnement Active Directory, il est possible de faire partie du domaine en tant que membre natif d'Active Directory. Même si une politique de sécurité limite l'utilisation de protocoles d'authentification compatibles avec NT, le serveur Samba peut faire partie d'un ADS à l'aide de Kerberos. Samba en mode membre d'Active Directory peut accepter des tickets Kerberos.
Dans smb.conf, les directives suivantes font de Samba un serveur membre d'Active Directory :
[GLOBAL] ... security = ADS realm = EXAMPLE.COM password server = kerberos.example.com ... |
14.4.5. Mode de sécurité serveur (Sécurité au niveau utilisateur)
Le mode de sécurité serveur était auparavant utilisé lorsque Samba n'était pas à même d'agir comme un serveur membre d'un domaine.
 | Remarque |
|---|---|
Il est fortement recommandé de ne pas utiliser ce mode étant donné qu'il existe de nombreux inconvénients au niveau de la sécurité. |
Dans smb.conf, les directives suivantes permettent à Samba de fonctionner en mode sécurité serveur :
[GLOBAL] ... encrypt passwords = Yes security = server password server = "NetBIOS_of_Domain_Controller" ... |