10.3. Krypterede adgangskoder

SMB bruger en krypteringsteknik, der ligner standard Unix-kryptering. Det er dog kun tilsyneladende, at de to teknikker er ens, Unix-variationen sender nemlig typisk kodeordet i klar tekst over netværket, når man skal logge ind. SMB sender i modsætning hertil en kodet version af adgangskoden.

Hvorvidt man vælger at bruge krypterede adgangskoder eller ej, er op til den enkelte at afgøre, da der er både fordele og ulemper, som listet nedenfor. Bruger man nyere versioner af Microsoft Windows og NT vil vi dog anbefale at bruge kryptering, idet man slipper for at skulle sætte alle sine klienter op. Som det vil fremgå lidt senere, er det uhyre enkelt at få Samba til at benytte krypterede adgangskoder.

Fordele ved krypterede adgangskoder:

Ulemper ved krypterede adgangskoder:

Windows 98 og Windows NT 4 (SP3 og senere) kræver som standard brug af krypterede adgangskoder. Det betyder, at du har to valg:

10.3.1. Opsætning af Samba

I modsætning til tidligere er Samba i dag født til at kunne håndtere krypterede adgangskoder. Det eneste man skal gøre, er at tilføje følgende linje til [global]-sektionen i /etc/smb.conf


encrypt password = yes


Hvis du gerne vil have flyttet dine Unix-adgangskoder over til Samba, skal du lave en ny passwd-fil til brug for Samba alene. Der findes et program, som kan generere en Samba-adgangskodefil (/etc/samba/smbpasswd) ud fra den eksisterende Unix-adgangskodefil (/etc/passwd):


[root@linus /root]# mksmbpasswd.sh < /etc/passwd > /etc/samba/smbpasswd


I SuSE 6.3 er smbpasswd.sh placeret i kataloget /usr/sbin, og katalogplaceringen skal med i kommandoen. Desuden har filen i den distribution ikke rettigheder til at kunne køres, hvilke den således skal tildeles, før kommandoen udføres.

Kommandoen opretter filen til de krypterede adgangskoder, men den opretter ikke selve de krypterede adgangskoder. Uanset om du vælger, at brugerne skal have samme Samba-adgangskode, som de er tildelt som brugere i dit Linux-system, skal du alligevel bagefter tildele dem krypterede Samba-adgangskoder ved hjælp af kommandoen smbpasswd.

Selv hvis du med linjen null passwords = yes i /etc/smb.conf under global-sektionen har tilladt, at Samba-adgangskoden er blank, skal du alligevel oprette en "blank" adgangskode med kommandoen smbpasswd.

Du bør bruge samba-1.9.18p10 eller senere (2.0.7 er pt. den seneste), da kryptering er slået til som standard – dette gælder i hvert fald for Red Hat. Bruger du andre distributioner, bør du tjekke, hvordan Samba er sat op. Hvis du gerne vil oversætte dit eget programmel, skal du anvende linkerflaget -lcrypt til LIBSM.

10.3.2. Opsætning af Windows 98/NT

Som udgangspunkt er Windows sat op til at sende krypterede adgangskoder, så hvis man ikke ønsker kryptering, skal dette fortælles til Windows, da man ellers ikke vil kunne logge sig på.

På Windows 95/98-maskiner skal følgende skrives i registreringsdatabasen for at få Windows til at undlade at sende krypterede adgangskoder:


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
"EnablePlainTextPassword"=dword:00000001


Tilsvarende for Windows NT:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
"EnablePlainTextPassword"=dword:00000001


Hvis man ikke har mod på at ændre i registreringsdatabasen selv, kan man kopiere en af følgende filer til sin Windows-maskine og afvikle dem fra stifinder:

Hvis man afvikler dem, vil ovenstående ændringer automatisk blive tilføjet i registreringsdatabasen.

En meget udførlig beskrivelse af brugen findes i filen ENCRYPTION.txt, som følger med Samba-distributionen.