smb.conf

Samba (smb.conf)

Ragnarök

PDC Samba mais seguro

Categoria: Samba

Software: Samba

[ Hits: 7.206 ]

Por: Daniel Carmo Olops

0 0

Denuncie Favoritos Indicar

Configuração de um PDC Samba com suporte apenas a NTLMv2 e com assinatura de pacotes, o que aumenta consideravelmente a proteção contra sniffers de rede. Outras características são: banco de dados de senhas TDBSAM (muito melhor do que o padrão -smbpasswd), senhas com no mínimo 6 posições e perfis de usuário armazenados localmente.

OBSERVAÇÕES:
- Será necessário habilitar o suporte a NTLMv2 nos clientes da rede. Para isto, acesse http://support.microsoft.com/default.aspx?scid=kb;pt-br;239869 (Windows 9x/NT) ou http://www.microsoft.com/brasil/security/guidance/topics/ameaca/secmod52.mspx#EIKAG (Windows 2000/XP) e veja como.
- Em alguns momentos é mencionado o grupo "ntadmin" (@ntadmin). Neste caso, trata-se do grupo de Administradores do domínio. Crie-o, caso não exista, e mapeie-o para o grupo "Domain Admins" do Samba. Para saber como, acesse: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2002

[global]
        workgroup = SEUDOMINIO
        server string = Servidor de logons e arquivos
        netbios name = servidor
        # Altere a linha abaixo para a(s) interface(s) de rede na(s) qual(is)
        # o Samba irá escutar
        interfaces = eth1 lo
        bind interfaces only = Yes
        # Altere para o escopo de rede apropriado a você.
        # Outros exemplos: 172.16.255.255, 192.168.0.255
        remote announce = 10.255.255.255
        username map = /etc/samba/smbusers
        passdb backend = tdbsam
        min password length = 6
        log level = 1
        log file = /var/log/samba/%m.log
        max log size = 50
        time server = Yes
        socket options = TCP_NODELAY IPTOS_THROUGHPUT SO_SNDBUF=8192 SO_RCVBUF=8192
        wide links = no
        getwd cache = yes
        add machine script = /usr/sbin/adduser -n -r -g machines -c "Estação Samba" -d /dev/null -s /bin/false %u
        # Certifique-se de que haja um script de logon chamado "logon.cmd" dentro da pasta Netlogon (que neste caso está em /home/netlogon)
        logon script = logon.cmd
        logon path =
        logon home =
        domain logons = Yes
        os level = 60
        preferred master = yes
        domain master = yes
        admin users = @ntadmin
        printer admin = @ntadmin
        wins support = yes
        wins proxy = yes
        name resolve order = lmhosts host wins bcast
        unix charset = iso8859-1
        display charset = cp850
        # As linhas abaixo habilitam o Netlogon SCHANNEL e a assinatura de pacotes, mas não as tornam obrigatórias (questão de compatibilidade)
        client schannel = auto
        server schannel = auto
        client signing = auto
        server signing = auto
        # As linhas abaixo deixam habilitado apenas o protocolo NTLMv2 tanto no lado cliente quanto no lado servidor, desativando os inseguros protocolos LM e NTLM.
        # NÃO ESQUEÇA DE HABILITAR O NTLMv2 NOS CLIENTES, OU ELES NÃO CONSEGUIRÃO SE CONECTAR AO SERVIDOR!
        client ntlmv2 auth = yes
        lanman auth = no
        ntlm auth = no

[homes]
        comment = Pastas de usuários
        writeable = yes
        browseable = no

[netlogon]
        comment = Serviço de logon da rede
        path = /home/netlogon
        browseable = yes
        read only = yes
        write list = @ntadmin

[print$]
        comment = Drivers de impressora
        path = /var/lib/samba/drivers
        write list = @ntadmin

[printers]
        comment = Impressoras do sistema
        path = /var/spool/samba
        printable = Yes

[nucleo]
        comment = Pasta do núcleo de Informática
        path = /home/nucleo
        writeable = yes
        browseable = yes
        available = yes
        valid users = @ntadmin
        create mask = 0770
        directory mask = 0770
        force create mode = 0770
        force directory mode = 0770
        force directory security mode = 0770

[publico]
        comment = Pasta pública
        path = /home/publico
        writeable = yes
        browseable = yes
        available = yes
        create mask = 0777
        directory mask = 0777
        force create mode = 0777
        force directory mode = 0777
        force directory security mode = 0777

Comentários

Nenhum comentário foi encontrado.