hangshao 2009-04-23
在Windows系统中有网络安全等级的设置。而在SAMBA服务器中,也引入了这安全等级的概念。每一个安全等级都对应着一套默认的安全策略。在SAMBA服务器中,其安全等级共分为四级,分别为share、User、Server、和Domain。作为系统管理员需要了解这四个安全级别的差异,并根据企业的网络部署情况与安全性的需求,来选择合适的安全级别。
一、各个安全级别的介绍及适用环境。
1、Domian安全级别。这是SAMBA服务器中最高的安全等级。如果设置为这个安全等级,则SAMBA服务器本身并不会对客户端的身份进行验证。而把这些工作交给专门的域控制器或者其他服务器来处理。在以前的文章中,我记得说过利用SAMBA服务器作为Windwos客户端与Linux服务器的红娘最大的好处就是可以把Linux操作系统加入到微软的域中。也就是说,部署有SAMBA服务器的Linux操作系统支持微软的域环境。故如果企业现在的网络环境是域环境,则可以使用这个安全等级。系统管理员可以把SAMBA服务器加入到微软的域中,并让域控制器来负责客户端的身份认证。可以让微软的域控制器负责服务器与客户端的互动,处理用户登录、验证、目录搜寻等相关作业,以提供比较高的安全性。为此采用这个安全级别的话,有一个前期条件,即企业网络中已经实现了域管理。
2、Servder安全等级与User安全等级。这两个安全等级非常的相似,为此我就在这里一同进行说明。User安全等级是SAMBA服务器的默认安全等级,他表示用户在访问服务器之前,必须先用有效的帐号与密码进行登录。也就是说,客户端必须持有有效的用户名与密码才能够进行访问。另外需要注意的一个问题是,系统管理员需要清除这个身份验证的时间。有些系统其身份验证的时间发生在文件具体访问的时候。也就是说,客户端在没有密码的情况下,可以访问共享文件的列表信息。但是要访问具体的文件,则需要提供密码才行。但是User安全等级则不同。在这个安全等级下,身份认证是发生在连接的时候。也就是说客户端无法提供有效的用户名与密码的话,则即使列表信息都不能够被访问。
Server安全等级处于User安全等级与Domian安全等级之前。客户端在访问SAMBA服务器的时候,也需要提供有效的用户名与密码信息。只不过在这个安全等级下,会有另外的独立的服务器来负责这个身份的验证。这跟Domian安全级别非常的类似。只是在这个安全级别下没有域环境的强制要求。不过采取这个安全级别的话,跟Domain安全级别有一个很大的差异。即在Server安全等级下,如果在其他服务器上验证失败的话,则服务器会自动把这个安全等级降级为User。然后采用User安全等级的那一套身份验证机制。可见,对于客户端来说,可能User与Server两个安全等级并没有什么不同。但是系统管理员却可以在其中大做文章。如可以根据安全等级的不同,设置不同的访问策略、访问权限等等。
通常情况下,如果企业对于安全性的要求比较高,而且已经有独立的服务器来完成邮件等应用服务的身份认证,则可以考虑采用Server级别。并可以通过禁止启用SAMBA密码文件来限制服务器采用User级别。