Samba a prihlasovaci jmeno

[Petr Snajdr]

>       Dobry den vespolek,
 >
 >       mam nasledujici problem se Sambou: Windows 95 jak znamo
 > nevypisuji pri pokusu o pripojeni disku zadnou zadost o uzivatelske
 > jmeno, ale pouze o heslo. Lze nejak Sambe vnutit, ze ze stroje
 > xyz.domena.cz se prihlasuje pouze a jen uzivatel xyz? Aby se to ptalo
 > na heslo toho spravneho uzivatele a ne na jmeno, pod kterym
 > se uzivatel prihlasil o W95.

IMHO:

BTW: prikaz NET neumi vzit jmeno jako parametr ?

nekolik neprilis dobrych napadu pokud nefunguje standardni postup :

1, username = petr, pavel,  @users, @pcskupina
   valid users= ...

Co bude overovat hesla tusim, ze z leva do prava postupne podle
uzivatelu. pokud jsou stejna hesla tak proste smula. 


2, neoverovat podle hesla ( jmeno parmetru z hlavy nevim ), ale podle IP
adresy ze ktere pristupuje. Pak to je treba asi omezit pristu z
neptaricnych IP adres ( hosts allow, hosts deny ), radej presunout root
adresar jinam nez je standardne tj. z / nekam hloubjej  atd. a vubec
pocitat s tim , ze je to pripadna dira do systemu.
BTW: standardne stejne nejsou sifrovana hesla pouzivana takze i
standardni bezpecnost neni nic moc.


3, mapovat pres username map uzivatele do jineho uctu na sambe.

Je fakt, ze treba pri pristupu na NT server se WIN95 na jmeno ptaji.
nemuze na to mit vliv treba prepinac  security= share/user ?
  
urcite bude daleko vic moznosti. Samba ma strasne flexibilni
konfiguracni soubory. Mozna, ze by to slo obejit i pres vytvareni
dynamickeho konfiguracniho souboru podle  uzivatele a jmena stroje 
 vlozit napriklad do standardniho smb.conf dynamicky i jiny soubor atd.
( ktery se tam vlozi se rozlisi se podle maker % tj. uzivatele,stroje,
typu OS, IP adresy atd. )

BTW: mohl by mi nekdo srozumitelne vysvetlit "fake oplocks" ?

S pozdravem
  Petr Snajdr