Aprenda Linux, 302 (Entornos mixtos): Autenticación y autorización

Mecanismos de autenticación y configuración del control de acceso

En preparación para tomar el examen de Linux Professional Institute Certification LPI-302 para administradores de sistemas, aprenda cómo configurar y almacenar contraseñas, integrar Samba con LDAP y usar ACLs para proteger su instalación de Linux.

Sean A. Walberg, Senior Network Engineer

Author photoSean Walberg es un ingeniero de redes y el autor de dos libros sobre la creación de redes. Ha trabajado en varias industrias, incluyendo el cuidado de la salud y los medios de comunicación.



02-04-2012

Sobre esta serie

Esta serie de artículos le ayuda a aprender las tareas de administración de sistemas Linux. También puede usar el material en estos artículos para prepararse para los exámenes de Linux Professional Institute Certification nivel 3 (LPIC-3).

Vea nuestro roadmap de developerWorks para LPIC-3 para obtener una descripción y un enlace de cada artículo en esta serie. El roadmap está en progreso y refleja los objetivos actuales (noviembre de 2010) para los exámenes de LPIC-3. A medida que cada artículo es completado, es añadido al roadmap.

En este artículo, aprenda sobre estos conceptos:

  • Configuración de la base de datos de contraseñas local
  • El formato del archivo smbpasswd
  • Sincronización de contraseñas entre Samba y otros sistemas
  • Almacenamiento backend alternativo para contraseñas
  • Integración de Samba con Lightweight Directory Access Protocol (LDAP)
  • Listas de control de acceso (ACLs)

Este artículo le ayuda a prepararse para el Objetivo 313.2 en el Tema 313 del examen de Especialidad en Entorno Mixto de Linux Professional Institute (302). El objetivo tiene un peso de 8.

Prerrequisitos

Para obtener el máximo de los artículos en esta serie, debe tener un conocimiento avanzado de Linux y un sistema Linux funcional en el cual pueda practicar los comandos cubiertos en este artículo. Además, debe tener acceso a un entorno de Windows que pueda usar para probar los mecanismos de autenticación y autorización.


Mecanismos de autenticación de Samba

Sobre el examen optativo LPI-302

Linux Professional Institute Certification (LPIC) es como muchas otras certificaciones en las que se ofrecen distintos niveles, con cada nivel requiriendo más conocimiento y experiencia que el anterior. El examen LPI-302 es un examen de especialidad optativo en el tercer nivel de la jerarquía de LPIC y requiere un nivel avanzado de conocimiento de administración de sistemas Linux.

Para obtener su certificación de LPIC-3, debe pasar los dos exámenes de primer nivel (101 y 102), los dos exámenes de segundo nivel (201 y 202) y el examen principal de LPIC-3 (301). Después de que haya obtenido este nivel, puede tomar los exámenes de especialidad optativos, tales como LPI-302.

Samba ofrece muchas formas de almacenar contraseñas y contabilizar la información usando fondos de contraseña. Algunos de estos métodos dependen del almacenamiento de disco local; algunos dependen de métodos basados en red. Además, Samba proporciona mecanismos para que un servidor de Linux use el sistema de autenticación de Samba para inicios de sesión.

Ya que Samba ha existido durante casi dos décadas, lleva consigo un bagaje técnico. Los sistemas de autenticación anteriores siguen siendo soportados, pero la tecnología más reciente ha sustituido a la antigua. Cuando lea documentación sobre Samba, encontrará referencias a estos sistemas más antiguos. Esta confusión es agravada por herramientas de línea de comandos con nombres similares a una tecnología particular.

A pesar del nombre de fondo de contraseña, los datos de contabilidad y otros atributos son almacenados en el fondo además de las contraseñas. Los datos mismos también pueden ser almacenados en un servidor LDAP y el trabajo del fondo de contraseña de Samba es servir como un intermediario entre Samba y LDAP.

Para hacer las cosas aún más interesantes, los dispositivos de Microsoft esperan que los hashes de contraseña usen un formato que sea diferente del formato de contraseña de UNIX. Las contraseñas están en hash, lo que significa que están cifrados en forma de una sola vía; por lo tanto, es imposible ir entre los formatos de contraseña de UNIX y Samba. Como resultado, no es posible autenticar clientes de Samba fuera de la base de datos de contraseñas de UNIX.

Opciones de la base de datos de contraseñas local

Construya su propio feed

Puede construir un feed personalizado de RSS, Atom o HTML, de forma que sea notificado a medida que añadimos nuevos artículos o actualizamos el contenido. Vaya a los developerWorks RSS feeds. Seleccione Linux para la zona y Articles para el tipo, y escriba Linux Professional Institute para las palabras clave. Después, elija su tipo de feed preferido.

La base de datos de contraseñas local se refiere a aquellos fondos de contraseña que almacenan información en el servidor en lugar de autenticar en la red. Estas no son las opciones de más alto rendimiento, pero son fáciles de usar.

Puede ver referencias en literatura para el fondo del texto plano . Hace muchos años, los clientes de Windows pasarían sus credenciales al servidor en un formato descifrado. Entonces era posible hacer hash de la contraseña al estilo de UNIX y verificar los resultados en la base de datos de contraseñas local. Los clientes de Windows ya no hacen esto sin algunos cambios del registro y nadie quiere contraseñas descifradas en su red si pueden evitarlo. Entonces, tal vez vea menciones de la base de datos de contraseñas de texto plano, pero no entrará en ello en producción.

La mayoría de los sistemas antiguos usarán la contraseña backend smbpasswd . Este fondo aloja los datos de cuenta en un simple archivo plano. Los datos en este archivo consisten en el nombre de cuenta, los hashes de contraseña y algo de información de cuenta básica. Esta información de cuenta básica es simple y no ofrece almacenamiento de los atributos avanzados que encuentra en las herramientas de administración de Microsoft.

El fondo de almacenamiento local favorecido actualmente es tdbsam. Recuerde los archivos Trivial Database (TDB) del Tema 310.3 (vea Recursos para obtener un enlace): los archivos TDB ofrecen una forma rápida y durable para acceder a información de valor clave. El fondo tdbsam almacena información en un formato muy parecido a lo que hace Microsoft Windows NT Security Account Manager (SAM), lo que significa que casi cualquier cosa que pueda ser almacenada en el SAM puede ser representada en el servidor de Samba. Por lo tanto, tdbsam proporciona un alto nivel de compatibilidad con sistemas de Microsoft.

La desventaja de tdbsam es que está en un formato binario, así que no puede ver dentro de él fácilmente. El artículo "Aprenda Linux, 302 (Entornos mixtos): Archivos Trivial Database" (developerWorks, marzo de 2011) le muestra cómo obtener algunos de los pares de valor clave desde dentro del archivo, pero depende de usted reconstruirlo en algo significativo. El archivo es llamado passdb.tdb.

Usando la base de datos smbpasswd

Para una nueva instalación, no querrá elegir el fondo de la base de datos smbpasswd. Sin embargo, posiblemente se encontrará con este fondo en el campo, así que un entendimiento de él es importante.

Usted configura el fondo de la base de datos de contraseñas con el parámetro passdb backend . El código a continuación muestra la base de datos smbpasswd siendo elegida:

[global]
  passdb backend=smbpasswd:/etc/samba/smbpasswd

Aquí, usted ve el parámetro global passdb backend en uso, con el valor de smbpasswd y la ruta al archivo, separada por dos puntos (:). Los dos puntos y la ruta son opcionales pero preferidos. Si los deja fuera, Samba coloca el archivo en el directorio de su elección. Samba crea este archivo cuando usted reinicia, pero el archivo estará vacío.

Usted usa el comando smbpasswd para añadir un usuario. El Listado 1 muestra a un usuario siendo añadido y el efecto en el archivo smbpasswd.

Listado 1. Añadiendo un usuario a un archivo smbpasswd
# smbpasswd -a sean
New SMB password:
Retype new SMB password:
Added user sean.
# cat smbpasswd
sean:1001:01FC5A6BE7BC6929AAD3B435B51404EE: \
0CB6948805F797BF2A82807973B89537:[U          ]:LCT-4DCDE4D8:

El Listado 1 comienza por añadir a un usuario llamado sean mediante el uso del distintivo -a . Este usuario debe existir en la base de datos de UNIX local o el comando fallará. El archivo smbpasswd entonces tiene una sola línea (la cual fue desglosada en el Listado 1 para claridad), con los campos separados por un signo de dos puntos. Los campos, en orden, son:

  • Nombre de usuario.
  • ID de usuario de UNIX.
  • Hash Lanman de legado. (Debido a la falta de seguridad en este hash, es efectivamente una contraseña de texto plano.)
  • El hash seguro de Windows NT. (Este es el hash necesario para autenticar clientes modernos.)
  • Distintivos de cuenta. (El único distintivo aquí es U, que significa una cuenta de usuario. Consulte la página de man smbpasswd(5) para obtener más distintivos.)
  • El Last Changed Time (LCT) de la cuenta. (El valor hexadecimal es una versión codificada de la indicación de fecha y hora de UNIX.)

Los usuarios pueden cambiar su contraseña al escribir smbpasswd y el usuario de raíz puede cambiar la contraseña de otro usuario al especificar el nombre de usuario. El distintivo -a es necesario sólo para añadir la cuenta.

Los archivos de texto plano tienen sus limitaciones, ambas en términos de qué tan rápido pueden ser consultadas y qué metadatos pueden ser almacenados sobre la cuenta. Por lo tanto, la base de datos tdbsam fue creada.

Usando la base de datos tdbsam

La base de datos tdbsam fue diseñada como un sustituto para la base de datos smbpasswd. Más datos pueden ser almacenados sobre cuentas, y debido al uso de bases de datos triviales, es mucho más rápido.

Las guías sobre las limitaciones de la base de datos tdbsam no son concretas. La documentación oficial sugiere la actualización a una base de datos de LDAP de 250 usuarios, pero otras fuentes listan evidencia anecdótica de soporte para miles de clientes. El número de solicitudes simultáneas parece ser un factor grande, el cual es influenciado por el número de clientes, la carga de trabajo y la latencia entre los clientes y el servidor. Como en la mayoría de las aplicaciones, es mejor supervisar factores clave tales como la latencia, el CPU y las E/S de disco para predecir el punto de interrupción de su red.

Configurar el fondo de tdbsam es tan fácil como lo era para smbpasswd. Añada passdb backend=tdbsam—opcionalmente con un nombre de archivo—para su sección global y reinicie Samba. El nombre predeterminado del archivo de TDB con la información de autenticación es passdb.tdb.

La herramienta smbpasswd también puede manipular usuarios en la base de datos tdbsam. El Listado 2 muestra la base de datos tdbsam antes y después de que un usuario es creado con smbpasswd.

Listado 2. Creando un usuario con smbpasswd y viendo tdbsam
# tdbdump passdb.tdb
{
key(13) = "INFO/version\00"
data(4) = "\03\00\00\00"
}
# smbpasswd -a sean
New SMB password:
Retype new SMB password:
Added user sean.
# tdbdump passdb.tdb
{
key(13) = "RID_00000bba\00"
data(5) = "sean\00"
}
{
key(10) = "USER_sean\00"
data(205) = "\00\00\00\00....EC\04\00\00"
}
{
key(13) = "INFO/version\00"
data(4) = "\03\00\00\00"
}

El contenido inicial de passdb.tdb es una sola clave que contiene una cadena de caracteres de versiones. Un usuario es después añadido exactamente en la misma forma que antes. La utilidad smbpasswd es suficientemente inteligente para leer smb.conf para entender cómo se supone que debe estar añadiendo a un usuario. La base de datos de contraseñas ahora contiene dos claves adicionales: la primera correlaciona un ID relativo de Microsoft (RID) con un nombre de usuario y otra contiene información sobre el usuario. Los datos son en su mayoría binarios, así que la decodificación requeriría observar el diseño de la estructura de latos en el código de origen de Samba.


Autenticación de LDAP

el formato de archivo de TDB ofrece relativamente buen rendimiento y es adecuado para la mayoría de los entornos pequeños. Para escalar más allá de los archivos de TDB, debe autenticarse en un servidor LDAP. LDAP es naturalmente adecuado para autenticación debido a su estructura de tipo árbol. Microsoft Active Directory® Domain Services también está construido alrededor de LDAP.

Configurando un servidor LDAP

La primera etapa para integrar Samba y LDAP es configurar el servidor LDAP. Una explicación detallada está más allá del ámbito de este artículo, pero el material de estudio para el examen 301 cubre el tema a profundidad (vea Recursos). Tal vez quiera revisar este material, ya que un entendimiento de LDAP es requerido para esta integración.

OpenLDAP es el servidor LDAP más común que encontrará en servidores de Linux. Su archivo de configuración es slapd.conf. El Listado 3 ofrece un archivo de configuración que está listo para integración con Samba.

Listado 3. slapd.conf
# Include the core schema files, and the perquisites for samba.schema
include	           /etc/openldap/schema/core.schema
include            /etc/openldap/schema/cosine.schema
include            /etc/openldap/schema/inetorgperson.schema
include            /etc/openldap/schema/nis.schema
include            /etc/openldap/schema/samba.schema

database bdb
# Configure the tree and the admin user
pidfile /var/run/openldap/slapd.pid
suffix "dc=ertw, dc=com"
rootdn "cn=admin, dc=ertw, dc=com"
rootpw linux
directory /var/lib/ldap

# Indexes
index objectclass             eq
index cn                      pres,sub,eq
index sn                      pres,sub,eq
# For storing Unix accounts in LDAP
index uidNumber               eq
index gidNumber               eq
index memberUid               eq
# Samba specific
index uid                     pres,sub,eq
index displayName             pres,sub,eq
index sambaSID              eq
index sambaPrimaryGroupSID  eq
index sambaDomainName       eq

index default               sub

El Listado 3 usa el prefijo dc=ertw,dc=com para todos los objetos. La primera sección carga todos los elementos de esquema necesarios para la integración de Samba. core.schema es requerido para la operación básica de OpenLDAP y samba.schema ofrece las objectClasses de Samba. Los otros esquemas son requisitos previos para samba.schema y deben ser incluidos primero, ya que los archivos son procesados en forma secuencial.

La siguiente sección, comenzando con database bdb, indica que la base de datos Berkeley será usada y da algo de información sobre el árbol, incluyendo un usuario administrativo y un directorio. El resto del archivo configura índices para hacer más fácil la búsqueda del árbol; los índices vienen de la configuración predeterminada de OpenLDAP y la documentación de Samba.

Ahora debe llenar su servidor LDAP con los diversos contenedores para almacenar usuarios, computadores y grupos. También debe asociar el identificador de seguridad (SID) de su servidor con algunos de los registros. Este es un asunto complejo; afortunadamente, el proyecto smbldap-tools lo ha hecho simple. Su distribución probablemente vendrá con un paquete para estas herramientas; si no es así, descárguelas e instálelas manualmente (vea Recursos para obtener un enlace).

Después de que haya instalado las utilidades smbldap-tools , vaya a través de los archivos de configuración y llene la información solicitada, tal como el nombre de su dominio o grupo de trabajo y la información administrativa para conectarse a su servidor LDAP. Después, ejecute el comando smbldap-populate para construir su árbol. La salida es mostrada en el Listado 4.

Listado 4. Llenando el servidor LDAP
# smbldap-populate
Populating LDAP directory for domain BOB (S-1-5-21-2287037134-1443008385-640796334)
(using builtin directory structure)

entry dc=ertw,dc=com already exist.
adding new entry: ou=People,dc=ertw,dc=com
adding new entry: ou=Groups,dc=ertw,dc=com
adding new entry: ou=Computers,dc=ertw,dc=com
adding new entry: ou=Idmap,dc=ertw,dc=com
adding new entry: uid=root,ou=People,dc=ertw,dc=com
...
adding new entry: cn=Replicators,ou=Groups,dc=ertw,dc=com
adding new entry: sambaDomainName=BOB,dc=ertw,dc=com

Please provide a password for the domain root:
Changing UNIX and samba passwords for root
New password:
Retype new password:

El Listado 4 muestra que el comando smbldap-populate ha determinado el SID y el dominio de la máquina local y está construyendo la estructura del directorio en LDAP. Finalmente, la herramienta le pide su contraseña de raíz y la sincroniza en el servidor LDAP.

Conectando Samba con LDAP

Configurar Samba para usar LDAP involucra decirle al servidor cómo enlazarse a su servidor LDAP. El Listado 5 muestra una configuración mínima de Samba para autenticación de LDAP.

Listado 5. Una configuración mínima para autenticar Samba con LDAP
[global]
  passdb backend = ldapsam:ldap://ldap.ertw.com
  ldap suffix = dc=ertw,dc=com
  ldap user suffix = ou=People
  ldap group suffix = ou=Groups
  ldap admin dn = uid=samba_service,ou=People,dc=ertw,dc=com

El Listado 5 opera en el ámbito global y apunta al servidor local para un servidor LDAP ubicado en ldap.ertw.com. Los tres sufijos definidos primero le dicen a Samba el nombre base del árbol y el nombre de las ramificaciones para usuarios y grupos, respectivamente. Finalmente, el nombre distinguido (DN) de un usuario administrativo es configurado. Este usuario será usado para conectarse al árbol para autenticar a otros usuarios. La información de LDAP Data Interchange Format (LDIF) para este usuario es mostrada en el Listado 6.

Listado 6. LDIF para la cuenta de servicio
dn: uid=samba_service,ou=People,dc=ertw,dc=com
uid: samba_service
objectclass: person
objectclass: uidobject
description: Service account to allow Samba to authenticate
cn: samba_service
sn: samba_service
userPassword: {SSHA}tQNdW/bNxQGz2iGoLz5zFL5wJ8px43v5

Debe establecer la contraseña para el DN administrativo con el comando smbpasswd -w , seguido de la contraseña. El hash userPassword mostrado en el Listado 6 es la misma contraseña, pero fue generado con el comando slappasswd . Ahora, reinicie Samba.

Gestionando usuarios

Normalmente, debe encargarse de gestionar las correlaciones entre IDs de usuarios de UNIX y SIDs de Microsoft, teniendo en mente el SID de dominio. Este es un procedimiento propenso a errores, así que el comando smbldap-useradd ayudará. Ejecute smbldap-useradd -a sean para añadir a un usuario llamado sean. El parámetro -a le dice al programa que añada las objectClasses de Samba al objeto de LDAP, de forma que el usuario pueda iniciar sesión en un dominio de Microsoft. Finalmente, de al usuario una contraseña con el comando smbldap-passwd seguido del nombre de usuario.

En este punto, debe poder conectarse a su servidor de Samba y usar las credenciales que acaba de proporcionar en el servidor LDAP. Muchas otras herramientas en el paquete smbldap-tools ayudarán a gestionar sus usuarios y planificar una migración más grande.


Autenticación de UNIX en Samba

El inicio de sesión único, o la sincronización de contraseña entre Linux y Microsoft, es difícil de conseguir, ya que los dos sistemas operativos almacenan sus contraseñas en forma distinta. El paquete smbldap-tools soluciona este problema al trabajar en ambos sistemas al mismo tiempo. Otra alternativa es dar el control de las contraseñas a la red de Microsoft.

Linux soporta un concepto llamado módulos de autenticación conectables (PAM). PAM le permite al administrador configurar cómo son autenticados los servicios y cambiar el proceso de autenticación al manipular los archivos de configuración sin el conocimiento de la aplicación. Una aplicación llama a las bibliotecas para autenticar a un usuario. PAM consulta el archivo de configuración para las instrucciones para autenticar un usuario con ese servicio particular. El éxito o la falla de la autenticación se retorna a la aplicación.

Con el tiempo, muchos módulos de autenticación han sido escritos para permitir la autenticación para otros servicios, desde archivos de contraseña locales hasta LDAP, Kerberos e incluso una red de Microsoft. El módulo que proporciona este servicio es llamado pam_smb.

Configurando pam_smb

Su distribución debe venir con la versión más reciente de pam_smb; si no es así, puede descargar el código de origen del website (vea Recursos para obtener el enlace). Usted configura el módulo en /etc/pam_smb.conf. El formato del archivo es simple: sólo el nombre del domino seguido por uno o dos servidores que pueden proporcionar autenticación. Esta es una configuración de muestra:

MYGROUP
ALICE
BOB

Esta muestra autentica a usuarios en el dominio MYGROUP O AL GRUPO DE TRABAJO EN LOS SERVIDORES ALICE Y BOB. Si sólo tuviera un servidor para manejar la autenticación, su archivo de configuración tendría sólo las dos líneas para el dominio y el servidor de autenticación individual.

Después, debe insertar pam_smb en la pila de autenticación. Encontrará varios archivos de configuración dentro de /etc/pam.d que se refieren al orden de autenticación particular para un servicio individual. La mayoría de estos archivos se verán de forma similar, ya que frecuentemente incluyen un archivo común en lugar de duplicar la configuración en muchos archivos distintos. Busque el archivo que está incluido con la palabra clave include . Por ejemplo, en Fedora, este archivo es password-auth o system-auth. El Listado 7 muestra la sección de autenticación del archivo password-auth.

Listado 7. La sección de autenticación de password-auth
auth        required      pam_env.so
# Use samba authentication
auth        sufficient    pam_smb_auth.so debug
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

Cada línea en el Listado 7 es procesada en orden. La primera línea llama a pam_env, que establece las variables de entorno. La segunda línea le permite a pam_smb intentar una solicitud de autenticación con depuración extra. Si la autenticación es exitosa, la verificación es considerada suficiente y el usuario inicia sesión. Si falla, el control pasa a pam_unix, que verifica en el archivo de contraseña de UNIX.

Al jugar con PAM, es inteligente mantener una cuenta de raíz con la sesión iniciada y una copia funcional conocida del cierre de archivos. Si se bloquea a usted mismo del sistema, puede obtener acceso rápidamente al copiar los archivos incorrectos.

Servicios de nombres

Linux tiene un archivo llamado /etc/nsswitch.conf que controla cómo las bibliotecas de sistema correlacionan entre el usuario y los IDs de grupo y los nombres que representan. Este archivo configura el sistema Name Service Switch (NSS). La mayoría de los sistemas apuntan a los archivos locales, tales como /etc/passwd y /etc/group, o un LDAP en el servidor de Network Information Service (NIS). También es posible usar un servicio llamado Winbind para hacer que las bibliotecas del sistema soliciten las correlaciones de la red de Microsoft.

El siguiente artículo en esta serie trata este tema a profundidad. Por ahora, es suficiente entender que los usuarios son autenticados por PAM, pero los nombres de usuario y grupo son autenticados desde el sistema de NSS.


Listas de control de acceso

Los servidores de Microsoft soportan un conjunto de permisos suficientemente robusto, permitiendo al administrador configurar el acceso a archivos y directorios con una enorme precisión. Aunque algunos sistemas de UNIX vienen con ACLs del sistema de archivos, el soporte no es extenso. Por lo tanto, los sistemas Linux frecuentemente están limitados a los bits Read/Write/Execute tradicionales en el acceso de Everyone/Group/User. Samba debe presentar la interfaz de la ACL a los clientes de Microsoft y correlacionar esta interfaz para los permisos de archivo de UNIX, almacenando opcionalmente algo de información en un archivo de TDB.

Varios parámetros gobiernan la forma en que los permisos son correlacionados entre permisos de archivos de UNIX y Windows NT. Dos parámetros importantes son force security mode y security mask. Estos parámetros trabajan juntos para establecer y eliminar bits de permisos de archivo, respectivamente.

Revisando los permisos de archivo

Los modos de permisos de archivo de UNIX son números octales: Execute es 1, Write es 2 y Read es 4. Estos números corresponden a los tres bits requeridos para conformar un dígito octal. El primero de los tres dígitos octales es el permiso de propietario, seguido por el grupo, y después los permisos globales (Everyone). Un archivo que es de modo 750 es Read/Write/Execute para el grupo y no ofrece acceso a todos los demás.

Puede realizar operaciones binarias en los valores octales para establecer y borrar permisos. Un OR establece los bits asociados, mientras que AND borra un bit. 1 OR 4 es 5, porque comienza con el 1 y después establece el bit 4. En forma similar, 5 OR 4 sigue siendo 5, porque 5 es una combinación de los bits 1 y 4, y establecer un bit que ya está establecido no tiene efecto.

El AND es el opuesto de OR. Para que una posición de bit sea llevada hasta el resultado final, el bit debe ser establecido en ambos lados del AND. 1 AND 1 es 1, porque ambos bits 1 están establecidos. 5 AND 1 es 1, porque el bit 1 está establecido en ambos lados, pero el bit 4 sólo está establecido en el lado izquierdo. Mediante el uso cuidadoso de AND y OR, puede estar seguro de que los bits siempre estarán establecidos o borrados.

Aplicando un poco de manipulación a Samba

El force security mode fuerza a los bits para que sean establecidos en un archivo cuando es creado o cuando el cliente intenta cambiar los permisos. De forma predeterminada, es 000, lo que significa que ningún bit es forzado. Si estableciera force security mode en 700, siempre estaría forzando los bits de usuario para Read/Write/Excecute, asegurando que el usuario siempre pueda leer su archivo, aún si el usuario intenta eliminar los permisos.

En forma similar, security mask realiza un AND y borra los bits. De forma predeterminada, este modo es 777, el cual no borra nada. 775 borraría el bit Write de la posición Everyone en el archivo, lo que evitaría que los usuarios crearan archivos en los cuales todos puedan escribir.

Puede aplicar security mask y force security mode globalmente o al nivel de intercambio. Son bastante útiles en carpetas públicas y de grupo, donde desea asegurar que los archivos tienen los permisos de grupo o globales correctos sin la intervención del usuario.

Recursos

Aprender

Obtener los productos y tecnologías

  • El paquete smbldap-tools hace que la integración de Samba-LDAP sea mucho más fácil.
  • pam_smb le permite iniciar sesión en su servidor de Linux con sus credenciales de Microsoft.
  • Obtenga la versión más reciente de Samba para que esté actualizado con los dispositivos más recientes.
  • Para acceder a datos a través de múltiples entornos, considere una versión de prueba de IBM Tivoli Directory Integrator.

Comentar

  • Participe en la Comunidad My developerWorks. Conéctese con otros usuarios developerWorks mientras explora los blogs, foros, grupos y wikis dirigidos a desarrolladores.

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Linux
ArticleID=807264
ArticleTitle=Aprenda Linux, 302 (Entornos mixtos): Autenticación y autorización
publish-date=04022012