6.3.1 Seguridad a nivel de recurso (share).

En este caso cada recurso tiene una o más contraseñas asociadas con él. Se diferencia de los demás modos de seguridad en que aquí no hay restricciones como quién puede acceder al recurso, siempre que los usuarios conozcan la contraseña correcta. Los recursos pueden tener distintas contraseñas. Por ejemplo, una contraseña puede conceder sólo derechos de lectura, otra puede conceder derechos de lectura-escritura, etc. La seguridad se mantiene mientras usuarios no autorizados no descubran las contraseñas para un recurso al que no deberían poder acceder.

OS/2 y Windows 95/98 soportan seguridad a nivel de recurso. En Windows 95/98 puedes establecerla usando la pestaña de Control de Acceso en la opción Red del Panel de Control. Una vez aquí marcas Control de acceso a los recursos (que desmarca la opción de Control de acceso de los usuarios) como se muestra en la figura 6-1 y pulsas el botón de Aceptar.

**Figure:** Control de Acceso.
$\includegraphics[ width=0.80\textwidth]{img/sam-0601.ps}$

Ahora, haces clic en un recurso -como un disco duro o un CD-ROM- y eliges el menú Propiedades. Se abrirá el cuadro de diálogo de propiedades del recurso. Elige la pestaña Compartir y activa el recurso como Compartido Como. Desde aquí, puedes configurar como se presentará el recurso a los usuarios individuales, así como asignar si el recurso será de solo-lectura, de lectura-escritura o una mezcla, dependiendo de la contraseña que se utilice.

Puedes estar pensando que este modelo de seguridad no es el más correcto para Samba - y tendrás razón. De hecho, si activas la opción security=share en el fichero de configuración de Samba, seguirá utilizando las combinaciones de nombre de usuario/contraseña de los ficheros de contraseñas del sistema para autentificar al usuario. Mas concretamente, Samba seguirá los siguientes pasos cuando un cliente solicite una conexión usando una política de seguridad a nivel de recurso:

Cuando se solicita la conexión, Samba aceptará la contraseña y (si se envía) el nombre de usuario del cliente.
Si el recurso es guest only, al usuario se le concede acceso inmediatamente al recurso, pero con los derechos del usuario especificado por el parámetro guest account; no se realiza ninguna comprobación sobre la contraseña.
Para otros recursos, Samba añade el nombre de usuario a una lista de usuarios que tienen permitido el acceso a ese recurso. Entonces intenta validar la contraseña recibida como complemento a ese nombre de usuario. Si tiene éxito, Samba concede el acceso los derechos asignados a ese usuario y este no necesitara autenticarse de nuevo a no ser que se establezca una opción revalidate=yes dentro de la configuración del recurso.
Si la autenticación no tiene éxito, Samba intentará validar la contraseña frente a una lista de usuarios que ha sido creada previamente utilizando los intentos de conexión, así como cualquiera especificada en la configuración del recurso. Si la contraseña no coincide con ningún nombre de usuario (como se establece en el fichero de contraseñas del sistema, normalmente /etc/password), no se le concederá acceso bajo ese nombre.
De cualquier forma, si el recurso tiene una opción guest ok o public, el usuario por defecto accederá con los derechos del usuario que se especifique en la opción guest account.

Con la opción de configuración username puedes establecer inicialmente, los usuarios de seguridad a nivel de recurso, tal como se muestra:

[global] 
  security = share

[accounting1]
  path = /home/samba/accounting1
  guest ok = no
  writable = yes
  username = davecb, pkelly, andyo

Así, cuando un usuario intenta conectar con el recurso, Samba comprobará la contraseña enviada por este contra cada uno de los usuarios de su lista, además de las contraseñas de los usuarios davecb, pkelly y andyo. Si cualquiera de ellas coincide, se realizará la conexión, en otro caso, ésta fallará.

Subsections

TLDP-ES 03/11/2002