6.3.4 Seguridad a nivel de dominio.

La seguridad a nivel de dominio es parecida a la de nivel de servidor. Sin embargo, con la seguridad a nivel de dominio, el servidor Samba está actuando como miembro de un dominio Windows. Recuerda del capítulo 1 que cada dominio tiene un Controlador de Dominio, que es normalmente un Windows NT Server que ofrece la autenticación de las contraseñas. Incluir estos controladores proporciona al grupo un servidor de contraseñas definitivo. Los controladores de dominio mantienen los usuarios y contraseñas en sus propios módulos de autenticación de seguridad (SAM), y autentifican a cada usuario cuando este conecta por primera vez y cuando desea acceder a un recurso en otra maquina.

Como mencionamos antes en este capitulo, Samba tiene una prestación similar al ofrecer seguridad a nivel de usuario, pero esta opción está centralizada en Unix y asume que la autenticación se produce a través de los ficheros de contraseñas de Unix. Si la maquina Unix es parte de un dominio NIS o NIS+ Samba autenticará a los usuarios de forma transparente contra un fichero de contraseñas compartido, como es típico en Unix. Hecho esto, Samba ofrecerá acceso al dominio NIS o NIS+ desde Windows. Desde luego, no existe relación alguna entre el concepto de dominio NIS o NIS+ y el concepto de dominio de Windows.

Con la seguridad a nivel de dominio, tenemos la opción de usar el mecanismo nativo de NT. Esto tiene una serie de ventajas:

• Proporciona una mejor integración con NT: hay menos 'arreglos' en las opciones del smb.conf referidas a los dominios que con la mayoría de las posibilidades de Windows. Esto va a permitir utilizar de forma extensiva las opciones de administración de NT, como el Administrador de Usuarios para Dominios que permitirá a los usuarios individuales de los PC tratar los servidores Samba como si fueran grandes máquinas NT.
• Con la mejor integración vienen depuraciones del protocolo y del código, lo que permite al equipo Samba seguir con la evolución de la implementación NT. NT Service Pack 4 soluciona determinados problemas en el protocolo, y la mejor integración de Samba hace más fácil identificar y adaptarse a estos cambios.
• Hay una menor carga sobre el PDC porque hay una conexión permanente menos entre el y el servidor Samba. Independientemente del protocolo usado por la opción security=server, el servidor Samba puede hacer un Procedimiento de Llamada Remota (RPC) solo cuando necesita información de autenticación. No necesita mantener una conexión permanente para esto.
• Finalmente, el procedimiento de autenticación de dominio en NT devuelve todos los atributos del usuario, no solo si ha tenido o no éxito. Los atributos incluyen una lista larga y orientada a la red de los identificadores Unix, grupos NT, y mucha más información. Esto incluye:
  • Nombre de usuario
  • Nombre completo
  • Descripción
  • Identificador de seguridad (una extensión del identificador Unix orientada al dominio)
  • Pertenencia a grupos NT
  • Horas de entrada, y en su caso si hay que forzar al usuario a salir inmediatamente.
  • Puestos de red que el usuario esta autorizado a utilizar
  • Fecha de expiración de la cuenta
  • Directorio personal
  • Secuencia de entrada
  • Perfil
  • Tipo de cuenta

Los desarrolladores de Samba utilizaron seguridad a nivel de dominio en Samba versión 2.0.4 para permitirle añadir y eliminar usuarios del dominio de forma semiautomática. Además, añadió soporte para otras prestaciones al estilo NT, como soportar listas de control de acceso y cambiar los permisos de los ficheros desde el cliente.

La ventaja de esta aproximación es una menor administración; hay una sola base de datos de autenticación que mantener sincronizada. La única administración local en el servidor Samba será la creación de directorios para los usuarios y el mantenimiento del fichero /etc/passwd para tener sus identificadores y grupos al día.