Documentos de Académico
Documentos de Profesional
Documentos de Cultura
capítulo 2
En esta práctica veremos cómo configurar samba para permitir el acceso de invitados
autenticados, para lo cual vamos a tomar el archivo smb.conf de la práctica pasada y lo vamos a
respaldar haciendo una copia y modificando su nombre por smb.conf.practica1, quedándonos el
archivo smb.conf que es el que vamos a modificar y a configurar de la siguiente manera:
[global]
workgroup = WORKGROUP
netbios name = SA
[guest]
# This share allows anonymous (guest) access
# without authentication!
path = /srv/samba/guest/
read only = no
guest ok = yes
[demo]
# This share requires authentication to access
path = /srv/samba/demo/
read only = no
guest ok = no
Podemos apreciar que el archivo de configuración posee dos entradas aparte del global que son demo y
guest y que hacen referencia a dos carpetas compartidas que permitirán el acceso de invitados, las
carpetas serán creadas mas adelante, en el caso del parámetro map to guest, al ponerlo como bad user
faculta o habilita el acceso invitado, si se desea eliminar el acceso, eliminar el map to guest o
configurarlo para que sea su valor por defecto que es Never, también habilitamos la bitácora para que
guarde registro de los accesos a los recursos.
Creación de una cuenta de usuario local
Para proporcionar autenticación en un servidor independiente, crearemos las cuentas de forma local en
el sistema operativo y, además, en la base de datos de Samba, Samba guarda en la base de datos
tdbsam y la ubica en el /usr/local/samba/private/passdb.tdb
Una vez que ubicamos este archivo, vamos a crear una cuenta llamada demouser en el sistema local:
El parámetro –m indica que el usuario no tendrá una carpeta home, ya que no permitirá el acceso login
sino solamente el acceso a un recurso compartido, entonces este usuario no tendrá el derecho de
acceso a shell
# passwd demouser
Enter new UNIX password: Passw0rd
Retype new UNIX password: Passw0rd
passwd: password updated successfully
Ahora vamos a Añadir la cuenta de usuario demouser que acabamos de crear a la base de datos de
Samba:
# smbpasswd -a demouser
New SMB password: Passw0rd
Retype new SMB password: Passw0rd
Added user demouser.
Aplicamos la misma acción, pero ahora con el parámetro –e (enable) para activar al usuario en la base
de datos de samba, debemos aplicar en caso de que lo solicite la misma contraseña que pusimos al
usuario local.
# smbpasswd -e demouser
Enabled user demouser.
# Groupadd demogroup
# Usermod -G demogroup demouser
# mkdir -p /srv/samba/guest/
# mkdir -p /srv/samba/demo/
Donde entonces ubicamos que el 1 al principio indica el uso del sticky bit y el 755 que corresponde a los
permisos de: El propietario del fichero puede leer, escribir y ejecutar el archivo.
Todos los demás usuarios pueden leer y ejecutar el archivo.
Ahora aplicamos ls –l para ver el listado de archivos y ubicaremos que al final de la lista de permisos del
archivo prueba.txt encontraremos una t que indica que el sticky bit ha sido aplicado.
El SUID bit o valor 4 significa que el que ejecute el archivo va a tener los mismos permisos que el que
lo creó. Esto puede llegar a ser muy útil en algunas situaciones, sin embargo como este bit es destinado
a programas sh, el dar el permiso de modificación nos representa un fuerte problema de seguridad, para
que sea efectivo el archivo debe tener permisos de ejecución. (En este momento no es necesario que lo
probemos)
El SGID bit o valor 2 es lo mismo que en el SUID, pero a nivel de grupo. Es decir, todo archivo que
tenga activo el SGID, al ser ejecutado, tendrá los privilegios del grupo al que pertenece. Esto es muy
usado cuando queremos configurar un directorio colaborativo: si aplicamos este bit al directorio,
cualquier archivo creado en dicho directorio, tendrá asignado el grupo al que pertenece el directorio.
Este será el bit que activaremos en la configuración de acceso a los directorios siguiente, primero vamos
a cambiar todo el directorio asignándole all grupo que acabamos de crear con el comando chgrp:
Si queremos iniciar a “demo” debemos mostrar nuestras credenciales del usuario creado
en linux, es decir, “demouser” con su respectiva contraseña.
Después podemos crear archivos o modificarlos pero, no eliminarlos (la carpeta).
Documentar conclusiones, y sobre todo aquellas modificaciones o adecuaciones
realizadas para tu distribución.
Con está práctiva vi que samba nos da la posibilidad de compartir archivos y carpetas y
poder validar las credenciales del usuario, esto sería muy eficaz en un ambiente laboral en
el que se ocupa tener controlador que usuario, puede realizar ciertas acciones sobre
archivos.