Cryptage des mots de passe

La sécurité des informations passe par la sécurité et la fiabilité de l'établissement de la connexion. En effet, dans le cas le plus simple, les mots de passe sont transmis au serveur en texte brut. Il est donc facile de les repérer avec des outils de surveillance réseau.
Pour éviter

cela, Samba propose le chiffrement des mots de passe. Cela permet
de ne jamais voir le mot de passe circuler sur le réseau.
De plus, par défaut, Windows n’accepte plus les mots de passe en texte brut. S’il
n’y a pas de modification au niveau de la base de registre de Windows 9x ou NT,
Samba devra fonctionner avec les mots de passe cryptés.

Cryptage des données. Dans le cas d’une connexion entre un poste
client et un serveur, il peut être intéressant de protéger les données circulant
sur le réseau. Si les deux machines sont situées sur un réseau local, le risque
de piratage n’est pas très important. Par contre, si le poste client utilise une
connexion Internet pour accéder à une ressource partagée, le risque est beaucoup
plus important. Samba propose de mettre en place une liaison cryptée avec SSL
entre le client et le serveur.

Accessibilité et autorisation. Samba est paramétrable, et permet
de définir les autorisations d’accès aux différentes ressources. Par exemple,
Samba peut autoriser ou non certaines machines ou certains utilisateurs à se connecter
à une ressource. Ces droits sont accordés en fonction des adresses réseau des
postes clients et des noms des utilisateurs.
Dans l’exemple ci-dessous, différentes autorisations d’accès ont été ajoutées
au partage COMPTA de l’exemple précédent :

# définit la liste des hôtes autorisés à accéder au partage
Hosts allow = 192.168.0. zoe.domaine.com

Dans notre exemple, seules les machines du réseau 192.168.0.0/24 peuvent accéder
au partage ainsi que la machine Zoé du domaine domaine.com.

# définit la liste des utilisateurs non autorisés à accéder au partage
invalid users = sim @info

L’utilisateur Sim et l’ensemble des utilisateurs du groupe INFO ne pourront se
connecter à ce partage.

# définit la liste des utilisateurs ayant un accès en lecture seule
read list = john @info1

Ici, l’utilisateur John et l’ensemble des utilisateurs du groupe INFO1 ne pourront
accéder au partage qu’en lecture seule.
Il peut aussi être intéressant de définir les attributs des fichiers et des répertoires
lors de leur création dans le répertoire partagé. Pour cela, Samba propose deux
autres paramètres.

# masque par défaut à la création d’un fichier
create mode = 0640
# masque par défaut à la création d’un répertoire
directory mode = 0744

La première ligne signifie que tous les nouveaux fichiers du répertoire seront
en lecture/écriture pour le propriétaire du fichier. Les utilisateurs de son groupe
auront quant à eux un accès en lecture seule, et tous les autres n’auront aucun
accès (voir encadré sur les droits UNIX).
La seconde ligne concerne les répertoires, et fonctionne sur le même principe.
Le créateur du répertoire possède les droits R W X alors que tous les autres utilisateurs
n’auront qu’un accès R – -.

Les droits sur les fichiers UNIX
Les droits sur les fichiers UNIX sont définis pour trois types d’utilisateurs
: le propriétaire du fichier, le groupe et les autres. Ils définissent les
actions que peuvent réaliser les différents utilisateurs sur un fichier
: écrire (R), lire (W) et exécuter (X). Ils sont inscrits sous forme d’un
ensemble de bits.
La représentation sous forme de nombres représente les trois paquets de
trois bits.

Par exemple, 744 indique que le propriétaire du fichier peut lire, écrire
et exécuter le fichier (7 en décimal égale 111 en binaire, et cela indique
que les bits R W X sont sélectionnés). Tous les autres utilisateurs ne pourront
que les lire (4 en décimal = 100 en binaire = R – – ).

Les différents droits peuvent être représentés plus simplement ainsi :

Les droits sur un fichier s’obtiennent tout simplement en additionnant tous
les nombres entre eux.
Si par exemple nous voulons accorder les droits R W X au propriétaire, R
– X au groupe et uniquement les droits de lecture aux autres utilisateurs,
cela donnerait 400+200+100+40+10+4 = 754