Desenvolvimento temporrio para o Samba

Restrio de data/hora de acesso dos usurios ao servidor SAMBA 
(utilizando PAM). Certamente  necessrio utilizar 
obey pam restrictions = yes no smb.conf. Fazer uma referncia na
parte do guia de segurana que faz referncia a PAM para abordar este 
assunto.

Mostrando conexes ao samba
---------------------------
smbstatus


Tamanho de nomes

O tamanho mximo de nomes NetBIOS  de 16 caracteres. Os 15 primeiros
identificam o nome e o ltimo identifica o nvel do servio. Abaixo 
segue alguns dos nveis:




Windows For Workgroups 3.11
---------------------------

Instalando o Suporte a TCP/IP no Windows 3.11
---------------------------------------------
Para esta verso do Windows fazer acesso a rede SAMBA e 
tambm ser acessado, ser necessrio instalar o suporte a 
rede TCP/IP, pois esta verso somente vem com suporte ao 
protoco NetBEUI.

Baixe o programa de instalao de 

ftp://ftp.microsoft.com/bussys/clients/wfw/TCP32B.EXE

Para instalar, entre no grupo de programas "Rede", depois 
"Configuraes de Rede, Dispositivos de Rede, Adicionar Protocolo e 
especifique o caminho do arquivo TCP32B.exe.

Aps a instalao, reinicie seu computador e configure a mquina
Windows de forma adequada para acessar sua rede (veja ******************).


Desativando o cache de senhas no Windows 3.11
---------------------------------------------

A gravao de senhas no cache do sistema  um risco que permite que 
usurios maliciosos que tenham se apoderado da senha que o usurio 
utiliza para se logar no sistema, faa uso e acesse os mapeamentos 
da mquina. Para desativar esta caracterstica do WFW 3.11 e fazer 
com que ele pea a senha cada vez que for usar o compartilhamento, 
faa os seguintes passos:

Mapeamentos no Windows: Adicione a linha <tt>PasswordCaching=no</tt> na 
seo [NETWORK] do arquivo system.ini. Caso os compartilhamentos sejam 
mapeados para uma letra de unidade local no DOS usando o comando 
<prgn>net</prgn>, use a seguinte sintaxe: 
<tt>net use \\servidor\pasta senha \savepw:no</tt>.


Correo do bug que permite o acesso a todo o contedo do HD
------------------------------------------------------------

Aps realizar a instalao do driver TCP para Windows 3.11, ser 
necessrio corrigir um bug relacionado com a segurana de compartilhamento
deste sistema. 

O bug permite que mquinas usando o smbclient acessem todo o contedo do 
HD, quando  compartilhado apenas uma pasta. Para corrigir 
 o Vserver.386

Baixe a correo de:

http://download.microsoft.com/download/wfw311/NetFile/1/WFW/EN-US/wfwvsrvr.exe

Aps copiar o arquivo da localizao indicada, clique em cima dele para 
descompactar o arquivo Vserver.386, saia do WFW3.11 e copie o novo 
arquivo para o diretrio \windows\system para corrigir o problema.
 
<![ %OBS [ 
 <p>
Este bug somente deixa vulnervel a mquina WFW 3.11 a mquinas Unix da 
rede.
]]>.

----------------------------------------------------------------------

Windows 95

Criptografia melhorada para o cache de senhas do Windows.
---------------------------------------------------------

Aferam: Windows 95 e Windows 95 OSR/1

Estas correes melhoram um pouco o sistema de armazenamento de senhas 
utilizadas por estas verses, que teve seu sistema de criptografia 
simples divulgado na Internet.

Estas correes tambm consertam um bug do servive Pack 1 e OEM SR1 que ocorre 
no Mspwl32.dll quando dois usurios possuem contas na mquina Windows 95 e se 
as oito primeiras letras do nome deste usurio forem idnticas, o primeiro 
arquivo de senhas  sobrescrito, apagando o primeiro usurio.


http://download.microsoft.com/download/win95/Update/95/w95/EN-US/mspwlupd.exe



Correo do bug que permite o acesso a todo o contedo do HD
------------------------------------------------------------

Afeta: Windows 95 (primeira verso)

O bug permite que mquinas usando o smbclient acessem todo o contedo do 
HD enviando comandos maliciosos que so aceitos pelo Windows, quando  
compartilhado apenas uma pasta. Este bug afeta os arquivos Nwserver.vxd 
e Vserver.vxd

Baixe a correo de:

http://download.microsoft.com/download/win95upg/sp/1/w95/en-us/setup.exe

Aps copiar o arquivo da localizao indicada, clique em cima dele para 
descompactar o arquivo Vserver.386, saia do WFW3.11 e copie o novo 
arquivo para o diretrio \windows\system para corrigir o problema.
 
<![ %OBS [ 
 <p>
Este bug somente deixa vulnervel a mquina WFW 3.11 a mquinas Unix da 
rede.
]]>.


Usando o servidor NT como um servidor de autenticao
-----------------------------------------------------

encrypt passwords = Yes
security = server
password server = "NetBIOS_name_of_PDC"


When Microsoft changed the default password mode, they dropped support for caching of the plain text password. This means that when the registry parameter is changed to re-enable use of plain text passwords it appears to work, but when a dropped mapping attempts to revalidate it will fail if the remote authentication server does not support encrypted passwords. This means that it is definitely not a good idea to re-enable plain text password support in such clients.


Suporte a impresso

A partir da verso 2.2, o samba suporta completamente o mecanismo de 
impresso pipe SPOOLSS do Windows NT. Entre as vantagens do uso deste 
recurso esto o download e instalao automtica dos drivers de 
impresso para a mquina cliente, suporte a listas de controle de acesso 
na impresso, chamadas nativas MS-RPC.

Para suportar o novo estilo de impresso com suporte a download de drivers, 
 preciso configurar o compartilhamento de impresso print$
(e no printer$ que foi o mtodo padro usado no SAMBA vindo dos dos 
tempos do Windows 3.11/Windows 95).

O uso do parmetro antigo "printer driver location" e "printer driver" usado
para especificar a localizao de drivers em compartilhamentos $printer devem
ser evitados.

Para suportar o upload de drivers usando o compartilhamento print$


---------------------------------------------
[global]
    ; members of the ntadmin group should be able
    ; to add drivers and set printer properties
    ; root is implicitly a 'printer admin'
    printer admin = @ntadmin

[print$]
    path = /usr/local/samba/printers
    guest ok = yes
    browseable = yes
    read only = yes
    ; since this share is configured as read only, then we need
    ; a 'write list'.  Check the file system permissions to make
    ; sure this account can copy files to the share.  If this
    ; is setup to a non-root account, then it should also exist
    ; as a 'printer admin'
    write list = @ntadmin,root

-------------------------------------------

Como o compartilhamento print$  criado como somente leitura,  
*NECESSRIO* especificar uma lista de quem tem acesso a gravao
(write list).

Depois crie a estrutura de diretrios dentro do diretrio 
especificado no parmetro "path=" do compartilhamento print$


WIN40            "Windows NT x86"
W32X86           "Windows 95/98"
W32ALPHA         "Windows NT Alpha_AXP"
W32MIPS          "Windows NT R4000"
W32PPC           "Windows NT PowerPC"


Para adicionar uma nova impressora, voc precisa ser o usurio root ou 
o usurio dever estar na lista definida em "printer admin".


Para testar, entre no NT com a conta que permite acesso a adminsitrao de 
impressoras, entre em "Ambiente de rede", localize a mquina samba na listagem 
e verifique se a listagem de impressoras na mquina samba conferem com o 
compartilhamento de impressoras da mquina.


Windows for Workgroups
----------------------

No utilize o endereo final de broadcasting como "0", pois o Windows for 
Workgroups no conseguir fazer a resoluo de nomes NetBIOS. Caso seja 
realmente necessrio, voc dever evitar o uso de broadcasting e instalar 
um servidor WINS na rede e o endereo deste servidor WINS no arquivo 
<file>lmhosts</file>, contornando este problema.


Browsing na rede
--------------------------

Esta funo  controlada pelo nmbd que fica ativo o tempo todo para disponibilizar os recursos da maquina na rede, participar de eleies NetBIOS (veja ******), fazer logon
de mquinas, etc.

A funo de brosing na rede  feita utilizando o compartilhamento IPC$. Este 
compartilhamento possui acesso pblico somente leitura e utiliza o usurio 
"guest" antes de disponibilizar seus recursos. Como deve ter percebido,  necessrio 
especificar uma ID de usurio que ser usada para usurio guest, ou a navegao de 
recursos no sistema (ou na rede, dependendo da configurao do SAMBA) no funcionar.

OBS: A funo de browsing poder no funcionar corretamente caso a mquina no consiga
resolver nomes NetBIOS para endereos IP.



O compartilhamento que lista os recursos disponveis na mquina  o IPC$


Sinais de KILL
--------------

A maneira correta de finalizar um servidor nmbd  usando o sinal 15 (TERM) pois 
fecha corretamente o banco de dados de nomes usado pelo nmbd para resoluo.
Use o sinal 9 (KILL) somente em ltimo caso. O mesmo no  necessrio com o smbd pois
ele faz a leitura do arquivo de configurao /etc/samba/smb.conf sempre que  
iniciado e para finalizar um processo smbd, basta fechar a conexo com o servidor SAMBA.
