3.12. Configurar un recurso compartido para permitir el acceso sin autenticación
En determinadas situaciones, se desea compartir un directorio al que los usuarios puedan conectarse sin autenticación. Para configurarlo, active el acceso de invitados en un recurso compartido.
Las acciones que no requieren autenticación pueden ser un riesgo para la seguridad.
3.12.1. Habilitar el acceso de invitados a un recurso compartido
Si se habilita el acceso de invitados en un recurso compartido, Samba asigna las conexiones de invitados a la cuenta del sistema operativo establecida en el parámetro guest account
. Los usuarios invitados pueden acceder a los archivos de este recurso compartido si se cumple al menos una de las siguientes condiciones:
- La cuenta aparece en las ACL del sistema de archivos
-
Los permisos POSIX para los usuarios de
other
permiten
Ejemplo 3.6. Permisos de uso compartido para invitados
Si ha configurado Samba para asignar la cuenta de invitado a nobody
, que es el valor predeterminado, las ACL del siguiente ejemplo:
-
Permitir que los usuarios invitados lean
file1.txt
-
Permitir a los usuarios invitados leer y modificar
file2.txt
-
Impedir que los usuarios invitados lean o modifiquen
file3.txt
-rw-r--r--. 1 root root 1024 1. Sep 10:00 file1.txt -rw-r-----. 1 nobody root 1024 1. Sep 10:00 file2.txt -rw-r-----. 1 root root 1024 1. Sep 10:00 file3.txt
Procedimiento
Edite el archivo
/etc/samba/smb.conf
:Si este es el primer recurso compartido para invitados que configuras en este servidor:
Establezca
map to guest = Bad User
en la sección[global]
:[global] ... map to guest = Bad User
Con esta configuración, Samba rechaza los intentos de inicio de sesión que utilizan una contraseña incorrecta a menos que el nombre de usuario no exista. Si el nombre de usuario especificado no existe y el acceso de invitados está habilitado en un recurso compartido, Samba trata la conexión como un inicio de sesión de invitado.
Por defecto, Samba asigna la cuenta de invitado a la cuenta
nobody
en Red Hat Enterprise Linux. Alternativamente, puede establecer una cuenta diferente. Por ejemplo:[global] ... guest account = user_name
La cuenta establecida en este parámetro debe existir localmente en el servidor Samba. Por razones de seguridad, Red Hat recomienda utilizar una cuenta que no tenga asignada una shell válida.
Añade la configuración de
guest ok = yes
a la sección de acciones de[example]
:[example] ... guest ok = yes
Verifique el archivo
/etc/samba/smb.conf
:# testparm
Recarga la configuración de Samba:
#
smbcontrol all reload-config