1.12. Configuration d'un partage pour autoriser l'accès sans authentification
Dans certaines situations, vous souhaitez partager un répertoire auquel les utilisateurs peuvent se connecter sans authentification. Pour configurer cela, activez l'accès invité sur un partage.
Les partages qui ne nécessitent pas d'authentification peuvent présenter un risque pour la sécurité.
1.12.1. Autoriser l'accès des invités à un partage
Si l'accès invité est activé sur un partage, Samba fait correspondre les connexions invitées au compte du système d'exploitation défini dans le paramètre guest account
. Les utilisateurs invités peuvent accéder aux fichiers de ce partage si au moins l'une des conditions suivantes est remplie :
- Le compte est répertorié dans les listes de contrôle d'accès au système de fichiers
-
Les permissions POSIX pour les utilisateurs de
other
l'autorisent
Exemple 1.6. Autorisations de partage pour les invités
Si vous avez configuré Samba pour que le compte invité soit mappé sur nobody
, ce qui est le cas par défaut, les ACL de l'exemple suivant :
-
Autoriser les utilisateurs invités à lire
file1.txt
-
Autoriser les utilisateurs invités à lire et à modifier
file2.txt
-
Empêcher les utilisateurs invités de lire ou de modifier
file3.txt
-rw-r--r--. 1 root root 1024 1. Sep 10:00 file1.txt -rw-r-----. 1 nobody root 1024 1. Sep 10:00 file2.txt -rw-r-----. 1 root root 1024 1. Sep 10:00 file3.txt
Procédure
Modifiez le fichier
/etc/samba/smb.conf
:S'il s'agit du premier partage d'invités que vous configurez sur ce serveur :
Définir
map to guest = Bad User
dans la section[global]
:[global] ... map to guest = Bad User
Avec ce paramètre, Samba rejette les tentatives de connexion qui utilisent un mot de passe incorrect, sauf si le nom d'utilisateur n'existe pas. Si le nom d'utilisateur spécifié n'existe pas et que l'accès invité est activé sur un partage, Samba traite la connexion comme une connexion invité.
Par défaut, Samba associe le compte invité au compte
nobody
sur Red Hat Enterprise Linux. Vous pouvez également définir un compte différent. Par exemple :[global] ... guest account = user_name
Le compte défini dans ce paramètre doit exister localement sur le serveur Samba. Pour des raisons de sécurité, Red Hat recommande d'utiliser un compte auquel aucun shell valide n'a été attribué.
Ajoutez le paramètre
guest ok = yes
à la section de partage[example]
:[example] ... guest ok = yes
Vérifiez le fichier
/etc/samba/smb.conf
:# testparm
Recharger la configuration de Samba :
# smbcontrol all reload-config