Con frecuencia, por razones de seguridad, necesitarás restringir los usuarios que pueden acceder a un determinado recurso compartido. Esto es muy fácil de hacer con Samba, dado que contiene gran cantidad de opciones para crear prácticamente cualquier configuración de seguridad. Vamos a estudiar una serie de configuraciones que te pueden interesar para crear la tuya propia.
Como ya dijimos, si estás conectando con Windows 98 o Windows NT 4.0 con el Service Pack 3.0 (o superior), tienes que tener en cuenta que estos clientes enviarán contraseñas encriptadas al servidor Samba. Si Samba no está configurado para recibirlas, rechazará la conexión continuamente. Este capítulo describe como configurar Samba para utilizar contraseñas encriptadas. Ve a la sección de 'Contraseñas'.
Hemos visto que ocurre cuando especificas usuarios válidos. Sin embargo, también puedes establecer una lista de usuarios no válidos -usuarios a los que nunca les será permitido acceder a Samba o a sus recursos. Esto se hace con la opción invalid users. Anteriormente hemos apuntado a un uso frecuente que se le da a esta opción: Un valor por defecto relacionado con la sección [homes] para asegurar que determinados usuarios y superusuarios del sistema no pueden ser manipulados o alterados para conseguir acceso a éste. Por ejemplo:
[global] invalid users = root bin daemon adm sync shutdown \ halt mail news uucp operator gopher auto services = dave peter bob [homes] browsable = no writeable = yes
La opción invalid users, como la valid users, puede utilizar tanto nombres de grupo como nombres de usuario. En el caso de que un usuario o grupo apareciese en ambas listas, la opción invalid users tendría preferencia por lo que a ese usuario o grupo se le denegaría el acceso al recurso.
En el otro extremo, puedes especificar, de forma explícita, a que usuarios se les va a conceder acceso de superusuario (root) a un recurso, a través de la opción admin users. Por ejemplo:
[sales] path = /home/sales comment = Fiction Corp Sales Data writeable = yes valid users = tom dick harry admin users = mike
Esta opción admite también nombres de grupo y de usuario. Además puedes especificar grupos NIS precediéndolos con un símbolo @;si este grupo no se encuentra, Samba asumirá que te refieres a un grupo estándar de Unix.
Se cuidadoso al asignar a un grupo privilegios administrativos sobre un recurso. El equipo desarrollador de Samba recomienda encarecidamente evitar el uso de esta opción, porque en esencia lo que hace es dar derechos de superusuario sobre ese recurso a los usuarios o grupos especificados.
Si deseas forzar derechos de solo-lectura o solo-escritura a los usuarios que acceden a un recurso, puedes hacerlo con las opciones read list y write list, respectivamente. Estas opciones pueden ser usadas para restringir el acceso a un recurso que tenga derechos de escritura, o para dar derechos de escritura a determinados usuarios sobre un recurso creado como de solo-lectura, respectivamente. Por ejemplo:
[sales] path = /home/sales comment = Fiction Corp Sales Data read only = yes write list = tom dick
La opción write list no prevalece sobre los permisos de Unix. Es decir, si tú creaste el recurso sin dar a los usuarios de la lista write list permisos de escritura sobre el sistema Unix, les será denegado ese derecho independientemente del valor de la opción write list.