docs/textdocs/security_level.txt

   1 !==
   2 !== security_level.txt for Samba release 2.0.4 18 May 1999
   3 !==
   4 Contributor:    Andrew Tridgell
   5 Updated:        June 27, 1997
   6 Status:         Current
   7
   8 Subject:        Description of SMB security levels.
   9 ===========================================================================
  10
  11 Samba supports the following options to the global smb.conf parameter
  12 "security =":
  13         share, user, server
  14
  15 Note: Samba-2.0.0 now adds the "domain" security mode. Please refer to
  16 the smb.conf man page for usage information and to the document
  17 docs/textdocs/DOMAIN_MEMBER.txt for further background details.
  18
  19 Of the above, "security = server" means that Samba reports to clients that
  20 it is running in "user mode" but actually passes off all authentication
  21 requests to another "user mode" server. This requires an additional
  22 parameter "password server =" that points to the real authentication server.
  23 That real authentication server can be another Samba server or can be a
  24 Windows NT server, the later natively capable of encrypted password support.
  25
  26 Below is a more complete description of security levels.
  27 ===========================================================================
  28
  29 A SMB server tells the client at startup what "security level" it is
  30 running. There are two options "share level" and "user level". Which
  31 of these two the client receives affects the way the client then tries
  32 to authenticate itself. It does not directly affect (to any great
  33 extent) the way the Samba server does security. I know this is
  34 strange, but it fits in with the client/server approach of SMB. In SMB
  35 everything is initiated and controlled by the client, and the server
  36 can only tell the client what is available and whether an action is
  37 allowed.
  38
  39 I'll describe user level security first, as its simpler. In user level
  40 security the client will send a "session setup" command directly after
  41 the protocol negotiation. This contains a username and password. The
  42 server can either accept or reject that username/password
  43 combination. Note that at this stage the server has no idea what
  44 share the client will eventually try to connect to, so it can't base
  45 the "accept/reject" on anything other than:
  46
  47 - the username/password
  48 - the machine that the client is coming from
  49
  50 If the server accepts the username/password then the client expects to
  51 be able to mount any share (using a "tree connection") without
  52 specifying a password. It expects that all access rights will be as
  53 the username/password specified in the "session setup".
  54
  55 It is also possible for a client to send multiple "session setup"
  56 requests. When the server responds it gives the client a "uid" to use
  57 as an authentication tag for that username/password. The client can
  58 maintain multiple authentication contexts in this way (WinDD is an
  59 example of an application that does this)
  60
  61
  62 Ok, now for share level security. In share level security the client
  63 authenticates itself separately for each share. It will send a
  64 password along with each "tree connection" (share mount). It does not
  65 explicitly send a username with this operation. The client is
  66 expecting a password to be associated with each share, independent of
  67 the user. This means that samba has to work out what username the
  68 client probably wants to use. It is never explicitly sent the
  69 username. Some commercial SMB servers such as NT actually associate
  70 passwords directly with shares in share level security, but samba
  71 always uses the unix authentication scheme where it is a
  72 username/password that is authenticated, not a "share/password".
  73
  74 Many clients send a "session setup" even if the server is in share
  75 level security. They normally send a valid username but no
  76 password. Samba records this username in a list of "possible
  77 usernames". When the client then does a "tree connection" it also adds
  78 to this list the name of the share they try to connect to (useful for
  79 home directories) and any users listed in the "user =" smb.conf
  80 line. The password is then checked in turn against these "possible
  81 usernames". If a match is found then the client is authenticated as
  82 that user.
  83
  84 Finally "server level" security. In server level security the samba
  85 server reports to the client that it is in user level security. The
  86 client then does a "session setup" as described earlier. The samba
  87 server takes the username/password that the client sends and attempts
  88 to login to the "password server" by sending exactly the same
  89 username/password that it got from the client. If that server is in
  90 user level security and accepts the password then samba accepts the
  91 clients connection. This allows the samba server to use another SMB
  92 server as the "password server".
  93
  94 You should also note that at the very start of all this, where the
  95 server tells the client what security level it is in, it also tells
  96 the client if it supports encryption. If it does then it supplies the
  97 client with a random "cryptkey". The client will then send all
  98 passwords in encrypted form. You have to compile samba with encryption
  99 enabled to support this feature, and you have to maintain a separate
 100 smbpasswd file with SMB style encrypted passwords. It is
 101 cryptographically impossible to translate from unix style encryption
 102 to SMB style encryption, although there are some fairly simple management
 103 schemes by which the two could be kept in sync.