docs/textdocs/UNIX-SMB.txt

   1 Contributor:    Andrew Tridgell <samba-bugs@samba.anu.edu.au>
   2 Date:           April 1995
   3
   4 Subject:        Discussion of NetBIOS in a Unix World
   5 ============================================================================
   6
   7 This is a short document that describes some of the issues that
   8 confront a SMB implementation on unix, and how Samba copes with
   9 them. They may help people who are looking at unix<->PC
  10 interoperability.
  11
  12 It was written to help out a person who was writing a paper on unix to
  13 PC connectivity.
  14
  15
  16 Usernames
  17 =========
  18
  19 The SMB protocol has only a loose username concept. Early SMB
  20 protocols (such as CORE and COREPLUS) have no username concept at
  21 all. Even in later protocols clients often attempt operations
  22 (particularly printer operations) without first validating a username
  23 on the server.
  24
  25 Unix security is based around username/password pairs. A unix box
  26 should not allow clients to do any substantive operation without some
  27 sort of validation.
  28
  29 The problem mostly manifests itself when the unix server is in "share
  30 level" security mode. This is the default mode as the alternative
  31 "user level" security mode usually forces a client to connect to the
  32 server as the same user for each connected share, which is
  33 inconvenient in many sites.
  34
  35 In "share level" security the client normally gives a username in the
  36 "session setup" protocol, but does not supply an accompanying
  37 password. The client then connects to resources using the "tree
  38 connect" protocol, and supplies a password. The problem is that the
  39 user on the PC types the username and the password in different
  40 contexts, unaware that they need to go together to give access to the
  41 server. The username is normally the one the user typed in when they
  42 "logged onto" the PC (this assumes Windows for Workgroups). The
  43 password is the one they chose when connecting to the disk or printer.
  44
  45 The user often chooses a totally different username for their login as
  46 for the drive connection. Often they also want to access different
  47 drives as different usernames. The unix server needs some way of
  48 divining the correct username to combine with each password.
  49
  50 Samba tries to avoid this problem using several methods. These succeed
  51 in the vast majority of cases. The methods include username maps, the
  52 service%user syntax, the saving of session setup usernames for later
  53 validation and the derivation of the username from the service name
  54 (either directly or via the user= option).
  55
  56 File Ownership
  57 ==============
  58
  59 The commonly used SMB protocols have no way of saying "you can't do
  60 that because you don't own the file". They have, in fact, no concept
  61 of file ownership at all.
  62
  63 This brings up all sorts of interesting problems. For example, when
  64 you copy a file to a unix drive, and the file is world writeable but
  65 owned by another user the file will transfer correctly but will
  66 receive the wrong date. This is because the utime() call under unix
  67 only succeeds for the owner of the file, or root, even if the file is
  68 world writeable. For security reasons Samba does all file operations
  69 as the validated user, not root, so the utime() fails. This can stuff
  70 up shared development diectories as programs like "make" will not get
  71 file time comparisons right.
  72
  73 There are several possible solutions to this problem, including
  74 username mapping, and forcing a specific username for particular
  75 shares.
  76
  77 Passwords
  78 =========
  79
  80 Many SMB clients uppercase passwords before sending them. I have no
  81 idea why they do this. Interestingly WfWg uppercases the password only
  82 if the server is running a protocol greater than COREPLUS, so
  83 obviously it isn't just the data entry routines that are to blame.
  84
  85 Unix passwords are case sensitive. So if users use mixed case
  86 passwords they are in trouble.
  87
  88 Samba can try to cope with this by either using the "password level"
  89 option which causes Samba to try the offered password with up to the
  90 specified number of case changes, or by using the "password server"
  91 option which allows Samba to do it's validation via another machine
  92 (typically a WinNT server).
  93
  94 Samba supports the password encryption method used by SMB
  95 clients. Note that the use of password encryption in Microsoft
  96 networking leads to password hashes that are "plain text equivalent".
  97 This means that it is *VERY* important to ensure that the Samba
  98 smbpasswd file containing these password hashes is only readable
  99 by the root user. See the documentation ENCRYPTION.txt for more
 100 details.
 101
 102
 103 Locking
 104 =======
 105
 106 The locking calls available under a DOS/Windows environment are much
 107 richer than those available in unix. This means a unix server (like
 108 Samba) choosing to use the standard fcntl() based unix locking calls
 109 to implement SMB locking has to improvise a bit.
 110
 111 One major problem is that dos locks can be in a 32 bit (unsigned)
 112 range. Unix locking calls are 32 bits, but are signed, giving only a 31
 113 bit range. Unfortunately OLE2 clients use the top bit to select a
 114 locking range used for OLE semaphores.
 115
 116 To work around this problem Samba compresses the 32 bit range into 31
 117 bits by appropriate bit shifting. This seems to work but is not
 118 ideal. In a future version a separate SMB lockd may be added to cope
 119 with the problem.
 120
 121 It also doesn't help that many unix lockd daemons are very buggy and
 122 crash at the slightest provocation. They normally go mostly unused in
 123 a unix environment because few unix programs use byte range
 124 locking. The stress of huge numbers of lock requests from dos/windows
 125 clients can kill the daemon on some systems.
 126
 127 The second major problem is the "opportunistic locking" requested by
 128 some clients. If a client requests opportunistic locking then it is
 129 asking the server to notify it if anyone else tries to do something on
 130 the same file, at which time the client will say if it is willing to
 131 give up it's lock. Unix has no simple way of implementing
 132 opportunistic locking, and currently Samba has no support for it.
 133
 134 Deny Modes
 135 ==========
 136
 137 When a SMB client opens a file it asks for a particular "deny mode" to
 138 be placed on the file. These modes (DENY_NONE, DENY_READ, DENY_WRITE,
 139 DENY_ALL, DENY_FCB and DENY_DOS) specify what actions should be
 140 allowed by anyone else who tries to use the file at the same time. If
 141 DENY_READ is placed on the file, for example, then any attempt to open
 142 the file for reading should fail.
 143
 144 Unix has no equivalent notion. To implement this Samba uses either lock
 145 files based on the files inode and placed in a separate lock
 146 directory or a shared memory implementation. The lock file method
 147 is clumsy and consumes processing and file resources,
 148 the shared memory implementation is vastly prefered and is turned on
 149 by default for those systems that support it.
 150
 151 Trapdoor UIDs
 152 =============
 153
 154 A SMB session can run with several uids on the one socket. This
 155 happens when a user connects to two shares with different
 156 usernames. To cope with this the unix server needs to switch uids
 157 within the one process. On some unixes (such as SCO) this is not
 158 possible. This means that on those unixes the client is restricted to
 159 a single uid.
 160
 161 Note that you can also get the "trapdoor uid" message for other
 162 reasons. Please see the FAQ for details.
 163
 164 Port numbers
 165 ============
 166
 167 There is a convention that clients on sockets use high "unprivilaged"
 168 port numbers (>1000) and connect to servers on low "privilaged" port
 169 numbers. This is enforced in Unix as non-root users can't open a
 170 socket for listening on port numbers less than 1000.
 171
 172 Most PC based SMB clients (such as WfWg and WinNT) don't follow this
 173 convention completely. The main culprit is the netbios nameserving on
 174 udp port 137. Name query requests come from a source port of 137. This
 175 is a problem when you combine it with the common firewalling technique
 176 of not allowing incoming packets on low port numbers. This means that
 177 these clients can't query a netbios nameserver on the other side of a
 178 low port based firewall.
 179
 180 The problem is more severe with netbios node status queries. I've
 181 found that WfWg, Win95 and WinNT3.5 all respond to netbios node status
 182 queries on port 137 no matter what the source port was in the
 183 request. This works between machines that are both using port 137, but
 184 it means it's not possible for a unix user to do a node status request
 185 to any of these OSes unless they are running as root. The answer comes
 186 back, but it goes to port 137 which the unix user can't listen
 187 on. Interestingly WinNT3.1 got this right - it sends node status
 188 responses back to the source port in the request.
 189
 190
 191 Protocol Complexity
 192 ===================
 193
 194 There are many "protocol levels" in the SMB protocol. It seems that
 195 each time new functionality was added to a Microsoft operating system,
 196 they added the equivalent functions in a new protocol level of the SMB
 197 protocol to "externalise" the new capabilities.
 198
 199 This means the protocol is very "rich", offering many ways of doing
 200 each file operation. This means SMB servers need to be complex and
 201 large. It also means it is very difficult to make them bug free. It is
 202 not just Samba that suffers from this problem, other servers such as
 203 WinNT don't support every variation of every call and it has almost
 204 certainly been a headache for MS developers to support the myriad of
 205 SMB calls that are available.
 206
 207 There are about 65 "top level" operations in the SMB protocol (things
 208 like SMBread and SMBwrite). Some of these include hundreds of
 209 sub-functions (SMBtrans has at least 120 sub-functions, like
 210 DosPrintQAdd and NetSessionEnum). All of them take several options
 211 that can change the way they work. Many take dozens of possible
 212 "information levels" that change the structures that need to be
 213 returned. Samba supports all but 2 of the "top level" functions. It
 214 supports only 8 (so far) of the SMBtrans sub-functions. Even NT
 215 doesn't support them all.
 216
 217 Samba currently supports up to the "NT LM 0.12" protocol, which is the
 218 one preferred by Win95 and WinNT3.5. Luckily this protocol level has a
 219 "capabilities" field which specifies which super-duper new-fangled
 220 options the server suports. This helps to make the implementation of
 221 this protocol level much easier.
 222
 223 There is also a problem with the SMB specications. SMB is a X/Open
 224 spec, but the X/Open book is far from ideal, and fails to cover many
 225 important issues, leaving much to the imagination. Microsoft recently
 226 renamed the SMB protocol CIFS (Common Internet File System) and have
 227 published new specifications. These are far superior to the old
 228 X/Open documents but there are still undocumented calls and features.
 229 This specification is actively being worked on by a CIFS developers
 230 mailing list hosted by Microsft.
 231