other languages
other sections
| SMBPASSWD(5) | SMBPASSWD(5) |
NAME¶
smbpasswd - Samba加密的口令檔案。總覽 SYNOPSIS¶
smbpasswd描述 DESCRIPTION¶
此檔案是 Samba(7) 套件的一部分。 smbpasswd是Samba加密的口令檔案。檔案中包含了使用者名,UNIX使用者ID和SMB使用者口 令(經過hash散列算法處理過),還有賬號標誌信息及上次更改口令時間。samba已經 改進了檔案格式並和以前的格式有些不同之處。檔案格式 FILE FORMAT¶
Samba 2.2使用的smbpasswd檔案格式和UNIX的 passwd(5)檔案非常類似。它是個ASCII檔案,其中每行內容對應一個使用者。每個字段用冒號分隔。任何以#號開始的行將被忽略。對於每個使用者在smbpasswd檔案中都包含以下的信息:- name
- 使用者名,必須是標準UNIX口令檔案中已經存在的使用者名。
- uid
- UNIX的使用者標識。必須匹配標準UNIX口令檔案中相應使用者的UID字段。如果不匹配Samba會拒絕確認使用者的整個描述項合法。
- Lanman Password Hash
- 此處是使用者口令的32位十六進制編碼的LANMAN散列表。LANMAN散列表是用DES加密過 的使用者口令字串。這也是Windows 95/98使用的口令。注意這份口令編碼表在字典攻 擊法下非常脆弱,並且如果兩個使用者使用了相同的口令的話,這個口令散列表將會 相同(也就是這個口令沒有像UNIX口令那樣“加工”過)。如果使用者使用了空口 令,這個部分起始將是“NO PASSWORD”的十六進制字串。而如果這些十六進制 字串是32個“X”的話,那麼這個使用者賬號就被 禁止了,使用者就不能登入 到samba伺服器上了。 警告!!注意到由於SMB/CIFS驗証協議的“請求-響應”特性,任何了解 口令散列表信息的人都可以偽裝成網路中的其他使用者。因此,這些口令散列表信息 都相當於只是“明文”一樣( plain text equivalents). root以外的任 何使用者都不應該獲得這些數據. 為了保護這些口令,smbpasswd檔案被存放到只有 root使用者可以讀取和訪問的目錄中,而smbpasswd檔案本身也必須設成只有root使用者 可以讀/寫,而其它人無法訪問。
- NT Password Hash
- 指定Windows NT的使用者口令散列表,也是32位的十六進制編碼。NT的散列表用16位 的使用者口令,little-endian UNICODE編碼建立,然後用MD4算法(網際網路草案 rfc1321)產生對應的散列表。 這種口令散列表比Lanman Password Hash更安全,因為它用更高質量的散列算法來 維護口令和使用者信息。但是它仍然存在當兩個使用者使用相同口令時口令項相同的問 題(沒有像UNIX口令那樣“加工”過)。 警告!!注意到由於SMB/CIFS驗証協議的“請求-響應”特性,任何了解 口令散列表信息的人都可以偽裝成網路中的其他使用者。因此,這些口令散列表信息 都相當於只是“明文”一樣( plain text equivalents). root以外的任 何使用者都不應該獲得這些數據. 為了保護這些口令,smbpasswd檔案被存放到只有 root使用者可以讀取和訪問的目錄中,而smbpasswd檔案本身也必須設成只有root使用者 可以讀/寫,而其它人無法訪問。
- Account Flags
- 賬號標誌部分描述了使用者賬號的屬性。在Samba 2.2中這個字段是用`['和`]'字符封 閉的。它的長度總是13個字符(包含`['和`]'字符), 內容可以是如下的任何字符。 U - 說明這是一個“使用者” 賬號,也就是原始使用者。在smbpasswd檔案中只支持使用者和工作站信任賬號。 N - 說明這個賬號沒有口令(Lanman Password Hash和NT Password Hash字段會被忽略)。注意只有在 smb.conf(5)配置檔案中設定了 null passwords,才允許使用者不帶口令進行登入。 D - 說明此賬號被禁止了,此使用者無法登入SMB/CIFS。 W - 說明此賬號是個 “工作站信任” 賬號。這類賬號被用在把samba作為PDC時, NT工作站和伺服器加入到域中的時候。 其它標誌作為將來功能擴展所用。這個標誌字段餘下的空間用空格填充。
- Last Change Time
- 這個字段由賬號最後修改的時間組成。它以字符LCT(含義是“Last Change Time”)後跟UNIX以秒計的時間編碼數字(從epoch(公元1970年)開始計算)。