每当我查找“经过身份验证的用户”的权限描述时,我都会得到类似“任何已登录的用户”的内容。
非域 Windows 用户访问已设置本地用户名的 Samba 文件服务器时,将具有使用两个不同的身份验证令牌/凭证- 他们用于 Windows 的登录信息以及他们在 Windows 的“凭据管理器”中为 Samba 共享添加或保存的登录信息。
以管理员身份运行某些程序的用户可能会同时使用两个以上的程序 - 他们自己的程序、管理员帐户(在 Windows 中带有/不带有链接令牌)和 Samba。
那么,当文件共享/共享文件夹设置了权限时,究竟要检查哪一个:“已验证用户:[某物]”?
它是在测试 Windows 或文件服务器的有效登录吗?
或者,哪些凭证被测试为通过/失败 - 他们的 Windows 凭证(由 Windows 评估)还是他们的 Samba 凭证(由 Samba 评估)?
从安全角度来看,如果我设置“已认证用户 = 完整”,我是否将权限授予可以访问 Windows 客户端的任何人,或者授予在 Samba 中定义了共享访问权限的有效帐户的任何人?
这似乎有些模棱两可,我无法就这一点找到明确的答案。
答案1
在非域环境中,身份验证始终指本地计算机。因此,“经过身份验证的用户”始终是从 Samba 服务的角度来看的。如果您尝试在没有用户名/密码的情况下访问共享,您将被视为访客(未经身份验证);如果您提供正确的用户名/密码,您将被视为经过身份验证的用户。
这与客户端的 Windows 身份验证无关。我无法说如果双方的用户名和密码相同会发生什么,但通常您必须在远程主机上再进行一次身份验证。特别是在缺少某些服务(如 Kerberos)的情况下,它可以在不将您的用户名/密码发送到远程端的情况下对您进行身份验证。