12 marzo 2011

Autenticazione SMB


L'identificazione tra due PC windows in rete avviene nel seguente modo:


Supponiamo di avere due pc in uso: PC1 e PC2.

Quando da PC1 si vuole accedere ad una risorsa condivisa su PC2, Windows cerca l'autenticazione col PC2.
Per avere l'autenticazione automatica, i due pc devono avere stesso user e stessa password (anche se su entrambi
i pc non c'è password, risulta la stessa password, ovvero BLANK).

Esempio 1:


------------------------------------------


PC1 (Gruppo di lavoro: Workgroup, Utente: Pippo, Password: Pluto)

-----Autenticazione con-----
PC2 (Gruppo di lavoro: Workgroup, Utente: Pippo, Password: Pluto)

In questo caso l'autenticazione tra i due pc verrà effettuata automaticamente


NB: Il pc di destinazione può anche essere loggato nella sessione locale di windows con un altro utente diverso da Pippo, l'importante è che l'utente in questione

sia presente nel database degli utenti (sam) e l'autenticazione non sia già stata eseguita dato che le credenziali in questo caso corrispondono.

------------------------------------------


Esempio 2:


------------------------------------------


PC1 (Gruppo di lavoro: Workgroup, Utente: Pippo, Password: Pluto)

-----Autenticazione con-----
PC2 (Gruppo di lavoro: Workgroup, Utente: Paperino, Password: Pluto)

In questo caso l'autenticazione tra i due pc non verrà effettuata poichè una credenziale (in questo caso gli Utenti)

non sono uguali tra i due pc.

------------------------------------------


Nell'esempio n. 2 al momento in cui si cerca di accedere a PC2 o viceversa, verranno chiesti User e Password con i quali

identificarsi.

Dovremo inserire un utente che è presente nell'elenco degli utenti (Sam) del pc di destinazione.


Esempio:


------------------------------------------


Se dal PC1 viene effettuato il login al PC2 con user: Guest (ammesso che questo user sia presente

nel (sam) degli utenti del PC2) si sarà loggati come Guest. E si potrà accedere solo alle directory condivise con permessi di share Guest
ed Everyone.

NB: Nei permessi NTFS Bisogna inserire Everyone.

Everyone non comprende tutti gli utenti, ma solo tutti gli utenti del pc in questione.

------------------------------------------


Per loggarsi con un utente che si vuole anche se i pc presentano le stesse credenziali, si può creare un profilo passport

che sovrasterà l'identificazione automatica.
Si può aggiungere un profilo passport facendo: Esegui: control userpasswords2 , Avanzate , Gestione password
e aggiungere a: Server: Nome del pc di destinazione: (PC2 nel caso si vuole accedere dal PC1), Nome Utente: Il nome del pc e l'utente: (esempio: PC2\Pippo)
e password può essere lasciato vuoto, in modo tale che la password venga chiesta al momento dell'autenticazione.

Nell'utilizzo degli account con password vuote "BLANK" per il login bisogna disabilitare la Policy Account: gpedit.msc , Configurazione computer , Impostazioni di Windows ,

Impostazioni protezione , Criteri locali , Opzioni di protezione , Account: limitare l'uso locale di account con password vuote all'accesso alla console.
Riavviare il computer


------------------------------------------------------------------------------------

In Windows Vista e successivi, è stata attivata una funzionalità di protezione che a seguito di una connessione ad una rete, chiede se tale rete è una:


  • Rete domestica
  • Rete aziendale
  • Rete pubblica

La Rete domestica consente al device di essere visibile agli altri componenti della rete ed abilita il "Gruppo Home" ossia una funzionalità che permette la condivisione delle directory predefinite (Immagini, Musica, Video, Stampanti) più altre directory che è possibile condividere attraverso: tasto destro, Condividi con, Gruppo home.
Se un dispositivo della rete locale ha la funzionalità attiva, sugli altri dispositivi, verrà rilevato il gruppo home, quindi basterà andare in: (Pannello di controllo, Gruppo Home, Partecipa) e quindi verrà richiesta una password disponibile sul computer. La password da inserire bisogna leggerla sempre in Gruppo Home da Pannello di controllo del dispositivo su cui vi è il gruppo home creato.
Le directory predefinite saranno disponibili nella sezione Gruppo home che troviamo sulla colonna a sinistra del browser dei file,
invece i file e cartelle che condividiamo con i permessi Gruppo home saranno disponibili nella sezione Rete.

La Rete aziendale consente al device di essere visibile agli altri componenti della rete ma disabilità il "Gruppo Home", è preferibile rispetto alla prima.

La Rete pubblica attraverso il firewall impedisce al dispositivo di essere raggiungibile agli altri componenti della rete.

a tal proposito bisogna appunto sottolineare che ci sono 2 profili di Windows Firewall differenti: il primo comune a Rete domestica e Rete aziendale, il secondo per la Rete pubblica;
infatti quando avviamo un software che necessita dell'apertura di una porta in ascolto sul firewall, ci verrà chiesto, attraverso una finestra di notifica, su quali dei due firewall (uno dei due o entrambi) vogliamo consentire l'apertura della porta.


Per impostare i permessi alle directory, è consigliato utilizzare: tasto destro, Proprietà, Condivisione, Condivisione avanzata...
evitare l'opzione "Condividi..." in quanto utilizzerà il percorso completo partendo dalla directory radice.