Ten plik jest częścią pakietu Samba.
smbpasswd jest plikiem z zakodowanymi hasłami Samba. Zawiera nazwę użytkownika, id użytkownika Unix'owego i zakodowane hasła SMB użytkownika jak również flagi informacyjne konta i czas ostatniej zmiany hasła. Format tego pliku ewoluował razem z Sambą i miał kilka innych postaci w przeszłości.
Format pliku smbpasswd używanego przez Samba 2.2 jest bardzo odobny do znanego Unix'owego pliku passwd(5). Jest to plik ASCII zawierający jedną linię dla każdego użytkownika. Każdy wpis rozpoczynający się od # jest ignorowany. Plik smbpasswd zawiera następujące informacje o każdym użytkowniku.
Jest to nazwa użytkownika. Musi to być nazwa która już istnieje w standardowym UNIX'owym pliku passwd.
To jest UNIX'owy identyfikator użytkownika (uid). Musi pasowaź do pola uid takiego samego użytkownika w standardowym UNIX'owym pliku passwd. Jeśli nie będzie pasował, wówczas Samba odmówi rozpoznania tego wpisu w pliku smbpasswd jako poprawnego dla użytkownika.
To jest hash LANMAN hasła użytkownika, zakodowany jako 32 cyfry szesnastkowe. Hash LANMAN jest tworzony poprzez kodowanie DES znanego łańcucha przy pomocy hasła użytkownika jako klucza DES. To jest to samo hasło, których używają maszyny Windows 95/98. Zważ, że ten hash hasła jest uważany za słaby i nieodporny na ataki "słownikowe" (dictionary attacks), a jeśli dwóch użytkowników wybierze to samo hasło, ten wpis będzie identyczny (tzn. hasło nie jest "posolone" ("salted") tak jak hasło UNIX). Jeśli użytkownik ma puste hasło, to pole będzie zawierać znaki "NO PASSWORD" jako początek łańcucha heksadecymalnego. Jeśli łańcuch ten jest równy 32 znakom 'X' wówczas konto użytkownika jest zaznaczone jako wyłączone i użytkownik nie będzie mógł zalogować się do serwera Samba.
UWAGA !! Zauważ, że ponieważ protokół autentykacyjny SMB/CIFS ma naturę wyzwania-odpowiedzi (challenge -response), każdy ze znajomością hash'a tego hasła będzie w stanie naśladować użytkownika w sieci. Z tego powodu, hashe te są znane jako "równoważnik czystego tekstu" i NIE MOGĄ być dostępne dla nikogo, oprócz użytkownika root. Aby chronić te hasła, plik smbpasswd jest umieszczony w katalogu z dostępem do odczytu i wejścia tylko dla użytkownika root, a sam plik smbpasswd musi być ustawiony do odczytu/zapisu tylko przez root'a, bez żadnego innego dostępu.
To jest hash Windows NT hasła użytkownika, zakodowany jako 32 cyfry szesnastkowe. Hash Windows NT jest tworzony przez potraktowanie hasła użytkownika jako reprezentowanego w 16 bitowym UNIKODZIE little-endian i potem przetworzenie go algorytmem MD4 (internet rfc1321).
Ten hash hasła jest uważany za bardziej bezpieczny niż Hash Hasła Lanman, jako że zachowuje on duże/małe litery w haśle i używa algorytmu hashującego dużo wyższej jakości. Tym niemniej, nadal jest to przypadek w którym, gdy dwóch użytkowników będzie miało to samo hasło, ten wpis będzie taki sam (tj. hasło nie jest "solone" ("salted") tak, jak hasło UNIX).
UWAGA !! Zauważ, że ponieważ protokół autentykacyjny SMB/CIFS ma naturę wyzwania-odpowiedzi (challenge-response), każdy ze znajomością hash'a tego hasła będzie w stanie naśladować użytkownika w sieci. Z tego powodu, te hashe są znane jako "równoważnik czystego tekstu" i NIE MOGĄ być dostępne dla nikogo, oprócz użytkownika root. Aby chronić te hasła, plik smbpasswd jest umieszczony w katalogu z dostępem do odczytu i wejścia tylko dla użytkownika root, a sam plik smbpasswd musi być ustawiony do odczytu/zapisu tylko przez root'a, bez żadnego innego dostępu.
Ta sekcja zawiera flagi, które opisują atrybuty konta użytkownika. W wydaniu Samba 2.2 to pole jest objęte znakami nawiasów '[' oraz ']' i ma zawsze długość 13 znaków (włącznie ze znakami '[' i ']'). Zawartość pola mogą stanowić znaki.
U - Oznacza to, że to jest konto "Użytkownika", tzn. zwykłego użytkownika. Tylko konta Użytkownik i Zaufana stacja robocza (Workstation Trust) są obecnie wspierane w pliku smbpasswd .
N - To oznacza, że konto nie ma hała (hasła w polach Hash Hasła Lanman i Hash Hasła NT są ignorowane). Zauważ, że to pozwoli użytkownikom logować się bez hasła jeśli parametr null passwords w pliku smb.conf(5) jest ustawiony.
D - To oznacza, że konto jest wyłączone i żadne logowania SMB/CIFS nie będą dozwolone.
W - To oznacza, że to konto jest kontem "Zaufanej stacji roboczej" ("Workstation Trust"). Ten rodzaj konta jest używany w kodzie Samba PDC, żeby pozwolić stacjom Windows NT Workstation i Server na podłączenie się do Domeny zarządzanej przez Samba PDC.
Inne flagi mogą być dodane, ponieważ kod będzie rozszerzany w przyszłości. Reszta tego pola jest wypełniona spacjami.
To pole zawiera czas ostatniej modyfikacji konta. Składa się ze znaków 'LCT-' (jako skrót dla "Last Change Time") po których następuje numerycznie zakodowany czas dokonania ostatniej zmiany, jako czas UNIX w sekundach od początku "epoki" (1970).
Wszystkie inne pola oddzielane dwukropkiem są ignorowane w tej chwili.
Pierwotnie, Samba i związane z nią oprogramowanie były stworzone przez Andrew Tridgella. Samba jest teraz rozwijana przez Zespół Samba jako projekt Open Source podobnie jak jądro Linux.
Pierwotnie, strony podręcznika Samba zostały napisane przez Karla Auera. Kody źrodłowe tych stron zostały przekonwertowane do formatu YODL (kolejny świetny kawałek oprogramowania Open Source dostępny na ftp://ftp.icce.rug.nl/pub/unix/) i zaktualizowane do wydania 2.0 samby przez Jeremy Allisona. Konwersja do DocBook została wykonana przez Geralda Cartera. Tłumaczenie na język polski i konwersję polskiej wersji do DocBook wykonał Rafał Szcześniak.