La clave de las ventajas de la seguridad de un dominio Microsoft
En una palabra, login único (Single Sign On, SSO para abreviar). Esta es la Piedra Filosofal de MS Windows NT y más allá de las redes. SSO permite a los usuarios de una red bien diseñada conectarse a cualquier estación miembro del dominio con una cuenta de usuario esté en ese dominio (o un dominio que tenga las relaciones de confianza apropiadas con el domino que se está visitando) y podrá acceder a la red y a los recursos (ficheros e impresoras) como si estuvieran en su propia estación. Esta es una característica de los protocolos de seguridad del dominio.
Las ventajas de la seguridad el dominio están disponibles en aquellos sitios que utilizan un PDC Samba. Un dominio proporciona un identificador de seguridad de red (SID) único. Los usuarios del dominio y los identificadores de seguridad de grupo comprenden los SID más un identificador relativo (RID) que es único para la cuenta. Los SID de usuario y grupo (el SID más el RID) se pueden usar para crear ACL (Access Control Lists, Listas de control de acceso) enlazadas a los recursos de red para permitir un control de acceso corporativo. Los sistemas UNIX reconocen sólo los identificadores de seguridad locales.
Los clientes de red de un entorno de seguridad de un dominio MS Windows tienen que ser miembros de dominio para para tener acceso a las caracteríticas avanzadas. La pertenencia al dominio es algo más que poner el nombre de grupo de trabajo como nombre de dominio. Requiere la creación de una cuenta de confianza de Dominio para la estaación de trabajo (llamada cuenta de máquina). Vea Pertenencia al dominio para más información.
Las siguientes funcionalidades son nuevas en la nueva Samba-3:
Dominios de confianza Windows NT4.
Añadir usuarios para dominios mediante User Manager. Esto se puede hacer sobre cualquier cliente MS Windows usando las heramientas Nexus.exe para Windows 9x/Me, o usando el paquete SRVTOOLS.EXE para plataformas MS Windows NT4/200x/XP. Estos paquetes están disponibles en la web de Microsoft.
Introduce varios sistemas (backend) de validación de usuarios reemplazables. En el caso de utilizar una base de datos LDAP, Samba-3 tiene las ventajas de un sistema que puede ser distribuido, replicado y altamente escalable.
Admite soporte completo para Unicode. Esto simplifica el soporte de internacionalización cruzado. También abre el uso de protocolos que Samba-2.2.x tenía pero o podí ausar debido a la necesidad de un soporte completo para Unicode.
Réplicas de SAM con controladores de dominio Windows NT4 (i.e., un PDC Samba PDC y un BDC Windows NT BDC o viceversa). Esto significa que Samba no puede operar como un BDC cuando el PDC está basado en Microsoft o replicar cuentas en BDC Windows.
Actuar como un controlador de dominio Windows 2000 (i.e., Kerberos y Active Directory). De hecho Samba-3 tiene algunas de las funcionalidades de Active Directory de forma experimental que se modificarán cuando el soporte sea completo en Samba-3. Sin embargo Active Directory es más que sólo SMB, es también LDAP, Kerberos, DHCP, y otros protocolos (con extensiones proietarias, por supuesto).
La consola de MMC de Windows 200x/XP MMC (Computer Management) no se puede usar para gestionar un servidor Samba-3. Por esto sólo puede usar la gestión del servidor de dominio y la gestión de usuarios de MS Windows. Ambos forman parte del paquete SVRTOOLS.EXE menciando anteriormente.
Samba-3 implementa asociaciones entre grupos NT y Unix (esto es bastante complicado explicarlo en unas pocas líneas). Esto se discute ampliamente en Asociaciones de grupos MS Windows y UNIX.
Samba-3, como un PDC MS Windows NT4 o un Windows 200x Active Directory, necesita almacenar cuentas de unsario y de máquina de confianza en un sistema adecuado. Vea Cuentas de confianza de máquina MS Windows Workstation/Server. Con Samba-3 puede haver multiples sistemas para hacer esto. Una discusión completa de sistemas de bases de datos de cuentas se puede encontrar en Bases de datos de información de cuentas.