s3/torture: use stack buffer for rbtree loop
[Samba.git] / docs-xml / Samba-Developers-Guide / unix-smb.xml
blob6b0db27cda207d2323a3b2364bbb56f1663d880f
1 <?xml version="1.0" encoding="iso-8859-1"?>
2 <!DOCTYPE chapter PUBLIC "-//Samba-Team//DTD DocBook V4.2-Based Variant V1.0//EN" "http://www.samba.org/samba/DTD/samba-doc">
3 <chapter id="unix-smb">
4 <chapterinfo>
5         <author>
6                 <firstname>Andrew</firstname><surname>Tridgell</surname>
7         </author>
8         <pubdate>April 1995</pubdate>
9 </chapterinfo>
11 <title>NetBIOS in a Unix World</title>
13 <sect1>
14 <title>Introduction</title>
15 <para>
16 This is a short document that describes some of the issues that
17 confront a SMB implementation on unix, and how Samba copes with
18 them. They may help people who are looking at unix&lt;-&gt;PC
19 interoperability.
20 </para>
22 <para>
23 It was written to help out a person who was writing a paper on unix to
24 PC connectivity.
25 </para>
27 </sect1>
29 <sect1>
30 <title>Usernames</title>
31 <para>
32 The SMB protocol has only a loose username concept. Early SMB
33 protocols (such as CORE and COREPLUS) have no username concept at
34 all. Even in later protocols clients often attempt operations
35 (particularly printer operations) without first validating a username
36 on the server.
37 </para>
39 <para>
40 Unix security is based around username/password pairs. A unix box
41 should not allow clients to do any substantive operation without some
42 sort of validation.
43 </para>
45 <para>
46 The problem mostly manifests itself when the unix server is in "share
47 level" security mode. This is the default mode as the alternative
48 "user level" security mode usually forces a client to connect to the
49 server as the same user for each connected share, which is
50 inconvenient in many sites.
51 </para>
53 <para>
54 In "share level" security the client normally gives a username in the
55 "session setup" protocol, but does not supply an accompanying
56 password. The client then connects to resources using the "tree
57 connect" protocol, and supplies a password. The problem is that the
58 user on the PC types the username and the password in different
59 contexts, unaware that they need to go together to give access to the
60 server. The username is normally the one the user typed in when they
61 "logged onto" the PC (this assumes Windows for Workgroups). The
62 password is the one they chose when connecting to the disk or printer.
63 </para>
65 <para>
66 The user often chooses a totally different username for their login as
67 for the drive connection. Often they also want to access different
68 drives as different usernames. The unix server needs some way of
69 divining the correct username to combine with each password.
70 </para>
72 <para>
73 Samba tries to avoid this problem using several methods. These succeed
74 in the vast majority of cases. The methods include username maps, the
75 service%user syntax, the saving of session setup usernames for later
76 validation and the derivation of the username from the service name
77 (either directly or via the user= option).
78 </para>
80 </sect1>
82 <sect1>
83 <title>File Ownership</title>
85 <para>
86 The commonly used SMB protocols have no way of saying "you can't do
87 that because you don't own the file". They have, in fact, no concept
88 of file ownership at all.
89 </para>
91 <para>
92 This brings up all sorts of interesting problems. For example, when
93 you copy a file to a unix drive, and the file is world writeable but
94 owned by another user the file will transfer correctly but will
95 receive the wrong date. This is because the utime() call under unix
96 only succeeds for the owner of the file, or root, even if the file is
97 world writeable. For security reasons Samba does all file operations
98 as the validated user, not root, so the utime() fails. This can stuff
99 up shared development diectories as programs like "make" will not get
100 file time comparisons right.
101 </para>
103 <para>
104 There are several possible solutions to this problem, including
105 username mapping, and forcing a specific username for particular
106 shares.
107 </para>
109 </sect1>
111 <sect1>
112 <title>Passwords</title>
114 <para>
115 When plaintext passwords are used, very old SMB clients uppercase passwords before sending them. I have no
116 idea why they do this. Interestingly WfWg uppercases the password only
117 if the server is running a protocol greater than COREPLUS, so
118 obviously it isn't just the data entry routines that are to blame.
119 </para>
121 <para>
122 Unix passwords are case sensitive. So if users use mixed case
123 passwords they are in trouble.
124 </para>
126 <para>Samba will try an additional all lower cased password
127 authentication if it receives an all uppercase password. Samba used to
128 support an option called "password level" that would try to crack
129 password by trying all case permutations, but that option has been
130 removed.
131 </para>
133 <para>
134 Samba supports the password encryption method used by SMB
135 clients. Note that the use of password encryption in Microsoft
136 networking leads to password hashes that are "plain text equivalent".
137 This means that it is *VERY* important to ensure that the Samba
138 smbpasswd file containing these password hashes is only readable
139 by the root user. See the documentation ENCRYPTION.txt for more
140 details.
141 </para>
143 </sect1>
145 <sect1>
146 <title>Locking</title>
147 <para>
148 Since samba 2.2, samba supports other types of locking as well. This
149 section is outdated.
150 </para>
152 <para>
153 The locking calls available under a DOS/Windows environment are much
154 richer than those available in unix. This means a unix server (like
155 Samba) choosing to use the standard fcntl() based unix locking calls
156 to implement SMB locking has to improvise a bit.
157 </para>
159 <para>
160 One major problem is that dos locks can be in a 32 bit (unsigned)
161 range. Unix locking calls are 32 bits, but are signed, giving only a 31
162 bit range. Unfortunately OLE2 clients use the top bit to select a
163 locking range used for OLE semaphores.
164 </para>
166 <para>
167 To work around this problem Samba compresses the 32 bit range into 31
168 bits by appropriate bit shifting. This seems to work but is not
169 ideal. In a future version a separate SMB lockd may be added to cope
170 with the problem.
171 </para>
173 <para>
174 It also doesn't help that many unix lockd daemons are very buggy and
175 crash at the slightest provocation. They normally go mostly unused in
176 a unix environment because few unix programs use byte range
177 locking. The stress of huge numbers of lock requests from dos/windows
178 clients can kill the daemon on some systems.
179 </para>
181 <para>
182 The second major problem is the "opportunistic locking" requested by
183 some clients. If a client requests opportunistic locking then it is
184 asking the server to notify it if anyone else tries to do something on
185 the same file, at which time the client will say if it is willing to
186 give up its lock. Unix has no simple way of implementing
187 opportunistic locking, and currently Samba has no support for it.
188 </para>
190 </sect1>
192 <sect1>
193 <title>Deny Modes</title>
195 <para>
196 When a SMB client opens a file it asks for a particular "deny mode" to
197 be placed on the file. These modes (DENY_NONE, DENY_READ, DENY_WRITE,
198 DENY_ALL, DENY_FCB and DENY_DOS) specify what actions should be
199 allowed by anyone else who tries to use the file at the same time. If
200 DENY_READ is placed on the file, for example, then any attempt to open
201 the file for reading should fail.
202 </para>
204 <para>
205 Unix has no equivalent notion. To implement this Samba uses either lock
206 files based on the files inode and placed in a separate lock
207 directory or a shared memory implementation. The lock file method
208 is clumsy and consumes processing and file resources,
209 the shared memory implementation is vastly preferred and is turned on
210 by default for those systems that support it.
211 </para>
213 </sect1>
215 <sect1>
216 <title>Trapdoor UIDs</title>
217 <para>
218 A SMB session can run with several uids on the one socket. This
219 happens when a user connects to two shares with different
220 usernames. To cope with this the unix server needs to switch uids
221 within the one process. On some unixes (such as SCO) this is not
222 possible. This means that on those unixes the client is restricted to
223 a single uid.
224 </para>
226 <para>
227 Note that you can also get the "trapdoor uid" message for other
228 reasons. Please see the FAQ for details.
229 </para>
231 </sect1>
233 <sect1>
234 <title>Port numbers</title>
235 <para>
236 There is a convention that clients on sockets use high "unprivileged"
237 port numbers (>1000) and connect to servers on low "privilegedg" port
238 numbers. This is enforced in Unix as non-root users can't open a
239 socket for listening on port numbers less than 1000.
240 </para>
242 <para>
243 Most PC based SMB clients (such as WfWg and WinNT) don't follow this
244 convention completely. The main culprit is the netbios nameserving on
245 udp port 137. Name query requests come from a source port of 137. This
246 is a problem when you combine it with the common firewalling technique
247 of not allowing incoming packets on low port numbers. This means that
248 these clients can't query a netbios nameserver on the other side of a
249 low port based firewall.
250 </para>
252 <para>
253 The problem is more severe with netbios node status queries. I've
254 found that WfWg, Win95 and WinNT3.5 all respond to netbios node status
255 queries on port 137 no matter what the source port was in the
256 request. This works between machines that are both using port 137, but
257 it means it's not possible for a unix user to do a node status request
258 to any of these OSes unless they are running as root. The answer comes
259 back, but it goes to port 137 which the unix user can't listen
260 on. Interestingly WinNT3.1 got this right - it sends node status
261 responses back to the source port in the request.
262 </para>
264 </sect1>
266 <sect1>
267 <title>Protocol Complexity</title>
268 <para>
269 There are many "protocol levels" in the SMB protocol. It seems that
270 each time new functionality was added to a Microsoft operating system,
271 they added the equivalent functions in a new protocol level of the SMB
272 protocol to "externalise" the new capabilities.
273 </para>
275 <para>
276 This means the protocol is very "rich", offering many ways of doing
277 each file operation. This means SMB servers need to be complex and
278 large. It also means it is very difficult to make them bug free. It is
279 not just Samba that suffers from this problem, other servers such as
280 WinNT don't support every variation of every call and it has almost
281 certainly been a headache for MS developers to support the myriad of
282 SMB calls that are available.
283 </para>
285 <para>
286 There are about 65 "top level" operations in the SMB protocol (things
287 like SMBread and SMBwrite). Some of these include hundreds of
288 sub-functions (SMBtrans has at least 120 sub-functions, like
289 DosPrintQAdd and NetSessionEnum). All of them take several options
290 that can change the way they work. Many take dozens of possible
291 "information levels" that change the structures that need to be
292 returned. Samba supports all but 2 of the "top level" functions. It
293 supports only 8 (so far) of the SMBtrans sub-functions. Even NT
294 doesn't support them all.
295 </para>
297 <para>
298 Samba currently supports up to the "NT LM 0.12" protocol, which is the
299 one preferred by Win95 and WinNT3.5. Luckily this protocol level has a
300 "capabilities" field which specifies which super-duper new-fangled
301 options the server supports. This helps to make the implementation of
302 this protocol level much easier.
303 </para>
305 <para>
306 There is also a problem with the SMB specications. SMB is a X/Open
307 spec, but the X/Open book is far from ideal, and fails to cover many
308 important issues, leaving much to the imagination. Microsoft recently
309 renamed the SMB protocol CIFS (Common Internet File System) and have
310 published new specifications. These are far superior to the old
311 X/Open documents but there are still undocumented calls and features.
312 This specification is actively being worked on by a CIFS developers
313 mailing list hosted by Microsoft.
314 </para>
315 </sect1>
316 </chapter>