سامبا: خادم مستقل على دبيان

مرحبا اصدقاء !. إذا كنا نريد أن يكون لدينا خادم مستقل (مستقل) لمشاركة الموارد إما من محطة عملنا ؛ أو لمجموعة صغيرة من الآلات ؛ أو بالنسبة لشبكة LAN بدون وحدة تحكم مجال على غرار Microsoft ، فمن الأسهل القيام بذلك باستخدام Samba.

هناك بعض الأدوات الرسومية لهذا الغرض ، بالإضافة إلى أداة لإدارة Samba عبر الويب "SWAT". ومع ذلك، نوصي للمبتدئين الذين يبدأون في هذا العالم الرائع يدويًا. إنها ليست صعبة أو شيطانية كما يعتقد الكثيرون. وفي هذه العملية ، ستتعلم الكثير عن شبكات SMB / CIFS وحول الأذونات والحقوق على أنظمة ملفات Linux.

قبل المتابعة ، نوصي بقراءة:

• سامبا: مقدمة ضرورية
• Samba: تصفح شبكة SMB / CIFS بدون Samba
• سامبا: سمبكلينت
• سامبا: CIFS-Utils

لن نرى كيفية مشاركة الطابعات باستخدام Samba. لأولئك الذين يرغبون في استخدام هذه المجموعة لهذه الأغراض ، نوصي بقراءة الوثائق المصاحبة كما هو موضح في سامبا: مقدمة ضرورية. يمكنك أيضا قراءة المقال CUPS: كيفية استخدام الطابعات وتكوينها بطريقة سهلة.

النقاط الأساسية للنظر فيها

• على الرغم من كل الهالة التي تحيط بالدليل النشط ووحدات التحكم في المجال الخاصة بهم ، والتي في مناسبات عديدة ليست ضرورية أو يتم استغلالها بشكل سيئ ، فإن تثبيت وتكوين خادم Samba المستقل يعد خيارًا صالحًا وموثوقًا به.
• يمكن أن يكون الخادم المستقل آمنًا أو غير آمن وفقًا لاحتياجاتنا ، ويمكننا تهيئته بطريقة بسيطة أو معقدة.
• يتم إجراء مصادقة المستخدم على الخادم نفسه حيث توجد الموارد.
• لكي يتمكن المستخدم من الوصول إلى الموارد من جهاز كمبيوتر بعيد ، يجب أيضًا تسجيله في قاعدة مستخدمي Samba.
• يمكننا فقط إضافة المستخدمين الموجودين بالفعل على خادمنا أو جهاز سطح المكتب إلى قاعدة بيانات مستخدمي Samba.
• لا يوفر خادم Samba المستقل تسجيل الدخول إلى الشبكة ، كما يفعل مراقب المجال. كما أنه لا يوفر تسجيل الدخول إلى مجال.
• كلما قمنا بتغيير و / أو إضافة معلمات إلى الملف أقل /etc/smb.conf دون أن نعرف بالتفصيل أولاً ما نريد تحقيقه ، سيكون الأمر أفضل بكثير.
• تعمل خدمة مشاركة الموارد في Samba على نظام ملفات Linux ، بما في ذلك الأمان المتأصل فيه. يتم حل العديد من المشكلات من خلال إيلاء الاهتمام الواجب لأذونات الملفات والدليل.
• من الضروري فهم كيفية التعامل مع سلوك نظام الملفات من الملف smb.conf، بالإضافة إلى فهم كيفية عمل أمان نظام ملفات UNIX / Linux.
• نوصي بعدم استخدام علامات التشكيل أو eñes أو المسافات في أسماء المجلدات والموارد المشتركة. يفضل استخدام الأحرف الصغيرة للأسماء.
• لا يمكن تكرار أسماء المشاركة على شبكة LAN. كل اسم فريد.
• إذا لم يكن هناك خادم WINS في شبكة LAN الخاصة بنا ، فيمكننا جعل Samba يعمل على هذا النحو من خلال إضافة "شامل»من الملف smb.conf المعلمة يفوز بالدعم = نعم. ، وهو أمر موصى به للغاية.

خادم العينة

اسم: ميويزي. نطاق: friends.cu. IP: 10.10.10.20. المستخدمين: زيون وزيوس وتريتون. مجموعات إضافية: عدادات

تركيب

من خلال Synaptic أو من خلال وحدة التحكم نقوم بتثبيت الحزمة السامبا.

سودو الكفاءة تثبيت السامبا

من المفيد جدًا أيضًا تثبيت الحزمة عميل صغير. سوف نستخدمه للشيكات.

في هذه العملية ، سيتم تثبيت الحزم - لكننا قمنا مسبقًا بتثبيت بعض الحزم الأخرى ذات الصلة بالجناح- السامبا ، السامبا المشتركة, سامبا عادي بن y أدوات tdb. أيضا ، يتم إنشاء الملف /etc/samba/smb.conf. سيتم إنشاء هذا الملف طالما تم تثبيت الحزم السامبا المشتركة y سامبا عادي بن، ولن يتم حذفه من النظام حتى نقوم بإلغاء تثبيته.

يعد ملف smb.conf هو الأكثر أهمية في Samba Suite

لدى Samba عدد كبير من خيارات التكوين ، ومعظمها غير معروض في المثال من smb.conf الذي يتم تثبيته بشكل افتراضي. علق الخيارات بـ «;»تعتبر مهمة بما يكفي لعرضها وتختلف قيمها الافتراضية عن القيم الافتراضية لسلوك Samba. وعلق على خيارات التكوين بـ «#«، هل لديك إعدادات Samba الافتراضية ، وتعتبر أيضًا مهمة للعرض.

إذا أردنا رؤية محتوى الملف دون النظر في الخيارات المعلقة إما بـ «;" أو مع "#«، يجب أن ننفذ:

 egrep -v '# | ؛ | ^ * $' /etc/samba/smb.conf

إذا أردنا الاطلاع على محتوى الملف دون النظر إلى الخيارات التي علق عليها بـ «#«، يجب أن ننفذ:

egrep -v '# | ^ * $' /etc/samba/smb.conf

أول شيء يجب أن نفعله هو نسخة من الملف /etc/samba/smb.conf. نجد في الملف نفسه الطريقة التي يوصي بها Samba بعمل نسخة عمل ، والتي نوضحها بالتفصيل أدناه. كيف جذر ننفذ:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
مجموع 32 -rw-r - r - 1 جذر 8 نوفمبر 10 2002 gdbcommands -rw-r - r - 1 جذر 805 أغسطس 4 12:05 smb.conf -rw-r - r - 1 جذر 12173 4 12 أغسطس 05:XNUMX smb.conf.master

لاحظ الفرق في الحجم بين ملف smb.conf الذي تم إنشاؤه بهذه الطريقة والأصل. نظرًا لأن الحجم أصغر ، يزداد أداء الخادم وفقًا لما أشار إليه فريق Samba.

المحتوى الأولي للملف /etc/samba/smb.conf سيكون (تذكر أننا لن نطور مشاركة الطابعة):

[عالمي]
        مجموعة العمل = اسم netbios FRIENDS = أمان MIWHEEZY = مستخدم
        سلسلة الخادم =٪ h تعيين الخادم للضيف = مستخدم غير صالح لقيود pam = نعم تغيير كلمة مرور pam = نعم برنامج passwd = / usr / bin / passwd٪ u passwd chat = * أدخل \ snew \ s * \ spassword: *٪ n \ n * أعد كتابة \ snew \ s * \ spassword $ unix password sync = نعم syslog = 0 ملف سجل = /var/log/samba/log.٪m max log size = 1000 dns proxy = لا يسمح مشاركة المستخدمين للضيوف = نعم فعل الذعر = / usr / share / samba / panic-action٪ d idmap config *: backend = tdb [منازل] comment = مستخدمون صالحون لأدلة الصفحة الرئيسية =٪ S إنشاء قناع = 0700 قناع دليل = 0700 قابل للتصفح = لا

القيم المميزة بالخط العريض هي القيم الوحيدة التي يجب علينا تعديلها في البداية. لاحظ أنه على الرغم من كونه السلوك الافتراضي لـ Samba ، فقد أعلنا صراحة عن الخيار الأمن = المستخدم نظرا لأهميتها الكبيرة.

إذا لم يكن هناك خادم WINS في شبكة LAN الخاصة بنا ، فيمكننا جعل Samba يعمل على هذا النحو من خلال إضافة "شامل»من الملف smb.conf المعلمة يفوز بالدعم = نعم. ، وهو أمر موصى به للغاية.

قاعدة ذهبية: كلما قللنا من تغيير و / أو إضافة معلمات إلى ملف smb.conf دون أن نعرف أولاً بالتفصيل ما نريد تحقيقه ، كان ذلك أفضل بكثير.

فيما يلي ملخص موجز لبعض الخيارات المعروضة. لمزيد من المعلومات ، يرجى تشغيل رجل smb.conf.

• مجموعة العمل: عناصر التحكم في مجموعة العمل التي ستظهر فيها المعدات عند إنشاء مستعرض ويب. تتحكم هذه المعلمة أيضًا في اسم المجال عند العمل مع الخيار الأمان = المجال والذي فيه ينضم الفريق إلى مجال. سنراه في مقالات لاحقة. النظام الأساسي WORKGROUP.
• اسم netbios: يضبط اسم NetBIOS الذي سيعرف به خادم Samba على الشبكة. بشكل افتراضي ، يكون هو نفسه المكون الأول لملف FQDN من المضيف. في مثالنا FQDN من الفريق miwheezy.amigos.cu. يمكننا استخدام اسم مختلف عن اسم المضيف لخادم Samba الخاص بنا. في هذه الحالة ، يُنصح بتضمين سجل CNAME في DNS.
• أمن: المعلمة التي تؤثر على كيفية استجابة العملاء لـ Samba وهي واحدة من أهم المعاملات في الملف smb.conf. النظام الأساسي المستخدم.
• سلسلة الخادم: يتحكم في الاسم الذي يظهر في التعليقات التي تظهر في مستعرض ويب بجوار اسم الفريق.
• الخريطة للضيف: المعلمة التي تكون مفيدة فقط عند تعيينها الأمن = المستخدم o الأمان = المجال. تخبر القيمة "مستخدم سيء" Samba برفض كلمة مرور غير صالحة ، ما لم يكن المستخدم غير موجود ، وفي هذه الحالة سيتم معاملته كضيف أو "ضيف«. إذا كنا لا نرغب في السماح بجلسات الضيوف ، فيجب علينا تغيير قيمتها إلى أبدا، وهي القيمة الافتراضية بالضبط ، وكذلك تغيير المعلمة usershare يسمح للضيف a لا، وهي أيضًا القيمة الافتراضية.
• طاعة قيود بام: يتحكم فيما إذا كان يجب على Samba الامتثال لقيود PAM أم لا «وحدة المصادقة القابلة للتوصيل«، فيما يتعلق بتوجيهات إدارة حسابات المستخدمين وجلساتهم. النظام الأساسي لا.
• تغيير كلمة المرور بام: يخبر Samba باستخدام PAM لتغييرات كلمة المرور التي يطلبها عميل SMB. النظام الأساسي لا.
• برنامج passwd: البرنامج المستخدم لتعيين كلمات مرور UNIX للمستخدمين.
• دردشة passwd: سلسلة تتحكم في المحادثة التي تحدث بين الشيطان com.smbd والبرنامج المحلي لتغيير كلمة المرور المحددة في المعلمة السابقة.
• مزامنة كلمة مرور يونكس: يخبر Samba بمزامنة كلمة مرور SMB مع كلمة مرور UNIX ، طالما أن السابقة تتغير. النظام الأساسي لا.
• مستخدمين صالحين: قائمة المستخدمين المسموح لهم بتسجيل الدخول إلى مشاركة.

أعد تشغيل خدمة Samba أو أعد تحميلها

كلما نجري تغييرات كبيرة وخاصة في قسم «[عالمي]"من smb.conf، يجب علينا إعادة تشغيل الخدمة. إذا كان لدينا بالفعل مستخدمون متصلون بخادمنا ، فسنقوم بفصلهم في كل مرة نقوم فيها بإعادة تشغيل Samba. لهذا السبب ، وعمليًا من الآن فصاعدًا ، سنقوم بإعادة تحميل الخدمة فقط عندما نضيف أو نعدل الموارد المشتركة. لإعادة تشغيل الخدمة ، نقوم بتنفيذ مثل جذر:

إعادة تشغيل خدمة السامبا

لإعادة شحن الخدمة:

إعادة تحميل خدمة سامبا

نضيف المستخدمين إلى النظام وإلى قاعدة بيانات مستخدمي Samba

يمكننا فقط إضافة المستخدمين الموجودين بالفعل على خادمنا المحلي إلى قاعدة بيانات مستخدمي Samba.

في مثالنا المستخدم زيون تمت إضافته أثناء تثبيت Wheezy. لذلك ، لن نضيفه إلى مستخدمي الفريق. مجموعة المستخدمين موجود على النظام وتم إنشاؤه أثناء التثبيت.

بعض خيارات الأوامر com.smbpasswd هي:

• -a: أضف المستخدم المحدد إلى الملف المحلي smbpasswd.
• -x: يجب إزالة المستخدم المشار إليه من الملف المحلي smbpasswd. متاح فقط عندما com.smbpasswd يعمل مثل جذر.
• -d: يجب تعطيل حساب المستخدم المشار إليه. متاح فقط عندما com.smbpasswd يعمل مثل جذر.
• -e: عكس الخيار -d طالما أن حساب المستخدم معطل.

لإنشاء المستخدمين في فريقنا ، نقوم بذلك باستخدام الأمر المعروف adduser.

adduser zeus adduser triton

لإنشاء المجموعة عدادات:

عدادات addgroup

لإضافة مستخدمين إلى قاعدة بيانات سامبا:

smbpasswd- جذر
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

ننضم إلى المجموعة عدادات للمستخدمين الذين نريد:

adduser زيون عدادات adduser zeus عدادات adduser triton counters

يوصى بالانضمام إلى كل مستخدم تم إنشاؤه في المجموعة المستخدمين، في حال أردنا منح أذونات لجميع المستخدمين الذين أنشأناهم ، في مورد معين. أسهل طريقة للانضمام إلى مجموعة من المستخدمين هي تحرير الملف مباشرةً / etc / group، وإضافة قائمة المستخدمين مفصولة بفاصلة. يمكن توجيههم من قبل المجموعة عدادات. نفترض أننا ننضم إلى المستخدمين في المجموعة المستخدمين.

على محطة العمل ، لإزالة عرض المستخدمين الذين تم إنشاؤهم باستخدام adduser، يجب علينا تحرير الملف /etc/gdm3/greeter.gsettings و uncomment الخيار تعطيل-قائمة المستخدم = صحيح، بحيث لا يتم عرض قائمة المستخدمين عند تسجيل الدخول. هذا هو السلوك القياسي لأي كمبيوتر عميل Windows مرتبط بمجال.

بنفس الطريقة ، إذا أردنا أن لا يبدأ المستخدمون الذين تم إنشاؤهم جلسة عمل عن بُعد من خلالها سه، نقوم بتحرير الملف / الخ / سه / sshd_config وأضف التعليمات إلى نهاية الملف السماح للمستخدمين. مثال:

[....] # و ChallengeResponseAuthentication إلى "لا". UsePAM نعم AllowUsers xeon

نضيف الموارد المشتركة

مثال 1: نريد مشاركة المجلد / home / xeon / music لجميع المستخدمين المسجلين. سيكون الإذن للقراءة فقط. بادئ ذي بدء ، نقوم بإنشاء المجلد / home / xeon / music ونقوم بتهيئة مالكها وأذوناتها إذا لزم الأمر. كمستخدم زيون ننفذ:

mkdir / home / xeon / music ls -l / home / xeon | موسيقى grep

ثم في نهاية الملف smb.conf نضيف ما يلي:

[music-xeon] comment = مسار مجلد الموسيقى الشخصي = / home / xeon / music قراءة فقط = نعم مستخدمون صالحون =users read list =users

بعد التعديلات على الملف نقوم بتنفيذها testparm كمستخدم زيون ونعيد شحن الخدمة كـ جذر. يمكننا أيضًا تشغيل كلا الأمرين مثل جذر:

تحميل testparm خدمة سامبا

للتحقق من الخدمة التي تم تكوينها حديثًا ، يمكننا القيام بذلك عن طريق تنفيذ الأمر التالي على الكمبيوتر نفسه:

smbclient -L localhost -U٪

مثال 2: نريد مشاركة المجلد / home / xeon / music لجميع المستخدمين المسجلين. سيتم قراءة / كتابة الأذونات ل زيون والقراءة فقط لبقية المستخدمين المنتمين إلى المجموعة المستخدمين. ليس لدينا حاجة لتعديل المالك أو أذونات المجلد. نحن فقط نغير إعدادات المشاركة قليلاً في الملف smb.conf.

[music-xeon] comment = مسار مجلد الموسيقى الشخصي = / home / xeon / music قراءة فقط = لا يوجد مستخدمون صالحون = @ المستخدمون يكتبون القائمة = قائمة قراءة xeon = @ المستخدمون

مثال 3: نريد مشاركة المجلد / الرئيسية / زيون / محاسبة لمجموعة المستخدمين عدادات. سيكون لدى جميع أعضاء المجموعة إذن قراءة. المستخدمين تريتون نصف إله عند الإغريق y زيوس سيكونون قادرين على الكتابة إلى المجلد المشترك.

الآن إذا كان علينا تعديل مالك وأذونات المجلد المحاسبة بعد الإنشاء ، حتى يتمكنوا من الكتابة تريتون نصف إله عند الإغريق y زيوس من هم أعضاء المجموعة عدادات. يجب أن نحرص أيضًا على ألا يصبح المستخدم الأخير الذي قام بإنشاء ملف أو تعديله هو مالكه المطلق ، بحيث يمكن تعديله بواسطة مستخدمين آخرين لديهم أذونات الكتابة.

من الضروري فهم كيفية التعامل مع سلوك نظام الملفات من ملف smb.conf، بالإضافة إلى فهم كيفية عمل أمان نظام ملفات UNIX / Linux.

في هذه الحالات يجب علينا:

• أعلن في الوقت المناسب من سيكون المالك المستخدم ومن سيكون مجموعة المالك للدليل المشترك.
• السماح للكتابة إلى الدليل المشترك بواسطة مجموعة المالك.
• أعلن قليلا SGID (تعيين معرف المجموعة) من الدليل أثناء إنشائه.
• نعلن بشكل صحيح في الملف smb.conf طرق إنشاء الملفات والأدلة داخل مواردنا المشتركة.

حل بسيط ومحتمل في الممارسة العملية سيكون لدينا إذا ننفذها جذر:

mkdir / home / xeon / محاسبة chown -R root: العدادات / home / xeon / محاسبة chmod -R g + ws / home / xeon / محاسبة ls -l / home / xeon

ونضيف ما يلي إلى نهاية ملف smb.conf:

[المحاسبة] comment = مجلد للمحاسبين path = / home / xeon / account قراءة فقط = لا يوجد مستخدمون صالحون = @ Accountants write list = triton، zeus read list = @ Accountants force create mode = 0660 force directory mode = 0770

نتحقق على الفور من البنية الأساسية لملف smb.conf من خلال testparm ونقوم بإعادة شحن الخدمة من خلال إعادة تحميل خدمة سامبا. يمكننا أيضا الجري smbclient -L localhost -U٪. على الخادم المحلي ، و smbclient -L ميويزي -U٪ o smbclient -L miwheezy.amigos.cu -U٪ من الكمبيوتر البعيد.

الوقت هو أننا من جهاز كمبيوتر بعيد نقوم بالاتصال بالمورد المشترك ونقوم بجميع الاختبارات اللازمة. يوصى بالتحقق من كيفية تغيير المستخدم الذي يمتلك المجلدات والملفات أثناء إنشائها داخل المورد.

هام: المستخدم جذر أو المستخدم زيون وبشكل عام أي عضو في المجموعة عدادات، يمكنك الكتابة من جلسة محلية بدأت على نفس الكمبيوتر أو بواسطة سه، أي بدون استخدام بروتوكول SMB / CIFS. إذا قمت بإنشاء مجلد أو ملف محليًا ، فتذكر إعادة تعيين الأذونات المناسبة. فحص بواسطة لس -l. عدم القيام بما ورد أعلاه هو مصدر الكثير من اللبس.

أصدقائي ، اغفروا لي طول المقال وآمل أن يكون مفيدًا لكم. حتى المغامرة القادمة!