Samba: Samostatný server v Debianu

Dobrý den, přátelé!. Pokud chceme mít nezávislý server (Samostatný) sdílet zdroje buď z naší pracovní stanice; nebo pro malou skupinu strojů; nebo pro LAN bez řadiče domény ve stylu Microsoftu je nejjednodušší to udělat pomocí Samby.

K tomuto účelu existuje několik grafických nástrojů a také nástroj pro správu Samby přes web «SWAT». Nicméně, doporučujeme pro začátečníky, kteří začínají v tomto nádherném světě ručně. Není to tak těžké ani ďábelské, jak si mnozí myslí. A v tomto procesu se dozvíte hodně o sítích SMB / CIFS a o oprávněních a právech v souborových systémech Linux.

Než budete pokračovat, doporučujeme si přečíst:

• Samba: Nezbytný úvod
• Samba: Procházejte síť SMB / CIFS bez Samby
• Samba: SmbClient
• Samba: CIFS-Utils

Neuvidíme jak sdílet tiskárny pomocí Samby. Pro ty, kteří chtějí tuto sadu použít pro tyto účely, doporučujeme si přečíst průvodní dokumentaci, jak je uvedeno v Samba: Nezbytný úvod. Můžete si také přečíst článek CUPS: Jak snadno používat a konfigurovat tiskárny.

Základní body, které je třeba vzít v úvahu

• Přes veškerou auru, která obklopuje aktivní adresáře a jejich řadiče domén, které při mnoha příležitostech nejsou nutné nebo špatně využívané, je instalace a konfigurace nezávislého serveru Samba platnou a spolehlivou možností.
• Nezávislý server může být stejně bezpečný nebo nejistý podle našich potřeb a my ho můžeme nakonfigurovat jednoduchým nebo složitým způsobem.
• Ověření uživatele se provádí na samotném serveru, kde jsou umístěny prostředky.
• Aby měl uživatel přístup ke zdrojům ze vzdáleného počítače, musí být také zaregistrován v uživatelské základně Samba.
• Do databáze uživatelů Samby můžeme přidat pouze ty uživatele, kteří již existují na našem serveru nebo stolním počítači.
• Samostatný server Samba NEPOSKYTUJE síťové přihlášení, jako to dělá řadič domény. Rovněž neposkytuje přihlášení k doméně.
• Čím méně měníme a / nebo přidáváme parametry do souboru /etc/smb.conf Aniž bychom nejprve podrobně věděli, čeho chceme dosáhnout, bude to mnohem lepší.
• Služba sdílení prostředků v Sambě funguje na souborovém systému Linux, včetně jejího inherentního zabezpečení. Mnoho problémů je vyřešeno věnováním náležité pozornosti oprávnění souborům a adresářům.
• Je nezbytné pochopit, jak zacházet se chováním systému souborů ze souboru kom. konf, stejně jako pochopení toho, jak funguje zabezpečení souborového systému UNIX / Linux.
• Doporučujeme nepoužívat v názvech složek a sdílených prostředků diakritiku, čísla nebo mezery. Přednostně používejte malá jména.
• Názvy sdílení nelze v síti LAN opakovat. Každé jméno je jedinečné.
• Pokud v naší síti LAN není žádný server WINS, můžeme naši Sambu jako takovou přidat přidáním do «globální»Ze souboru kom. konf parametr vyhrává podporu = Ano., což je velmi doporučeno.

Ukázkový server

název: sípání. Doména: friends.cu. IP: 10.10.10.20. Uživatelé: xeon, zeus a triton. Další skupiny: čítače

Instalace

Balíček nainstalujeme prostřednictvím Synaptic nebo prostřednictvím konzoly samba.

sudo aptitude nainstalovat sambu

Je velmi užitečné také nainstalovat balíček smbclient. Použijeme to pro kontroly.

V tomto procesu se balíčky nainstalují - ale dříve jsme nainstalovali nějaké další související s Suite- samba, samba-obyčejná, samba-společný-bin y tdb-tools. Soubor je také vytvořen /etc/samba/smb.conf. Tento soubor bude vytvořen, dokud budou nainstalovány balíčky samba společná y samba-společný-bina nebude odstraněn ze systému, dokud je neodinstalujeme.

V sadě Samba Suite je nejdůležitější soubor smb.conf

Samba má obrovské množství možností konfigurace, z nichž většina není uvedena v příkladu kom. konf který se instaluje ve výchozím nastavení. Možnosti komentovány «;»Jsou považovány za dostatečně důležité pro zobrazení a jejich výchozí hodnoty se liší od výchozích hodnot chování Samby. Možnosti konfigurace komentovány «#«, Mají výchozí nastavení Samby a jsou také považovány za důležité pro zobrazení.

Pokud chceme zobrazit obsah souboru bez zvážení komentovaných možností buď pomocí «;„nebo s“#«, Musíme provést:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Pokud chceme vidět obsah souboru bez zvážení možností komentovaných «#«, Musíme provést:

egrep -v '# | ^ * $' /etc/samba/smb.conf

První věc, kterou musíme udělat, je kopie souboru /etc/samba/smb.conf. V samotném souboru najdeme způsob, jakým Samba doporučuje vytvořit pracovní kopii, kterou podrobně uvádíme níže. Tak jako kořen provádíme:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
celkem 32 -rw-r - r-- 1 kořenový kořen 8. listopadu 10 gdbcommands -rw-r - r-- 2002 kořenový kořen 1 805. srpna 4:12 smb.conf -rw-r - r-- 05 root root 1 12173. srpna 4:12 smb.conf.master

Všimněte si rozdílu ve velikosti mezi takto vytvořeným smb.conf a originálem. Vzhledem k tomu, že velikost je menší, výkon serveru se zvyšuje podle výkonu uvedeného týmem Samba.

Počáteční obsah souboru /etc/samba/smb.conf Bude (pamatujte, že nebudeme vyvíjet sdílení tiskáren):

[globální]
        workgroup = FRIENDS netbios name = MIWHEEZY security = uživatel
        řetězec serveru =% h mapa serveru na hosta = Špatný uživatel dodržovat pam omezení = Ano pam změnit heslo = Ano passwd program = / usr / bin / passwd% u passwd chat = * Enter \ snew \ s * \ spassword: *% n \ n * Retype \ snew \ s * \ spassword $ unix heslo sync = ano syslog = 0 log soubor = /var/log/samba/log.%m maximální velikost logu = 1000 dns proxy = žádná sdílení uživatelů povolit hosty = ano panická akce = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] komentář = Domovské adresáře platní uživatelé =% S vytvořit masku = 0700 adresářová maska ​​= 0700 procházet = Ne

Hodnoty zvýrazněné tučně jsou jediné, které musíme zpočátku upravit. Všimněte si, že přestože jsme výchozí chování Samby, tuto možnost jsme výslovně deklarovali bezpečnost = uživatel vzhledem k jeho velkému významu.

Pokud v naší síti LAN není žádný server WINS, můžeme naši Sambu jako takovou přidat přidáním do «globální»Ze souboru kom. konf parametr vyhrává podporu = Ano., což je velmi doporučeno.

zlaté pravidlo: Čím méně změníme a / nebo přidáme parametry do souboru smb.conf, aniž bychom nejdříve podrobně věděli, čeho chceme dosáhnout, tím lépe to bude.

Zde je těsné shrnutí některých zobrazených možností. Další informace získáte spuštěním muž kom. konf.

• workgroup: Ovládací prvky, ve kterých se pracovní skupina zobrazí při vytváření webového prohlížeče. Tento parametr také řídí název domény při práci s touto možností zabezpečení = doména a ve kterém se tým připojí k doméně. Uvidíme to v dalších článcích. Výchozí hodnota je PRACOVNÍ SKUPINA.
• název netbios: Nastavuje název NetBIOS, pod kterým bude server Samba v síti znám. Ve výchozím nastavení je to stejné jako u první složky souboru FQDN od hostitele. V našem příkladu FQDN týmu je miwheezy.amigos.cu. Pro náš server Samba můžeme použít jiný název než hostitel. V takovém případě je vhodné zahrnout do našeho záznamu CNAME DNS.
• zabezpečení: Parametr, který ovlivňuje, jak klienti reagují na Sambu, a je jedním z nejdůležitějších v souboru kom. konf. Výchozí hodnota je uživatel.
• řetězec serveru: Určuje, které jméno se zobrazí v komentářích, které se zobrazují ve webovém prohlížeči vedle názvu týmu.
• mapa pro hosta: Parametr, který je užitečný, pouze když je nastaven bezpečnost = uživatel o zabezpečení = doména. Hodnota „Bad User“ říká Sambě, aby odmítla neplatné heslo, pokud uživatel NENÍ k dispozici, v takovém případě bude považován za hosta nebo „host«. Pokud nechceme povolit relace hosta, musíme změnit jeho hodnotu na nikdy, což je přesně výchozí hodnota, a také změňte parametr sdílení uživatelů povolit hosta a Ne, což je také výchozí hodnota.
• dodržujte omezení pam: Kontroluje, zda Samba musí dodržovat vlastní omezení PAM «Zásuvný ověřovací modul«, Pokud jde o směrnice pro správu uživatelských účtů a relací. Výchozí hodnota je Ne.
• pam změna hesla: Řekne Sambě, aby používala PAM pro změny hesla požadované klientem SMB. Výchozí hodnota je Ne.
• program passwd: Program používaný k nastavení hesel UNIX pro uživatele.
• passwdchat: Řetěz, který řídí konverzaci mezi démonem koho a místní program pro změnu hesla definovaný v předchozím parametru.
• synchronizace hesla unix: Řekne Sambě, aby synchronizovala heslo SMB s heslem UNIX, pokud se předchozí změní. Výchozí hodnota je Ne.
• platní uživatelé: Seznam uživatelů, kteří se mohou přihlásit ke sdílené položce.

Restartujte nebo znovu načtěte službu Samba

Kdykoli provedeme významné změny, zejména v sekci «[globální]"z kom. konf, musíme službu restartovat. Pokud již máme k našemu serveru připojené uživatele, pokaždé, když restartujeme Sambu, odpojíme je. Proto a prakticky od nynějška službu znovu načteme, až když přidáme nebo upravíme sdílené prostředky. K restartování služby provádíme jako kořen:

restartování služby samba

Dobití služby:

znovu načíst službu samba

Přidáme uživatele do systému a do databáze uživatelů Samba

Do databáze uživatelů Samby můžeme přidat pouze ty uživatele, kteří již na našem lokálním serveru existují.

V našem příkladu uživatel xeon byl přidán během instalace Wheezy. Proto jej nepřidáme uživatelům týmu. Skupina uživatelů v systému existuje a byl vytvořen během instalace.

Některé možnosti příkazů smbpasswd Zvuk:

• -a: Přidejte zadaného uživatele do místního souboru smbpasswd.
• -x: Uvedený uživatel musí být odstraněn z místního souboru smbpasswd. K dispozici pouze tehdy, když smbpasswd běží jako kořen.
• -d: Uvedený uživatelský účet musí být deaktivován. K dispozici pouze tehdy, když smbpasswd běží jako kořen.
• -e: Naproti možnosti -d pokud je účet uživatele deaktivován.

Abychom vytvořili uživatele v našem týmu, uděláme to známým příkazem přidat uživatele.

adduser zeus adduser triton

Chcete-li vytvořit skupinu čítače:

čítače addgroup

Přidání uživatelů do databáze Samba:

smbpasswd -a kořen
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Připojujeme se ke skupině čítače uživatelům, které chceme:

adduser xeon počitadla adduser zeus počitadla adduser triton počitadla

Doporučuje se připojit se ke každému uživateli vytvořenému ve skupině uživatelé, v případě, že chceme udělit oprávnění všem uživatelům, které jsme vytvořili, na konkrétním prostředku. Jednodušší způsob, jak se připojit ke skupině více uživatelů, je přímá úprava souboru / etc / groupa přidání seznamu uživatelů oddělených čárkou. Mohou být vedeni skupinou čítače. Předpokládáme, že se připojíme k uživatelům ve skupině uživatelé.

Na pracovní stanici odebrat zobrazování uživatelů vytvořených pomocí přidat uživatele, musíme soubor upravit /etc/gdm3/greeter.gsettings a možnost odkomentujte disable-user-list = true, takže se při přihlášení nezobrazí ŽÁDNÝ seznam uživatelů. Toto je standardní chování jakéhokoli klientského počítače se systémem Windows připojeného k doméně.

Podobně, pokud chceme, aby vytvoření uživatelé nespouštěli vzdálenou relaci sshsoubor upravíme / etc / ssh / sshd_config a přidejte na konec souboru instrukci Povolit uživatelům. Příklad:

[....] # a ChallengeResponseAuthentication na „ne“. UsePAM ano AllowUsers xeon

Přidáváme sdílené zdroje

Příklad 1: Chceme sdílet složku / home / xeon / hudba pro všechny registrované uživatele. Oprávnění bude pouze ke čtení. Nejprve vytvoříme složku / home / xeon / hudba a v případě potřeby nakonfigurujeme jeho vlastníka a oprávnění. Jako uživatel Xeon provádíme:

mkdir / home / xeon / music ls -l / home / xeon | grep hudba

Pak na konci souboru kom. konf přidáme následující:

[music-xeon] komentář = cesta k osobní hudební složce = / home / xeon / hudba pouze pro čtení = ano platní uživatelé = @ uživatelé číst seznam = @ uživatelé

Po úpravách souboru provedeme testparm jako uživatel xeon a službu dobíjíme jako kořen. Můžeme také spustit oba příkazy jako kořen:

znovu načíst službu testparm samba

Chcete-li zkontrolovat nově nakonfigurovanou službu, můžeme to provést spuštěním následujícího příkazu v samotném počítači:

smbclient -L localhost -U%

Příklad 2: Chceme sdílet složku / home / xeon / hudba pro všechny registrované uživatele. Oprávnění budou čtena / zapisována pro xeon a jen pro čtení pro ostatní uživatele patřící do skupiny uživatelé. Není třeba upravovat vlastníka ani oprávnění ke složce. Jen jsme trochu změnili nastavení sdílení v souboru kom. konf.

[music-xeon] komentář = cesta k osobní hudební složce = / home / xeon / hudba pouze ke čtení = žádní platní uživatelé = @users write list = xeon read list = @users

Příklad 3: Chceme sdílet složku / home / xeon / účetnictví pro skupinu uživatelů čítače. Všichni členové skupiny budou mít oprávnění ke čtení. Uživatelé triton y Zeus budou moci zapisovat do sdílené složky.

Nyní POKUD musíme upravit vlastníka a oprávnění složky účetnictví po vytvoření, aby mohli psát triton y Zeus kteří jsou členy skupiny čítače. Musíme se také postarat o to, aby se poslední uživatel, který vytvoří nebo upraví soubor, nestal jeho absolutním vlastníkem, aby jej mohli upravovat ostatní uživatelé s oprávněním k zápisu.

Je nezbytné pochopit, jak zacházet s chováním souborového systému z kom. konf, stejně jako pochopení toho, jak funguje zabezpečení souborového systému UNIX / Linux.

V těchto případech musíme:

• Pohodlně určete, kdo bude uživatelem vlastníka a kdo skupinou vlastníků sdíleného adresáře.
• Povolit zápis do sdíleného adresáře skupinou vlastníků.
• Deklarujte bit SGID (Nastavte ID skupiny) adresáře během jeho vytváření.
• Deklarovat správně v souboru kom. konf způsoby vytváření souborů a adresářů v rámci našeho sdíleného zdroje.

Jednoduché a možné řešení v praxi budeme mít, pokud provádíme jako kořen:

mkdir / home / xeon / účetní chown -R root: čítače / home / xeon / účetní chmod -R g + ws / home / xeon / účetní ls -l / home / xeon

A na konec souboru smb.conf přidáme následující:

[účetní] komentář = Složka pro účetnictví cesta = / domov / xeon / účetnictví pouze pro čtení = Žádní platní uživatelé = @ účetní zapisují seznam = triton, zeus seznam pro čtení = @ účetní vynucení režimu vytváření = 0660 vynucení režimu adresáře = 0770

Okamžitě zkontrolujeme základní syntaxi souboru kom. konf skrz testparm a službu dobijeme prostřednictvím znovu načíst službu samba. Můžeme také běžet smbclient -L localhost -U%. na místním serveru a smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% ze vzdáleného počítače.

Čas je, že ze vzdáleného počítače se připojíme ke sdílenému prostředku a provedeme všechny nezbytné testy. Doporučuje se zkontrolovat, jak se uživatel, který vlastní složky a soubory, mění při vytváření v rámci prostředku.

Důležité: Uživatel kořen nebo uživatel xeon a obecně jakýkoli člen skupiny čítače, můžete psát z místní relace spuštěné na stejném počítači nebo uživatelem ssh, tj. bez použití protokolu SMB / CIFS. Pokud vytváříte složku nebo soubor místně, nezapomeňte znovu přiřadit příslušná oprávnění. Zkontrolovat ls -l. Nedodržení výše uvedeného je zdrojem velkého zmatku.

Přátelé, odpusťte mi délku článku a doufám, že vám bude nějak prospěšný. Do dalšího dobrodružství!