Samba: Standalone Server på Debian

Hej venner!. Hvis vi vil have en uafhængig server (standalone) at dele ressourcer enten fra vores arbejdsstation; eller til en lille gruppe maskiner; eller for et LAN uden en Microsoft-style domænecontroller, er det nemmest at gøre det ved hjælp af Samba.

Der er nogle grafiske værktøjer til dette formål samt værktøjet til at administrere Samba via internettet "SWAT". Imidlertid, vi anbefaler til begyndere, der starter i denne vidunderlige verden manuelt. Det er ikke så svært eller djævelsk som mange tror. Og i processen lærer du meget om SMB / CIFS-netværk og om Tilladelser og rettigheder på Linux-filsystemer.

Før du fortsætter, anbefaler vi at læse:

• Samba: Nødvendig introduktion
• Samba: Gennemse et SMB / CIFS-netværk uden Samba
• Samba:SmbClient
• Samba: CIFS-redskaber

Vi kan ikke se hvordan man deler printere ved hjælp af Samba. Til dem, der ønsker at bruge denne suite til disse formål, anbefaler vi at læse den ledsagende dokumentation som angivet i Samba: Nødvendig introduktion. Du kan også læse artiklen CUPS: Sådan bruges og konfigureres printere på den nemme måde.

Grundlæggende punkter at overveje

• På trods af al den aura, der omgiver Active Directories og deres domænekontrollere, som ved adskillige lejligheder ikke er nødvendige eller dårligt udnyttet, er installation og konfiguration af en uafhængig Samba Server en gyldig og pålidelig mulighed.
• En uafhængig server kan være så sikker eller usikker alt efter vores behov, og vi kan konfigurere den på en enkel eller kompleks måde.
• Brugergodkendelse udføres på selve serveren, hvor ressourcerne findes.
• For at en bruger skal kunne få adgang til ressourcer fra en fjerncomputer, skal de også være registreret i Samba-brugerbasen.
• Vi kan kun tilføje de brugere, der allerede findes på vores server eller desktop-maskine, til Samba-brugerdatabasen.
• En uafhængig Samba-server giver IKKE netværkslogin, som en domænecontroller gør. Det giver heller ikke login til et domæne.
• Jo mindre vi ændrer og / eller tilføjer parametre til filen /etc/smb.conf Uden først at vide detaljeret, hvad vi vil opnå, vil det være meget bedre.
• Ressourcedelingstjenesten i Samba fungerer på Linux-filsystemet, herunder dets iboende sikkerhed. Mange problemer løses ved at være opmærksom på fil- og katalogtilladelser.
• Det er vigtigt at forstå, hvordan man håndterer filsystemets opførsel fra filen smb.konfsamt forståelse af, hvordan UNIX / Linux-filsystemsikkerhed fungerer.
• Vi anbefaler ikke at bruge accenter, eñes eller mellemrum i navnene på mapper og delte ressourcer. Brug helst små bogstaver til navne.
• Delnavne kan ikke gentages på et LAN. Hvert navn er unikt.
• Hvis der ikke er nogen WINS-server på vores LAN, kan vi få vores Samba til at fungere som sådan ved at tilføje i «global»Fra filen smb.konf parameteren vinder support = Ja., som anbefales.

Prøveserver

Navn: miwheezy. Domæne: venner.cu. IP: 10.10.10.20. brugere: xeon, zeus og triton. Yderligere grupper: tællere

Installation

Via Synaptic eller gennem konsollen installerer vi pakken samba.

sudo aptitude installer samba

Det er meget nyttigt også at installere pakken smbclient. Vi bruger det til kontrol.

I processen installeres pakkerne - men vi har tidligere installeret nogle andre relateret til Suite- samba, samba-fælles, samba-fælles-bin y tdb-værktøjer. Filen oprettes også /etc/samba/smb.conf. Denne fil oprettes, så længe pakkerne er installeret samba-fælles y samba-fælles-bin, og det slettes ikke fra systemet, før vi afinstallerer dem.

Smb.conf-filen er den vigtigste i Samba Suite

Samba har et stort antal konfigurationsindstillinger, hvoraf de fleste ikke vises i eksemplet fra smb.konf som installeres som standard. Indstillingerne kommenterede med en «;»Anses vigtige nok til at få vist, og deres standardværdier afviger fra standardindstillingerne for Samba-adfærd. Konfigurationsindstillingerne kommenterede med en «#«, Har Samba-standardindstillingerne, og anses også for vigtige at blive vist.

Hvis vi ønsker at se indholdet af filen uden at overveje de kommenterede muligheder enten med «;"eller med"#«, Vi skal udføre:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Hvis vi vil se indholdet af filen uden at overveje de indstillinger, der er kommenteret med «#«, Vi skal udføre:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Den første ting at gøre er en kopi af filen /etc/samba/smb.conf. I selve filen finder vi den måde, hvorpå Samba anbefaler at lave en arbejdskopi, som vi detaljerer nedenfor. Som rod vi udfører:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
i alt 32 -rw-r - r-- 1 rodrod 8 nov 10 2002 gdbkommandoer -rw-r - r-- 1 rodrod 805 aug 4 12:05 smb.conf -rw-r - r-- 1 rodrod 12173 4. aug 12:05 smb.conf.master

Bemærk forskellen i størrelse mellem smb.conf genereret på denne måde og originalen. Da størrelsen er mindre, øges serverens ydeevne i henhold til det, der er angivet af Samba Team.

Det oprindelige indhold af filen /etc/samba/smb.conf Det vil være (husk at vi ikke udvikler printerdeling):

[global]
        arbejdsgruppe = VENNER netbios navn = MIWHEEZY sikkerhed = bruger
        serverstreng =% h serverkort til gæst = Dårlig bruger adlyder pam-begrænsninger = Ja ændring af adgangskode for pam = Ja passwd-program = / usr / bin / passwd% u passwd chat = * Indtast \ snew \ s * \ spassword: *% n \ n * Skriv igen \ snew \ s * \ spassword $ unix password sync = Ja syslog = 0 logfil = /var/log/samba/log.%m maks logstørrelse = 1000 dns proxy = Ingen brugerdeling tillader gæster = Ja panikhandling = / usr / share / samba / panic-action% d idmap config *: backend = tdb [hjem] kommentar = Hjemmapper gyldige brugere =% S opret maske = 0700 katalogmaske = 0700 gennemsigtig = Nej

De værdier, der er fremhævet med fed skrift, er de eneste, som vi først skal ændre. Bemærk, at selvom vi er Samba's standardadfærd, har vi udtrykkeligt erklæret muligheden sikkerhed = bruger givet sin store betydning.

Hvis der ikke er nogen WINS-server på vores LAN, kan vi få vores Samba til at fungere som sådan ved at tilføje i «global»Fra filen smb.konf parameteren vinder support = Ja., som anbefales.

gylden regel: Jo mindre vi ændrer og / eller tilføjer parametre til smb.conf-filen uden først at vide detaljeret, hvad vi vil opnå, desto bedre bliver det.

Her er en kort oversigt over nogle af de viste muligheder. For mere information, kør venligst mand smb.conf.

• arbejdsgruppe: Betjeningsknapper, i hvilken arbejdsgruppe udstyret vises, når du opretter en webbrowser. Denne parameter styrer også domænenavnet, når du arbejder med indstillingen sikkerhed = domæne og hvor teamet slutter sig til et domæne. Vi vil se det i senere artikler. Standardværdien er WORKGROUP.
• netbios navn: Indstiller NetBIOS-navnet, som Samba-serveren vil blive kendt på på netværket. Som standard er det det samme som den første komponent i FQDN fra værten. I vores eksempel FQDN af holdet er miwheezy.amigos.cu. Vi kan bruge et andet navn end værten til vores Samba-server. I så fald anbefales det at medtage en CNAME-post i vores DNS.
• sikkerhed: Parameter, der påvirker, hvordan klienter reagerer på Samba og er en af ​​de vigtigste i filen smb.konf. Standardværdien er bruger.
• serverstreng: Kontrollerer, hvilket navn der vises i kommentarerne, der vises i en webbrowser ved siden af ​​teamnavnet.
• kort til gæst: Parameter, der kun er nyttig, når den er indstillet sikkerhed = bruger o sikkerhed = domæne. Værdien "Dårlig bruger" fortæller Samba at afvise en ugyldig adgangskode, medmindre brugeren IKKE eksisterer, i hvilket tilfælde de behandles som gæst eller "gæst«. Hvis vi ikke ønsker at tillade gæstesessioner, skal vi ændre dens værdi til Aldrig, som netop er standardværdien, og skift også parameteren brugerdeling tillader gæst a ingen, som også er standardværdien.
• overholde pam-begrænsninger: Kontrollerer, om Samba skal overholde PAMs egne begrænsninger «Tilslutningsgodkendelsesmodul«, Vedrørende direktiverne for administration af brugerkonti og -sessioner. Standardværdien er ingen.
• ændring af pam-adgangskode: Opfordrer Samba til at bruge PAM til adgangskodeskift, som en SMB-klient anmoder om. Standardværdien er ingen.
• passwd-program: Program, der bruges til at indstille UNIX-adgangskoder til brugere.
• passwdchat: Kæde, der styrer samtalen, der finder sted mellem dæmonen smbd og det lokale program til ændring af adgangskode, der er defineret i den forrige parameter.
• unix adgangskodesynkronisering: Opfordrer Samba til at synkronisere SMB-adgangskoden med UNIX-adgangskoden, så længe den tidligere ændres. Standardværdien er ingen.
• gyldige brugere: Liste over brugere, der har tilladelse til at logge på en deling.

Genstart eller genindlæs Samba-tjenesten

Når vi foretager væsentlige ændringer, især i afsnittet «[global]" af smb.konf, vi skal genstarte tjenesten. Hvis vi allerede har brugere tilsluttet vores server, vil vi frakoble dem hver gang vi genstarter Samba. Derfor og praktisk talt fra nu af vil vi kun genindlæse tjenesten, når vi tilføjer eller ændrer delte ressourcer. For at genstarte tjenesten udfører vi som rod:

service samba genstart

Sådan oplades tjenesten:

service samba genindlæses

Vi tilføjer brugerne til systemet og til Samba-brugerdatabasen

Vi kan kun tilføje de brugere, der allerede findes på vores lokale server, til Samba-brugerdatabasen.

I vores eksempel brugeren Xeon det blev tilføjet under Wheezy-installationen. Derfor vil vi ikke føje det til teambrugere. Brugergruppen findes på systemet og blev oprettet under installationen.

Nogle kommandomuligheder smbpasswd lyd:

• -a: Føj den angivne bruger til den lokale fil smbpasswd.
• -x: Den angivne bruger skal fjernes fra den lokale fil smbpasswd. Kun tilgængelig når smbpasswd kører som rod.
• -d: Den angivne brugerkonto skal deaktiveres. Kun tilgængelig når smbpasswd kører som rod.
• -e: Modsat af option -d så længe brugerens konto er deaktiveret.

For at oprette brugerne i vores team gør vi det med den velkendte kommando adduser.

adduser zeus adduser triton

For at oprette gruppen tællere:

addgroup-tællere

Sådan tilføjes brugere til Samba-databasen:

smbpasswd -en rod
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Vi slutter os til gruppen tællere til de brugere, vi ønsker:

adduser xeon-tællere adduser zeus-tællere adduser triton-tællere

Det anbefales at slutte sig til hver bruger, der oprettes i gruppen brugere, hvis vi ønsker at give tilladelser til alle de brugere, vi har oprettet, på en bestemt ressource. En nemmere måde at slutte sig til flere brugere i en gruppe er ved direkte redigering af filen / etc / gruppe, og tilføje listen over brugere adskilt af et komma. De kan styres af gruppen tællere. Vi antager, at vi slutter os til brugerne i gruppen brugere.

På en arbejdsstation til at fjerne visningsbrugere oprettet ved hjælp af adduser, vi skal redigere filen /etc/gdm3/greeter.gsettings og fjern kommentar til indstillingen deaktiver-bruger-liste = sand, så der ikke vises en brugerliste, når du logger på. Dette er standardadfærden for enhver Windows-klientcomputer, der er knyttet til et domæne.

På samme måde, hvis vi ønsker, at de oprettede brugere ikke skal starte en fjernsession igennem ssh, vi redigerer filen / Etc / ssh / sshd_config og tilføj instruktionen til slutningen af ​​filen Tillad brugerne. eksempel:

[....] # og ChallengeResponseAuthentication til 'nej'. UsePAM ja AllowUsers xeon

Vi tilføjer delte ressourcer

Eksempel 1: Vi vil dele mappen / hjem / xeon / musik for alle registrerede brugere. Tilladelsen er skrivebeskyttet. Først og fremmest opretter vi mappen / hjem / xeon / musik og vi konfigurerer dens ejer og tilladelser, hvis det er nødvendigt. Som bruger Xeon vi udfører:

mkdir / home / xeon / musik ls -l / home / xeon | grep musik

Derefter i slutningen af ​​filen smb.konf vi tilføjer følgende:

[music-xeon] comment = Sti til personlig musikmappe = / home / xeon / music read only = Ja gyldige brugere = @users læseliste = @users

Efter ændringer af filen udfører vi testparm som bruger Xeon og vi genoplader tjenesten som rod. Vi kan også køre begge kommandoer som rod:

testparm service samba genindlæses

For at kontrollere den nyligt konfigurerede tjeneste kan vi gøre det ved at udføre følgende kommando på selve computeren:

smbclient -L localhost -U%

Eksempel 2: Vi vil dele mappen / hjem / xeon / musik for alle registrerede brugere. Tilladelserne læses / skrives til Xeon og skrivebeskyttet for resten af ​​brugerne, der tilhører gruppen brugere. Vi har ikke behov for at ændre ejeren eller tilladelserne til mappen. Vi ændrer bare delingsindstillingerne i filen lidt smb.konf.

[music-xeon] comment = Sti til personlig musikmappe = / home / xeon / music read only = Ingen gyldige brugere = @users skriveliste = xeon read list = @users

Eksempel 3: Vi vil dele mappen / hjem / xeon / regnskab til brugergruppe tællere. Alle gruppemedlemmer har læst tilladelse. Brugerne triton y Zeus de kan skrive til den delte mappe.

Nu HVIS vi er nødt til at ændre ejeren og tilladelserne til mappen regnskab efter oprettet, så de kan skrive triton y Zeus som er medlem af gruppen tællere. Vi skal også passe på, at den sidste bruger, der opretter eller ændrer en fil, ikke bliver dens absolutte ejer, så den kan ændres af andre brugere med skriveadgang.

Det er vigtigt at forstå, hvordan man håndterer filsystemets opførsel fra smb.konfsamt forståelse af, hvordan UNIX / Linux-filsystemsikkerhed fungerer.

I disse tilfælde skal vi:

• Angiv, når det er hensigtsmæssigt, hvem der vil være ejerbruger, og hvem der vil være ejergruppe for det delte bibliotek.
• Tillad skrivning til det delte bibliotek af ejergruppen.
• Erklær biten Sgid (Indstil gruppe-id) af biblioteket under dets oprettelse.
• Erklær korrekt i filen smb.konf måderne til at oprette filer og mapper inden for vores delte ressource.

En enkel og mulig løsning i praksis vil vi have, hvis vi udfører som rod:

mkdir / home / xeon / accounting chown -R root: tællere / home / xeon / accounting chmod -R g + ws / home / xeon / accounting ls -l / home / xeon

Og vi tilføjer følgende til slutningen af ​​smb.conf-filen:

[regnskab] kommentar = Mappe til revisors sti = / hjem / xeon / regnskab skrivebeskyttet = Ingen gyldige brugere = @ revisorer skrive liste = triton, zeus læse liste = @ revisorer tving oprettilstand = 0660 kraft bibliotekstilstand = 0770

Vi kontrollerer straks den grundlæggende syntaks for smb.konf gennem testparm og vi genoplader tjenesten igennem service samba genindlæses. Vi kan også løbe smbclient -L localhost -U%. på den lokale server, og smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% fra fjerncomputeren.

Tiden er, at vi fra en fjerncomputer opretter forbindelse til den delte ressource og udfører alle de nødvendige tests. Det tilrådes at kontrollere, hvordan brugeren, der ejer mapperne og filerne, ændres, når de oprettes inden for ressourcen.

Vigtigt: Brugeren rod eller brugeren Xeon og generelt ethvert medlem af gruppen tællere, kan du skrive fra en lokal session startet på den samme computer eller ved sshuden at bruge SMB / CIFS-protokollen. Hvis du opretter en mappe eller fil lokalt, skal du huske at tildele de relevante tilladelser igen. Tjek forbi ls-l. Ikke at gøre ovenstående er kilden til meget forvirring.

Venner, tilgiv mig længden på artiklen, og jeg håber, det vil være til nytte for dig. Indtil næste eventyr!