Samba: Standalone Server auf Debian

Hallo Freunde!. Wenn wir einen unabhängigen Server haben wollen (Standalone) Ressourcen zu teilen entweder von unserem Arbeitsplatz aus; oder für eine kleine Gruppe von Maschinen; oder für ein LAN ohne Microsoft-Domänencontroller ist es am einfachsten, dies mit Samba zu tun.

Zu diesem Zweck gibt es einige grafische Tools sowie das Tool zur Verwaltung von Samba über das Web «SWAT». Jedoch, wir empfehlen für Anfänger, die manuell in diese wunderbare Welt starten. Es ist nicht so schwierig oder teuflisch, wie viele denken. Dabei lernen Sie viel über SMB / CIFS-Netzwerke und über Berechtigungen und Rechte auf Linux-Dateisystemen.

Bevor Sie fortfahren, empfehlen wir Folgendes zu lesen:

• Samba: Notwendige Einführung
• Samba: Durchsuchen Sie ein SMB / CIFS-Netzwerk ohne Samba
• Samba:SmbClient
• Samba: CIFS-Dienstprogramme

Wir werden nicht sehen So geben Sie Drucker mit Samba frei. Für diejenigen, die diese Suite für diese Zwecke verwenden möchten, empfehlen wir, die zugehörige Dokumentation wie in angegeben zu lesen Samba: Notwendige Einführung. Sie können den Artikel auch lesen CUPS: So verwenden und konfigurieren Sie Drucker auf einfache Weise.

Grundlegende Punkte zu beachten

• Trotz aller Aura, die Active Directories und ihre Domänencontroller umgibt und die bei zahlreichen Gelegenheiten nicht erforderlich sind oder nur unzureichend genutzt werden, ist die Installation und Konfiguration eines unabhängigen Samba-Servers eine gültige und zuverlässige Option.
• Ein unabhängiger Server kann je nach unseren Anforderungen genauso sicher oder unsicher sein und wir können ihn auf einfache oder komplexe Weise konfigurieren.
• Die Benutzerauthentifizierung wird auf dem Server selbst durchgeführt, auf dem sich die Ressourcen befinden.
• Damit ein Benutzer von einem Remotecomputer aus auf Ressourcen zugreifen kann, muss er auch in der Samba-Benutzerbasis registriert sein.
• Wir können der Samba-Benutzerdatenbank nur diejenigen Benutzer hinzufügen, die bereits auf unserem Server oder Desktop-Computer vorhanden sind.
• Ein eigenständiger Samba-Server bietet KEINE Netzwerkanmeldung wie ein Domänencontroller. Es wird auch keine Anmeldung bei einer Domain bereitgestellt.
• Je weniger wir ändern und / oder Parameter zur Datei hinzufügen /etc/smb.conf Ohne vorher genau zu wissen, was wir erreichen wollen, wird es viel besser.
• Der Dienst zur gemeinsamen Nutzung von Ressourcen in Samba funktioniert auf dem Linux-Dateisystem, einschließlich seiner inhärenten Sicherheit. Viele Probleme werden gelöst, indem die Datei- und Verzeichnisberechtigungen gebührend berücksichtigt werden.
• Es ist wichtig zu verstehen, wie mit dem Verhalten des Dateisystems aus der Datei umgegangen wird smb.confsowie zu verstehen, wie die Sicherheit von UNIX / Linux-Dateisystemen funktioniert.
• Wir empfehlen, keine Akzente, Eñes oder Leerzeichen in den Namen von Ordnern und freigegebenen Ressourcen zu verwenden. Verwenden Sie für Namen vorzugsweise Kleinbuchstaben.
• Freigabenamen können in einem LAN nicht wiederholt werden. Jeder Name ist einzigartig.
• Wenn sich in unserem LAN KEIN WINS-Server befindet, können wir unseren Samba als solchen fungieren lassen, indem wir «hinzufügenglobale »Aus der Datei smb.conf der Parameter gewinnt Unterstützung = Ja., was sehr zu empfehlen ist.

Beispielserver

Name: mies. Domain: Freunde.cu. IP: 10.10.10.20. Usuarios: Xeon, Zeus und Triton. Zusätzliche Gruppen: Zähler

Übliche Installationen

Über Synaptic oder über die Konsole installieren wir das Paket Samba.

sudo aptitude installiere samba

Es ist sehr nützlich, das Paket auch zu installieren smbclient. Wir werden es für Schecks verwenden.

Dabei werden die Pakete installiert - wir haben jedoch bereits einige andere Pakete installiert, die sich auf die Suite beziehen. Samba, Samba-Common, Samba-Common-Bin y TDB-Tools. Außerdem wird die Datei erstellt /etc/samba/smb.conf. Diese Datei wird erstellt, solange die Pakete installiert sind Samba-Common y Samba-Common-Binund es wird nicht aus dem System gelöscht, bis wir sie deinstallieren.

Die Datei smb.conf ist die wichtigste in der Samba Suite

Samba verfügt über eine Vielzahl von Konfigurationsoptionen, von denen die meisten im Beispiel von nicht gezeigt werden smb.conf welches standardmäßig installiert wird. Die Optionen kommentierten mit einem «;»Werden als wichtig genug angesehen, um angezeigt zu werden, und ihre Standardwerte unterscheiden sich von den Standardeinstellungen für das Samba-Verhalten. Die Konfigurationsoptionen wurden mit einem «kommentiert#«, Haben Sie die Samba-Standardwerte und werden auch als wichtig angesehen, um angezeigt zu werden.

Wenn wir den Inhalt der Datei sehen möchten, ohne die kommentierten Optionen zu berücksichtigen, entweder mit «;" oder mit "#«, Wir müssen ausführen:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Wenn wir den Inhalt der Datei sehen möchten, ohne die mit «kommentierten Optionen zu berücksichtigen#«, Wir müssen ausführen:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Als erstes muss eine Kopie der Datei erstellt werden /etc/samba/smb.conf. In der Datei selbst finden wir die Art und Weise, wie Samba empfiehlt, eine Arbeitskopie zu erstellen, die wir unten detailliert beschreiben. Wie Wurzel wir führen aus:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
insgesamt 32 -rw-r - r-- 1 Wurzelwurzel 8 Nov 10 2002 gdbcommands -rw-r - r-- 1 Wurzelwurzel 805 Aug 4 12:05 smb.conf -rw-r - r-- 1 root root 12173 4. August 12:05 smb.conf.master

Beachten Sie den Größenunterschied zwischen der auf diese Weise generierten smb.conf und dem Original. Wenn die Größe kleiner ist, steigt die Leistung des Servers gemäß den Angaben des Samba-Teams.

Der ursprüngliche Inhalt der Datei /etc/samba/smb.conf Es wird sein (denken Sie daran, dass wir keine Druckerfreigabe entwickeln werden):

[global]
        Arbeitsgruppe = FRIENDS netbios name = MIWHEEZY security = user
        Serverzeichenfolge =% h Serverzuordnung zu Gast = Schlechter Benutzer befolgt Pam-Einschränkungen = Ja Pam-Passwortänderung = Ja passwd program = / usr / bin / passwd% u passwd chat = * Geben Sie \ snew \ s * \ spassword ein: *% n \ n * Retype \ snew \ s * \ spassword $ unix password sync = Ja syslog = 0 Protokolldatei = /var/log/samba/log.%m maximale Protokollgröße = 1000 DNS-Proxy = Nein Benutzer dürfen Gäste zulassen = Ja Panikaktion = / usr / share / samba / panic-action% d idmap config *: backend = tdb [home] comment = Home-Verzeichnisse gültige Benutzer =% S create mask = 0700 Verzeichnis mask = 0700 browsereable = No.

Die fett hervorgehobenen Werte sind die einzigen, die wir zunächst ändern müssen. Beachten Sie, dass wir die Option explizit deklariert haben, obwohl dies das Standardverhalten von Samba ist Sicherheit = Benutzer angesichts seiner großen Bedeutung.

Wenn sich in unserem LAN KEIN WINS-Server befindet, können wir unseren Samba als solchen fungieren lassen, indem wir «hinzufügenglobale »Aus der Datei smb.conf der Parameter gewinnt Unterstützung = Ja., was sehr zu empfehlen ist.

goldene Regel: Je weniger wir Parameter in die Datei smb.conf ändern und / oder hinzufügen, ohne vorher genau zu wissen, was wir erreichen wollen, desto besser wird es.

Hier finden Sie eine kurze Zusammenfassung einiger der angezeigten Optionen. Für weitere Informationen führen Sie bitte aus Mann smb.conf.

• Arbeitsgruppe: Steuert, in welcher Arbeitsgruppe das Gerät angezeigt wird, wenn ein Webbrowser erstellt wird. Dieser Parameter steuert auch den Domänennamen, wenn Sie mit der Option arbeiten Sicherheit = Domain und in dem das Team einer Domain beitritt. Wir werden es in späteren Artikeln sehen. Der Standardwert ist Arbeitsgruppe.
• Netbios-Name: Legt den NetBIOS-Namen fest, unter dem der Samba-Server im Netzwerk bekannt ist. Standardmäßig ist es dasselbe wie die erste Komponente des FQDN vom Gastgeber. In unserem Beispiel die FQDN des Teams ist miwheezy.amigos.cu. Wir können für unseren Samba-Server einen anderen Namen als den Host verwenden. In diesem Fall ist es ratsam, einen CNAME-Datensatz in unser Dokument aufzunehmen DNS.
• Sicherheitdienst: Parameter, der die Reaktion von Clients auf Samba beeinflusst und einer der wichtigsten in der Datei ist smb.conf. Der Standardwert ist Benutzer.
• Server-String: Steuert, welcher Name in den Kommentaren angezeigt wird, die in einem Webbrowser neben dem Teamnamen angezeigt werden.
• Karte zum Gast: Parameter, der nur nützlich ist, wenn er eingestellt ist Sicherheit = Benutzer o Sicherheit = Domain. Der Wert "Bad User" weist Samba an, ein ungültiges Passwort abzulehnen, es sei denn, der Benutzer existiert NICHT. In diesem Fall werden sie als Gast oder "Gast«. Wenn wir keine Gastsitzungen zulassen möchten, müssen wir den Wert in ändern NieDies ist genau der Standardwert und ändert auch den Parameter Benutzer teilen Gast zu a nichtDies ist auch der Standardwert.
• pam Einschränkungen einhalten: Steuert, ob Samba die eigenen Einschränkungen von PAM einhalten muss oder nicht «Steckbares Authentifizierungsmodul«, In Bezug auf die Richtlinien zur Verwaltung von Benutzerkonten und Sitzungen. Der Standardwert ist nicht.
• Änderung des Pam-Passworts: Weist Samba an, PAM für Kennwortänderungen zu verwenden, die von einem SMB-Client angefordert werden. Der Standardwert ist nicht.
• passwd Programm: Programm zum Festlegen von UNIX-Kennwörtern für Benutzer.
• Passwort-Chat: Kette, die das Gespräch zwischen dem Dämon steuert jmd und das lokale Programm für die Passwortänderung, das im vorherigen Parameter definiert wurde.
• Unix-Passwortsynchronisierung: Weist Samba an, das SMB-Passwort mit dem UNIX-Passwort zu synchronisieren, solange sich das vorherige ändert. Der Standardwert ist nicht.
• gültige Benutzer: Liste der Benutzer, die sich bei einer Freigabe anmelden dürfen.

Starten Sie den Samba-Dienst neu oder laden Sie ihn neu

Wann immer wir wesentliche Änderungen vornehmen, insbesondere im Abschnitt «[global]" des smb.confmüssen wir den Dienst neu starten. Wenn wir bereits Benutzer mit unserem Server verbunden haben, werden wir sie bei jedem Neustart von Samba trennen. Aus diesem Grund werden wir den Dienst praktisch von nun an nur dann neu laden, wenn wir freigegebene Ressourcen hinzufügen oder ändern. Um den Dienst neu zu starten, führen wir als aus Wurzel:

Service Samba Neustart

So laden Sie den Dienst auf:

Service Samba neu laden

Wir fügen die Benutzer dem System und der Samba-Benutzerdatenbank hinzu

Wir können der Samba-Benutzerdatenbank nur diejenigen Benutzer hinzufügen, die bereits auf unserem lokalen Server vorhanden sind.

In unserem Beispiel der Benutzer xeon Es wurde während der Installation von Wheezy hinzugefügt. Daher werden wir es nicht zu Teambenutzern hinzufügen. Die Benutzergruppe existiert auf dem System und wurde während der Installation erstellt.

Einige Befehlsoptionen smbpasswd sind:

• -a: Fügen Sie den angegebenen Benutzer zur lokalen Datei smbpasswd hinzu.
• -x: Der angegebene Benutzer muss aus der lokalen Datei smbpasswd entfernt werden. Nur verfügbar wenn smbpasswd läuft als Wurzel.
• -d: Das angegebene Benutzerkonto muss deaktiviert sein. Nur verfügbar wenn smbpasswd läuft als Wurzel.
• -e: Gegenteil von Option -d solange das Benutzerkonto deaktiviert ist.

Um die Benutzer in unserem Team zu erstellen, tun wir dies mit dem bekannten Befehl adduser.

Adduser Zeus Adduser Triton

So erstellen Sie die Gruppe contadores:

Addgroup-Zähler

So fügen Sie Benutzer zur Samba-Datenbank hinzu:

smbpasswd -eine Wurzel
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a Triton

Wir schließen uns der Gruppe an contadores an die Benutzer, die wir wollen:

Adduser Xeon Zähler Adduser Zeus Zähler Adduser Triton Zähler

Es wird empfohlen, jedem erstellten Benutzer der Gruppe beizutreten Nutzer, falls wir allen von uns erstellten Benutzern Berechtigungen für eine bestimmte Ressource erteilen möchten. Eine einfachere Möglichkeit, mehrere Benutzer einer Gruppe beizutreten, besteht darin, die Datei direkt zu bearbeiten / etc / groupund Hinzufügen der durch Komma getrennten Benutzerliste. Sie können von der Gruppe geführt werden contadores. Wir gehen davon aus, dass wir die Benutzer der Gruppe beitreten Nutzer.

Entfernen Sie auf einer Workstation die Anzeige von Benutzern, die mit erstellt wurden addusermüssen wir die Datei bearbeiten /etc/gdm3/greeter.gsettings und kommentieren Sie die Option aus disable-user-list = true, so dass beim Anmelden KEINE Benutzerliste angezeigt wird. Dies ist das Standardverhalten aller Windows-Clientcomputer, die einer Domäne angehören.

Auf die gleiche Weise, wenn die erstellten Benutzer keine Remotesitzung über starten sollen sshWir bearbeiten die Datei / etc / ssh / sshd_config und fügen Sie am Ende der Datei die Anweisung hinzu Benutzer zulassen. Beispiel:

[....] # und ChallengeResponseAuthentication auf 'no'. UsePAM yes AllowUsers xeon

Wir fügen gemeinsam genutzte Ressourcen hinzu

Beispiel 1: Wir möchten den Ordner freigeben / home / xeon / music für alle registrierten Benutzer. Die Berechtigung ist schreibgeschützt. Zuerst erstellen wir den Ordner / home / xeon / music und wir konfigurieren den Besitzer und die Berechtigungen, falls erforderlich. Als Benutzer Xeon wir führen aus:

mkdir / home / xeon / music ls -l / home / xeon | grep Musik

Dann am Ende der Datei smb.conf Wir fügen Folgendes hinzu:

[music-xeon] comment = Pfad des persönlichen Musikordners = / home / xeon / music schreibgeschützt = Ja gültige Benutzer = @users read list = @users

Nach den Änderungen an der Datei führen wir aus Testparm als Benutzer xeon und wir laden den Service auf als Wurzel. Wir können auch beide Befehle wie ausführen Wurzel:

testparm service samba neu laden

Um den neu konfigurierten Dienst zu überprüfen, können Sie den folgenden Befehl auf dem Computer selbst ausführen:

smbclient -L lokaler Host -U%

Beispiel 2: Wir möchten den Ordner freigeben / home / xeon / music für alle registrierten Benutzer. Die Berechtigungen werden gelesen / geschrieben xeon und schreibgeschützt für den Rest der Benutzer, die zur Gruppe gehören Nutzer. Wir müssen weder den Eigentümer noch die Berechtigungen für den Ordner ändern. Wir ändern nur die Freigabeeinstellungen in der Datei ein wenig smb.conf.

[music-xeon] comment = Pfad des persönlichen Musikordners = / home / xeon / music read only = Keine gültigen Benutzer = @users write list = xeon read list = @users

Beispiel 3: Wir möchten den Ordner freigeben / home / xeon / buchhaltung für Benutzergruppe contadores. Alle Gruppenmitglieder haben Leseberechtigung. Die Benutzer triton y Zeus Sie können in den freigegebenen Ordner schreiben.

Nun, wenn wir den Besitzer und die Berechtigungen des Ordners ändern müssen contabilidad nach erstellt, damit sie schreiben können triton y Zeus Wer ist ein Mitglied der Gruppe contadores. Wir müssen auch darauf achten, dass der letzte Benutzer, der eine Datei erstellt oder ändert, nicht ihr absoluter Eigentümer wird, damit sie von anderen Benutzern mit Schreibberechtigungen geändert werden kann.

Es ist wichtig zu verstehen, wie das Verhalten des Dateisystems von der smb.confsowie zu verstehen, wie die Sicherheit von UNIX / Linux-Dateisystemen funktioniert.

In diesen Fällen müssen wir:

• Geben Sie nach Belieben an, wer der Eigentümer und wer die Eigentümergruppe des freigegebenen Verzeichnisses sein wird.
• Erlauben Sie der Eigentümergruppe das Schreiben in das freigegebene Verzeichnis.
• Deklarieren Sie das Bit SGID (Gruppen-ID festlegen) des Verzeichnisses während seiner Erstellung.
• In der Datei richtig deklarieren smb.conf die Möglichkeiten zum Erstellen von Dateien und Verzeichnissen in unserer gemeinsam genutzten Ressource.

Eine einfache und mögliche Lösung in der Praxis haben wir, wenn wir führen als aus Wurzel:

mkdir / home / xeon / Buchhaltung chown -R Wurzel: Zähler / home / xeon / Buchhaltung chmod -R g + ws / home / xeon / Buchhaltung ls -l / home / xeon

Und wir fügen am Ende der Datei smb.conf Folgendes hinzu:

[Buchhaltung] Kommentar = Ordner für Buchhalter Pfad = / home / xeon / Buchhaltung schreibgeschützt = Keine gültigen Benutzer = @ Buchhalter Schreibliste = Triton, Zeus Leseliste = @ Buchhalter erzwingen Erstellungsmodus = 0660 erzwingen Verzeichnismodus = 0770

Wir überprüfen sofort die grundlegende Syntax des smb.conf durch Testparm und wir laden den Service durch auf Service Samba neu laden. Wir können auch rennen smbclient -L lokaler Host -U%. auf dem lokalen Server und smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% vom Remote-Computer.

Es ist an der Zeit, dass wir von einem Remotecomputer aus eine Verbindung zur freigegebenen Ressource herstellen und alle erforderlichen Tests durchführen. Es wird empfohlen zu überprüfen, wie sich der Benutzer, dem die Ordner und Dateien gehören, ändert, wenn sie in der Ressource erstellt werden.

Wichtig: Der Benutzer Wurzel oder der Benutzer xeon und im Allgemeinen jedes Mitglied der Gruppe contadoreskönnen Sie von einer lokalen Sitzung aus schreiben, die auf demselben Computer oder von gestartet wurde sshdas heißt, ohne das SMB / CIFS-Protokoll zu verwenden. Wenn Sie einen Ordner oder eine Datei lokal erstellen, müssen Sie die entsprechenden Berechtigungen neu zuweisen. Überprüfen Sie durch ls -l. Wenn Sie dies nicht tun, wird viel Verwirrung gestiftet.

Freunde, vergib mir die Länge des Artikels und ich hoffe, dass er dir von Nutzen sein wird. Bis zum nächsten Abenteuer!