Samba: iseseisev server Debianis

Tere, sõbrad!. Kui me tahame omada sõltumatut serverit (Standalone) ressursside jagamiseks kas meie tööjaamast; või väikese masinate rühma jaoks; või Microsofti stiilis domeenikontrollerita LAN-i jaoks on seda kõige lihtsam teha Samba abil.

Selleks on mõned graafilised tööriistad, samuti tööriist Samba haldamiseks veebi «SWAT» kaudu. Kuid, me soovitame algajatele, kes alustavad selles imelises maailmas käsitsi. See pole nii raske ega kuradima, kui paljud arvavad. Ja selle käigus saate palju teada SMB / CIFS-võrkude ning Linuxi failisüsteemide lubade ja õiguste kohta.

Enne jätkamist soovitame lugeda:

• Samba: vajalik sissejuhatus
• Samba: sirvige SMB / CIFS-võrku ilma Sambata
• Samba: SmbClient
• Samba: CIFS-utiliidid

Me ei näe kuidas printereid Samba abil jagada. Neile, kes soovivad seda komplekti sellel eesmärgil kasutada, soovitame lugeda kaasasolevat dokumentatsiooni, nagu on näidatud jaotises Samba: vajalik sissejuhatus. Samuti saate artiklit lugeda CUPS: kuidas printereid hõlpsalt kasutada ja konfigureerida.

Põhimõtted, mida tuleb arvestada

• Hoolimata kogu aurust, mis ümbritseb aktiivseid katalooge ja nende domeenikontrollereid, mis pole paljudel juhtudel vajalikud või mida pole piisavalt kasutatud, on Independent Samba Server IS installimine ja seadistamine õige ja usaldusväärne võimalus.
• Sõltumatu server võib olla vastavalt meie vajadustele sama turvaline või ebaturvaline ning me saame selle konfigureerida lihtsal või keerulisel viisil.
• Kasutaja autentimine toimub serveris endas, kus ressursid asuvad.
• Selleks, et kasutaja saaks ressurssidele juurde pääseda kaugarvutist, peavad nad olema registreeritud ka Samba kasutajabaasis.
• Saame Samba kasutajate andmebaasi lisada ainult need kasutajad, kes on juba meie serveris või töölaua masinas olemas.
• Eraldiseisev Samba server EI paku sisselogimist võrku, nagu seda teeb domeenikontroller. Samuti ei paku see domeeni sisselogimist.
• Mida vähem me faili parameetreid muudame ja / või lisame /etc/smb.conf Ilma et oleksime enne üksikasjalikult teadnud, mida me tahame saavutada, on see palju parem.
• Samba ressursside jagamise teenus töötab Linuxi failisüsteemis, sealhulgas selle olemuslik turvalisus. Paljud probleemid lahendatakse failide ja kataloogide lubadele piisava tähelepanu pööramisega.
• On hädavajalik mõista, kuidas failisüsteemi toimimist failis hallata smb.conf, samuti UNIX / Linuxi failisüsteemi turvalisuse toimimise mõistmine.
• Kaustade ja jagatud ressursside nimedes ei soovitata kasutada aktsente, eñese ega tühikuid. Eelistatavalt kasutage nimede jaoks väiketähti.
• Jagamisnimesid ei saa kohtvõrgus korrata. Iga nimi on ainulaadne.
• Kui meie LAN-is pole WINS-serverit, võime oma Samba sellisena toimima panna, lisadesglobaalne»Toimikust smb.conf parameeter võidab toetuse = jah., mis on väga soovitatav.

Prooviserver

nimi: vilistav. Domeen: sõbrad.cu. IP: 10.10.10.20. Kasutajad: kseon, zeus ja triton. Täiendavad rühmad: letid

paigaldamine

Synapticu kaudu või konsooli kaudu installime paketi samba.

sudo aptitude installib samba

Väga kasulik on ka pakett installida smbclient. Kasutame seda kontrollimiseks.

Selle käigus paketid installitakse, kuid oleme varem installinud mõned muud Suite- samba, samba-tavaline, samba-tavaline-prügikast y tdb-tööriistad. Samuti luuakse fail /etc/samba/smb.conf. See fail luuakse seni, kuni paketid on installitud samba-tavaline y samba-tavaline-prügikastja seda ei kustutata süsteemist enne, kui me need desinstallime.

Samba Suite'is on kõige olulisem fail smb.conf

Sambal on tohutult palju konfiguratsioonivõimalusi, millest enamikku pole näidatud smb.conf mis installib vaikimisi. Valikud, mida kommenteeriti tähisega «;»Neid peetakse kuvamiseks piisavalt olulisteks ja nende vaikeväärtused erinevad Samba käitumise vaikeseadetest. Seadistussuvandid kommenteerisid tähega «#«, Kas Samba on vaikimisi seadistatud ja neid peetakse oluliseks ka kuvamiseks.

Kui soovime faili sisu näha ilma kommenteeritud valikuid arvesse võtmata kas «;"või koos"#«, Me peame täitma:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Kui soovime näha faili sisu, arvestamata «#«, Me peame täitma:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Esimene asi, mida peame tegema, on faili koopia /etc/samba/smb.conf. Failist endast leiame viisi, kuidas Samba soovitab teha töökoopia, mida me üksikasjalikult kirjeldame allpool. As juur täidame:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
kokku 32 -rw-r - r-- 1 juurjuur 8. november 10 2002 gdbkäsud -rw-r - r-- 1 juurjuur 805 4. august 12:05 smb.conf -rw-r - r-- 1 juurejuur 12173 4 12. august 05:XNUMX smb.conf.master

Pange tähele sel viisil loodud smb.conf ja originaali suuruse erinevust. Kuna suurus on väiksem, suureneb serveri jõudlus vastavalt Samba meeskonna näidatule.

Faili esialgne sisu /etc/samba/smb.conf See on (pidage meeles, et me ei arenda printeri jagamist):

[globaalne]
        töörühm = SÕBRAD võrgu nimi = MIWHEEZY security = kasutaja
        serveri string =% h serveri kaart külalisele = halb kasutaja järgib pam piiranguid = jah pam parooli muutmine = jah passwd programm = / usr / bin / passwd% u passwd chat = * sisestage \ snew \ s * \ parool: *% n n * Kordage uuesti \ snew \ s * \ spassword $ unix parool sync = Jah syslog = 0 logifail = /var/log/samba/log.%m logi maksimaalne suurus = 1000 DNS puhverserver = Kasutajate ühiskasutus pole lubatud külalistel = Jah paanika = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = Kodukataloogid kehtivad kasutajad =% S create mask = 0700 kataloogimask = 0700 sirvitav = Ei

Paksus kirjas esile tõstetud väärtused on ainsad, mida peame esialgu muutma. Pange tähele, et hoolimata Samba vaikekäitumisest oleme selle võimaluse selgesõnaliselt deklareerinud turvalisus = kasutaja arvestades selle suurt tähtsust.

Kui meie LAN-is pole WINS-serverit, võime oma Samba sellisena toimima panna, lisadesglobaalne»Toimikust smb.conf parameeter võidab toetuse = jah., mis on väga soovitatav.

kuldne reegel: Mida vähem me smb.conf-faili parameetreid muudame ja / või lisame, ilma et oleksime enne üksikasjalikult teadlikud, mida saavutada tahame, seda parem on see.

Siin on lühike kokkuvõte mõnest näidatud valikust. Lisateabe saamiseks palun käivitage mees smb.conf.

• töögrupp: Juhib, millises töörühmas seadmed veebibrauseri loomisel kuvatakse. See parameeter kontrollib suvandiga töötamisel ka domeeninime turvalisus = domeen ja milles meeskond ühineb domeeniga. Näeme seda hilisemates artiklites. Vaikeväärtus on TÖÖRÜHM.
• netbiose nimi: Määrab NetBIOS-i nime, mille järgi Samba server võrgus tuntakse. Vaikimisi on see sama mis faili esimene komponent KKK peremehelt. Meie näites KKK meeskonnast on miwheezy.amigos.cu. Saame oma Samba serveri jaoks kasutada muud nime kui hosti. Sel juhul on soovitatav lisada CNAME-kirje meie DNS.
• turvalisus: Parameeter, mis mõjutab seda, kuidas kliendid reageerivad Sambale ja on failis üks olulisemaid smb.conf. Vaikeväärtus on kasutaja.
• serveri string: Määrab, milline nimi kuvatakse kommentaarides, mis ilmuvad veebibrauseris meeskonna nime kõrval.
• kaart külalisele: Parameeter, mis on kasulik ainult siis, kui see on määratud turvalisus = kasutaja o turvalisus = domeen. Väärtus "Vale kasutaja" käsib Sambal kehtetu parooli tagasi lükata, välja arvatud juhul, kui kasutajat EI OLE olemas. Sel juhul käsitletakse teda kui külalist või "Külaline«. Kui me ei soovi külalisessioone lubada, peame selle väärtuse muutma väärtuseks Mitte kunagi, mis on täpselt vaikeväärtus, ja muutke ka parameetrit usershare luba külaline a ei, mis on ka vaikeväärtus.
• alluma pam piirangutele: Kontrollib, kas Samba peab alluma PAMi enda piirangutele või mitte «Ühendatav autentimismoodul«, Kasutajakontode ja seansside haldamise direktiivide kohta. Vaikeväärtus on ei.
• pam parooli muutmine: Käsib Sambal kasutada SMB-i kliendi soovitud parooli muutmiseks PAM-i. Vaikeväärtus on ei.
• passwd programm: Kasutajatele UNIX-i paroolide määramiseks kasutatav programm.
• passwd vestlus: Kett, mis kontrollib deemoni vahel toimuvat vestlust smbd ja eelmises parameetris määratletud parooli muutmise kohalik programm.
• unix parooli sünkroonimine: Käsib Sambal sünkroonida SMB parool UNIX-i parooliga, kui esimene muutub. Vaikeväärtus on ei.
• kehtivad kasutajad: Loend kasutajatest, kellel on lubatud jagamisse sisse logida.

Taaskäivitage või laadige teenus Samba uuesti

Kui teeme olulisi muudatusi, eriti jaotises «[globaalne]" selle smb.conf, peame teenuse taaskäivitama. Kui meil on juba meie serveriga ühendatud kasutajaid, katkestame nad iga kord, kui Samba taaskäivitame. Sellepärast ja praktiliselt nüüdsest alates laadime teenuse uuesti ainult siis, kui lisame või muudame jagatud ressursse. Teenuse taaskäivitamiseks käivitame juur:

teenuse samba taaskäivitamine

Teenuse laadimiseks toimige järgmiselt.

teenuse samba uuesti laadimine

Lisame kasutajad süsteemi ja Samba kasutajate andmebaasi

Saame Samba kasutajate andmebaasi lisada ainult need kasutajad, kes on meie kohalikus serveris juba olemas.

Meie näites kasutaja xeon see lisati Wheezy installimisel. Seetõttu me ei lisa seda meeskonna kasutajatele. Kasutajate rühm on süsteemis olemas ja loodi installimise ajal.

Mõned käsuvalikud smbpasswd Heli:

• -a: Lisage määratud kasutaja kohalikku faili smbpasswd.
• -x: Märgitud kasutaja tuleb kohalikust failist smbpasswd eemaldada. Saadaval ainult siis, kui smbpasswd jookseb nagu juur.
• -d: Näidatud kasutajakonto tuleb keelata. Saadaval ainult siis, kui smbpasswd jookseb nagu juur.
• -e: Variandi vastas -d seni, kuni kasutaja konto on keelatud.

Kasutajate loomiseks oma meeskonda teeme seda tuntud käsuga adduser.

adduser zeus adduser triton

Grupi loomiseks loendurid:

lisarühma loendurid

Kasutajate lisamiseks Samba andmebaasi:

smbpasswd -a juur
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Liitume grupiga loendurid soovitud kasutajatele:

xeon loendurid adduser trioonide loendurid

Soovitav on liituda iga grupiga loodud kasutajaga Kasutajad, juhul kui tahame anda kõigile loodud kasutajatele konkreetsele ressursile õigused. Lihtsam viis mitme kasutaja grupiga liitmiseks on faili otse muutmine / etc / groupja lisades komaga eraldatud kasutajate loendi. Neid saab juhtida rühm loendurid. Eeldame, et liitume kasutajad grupiga Kasutajad.

Tööjaamas kuvaga kasutaja loodud kuvamise eemaldamiseks adduser, peame faili muutma /etc/gdm3/greeter.gsettings ja märkimata variant disable-user-list = true, nii et sisselogimisel ei kuvata Ühtegi kasutajaloendit. See on kõigi domeeniga ühendatud Windowsi klientarvutite tavapärane käitumine.

Samamoodi, kui tahame, et loodud kasutajad ei alustaks kaugseanssi ssh, redigeerime faili / etc / ssh / sshd_config ja lisage juhis faili lõppu Lubakasutajad. Näide:

[....] # ja ChallengeResponseAuthentication "ei". UsePAM jah AllowUsers xeon

Lisame jagatud ressursse

Näide 1: Soovime kausta jagada / home / xeon / muusika kõigile registreeritud kasutajatele. Luba on kirjutuskaitstud. Kõigepealt loome kausta / home / xeon / muusika konfigureerime selle omaniku ja vajadusel õigused. Kasutajana Xeon me täidame:

mkdir / home / xeon / music ls -l / home / xeon | haarama muusikat

Siis faili lõpus smb.conf lisame järgmise:

[muusika-xeon] kommentaar = Isikliku muusikakausta tee = / home / xeon / muusika ainult lugemiseks = Jah kehtivad kasutajad = @kasutajate loend = @kasutajad

Pärast faili muudatusi täidame test parm kasutajana xeon ja me laadime teenuse üles juur. Mõlemat käsku saame käivitada ka näiteks juur:

testparm teenuse samba uuesti laadimine

Värskelt konfigureeritud teenuse kontrollimiseks saame seda teha, käivitades arvutis järgmise käsu:

smbclient -L localhost -U%

Näide 2: Soovime kausta jagada / home / xeon / muusika kõigile registreeritud kasutajatele. Õigusi loetakse / kirjutatakse xeon ja ainult gruppi kuuluvate kasutajate jaoks kirjutuskaitstud Kasutajad. Meil pole vajadust kausta omanikku ega õigusi muuta. Muudame lihtsalt faili jagamise seadeid natuke smb.conf.

[music-xeon] comment = Isikliku muusikakausta tee = / home / xeon / only read music = Puuduvad kehtivad kasutajad = @users write list = xeon read list = @users

Näide 3: Soovime kausta jagada / home / xeon / raamatupidamine kasutajagrupile loendurid. Kõigil rühma liikmetel on lugemisluba. Kasutajad lõitkodalane y zeus nad saavad kirjutada jagatud kausta.

Nüüd, kui peame muutma kausta omanikku ja õigusi raamatupidamine pärast loomist, et nad saaksid kirjutada lõitkodalane y zeus kes on rühma liige loendurid. Samuti peame hoolitsema selle eest, et viimane kasutaja, kes faili loob või muudab, ei saaks selle absoluutseks omanikuks, nii et teised kirjutusõigustega kasutajad saaksid seda muuta.

On hädavajalik mõista, kuidas failisüsteemi käitumist failist käsitseda smb.conf, samuti UNIX / Linuxi failisüsteemi turvalisuse toimimise mõistmine.

Nendel juhtudel peame:

• Deklareerige mugaval ajal, kes saab jagatud kataloogi omaniku kasutajaks ja kes on omanike rühmaks.
• Luba omanike grupil kirjutada jagatud kataloogi.
• Deklareeri natuke SGID (Määra grupi ID) kataloogi loomise ajal.
• Deklareerige failis korralikult smb.conf failide ja kataloogide loomise viisid meie jagatud ressursis.

Lihtne ja võimalik lahendus praktikas on meil, kui täidame nagu juur:

mkdir / home / xeon / account chown -R juur: loendurid / home / xeon / accounting chmod -R g + ws / home / xeon / raamatupidamine ls -l / home / xeon

Ja lisame järgmise faili smb.conf lõppu:

[raamatupidamine] kommentaar = kaust raamatupidajatele tee = / kodu / xeon / raamatupidamine ainult lugemine = pole kehtivaid kasutajaid = @ raamatupidajate kirjutusloend = triton, zeusi loend = @ raamatupidajad sunnivad looma režiimi = 0660 sunnivad kataloogirežiimi = 0770

Kontrollime kohe smb.conf läbi test parm ja laadime teenuse läbi teenuse samba uuesti laadimine. Saame ka joosta smbclient -L localhost -U%. kohalikus serveris ja smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% kaugarvutist.

Aeg on see, et kaugarvutist loome ühenduse jagatud ressursiga ja teeme kõik vajalikud testid. Soovitav on kontrollida, kuidas kasutaja, kellele kaustad ja failid kuuluvad, muutub, kui need ressursis luuakse.

NB! Kasutaja juur või kasutaja xeon ja üldiselt ükskõik milline grupi liige loendurid, saate kirjutada kohalikust seansist, mis on alustatud samas arvutis või mille autor on ssh, st ilma SMB / CIFS-protokolli kasutamata. Kui loote kausta või faili kohapeal, pidage meeles, et määrake vastavad õigused uuesti. Kontrollige järgi Jäta. Ülaltoodud tegemata jätmine tekitab palju segadust.

Sõbrad, andestage mulle artikli pikkus ja ma loodan, et see on teile kasulik. Järgmise seikluseni!