Tere, sõbrad!. Kui me tahame omada sõltumatut serverit (Standalone) ressursside jagamiseks kas meie tööjaamast; või väikese masinate rühma jaoks; või Microsofti stiilis domeenikontrollerita LAN-i jaoks on seda kõige lihtsam teha Samba abil.
Selleks on mõned graafilised tööriistad, samuti tööriist Samba haldamiseks veebi «SWAT» kaudu. Kuid, me soovitame algajatele, kes alustavad selles imelises maailmas käsitsi. See pole nii raske ega kuradima, kui paljud arvavad. Ja selle käigus saate palju teada SMB / CIFS-võrkude ning Linuxi failisüsteemide lubade ja õiguste kohta.
Enne jätkamist soovitame lugeda:
- Samba: vajalik sissejuhatus
- Samba: sirvige SMB / CIFS-võrku ilma Sambata
- Samba: SmbClient
- Samba: CIFS-utiliidid
Me ei näe kuidas printereid Samba abil jagada. Neile, kes soovivad seda komplekti sellel eesmärgil kasutada, soovitame lugeda kaasasolevat dokumentatsiooni, nagu on näidatud jaotises Samba: vajalik sissejuhatus. Samuti saate artiklit lugeda CUPS: kuidas printereid hõlpsalt kasutada ja konfigureerida.
Põhimõtted, mida tuleb arvestada
- Hoolimata kogu aurust, mis ümbritseb aktiivseid katalooge ja nende domeenikontrollereid, mis pole paljudel juhtudel vajalikud või mida pole piisavalt kasutatud, on Independent Samba Server IS installimine ja seadistamine õige ja usaldusväärne võimalus.
- Sõltumatu server võib olla vastavalt meie vajadustele sama turvaline või ebaturvaline ning me saame selle konfigureerida lihtsal või keerulisel viisil.
- Kasutaja autentimine toimub serveris endas, kus ressursid asuvad.
- Selleks, et kasutaja saaks ressurssidele juurde pääseda kaugarvutist, peavad nad olema registreeritud ka Samba kasutajabaasis.
- Saame Samba kasutajate andmebaasi lisada ainult need kasutajad, kes on juba meie serveris või töölaua masinas olemas.
- Eraldiseisev Samba server EI paku sisselogimist võrku, nagu seda teeb domeenikontroller. Samuti ei paku see domeeni sisselogimist.
- Mida vähem me faili parameetreid muudame ja / või lisame /etc/smb.conf Ilma et oleksime enne üksikasjalikult teadnud, mida me tahame saavutada, on see palju parem.
- Samba ressursside jagamise teenus töötab Linuxi failisüsteemis, sealhulgas selle olemuslik turvalisus. Paljud probleemid lahendatakse failide ja kataloogide lubadele piisava tähelepanu pööramisega.
- On hädavajalik mõista, kuidas failisüsteemi toimimist failis hallata smb.conf, samuti UNIX / Linuxi failisüsteemi turvalisuse toimimise mõistmine.
- Kaustade ja jagatud ressursside nimedes ei soovitata kasutada aktsente, eñese ega tühikuid. Eelistatavalt kasutage nimede jaoks väiketähti.
- Jagamisnimesid ei saa kohtvõrgus korrata. Iga nimi on ainulaadne.
- Kui meie LAN-is pole WINS-serverit, võime oma Samba sellisena toimima panna, lisadesglobaalne»Toimikust smb.conf parameeter võidab toetuse = jah., mis on väga soovitatav.
Prooviserver
nimi: vilistav. Domeen: sõbrad.cu. IP: 10.10.10.20. Kasutajad: kseon, zeus ja triton. Täiendavad rühmad: letid
paigaldamine
Synapticu kaudu või konsooli kaudu installime paketi samba.
sudo aptitude installib samba
Väga kasulik on ka pakett installida smbclient. Kasutame seda kontrollimiseks.
Selle käigus paketid installitakse, kuid oleme varem installinud mõned muud Suite- samba, samba-tavaline, samba-tavaline-prügikast y tdb-tööriistad. Samuti luuakse fail /etc/samba/smb.conf. See fail luuakse seni, kuni paketid on installitud samba-tavaline y samba-tavaline-prügikastja seda ei kustutata süsteemist enne, kui me need desinstallime.
Samba Suite'is on kõige olulisem fail smb.conf
Sambal on tohutult palju konfiguratsioonivõimalusi, millest enamikku pole näidatud smb.conf mis installib vaikimisi. Valikud, mida kommenteeriti tähisega «;»Neid peetakse kuvamiseks piisavalt olulisteks ja nende vaikeväärtused erinevad Samba käitumise vaikeseadetest. Seadistussuvandid kommenteerisid tähega «#«, Kas Samba on vaikimisi seadistatud ja neid peetakse oluliseks ka kuvamiseks.
Kui soovime faili sisu näha ilma kommenteeritud valikuid arvesse võtmata kas «;"või koos"#«, Me peame täitma:
egrep -v '# |; | ^ * $' /etc/samba/smb.conf
Kui soovime näha faili sisu, arvestamata «#«, Me peame täitma:
egrep -v '# | ^ * $' /etc/samba/smb.conf
Esimene asi, mida peame tegema, on faili koopia /etc/samba/smb.conf. Failist endast leiame viisi, kuidas Samba soovitab teha töökoopia, mida me üksikasjalikult kirjeldame allpool. As juur täidame:
cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf root @ miwheezy: / etc / samba # ls -l kokku 32 -rw-r - r-- 1 juurjuur 8. november 10 2002 gdbkäsud -rw-r - r-- 1 juurjuur 805 4. august 12:05 smb.conf -rw-r - r-- 1 juurejuur 12173 4 12. august 05:XNUMX smb.conf.master
Pange tähele sel viisil loodud smb.conf ja originaali suuruse erinevust. Kuna suurus on väiksem, suureneb serveri jõudlus vastavalt Samba meeskonna näidatule.
Faili esialgne sisu /etc/samba/smb.conf See on (pidage meeles, et me ei arenda printeri jagamist):
[globaalne] töörühm = SÕBRAD võrgu nimi = MIWHEEZY security = kasutaja serveri string =% h serveri kaart külalisele = halb kasutaja järgib pam piiranguid = jah pam parooli muutmine = jah passwd programm = / usr / bin / passwd% u passwd chat = * sisestage \ snew \ s * \ parool: *% n n * Kordage uuesti \ snew \ s * \ spassword $ unix parool sync = Jah syslog = 0 logifail = /var/log/samba/log.%m logi maksimaalne suurus = 1000 DNS puhverserver = Kasutajate ühiskasutus pole lubatud külalistel = Jah paanika = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = Kodukataloogid kehtivad kasutajad =% S create mask = 0700 kataloogimask = 0700 sirvitav = Ei
Paksus kirjas esile tõstetud väärtused on ainsad, mida peame esialgu muutma. Pange tähele, et hoolimata Samba vaikekäitumisest oleme selle võimaluse selgesõnaliselt deklareerinud turvalisus = kasutaja arvestades selle suurt tähtsust.
Kui meie LAN-is pole WINS-serverit, võime oma Samba sellisena toimima panna, lisadesglobaalne»Toimikust smb.conf parameeter võidab toetuse = jah., mis on väga soovitatav.
kuldne reegel: Mida vähem me smb.conf-faili parameetreid muudame ja / või lisame, ilma et oleksime enne üksikasjalikult teadlikud, mida saavutada tahame, seda parem on see.
Siin on lühike kokkuvõte mõnest näidatud valikust. Lisateabe saamiseks palun käivitage mees smb.conf.
- töögrupp: Juhib, millises töörühmas seadmed veebibrauseri loomisel kuvatakse. See parameeter kontrollib suvandiga töötamisel ka domeeninime turvalisus = domeen ja milles meeskond ühineb domeeniga. Näeme seda hilisemates artiklites. Vaikeväärtus on TÖÖRÜHM.
- netbiose nimi: Määrab NetBIOS-i nime, mille järgi Samba server võrgus tuntakse. Vaikimisi on see sama mis faili esimene komponent KKK peremehelt. Meie näites KKK meeskonnast on miwheezy.amigos.cu. Saame oma Samba serveri jaoks kasutada muud nime kui hosti. Sel juhul on soovitatav lisada CNAME-kirje meie DNS.
- turvalisus: Parameeter, mis mõjutab seda, kuidas kliendid reageerivad Sambale ja on failis üks olulisemaid smb.conf. Vaikeväärtus on kasutaja.
- serveri string: Määrab, milline nimi kuvatakse kommentaarides, mis ilmuvad veebibrauseris meeskonna nime kõrval.
- kaart külalisele: Parameeter, mis on kasulik ainult siis, kui see on määratud turvalisus = kasutaja o turvalisus = domeen. Väärtus "Vale kasutaja" käsib Sambal kehtetu parooli tagasi lükata, välja arvatud juhul, kui kasutajat EI OLE olemas. Sel juhul käsitletakse teda kui külalist või "Külaline«. Kui me ei soovi külalisessioone lubada, peame selle väärtuse muutma väärtuseks Mitte kunagi, mis on täpselt vaikeväärtus, ja muutke ka parameetrit usershare luba külaline a ei, mis on ka vaikeväärtus.
- alluma pam piirangutele: Kontrollib, kas Samba peab alluma PAMi enda piirangutele või mitte «Ühendatav autentimismoodul«, Kasutajakontode ja seansside haldamise direktiivide kohta. Vaikeväärtus on ei.
- pam parooli muutmine: Käsib Sambal kasutada SMB-i kliendi soovitud parooli muutmiseks PAM-i. Vaikeväärtus on ei.
- passwd programm: Kasutajatele UNIX-i paroolide määramiseks kasutatav programm.
- passwd vestlus: Kett, mis kontrollib deemoni vahel toimuvat vestlust smbd ja eelmises parameetris määratletud parooli muutmise kohalik programm.
- unix parooli sünkroonimine: Käsib Sambal sünkroonida SMB parool UNIX-i parooliga, kui esimene muutub. Vaikeväärtus on ei.
- kehtivad kasutajad: Loend kasutajatest, kellel on lubatud jagamisse sisse logida.
Taaskäivitage või laadige teenus Samba uuesti
Kui teeme olulisi muudatusi, eriti jaotises «[globaalne]" selle smb.conf, peame teenuse taaskäivitama. Kui meil on juba meie serveriga ühendatud kasutajaid, katkestame nad iga kord, kui Samba taaskäivitame. Sellepärast ja praktiliselt nüüdsest alates laadime teenuse uuesti ainult siis, kui lisame või muudame jagatud ressursse. Teenuse taaskäivitamiseks käivitame juur:
teenuse samba taaskäivitamine
Teenuse laadimiseks toimige järgmiselt.
teenuse samba uuesti laadimine
Lisame kasutajad süsteemi ja Samba kasutajate andmebaasi
Saame Samba kasutajate andmebaasi lisada ainult need kasutajad, kes on meie kohalikus serveris juba olemas.
Meie näites kasutaja xeon see lisati Wheezy installimisel. Seetõttu me ei lisa seda meeskonna kasutajatele. Kasutajate rühm on süsteemis olemas ja loodi installimise ajal.
Mõned käsuvalikud smbpasswd Heli:
- -a: Lisage määratud kasutaja kohalikku faili smbpasswd.
- -x: Märgitud kasutaja tuleb kohalikust failist smbpasswd eemaldada. Saadaval ainult siis, kui smbpasswd jookseb nagu juur.
- -d: Näidatud kasutajakonto tuleb keelata. Saadaval ainult siis, kui smbpasswd jookseb nagu juur.
- -e: Variandi vastas -d seni, kuni kasutaja konto on keelatud.
Kasutajate loomiseks oma meeskonda teeme seda tuntud käsuga adduser.
adduser zeus adduser triton
Grupi loomiseks loendurid:
lisarühma loendurid
Kasutajate lisamiseks Samba andmebaasi:
smbpasswd -a juur smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton
Liitume grupiga loendurid soovitud kasutajatele:
xeon loendurid adduser trioonide loendurid
Soovitav on liituda iga grupiga loodud kasutajaga Kasutajad, juhul kui tahame anda kõigile loodud kasutajatele konkreetsele ressursile õigused. Lihtsam viis mitme kasutaja grupiga liitmiseks on faili otse muutmine / etc / groupja lisades komaga eraldatud kasutajate loendi. Neid saab juhtida rühm loendurid. Eeldame, et liitume kasutajad grupiga Kasutajad.
Tööjaamas kuvaga kasutaja loodud kuvamise eemaldamiseks adduser, peame faili muutma /etc/gdm3/greeter.gsettings ja märkimata variant disable-user-list = true, nii et sisselogimisel ei kuvata Ühtegi kasutajaloendit. See on kõigi domeeniga ühendatud Windowsi klientarvutite tavapärane käitumine.
Samamoodi, kui tahame, et loodud kasutajad ei alustaks kaugseanssi ssh, redigeerime faili / etc / ssh / sshd_config ja lisage juhis faili lõppu Lubakasutajad. Näide:
[....] # ja ChallengeResponseAuthentication "ei". UsePAM jah AllowUsers xeon
Lisame jagatud ressursse
Näide 1: Soovime kausta jagada / home / xeon / muusika kõigile registreeritud kasutajatele. Luba on kirjutuskaitstud. Kõigepealt loome kausta / home / xeon / muusika konfigureerime selle omaniku ja vajadusel õigused. Kasutajana Xeon me täidame:
mkdir / home / xeon / music ls -l / home / xeon | haarama muusikat
Siis faili lõpus smb.conf lisame järgmise:
[muusika-xeon] kommentaar = Isikliku muusikakausta tee = / home / xeon / muusika ainult lugemiseks = Jah kehtivad kasutajad = @kasutajate loend = @kasutajad
Pärast faili muudatusi täidame test parm kasutajana xeon ja me laadime teenuse üles juur. Mõlemat käsku saame käivitada ka näiteks juur:
testparm teenuse samba uuesti laadimine
Värskelt konfigureeritud teenuse kontrollimiseks saame seda teha, käivitades arvutis järgmise käsu:
smbclient -L localhost -U%
Näide 2: Soovime kausta jagada / home / xeon / muusika kõigile registreeritud kasutajatele. Õigusi loetakse / kirjutatakse xeon ja ainult gruppi kuuluvate kasutajate jaoks kirjutuskaitstud Kasutajad. Meil pole vajadust kausta omanikku ega õigusi muuta. Muudame lihtsalt faili jagamise seadeid natuke smb.conf.
[music-xeon] comment = Isikliku muusikakausta tee = / home / xeon / only read music = Puuduvad kehtivad kasutajad = @users write list = xeon read list = @users
Näide 3: Soovime kausta jagada / home / xeon / raamatupidamine kasutajagrupile loendurid. Kõigil rühma liikmetel on lugemisluba. Kasutajad lõitkodalane y zeus nad saavad kirjutada jagatud kausta.
Nüüd, kui peame muutma kausta omanikku ja õigusi raamatupidamine pärast loomist, et nad saaksid kirjutada lõitkodalane y zeus kes on rühma liige loendurid. Samuti peame hoolitsema selle eest, et viimane kasutaja, kes faili loob või muudab, ei saaks selle absoluutseks omanikuks, nii et teised kirjutusõigustega kasutajad saaksid seda muuta.
On hädavajalik mõista, kuidas failisüsteemi käitumist failist käsitseda smb.conf, samuti UNIX / Linuxi failisüsteemi turvalisuse toimimise mõistmine.
Nendel juhtudel peame:
- Deklareerige mugaval ajal, kes saab jagatud kataloogi omaniku kasutajaks ja kes on omanike rühmaks.
- Luba omanike grupil kirjutada jagatud kataloogi.
- Deklareeri natuke SGID (Määra grupi ID) kataloogi loomise ajal.
- Deklareerige failis korralikult smb.conf failide ja kataloogide loomise viisid meie jagatud ressursis.
Lihtne ja võimalik lahendus praktikas on meil, kui täidame nagu juur:
mkdir / home / xeon / account chown -R juur: loendurid / home / xeon / accounting chmod -R g + ws / home / xeon / raamatupidamine ls -l / home / xeon
Ja lisame järgmise faili smb.conf lõppu:
[raamatupidamine] kommentaar = kaust raamatupidajatele tee = / kodu / xeon / raamatupidamine ainult lugemine = pole kehtivaid kasutajaid = @ raamatupidajate kirjutusloend = triton, zeusi loend = @ raamatupidajad sunnivad looma režiimi = 0660 sunnivad kataloogirežiimi = 0770
Kontrollime kohe smb.conf läbi test parm ja laadime teenuse läbi teenuse samba uuesti laadimine. Saame ka joosta smbclient -L localhost -U%. kohalikus serveris ja smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% kaugarvutist.
Aeg on see, et kaugarvutist loome ühenduse jagatud ressursiga ja teeme kõik vajalikud testid. Soovitav on kontrollida, kuidas kasutaja, kellele kaustad ja failid kuuluvad, muutub, kui need ressursis luuakse.
NB! Kasutaja juur või kasutaja xeon ja üldiselt ükskõik milline grupi liige loendurid, saate kirjutada kohalikust seansist, mis on alustatud samas arvutis või mille autor on ssh, st ilma SMB / CIFS-protokolli kasutamata. Kui loote kausta või faili kohapeal, pidage meeles, et määrake vastavad õigused uuesti. Kontrollige järgi Jäta. Ülaltoodud tegemata jätmine tekitab palju segadust.
Sõbrad, andestage mulle artikli pikkus ja ma loodan, et see on teile kasulik. Järgmise seikluseni!
Suurepärane nagu alati. Seda tüüpi artikleid hinnatakse, kui töötame serveritega. 😉
Väga hea freeke, kuid minu jaoks on selliseks asjaks parem kasutada FreeNAS-i
????
Täname kommentaaride eest !!!. Freeke, FreeBSD FreeNAS on veel üks metsik lugu ja ma võin sellele pühendada artikli. Lõpuks on Samba FreeBSD üle.
Väga hea postitus, mida ma pean ütlema, nagu ma olen alati öelnud, kui oleksite selle paar aastat tagasi postitanud, oleks see mind palju probleeme säästnud, kuid on hea, et keegi on huvitatud näitamast, kuidas samba seadistada, Tervitused
Nagu öeldakse: "pole kunagi hilja, kui õnn on hea" ja teine "parem on hilja kui mitte kunagi". Täname kommentaari eest. Hakkasin Sambat kasutama umbes 2007. aasta paiku. Siiani ei olnud mul õnnestunud selle kohta midagi postitada.
Samamoodi olen kasutanud samba peaaegu samal ajal, kuid näen, et olete palju täiustanud ja teil on õigus, et "pole kunagi hilja, kui õnn on hea", tundus mulle, pean ütlema, et kellelgi on väga hea oma teadmisi jagada, paljud Mõnikord ei julgeta või pole aega, minu puhul on see esimene, Tervitused
Sõber @fico, mulle meeldivad su artiklid väga. Need on äärmiselt hästi selgitatud ja üksikasjalikud. Aitäh.
Loodan, et need on teile kasulikud. See on eesmärk !!!.
Jah, see on 🙂
Muide, nägin just teie artiklit teisele lehele postitatud (http://www.infognu.com.ar/2013/08/samba-servidor-independiente-en-debian.html) ja viide allikale on tõesti väike. Seda ei tehta. Merit, kes seda väärib, neetud! Ma ei tea, kas siit saavad nad paluda neil inimestel panna need, kes teevad suuri asju. Treenimata silmale läheks see nii, nagu oleksid nad selle loonud ja postitanud.
Härra postituse autor, mis oleks, kui loote artikli selle kohta, kuidas tavakasutajatele samba kaudu faile jagada, mõtlen midagi vähem ulatuslikku ja graafilisemat, näiteks kuidas jagada Linuxist Linuxi ja Linuxist Windowsi, kuid mitte ühest nii professionaalsel viisil, kuid meeldib faile kodus arvutite vahel jagada.
Sel juhul soovitan kasutada ssh Linuxi jaoks - Linux ja winscp Windowsi jaoks - Linux. Samal saidil on mitu artiklit.
Kuigi see sama postitus võib tunduda keeruline, töötab see mõne käsu kopeerimisel ja kleepimisel ka koduvõrgus.
Kuigi oleks otstarbekam kasutada SMB / CIFS-süsteemi, et kasutada sama failide jagamise protokolli Windowsi jaoks (või lühidalt jagatud kaustu).
Ma teeksin oma katsed, et saaksin teha õpetuse GNU / Linuxi (minu puhul Debian Wheezy) jagatud kausta loomiseks nii, et Windowsi võrgud tunneksid selle jagatud kaustana.
väga hea ja pikkus on seda väärt, kuid võib-olla peaksite juba enne akendega suhtlemist varakult mainima parameetrit oslevel.
seoses
Pange tähele, et see on võrk ilma Windowsi domeenikontrollerita. Seda parameetrit kasutame siis, kui tegeleme domeeniga ühendatud masinaga.
kui mul on natuke aega, siis ma ka
[offtopic] Tahaksin postitada GIMP-i õpetused. See võib?
[/ teemast väljas]
Sõber @giskard, käisin just külas http://www.infognu.com.ar/2013/08/samba-servidor-independiente-en-debian.htmlja ma ei näinud sellele postitusele ühtegi viidet. Nad tegid koopia / kleidi põske, Hahahahahaha. See näitab, et vähemalt on postitus hea kvaliteediga. Ma ütlen, et ei? Hahahahahaha.
Pisikeste tähtedega lõpu lähedal on link, mis ütleb "allikas" ja osutab sellele saidile. Kuid see, et olen nii teinud, tundub mulle täielik ebaviisakus ja austuse puudumine. Õnneks teame siin, kes on autor 🙂
Nad lisavad viite, kuid vaevalt võib märgata, et nad pidid artikli alguses mainima
Arch wiki ütleb, et alates versioonist 3.4 on smbpasswd asemel soovitatav kasutada pdbedit.
Üks küsimus on sõbra sõnul enne kasutaja Samba lisamist kasutaja süsteemis luua, kuid / bin / false
useradd -s / bin / false myuser
Kas see on tõsi 0.o?
Sõber @ truko22 ja üldiselt neile, kes küsivad sarnaseid küsimusi. Pidage meeles, et oleme alati öelnud, et anname ainult a Sisenemispunkt subjektile. Samuti soovitame lugeda kaasasolevat dokumentatsiooni. Lõppkokkuvõttes on teenuse kohandamine selle rakendaja vastutusel viisil, mis vastab nende vajadustele ja neid rahuldavale turvalisuse tasemele.
Näiteks saab lubade probleemi vältida, kui lubame kellelgi jagamise kaudu kirjutada chmod 777. Muidugi pole see ohutu lahendus.
Võite takistada kasutajal kohaliku seansi alustamist või ssh-i kaudu, kui loome selle läbi adduser kasutaja –shell / bin / false. Teisisõnu, nii loodud kasutaja ei pääse terminalile ega konsoolile juurde.
Teisisõnu, Samba saab seadistada mitmel viisil, ulatudes kõige lihtsamast kuni keerukamani.
Mis juhtub?. Kui me kirjutame kohe algusest peale postituse, lubamata Sambasse lisatud kasutajatel kohapeal sisse logida, küsivad nad kindlasti, miks. Seepärast eelistame seda kirjutada võimalikult klassikalisel viisil ja laseme kõigil teha oma järeldused.
@ truko22, aitäh, et andsid mulle õige punkti eelmise kommentaari esitamiseks !!!
Tänan teid väga nüüd, saan aru sh-shellist / bin / false
Sõber @ truko22, unustasin pdbediti. Etchist alates harjusin kasutama smbpasswd. Selle käsu saab käivitada iga süsteemi kasutaja ning selle käitumine ja tulemused on erinevad. pdbedit, saab kasutada ka, kuid seda saab kasutada ainult juurkasutaja.
Samba kohta saate paljude selle käskude kohta kirjutada terveid artikleid.
See on väga hea !!
seoses
Väga hea artikkel. Palju õnne ja tänu sellise panuse eest
Tahtsin teilt küsida, kas on olemas artikkel sambast kui domeenikontrollerist ja kas see suudab juba domeeni juhtida rühmapoliitikatega nagu Windowsi server, pean silmas võrguaadresside omaduste muutmise, pendrive'i kasutamise jne vältimist.
Tere, kuidas läheb Ficoga! Olen installinud Samba 3.6 koos LDAP-i ja LAM 3.7-ga. Tahaksin teada, kas teate, kuidas lubada kasutajatel jaotise käivitamisel parooli muuta, kuna see ütleb mulle: "Teil pole parooli muutmiseks luba"