Samba: Samostalni poslužitelj na Debianu

Pozdrav prijatelji!. Ako želimo imati neovisni poslužitelj (Samostalni) za dijeljenje resursa bilo s našeg radnog mjesta; ili za malu skupinu strojeva; ili za LAN bez kontrolera domene u Microsoftovom stilu, najlakše je to učiniti pomoću Sambe.

U tu svrhu postoje neki grafički alati, kao i alat za upravljanje Sambom putem weba «SWAT». Međutim, preporučujemo početnicima koji u ovom divnom svijetu započinju ručno. Nije tako teško ni vražje kako mnogi misle. U tom procesu naučite mnogo o SMB / CIFS mrežama i o dopuštenjima i pravima na Linux datotečnim sustavima.

Prije nastavka preporučujemo čitanje:

• Samba: Neophodan uvod
• Samba: Pregledajte SMB / CIFS mrežu bez Sambe
• Samba:SmbClient
• Samba: CIFS-Utils

Nećemo vidjeti kako dijeliti pisače pomoću Sambe. Onima koji žele koristiti ovaj paket u ove svrhe, preporučujemo čitanje prateće dokumentacije kako je naznačeno u Samba: Neophodan uvod. Također možete pročitati članak CUPS: Kako koristiti i konfigurirati pisače na jednostavan način.

Temeljne točke koje treba razmotriti

• Unatoč svoj auri koja okružuje aktivne direktorije i njihove kontrolere domena, a koji u mnogim prilikama nisu potrebni ili se slabo iskorištavaju, instaliranje i konfiguriranje neovisnog Samba poslužitelja JEST valjana i pouzdana opcija.
• Nezavisni poslužitelj može biti jednako siguran ili nesiguran u skladu s našim potrebama, a možemo ga konfigurirati na jednostavan ili složen način.
• Autentifikacija korisnika vrši se na samom poslužitelju na kojem se nalaze resursi.
• Da bi korisnik mogao pristupiti resursima s udaljenog računala, mora biti registriran u Samba bazi korisnika.
• U korisničku bazu podataka Samba možemo dodati samo one korisnike koji već postoje na našem poslužitelju ili stolnom računalu.
• Samostalni Samba poslužitelj NE pruža mrežnu prijavu, kao što to čini kontrolor domene. Također ne pruža prijavu na domenu.
• Što manje mijenjamo i / ili dodajemo parametre u datoteku /etc/smb.conf Bez da smo detaljno znali što želimo postići, bit će puno bolje.
• Usluga dijeljenja resursa u Sambi radi na Linux datotečnom sustavu, uključujući inherentnu sigurnost. Mnogi se problemi rješavaju pažnjom na dozvole datoteka i direktorija.
• Bitno je razumjeti kako postupati s ponašanjem datotečnog sustava iz datoteke smb.conf, kao i razumijevanje kako funkcionira sigurnost datoteka UNIX / Linux.
• Preporučujemo da u nazivima mapa i zajedničkim resursima ne koristite naglaske, znakove ili razmake. Za imena po mogućnosti koristite mala slova.
• Imena dijeljenja ne mogu se ponoviti na LAN-u. Svako je ime jedinstveno.
• Ako na našem LAN-u NEMA WINS poslužitelja, možemo učiniti da naša Samba djeluje kao takva dodavanjem u «globalno»Iz datoteke smb.conf parametar osvaja podršku = Da., što je vrlo preporučljivo.

Uzorak poslužitelja

ime: miwheezy. domena: prijatelji.cu. IP: 10.10.10.20. Korisnici: xeon, zeus i triton. Dodatne grupe: brojači

Instalacija

Putem Synaptic-a ili putem konzole instaliramo paket samba.

sudo aptitude instaliraj sambu

Vrlo je korisno i instalirati paket smbclient. Upotrijebit ćemo ga za provjere.

U procesu će se instalirati paketi - ali prethodno smo instalirali neke druge koji se odnose na Suite- samba, samba-zajednička, samba-zajednički-bin y tdb-alati. Također, datoteka je stvorena /etc/samba/smb.conf. Ova će se datoteka stvarati sve dok su instalirani paketi samba-zajednička y samba-zajednički-bini neće se izbrisati iz sustava dok ih ne deinstaliramo.

Datoteka smb.conf najvažnija je u Samba Suiteu

Samba ima ogroman broj mogućnosti konfiguracije, od kojih većina nije prikazana u primjeru smb.conf koji se instalira prema zadanim postavkama. Opcije komentirane s «;»Smatraju se dovoljno važnima za prikaz, a njihove zadane vrijednosti razlikuju se od zadanih postavki ponašanja Sambe. Opcije konfiguracije komentirane su s «#«, Neka Samba zadane vrijednosti, a također se smatraju važnima za prikaz.

Ako želimo vidjeti sadržaj datoteke bez razmatranja komentiranih opcija bilo pomoću «;"ili sa"#«, Moramo izvršiti:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Ako želimo vidjeti sadržaj datoteke bez razmatranja opcija komentiranih s «#«, Moramo izvršiti:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Prvo što treba učiniti je kopija datoteke /etc/samba/smb.conf. U samoj datoteci nalazimo način na koji Samba preporučuje izradu radne kopije, što smo detaljno opisali u nastavku. Kao korijen izvršavamo:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
ukupno 32 -rw-r - r-- 1 korijen korijena 8. studenoga 10 gdbcommands -rw-r - r-- 2002 korijen korijena 1 805. kolovoza 4:12 smb.conf -rw-r - r-- 05 korijen korijena 1 12173. kolovoza 4:12 smb.conf.master

Primijetite razliku u veličini između ovako generiranog smb.conf i originala. Kako je veličina manja, performanse poslužitelja povećavaju se u skladu s onim što naznačuje Samba tim.

Početni sadržaj datoteke /etc/samba/smb.conf Bit će (sjetite se da nećemo razvijati dijeljenje pisača):

[globalno]
        radna grupa = PRIJATELJI netbios name = MIWHEEZY sigurnost = korisnik
        niz poslužitelja =% h mapa poslužitelja za gosta = Loš korisnik poštuje ograničenja pam = Da, promjena pam lozinke = Da passwd program = / usr / bin / passwd% u passwd chat = * Unesite \ snew \ s * \ spassword: *% n \ n * Ponovno upišite \ snew \ s * \ spassword $ unix sync lozinke = Da syslog = 0 datoteka dnevnika = /var/log/samba/log.%m max veličina dnevnika = 1000 dns proxy = Nema korisničkog dopuštanja gostiju = Da akcija panike = / usr / share / samba / panic-action% d idmap config *: backend = tdb [domovi] komentar = Domaći direktoriji važeći korisnici =% S create mask = 0700 direktorijska maska ​​= 0700 pregledavanje = Ne

Vrijednosti istaknute podebljanim slovima su jedine koje u početku moramo izmijeniti. Imajte na umu da smo, unatoč tome što je Samba zadano ponašanje, izričito proglasili opciju sigurnost = korisnik s obzirom na njegovu veliku važnost.

Ako na našem LAN-u NEMA WINS poslužitelja, možemo učiniti da naša Samba djeluje kao takva dodavanjem u «globalno»Iz datoteke smb.conf parametar osvaja podršku = Da., što je vrlo preporučljivo.

zlatno pravilo: Što manje promijenimo i / ili dodamo parametre u datoteku smb.conf, a da prethodno ne znamo detaljno što želimo postići, to će biti puno bolje.

Evo kratkog sažetka nekih od prikazanih opcija. Za više informacija, pokrenite čovjek smb.conf.

• radne grupe: Kontrole u kojoj će se oprema radne grupe pojaviti prilikom izrade web preglednika. Ovaj parametar također kontrolira naziv domene pri radu s opcijom sigurnost = domena i u kojem se tim pridružuje domeni. Vidjet ćemo to u kasnijim člancima. Zadana vrijednost je RADNA SKUPINA.
• naziv netbios: Postavlja NetBIOS ime po kojem će poslužitelj Samba biti poznat na mreži. Po defaultu je isti kao prva komponenta FQDN od domaćina. U našem primjeru FQDN tima je miwheezy.amigos.cu. Za naš Samba poslužitelj možemo koristiti naziv koji nije domaćin. U tom je slučaju poželjno uključiti CNAME zapis u naš DNS.
• sigurnosti: Parametar koji utječe na način na koji klijenti reagiraju na Sambu i jedan je od najvažnijih u datoteci smb.conf. Zadana vrijednost je korisnik.
• niz poslužitelja: Kontrolira koje se ime prikazuje u komentarima koji se pojavljuju u web pregledniku pored imena tima.
• karta gostu: Parametar koji je koristan samo kad je postavljen sigurnost = korisnik o sigurnost = domena. Vrijednost "Loš korisnik" govori Sambi da odbije neispravnu lozinku, osim ako korisnik NE postoji, u tom će slučaju biti tretiran kao gost ili "gost«. Ako ne želimo dopustiti gostujuće sesije, moramo promijeniti njegovu vrijednost u Nikada, koja je upravo zadana vrijednost, a također promijenite parametar korisnici dopuštaju gosta a Ne, što je ujedno i zadana vrijednost.
• pokoravajte se ograničenjima pam: Kontrolira mora li Samba poštivati ​​vlastita ograničenja PAM-a «Priključni modul za provjeru identiteta«, U vezi sa smjernicama o upravljanju korisničkim računima i sjednicama. Zadana vrijednost je Ne.
• pam promjena lozinke: Kaže Sambi da koristi PAM za promjene lozinke koje zahtijeva SMB klijent. Zadana vrijednost je Ne.
• passwd program: Program koji se koristi za postavljanje UNIX lozinki za korisnike.
• passwdchat: Lanac koji kontrolira razgovor koji se odvija između demona smbd i lokalni program za promjenu lozinke definiran u prethodnom parametru.
• sinkronizacija unix lozinke: Govori Sambi da sinkronizira SMB lozinku s UNIX lozinkom, sve dok se prva promijeni. Zadana vrijednost je Ne.
• valjani korisnici: Popis korisnika kojima je dopušteno prijavljivanje na udio.

Ponovo pokrenite ili ponovo učitajte uslugu Samba

Kad god napravimo značajne promjene, posebno u odjeljku «[globalno]" od smb.conf, moramo ponovno pokrenuti uslugu. Ako već imamo korisnike povezane s našim poslužiteljem, svaki put kad ponovno pokrenemo Sambu, odspojit ćemo ih. Zbog toga ćemo, i praktički od sada, uslugu ponovno učitavati samo kad dodamo ili izmijenimo zajedničke resurse. Da bismo ponovno pokrenuli uslugu, izvršavamo kao korijen:

ponovno pokretanje usluge samba

Za punjenje usluge:

servis samba ponovno učitavanje

Korisnike dodajemo u sustav i u Samba bazu podataka korisnika

U korisničku bazu podataka Samba možemo dodati samo one korisnike koji već postoje na našem lokalnom poslužitelju.

U našem primjeru korisnik Xeon dodan je tijekom Wheezyjeve instalacije. Stoga ga nećemo dodavati korisnicima tima. Grupa korisnika postoji u sustavu i stvoren je tijekom instalacije.

Neke opcije naredbi smbpasswd zvuk:

• -a: Dodajte navedenog korisnika u lokalnu datoteku smbpasswd.
• -x: Navedeni korisnik mora biti uklonjen iz lokalne datoteke smbpasswd. Dostupno samo kada smbpasswd trči kao korijen.
• -d: Navedeni korisnički račun mora biti onemogućen. Dostupno samo kada smbpasswd trči kao korijen.
• -e: Suprotno opciji -d sve dok je korisnički račun onemogućen.

Da bismo stvorili korisnike u našem timu, to činimo dobro poznatom naredbom adduser.

adduser zeus adduser triton

Za stvaranje grupe brojači:

brojači adgrupa

Da biste korisnike dodali u bazu podataka Samba:

smbpasswd -korijen
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Pridružujemo se grupi brojači korisnicima koje želimo:

adduser xeon brojači adduser zeus brojači adduser triton brojači

Preporučuje se pridružiti se svakom korisniku stvorenom u grupi Korisnici, u slučaju da želimo dodijeliti dozvole svim korisnicima koje smo stvorili, na određenom resursu. Jednostavniji način pridruživanja više korisnika grupi je izravnim uređivanjem datoteke / etc / groupi dodavanje popisa korisnika odvojenih zarezom. Može ih voditi grupa brojači. Pretpostavljamo da pridružujemo korisnike grupi Korisnici.

Na radnoj stanici za uklanjanje prikaza korisnika stvorenih pomoću adduser, moramo urediti datoteku /etc/gdm3/greeter.gsettings i raskomentirajte opciju disable-user-list = true, tako da se prilikom prijavljivanja NE prikazuje popis korisnika. To je standardno ponašanje bilo kojeg klijentskog računala sa sustavom Windows pridruženog domeni.

Na isti način, ako želimo da stvoreni korisnici ne započnu udaljenu sesiju ssh, uređujemo datoteku / Etc / ssh / sshd_config i dodajte na kraj datoteke upute DopustiKorisnike, primjer:

[....] # i ChallengeResponseAuthentication na 'ne'. UsePAM da AllowUsers xeon

Dodamo zajedničke resurse

Primjer 1: Želimo podijeliti mapu / home / xeon / music za sve registrirane korisnike. Dopuštenje će biti samo za čitanje. Prije svega kreiramo mapu / home / xeon / music i po potrebi konfiguriramo njegovog vlasnika i dozvole. Kao korisnik Xeon izvršavamo:

mkdir / home / xeon / music ls -l / home / xeon | grep glazba

Zatim na kraju datoteke smb.conf dodajemo sljedeće:

[music-xeon] comment = Put ​​do osobne glazbene mape = / home / xeon / samo za čitanje glazbe = Da važeći korisnici = @users popis za čitanje = @users

Nakon izmjena datoteke izvršavamo test parm kao korisnik Xeon a uslugu punimo kao korijen. Također možemo pokretati obje naredbe poput korijen:

testparm usluga samba ponovno učitavanje

Da bismo provjerili novokonfiguriranu uslugu, to možemo učiniti izvršavanjem sljedeće naredbe na samom računalu:

smbclient -L lokalni host -U%

Primjer 2: Želimo podijeliti mapu / home / xeon / music za sve registrirane korisnike. Dopuštenja će se čitati / pisati za Xeon i samo za čitanje za ostale korisnike koji pripadaju grupi Korisnici. Nemamo potrebu mijenjati vlasnika ili dozvole za mapu. Samo malo promijenimo postavke dijeljenja u datoteci smb.conf.

[music-xeon] komentar = Put ​​osobne glazbene mape = / home / xeon / samo za čitanje glazbe = Nema valjanih korisnika = @users popis za pisanje = xeon popis za čitanje = @users

Primjer 3: Želimo podijeliti mapu / home / xeon / računovodstvo za korisničku grupu brojači. Svi članovi grupe imat će dopuštenje za čitanje. Korisnici Triton y Zevs moći će pisati u dijeljenu mapu.

Sad AKO moramo izmijeniti vlasnika i dopuštenja mape računovodstvo nakon stvaranja, kako bi mogli pisati Triton y Zevs koji su član grupe brojači. Također moramo voditi računa da zadnji korisnik koji kreira ili modificira datoteku ne postane njezin apsolutni vlasnik, tako da je mogu mijenjati drugi korisnici s dozvolama za pisanje.

Nužno je razumjeti kako postupati s ponašanjem datotečnog sustava iz smb.conf, kao i razumijevanje kako funkcionira sigurnost datoteka UNIX / Linux.

U tim slučajevima moramo:

• Prikladno izjavite tko će biti vlasnik vlasnik, a tko grupa vlasnika dijeljene mape.
• Dopustite pisanje u Dijeljeni direktorij od strane grupe vlasnika.
• Izjavite bit SGID (Postavite ID grupe) direktorija tijekom njegovog stvaranja.
• Pravilno se prijavite u datoteci smb.conf načine stvaranja datoteka i direktorija unutar našeg zajedničkog resursa.

Jednostavno i moguće rješenje u praksi imat ćemo ako izvršavamo kao korijen:

mkdir / home / xeon / knjigovodstveni chown -R korijen: brojači / home / xeon / računovodstveni chmod -R g + ws / home / xeon / računovodstvo ls -l / home / xeon

I dodajemo sljedeće na kraj datoteke smb.conf:

[računovodstvo] komentar = Mapa za računovođe put = / home / xeon / računovodstvo samo za čitanje = Nema valjanih korisnika = @ knjigovođe pišu popis = triton, zeus popis za čitanje = @ knjigovođe force create mode = 0660 force directory mode = 0770

Odmah provjeravamo osnovnu sintaksu smb.conf preko test parm i dopunjavamo uslugu putem servis samba ponovno učitavanje. Možemo i trčati smbclient -L lokalni host -U%. na lokalnom poslužitelju i smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% s udaljenog računala.

Vrijeme je da se s udaljenog računala povežemo na zajednički resurs i napravimo sve potrebne testove. Preporučuje se provjeriti kako se mijenja korisnik koji posjeduje mape i datoteke dok su stvorene unutar resursa.

Važno: Korisnik korijen ili korisnika Xeon i općenito bilo koji član grupe brojači, možete pisati iz lokalne sesije započete na istom računalu ili ssh, odnosno bez korištenja SMB / CIFS protokola. Ako kreirate mapu ili datoteku lokalno, ne zaboravite ponovo dodijeliti odgovarajuća dopuštenja. Provjeri je -l. Nepočinjanje navedenog izvor je velike zbrke.

Prijatelji, oprostite mi na duljini članka i nadam se da će vam biti od koristi. Do sljedeće avanture!