Samba: Önálló szerver a Debianon

Hello barátok!. Ha független szervert akarunk (Önálló) az erőforrások megosztására akár a munkahelyünkről; vagy egy kis gépcsoport számára; vagy Microsoft stílusú tartományvezérlő nélküli LAN esetén a legkönnyebb a Samba használatával.

Van néhány grafikus eszköz erre a célra, valamint a Samba webes SWAT-on keresztül történő adminisztrálására szolgáló eszköz. Azonban, ajánljuk kezdőknek, akik kézzel indulnak ebben a csodálatos világban. Nem olyan nehéz vagy ördögi, mint sokan gondolják. És közben sokat megtud az SMB / CIFS hálózatokról, valamint a Linux fájlrendszerek engedélyeiről és jogairól.

A folytatás előtt javasoljuk, hogy olvassa el:

• Samba: Szükséges bevezetés
• Samba: Tallózás SMB / CIFS hálózaton Samba nélkül
• Samba: SmbClient
• Samba: CIFS-segédprogramok

Nem fogjuk látni hogyan lehet megosztani a nyomtatókat a Samba használatával. Azok számára, akik ezt a csomagot ilyen célokra szeretnék használni, javasoljuk, hogy olvassák el a kísérő dokumentációt, ahogyan az szerepel Samba: Szükséges bevezetés. Elolvashatja a cikket is CUPS: A nyomtatók egyszerű használata és konfigurálása.

Fontos megfontolandó szempontok

• Az aktív címtárakat és azok tartományvezérlőit övező összes aura ellenére, amely számos esetben nem szükséges vagy rosszul van kihasználva, az Independent Samba Server IS telepítése és konfigurálása érvényes és megbízható lehetőség.
• A Független Szerver az igényeink szerint lehet ugyanolyan biztonságos vagy nem biztonságos, és egyszerűen vagy összetett módon konfigurálhatjuk.
• A felhasználói hitelesítést azon a kiszolgálón hajtják végre, ahol az erőforrások találhatók.
• Ahhoz, hogy a felhasználó hozzáférhessen az erőforrásokhoz egy távoli számítógépről, a Samba felhasználói bázisban is regisztrálnia kell őket.
• Csak azokat a felhasználókat adhatjuk hozzá a Samba felhasználói adatbázisához, amelyek már léteznek a szerverünkön vagy asztali gépünkön.
• Az önálló Samba szerver NEM biztosítja a hálózati bejelentkezést, mint egy tartományvezérlő. Ezenkívül nem biztosítja a belépést egy domainbe.
• Minél kevesebbet változtatunk és / vagy adunk hozzá paramétereket a fájlhoz /etc/smb.conf Anélkül, hogy először részletesen tudnánk, mit akarunk elérni, sokkal jobb lesz.
• A Samban található erőforrás-megosztási szolgáltatás a Linux fájlrendszeren működik, beleértve a benne rejlő biztonságot is. Sok problémát megoldanak azáltal, hogy kellő figyelmet fordítanak a fájl- és könyvtárengedélyekre.
• Alapvető fontosságú megérteni, hogyan kell kezelni a fájlrendszer viselkedését a fájlból smb.conf, valamint a UNIX / Linux fájlrendszer biztonságának megértése.
• Javasoljuk, hogy ne használjon ékezeteket, eñes-eket vagy szóközöket a mappák és megosztott erőforrások nevében. A nevekhez lehetőleg kisbetűket használjon.
• A megosztási neveket nem lehet megismételni LAN-on. Minden név egyedi.
• Ha nincs WINS szerver a LAN-on, akkor a Samba-t úgy tehetjük meg, hogy hozzáadjuk a «globális»Az aktából smb.conf a paraméter támogatást nyer = Igen., ami nagyon ajánlott.

Minta szerver

név: zihálás. domain: barátok.cu. IP: 10.10.10.20. Felhasználók: xeon, zeusz és triton. További csoportok: számlálók

Telepítés

A Synaptic segítségével vagy a konzolon keresztül telepítjük a csomagot samba.

sudo aptitude telepítse a sambát

Nagyon hasznos a csomag telepítése is smbclient. Ellenőrzésekre fogjuk használni.

Ennek során a csomagok telepítésre kerülnek - de korábban már telepítettünk néhány más, a Suite- samba, samba-közönséges, samba-common-bin y tdb-eszközök. Ezenkívül a fájl létrejön /etc/samba/smb.conf. Ez a fájl mindaddig létrejön, amíg a csomagok telepítve vannak samba-közönséges y samba-common-bin, és mindaddig nem törlődik a rendszerből, amíg nem távolítjuk el őket.

Az smb.conf fájl a legfontosabb a Samba Suite-ban

A Samba rengeteg konfigurációs lehetőséggel rendelkezik, amelyek többségét nem mutatjuk be a példában smb.conf amely alapértelmezés szerint telepíti. Az opciók «;»Elég fontosnak tekinthetők a megjelenítéshez, és alapértelmezett értékeik eltérnek a Samba viselkedésének alapértelmezettjétől. A konfigurációs opciók «#«, Legyen Samba alapértelmezett, és fontosnak tartják őket megjeleníteni.

Ha meg akarjuk tekinteni a fájl tartalmát anélkül, hogy figyelembe vennénk a kommentelt opciókat, a «gombbal sem;"vagy"#«, Végre kell hajtanunk:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Ha meg akarjuk tekinteni a fájl tartalmát anélkül, hogy figyelembe vennénk a «#«, Végre kell hajtanunk:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Az első dolog a fájl másolata /etc/samba/smb.conf. Magában a fájlban megtaláljuk a Samba munkamásolat készítésének módját, amelyet alább részletezünk. Mint gyökér végrehajtjuk:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
összesen 32 -rw-r - r-- 1 gyökérgyökér 8. november 10. gdbparancsok -rw-r - r-- 2002 gyökérgyökér 1. augusztus 805. 4:12 Augusztus 05. 1:12173 smb.conf.master

Figyelje meg az így létrehozott smb.conf és az eredeti méretbeli különbségét. Mivel a méret kisebb, a szerver teljesítménye a Samba Team által jelzetteknek megfelelően növekszik.

A fájl kezdeti tartalma /etc/samba/smb.conf Ez lesz (ne feledje, hogy nem fejlesztjük a nyomtatómegosztást):

[globális]
        munkacsoport = FRIENDS netbios name = MIWHEEZY security = user
        szerver karakterlánc =% h szerver térkép a vendéghez = Rossz felhasználó betartja a korlátozásokat = Igen a jelszó megváltoztatása = Igen a passwd program = / usr / bin / passwd% u a passwd chat = * Írja be \ snew \ s * \ spassword: *% n n * Retype \ snew \ s * \ spassword $ unix password sync = Yes syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 DNS proxy = Nincsenek felhasználók megosztása a vendégek engedélyezésében = Igen pánik művelet = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = Főkönyvtárak érvényes felhasználók =% S create mask = 0700 könyvtármaszk = 0700 böngészhető = Nem

Az elsődlegesen félkövérrel kiemelt értékeket kell módosítanunk. Vegye figyelembe, hogy annak ellenére, hogy a Samba alapértelmezett viselkedése, kifejezetten deklaráltuk az opciót biztonság = felhasználó tekintve annak nagy jelentőségét.

Ha nincs WINS szerver a LAN-on, akkor a Samba-t úgy tehetjük meg, hogy hozzáadjuk a «globális»Az aktából smb.conf a paraméter támogatást nyer = Igen., ami nagyon ajánlott.

aranyszabály: Minél kevesebbet változtatunk és / vagy adunk hozzá paramétereket az smb.conf fájlhoz anélkül, hogy először tudnánk részletesen, mit szeretnénk elérni, annál jobb lesz.

Itt található a bemutatott lehetőségek rövid összefoglalása. További információért kérjük, futtassa ember vm.conf.

• munkacsoport: Azok a vezérlők, amelyekben a munkacsoport megjelenik a berendezés webböngésző készítésekor. Ez a paraméter a tartomány nevét is vezérli, amikor az opcióval dolgozik biztonság = tartomány és amelyben a csapat csatlakozik egy Domainhez. A későbbi cikkekben meglátjuk. Az alapértelmezett érték: MUNKacsoport.
• netbios név: Állítsa be a NetBIOS nevet, amellyel a Samba szerver ismert lesz a hálózaton. Alapértelmezésben megegyezik a FQDN a házigazda részéről. Példánkban a FQDN a csapaté miwheezy.amigos.cu. A Samba szerverünkhöz más nevet használhatunk, mint a gazdagép. Ebben az esetben célszerű egy CNAME rekordot felvenni a listánkba DNS.
• biztonság: Az a paraméter, amely befolyásolja, hogy az ügyfelek miként reagálnak a Samba-ra, és az egyik legfontosabb a fájlban smb.conf. Az alapértelmezett érték: használó.
• szerver karakterlánc: Meghatározza, hogy melyik név jelenik meg a webböngészőben a csapat neve mellett megjelenő megjegyzésekben.
• térkép a vendégnek: Csak akkor használható paraméter, ha be van állítva biztonság = felhasználó o biztonság = tartomány. A "Rossz felhasználó" érték arra utasítja a Sambát, hogy utasítsa el az érvénytelen jelszót, hacsak a felhasználó NEM létezik, ebben az esetben Vendégként vagy "vendég«. Ha nem akarjuk engedélyezni a vendégfoglalkozásokat, akkor annak értékére kell váltanunk soha, amely pontosan az alapértelmezett érték, és változtassa meg a paramétert is A felhasználók megosztják a vendéget a nem, amely egyben az alapértelmezett érték is.
• engedelmeskedjen a pam korlátozásoknak: Azt szabályozza, hogy a Sambának be kell-e tartania a PAM saját korlátozásait «Dugaszolható hitelesítési modul«, A felhasználói fiókok és munkamenetek adminisztrációjának irányelveiről. Az alapértelmezett érték: nem.
• pam jelszóváltás: Mondja a Sambának, hogy használja a PAM-ot az SMB kliens által kért jelszómódosításhoz. Az alapértelmezett érték: nem.
• passwd program: UNIX jelszavak felhasználóinak beállítására használt program.
• passwdchat: Lánc, amely irányítja a démon közötti beszélgetést smbd és az előző paraméterben definiált jelszóváltás helyi programja.
• unix jelszó szinkronizálása: Mondja a Sambának, hogy szinkronizálja az SMB jelszót a UNIX jelszóval, amennyiben az előbbi megváltozik. Az alapértelmezett érték: nem.
• érvényes felhasználók: Azon felhasználók listája, akiknek meg lehet jelentkezni egy megosztásba.

Indítsa újra vagy töltse be újra a Samba szolgáltatást

Amikor jelentős változásokat hajtunk végre, különösen a «[globális]" smb.conf, újra kell indítanunk a szolgáltatást. Ha már vannak felhasználóink ​​a szerverünkhöz csatlakoztatva, minden alkalommal, amikor újraindítjuk a Samba-t, leválasztjuk őket. Ezért és gyakorlatilag mostantól kezdve csak akkor töltjük fel újra a szolgáltatást, ha megosztott erőforrásokat adunk hozzá vagy módosítunk. A szolgáltatás újraindításához végrehajtjuk a következőt: gyökér:

service samba indítsa újra

A szolgáltatás feltöltése:

szolgáltatás samba újratöltése

Hozzáadjuk a felhasználókat a rendszerhez és a Samba felhasználói adatbázishoz

Csak azokat a felhasználókat tudjuk hozzáadni a Samba felhasználói adatbázisához, amelyek már léteznek a helyi szerverünkön.

Példánkban a felhasználó Xeon a Wheezy telepítése során került hozzá. Ezért nem adjuk hozzá a csapat felhasználóihoz. A felhasználói csoport létezik a rendszeren, és a telepítés során jött létre.

Néhány parancsopció smbpasswd hang:

• -a: Adja hozzá a megadott felhasználót az smbpasswd helyi fájlhoz.
• -x: A jelzett felhasználót el kell távolítani az smbpasswd helyi fájlból. Csak akkor érhető el smbpasswd úgy fut gyökér.
• -d: A jelzett felhasználói fiókot le kell tiltani. Csak akkor érhető el smbpasswd úgy fut gyökér.
• -e: Szemben az opcióval -d mindaddig, amíg a felhasználó fiókja le van tiltva.

A felhasználók létrehozása a csapatunkban a jól ismert paranccsal történik felhasználó hozzáadása.

adduser zeus adduser triton

A csoport létrehozásához számlálók:

addgroup számlálók

Felhasználók felvétele a Samba adatbázisba:

smbpasswd -a gyökér
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Csatlakozunk a csoporthoz számlálók a kívánt felhasználóknak:

xeon számlálók adduser zeusz számlálók adduser triton számlálók

Javasoljuk, hogy minden létrehozott felhasználót csatlakozzon a csoporthoz Felhasználók, abban az esetben, ha engedélyeket akarunk adni az összes felhasználónak, amelyet létrehoztunk, egy adott erőforráson. Több felhasználó csoporthoz történő csatlakoztatásának egyszerűbb módja a fájl közvetlen szerkesztése / etc / group, és vesszővel elválasztva adja hozzá a felhasználók listáját. A csoport irányíthatja őket számlálók. Feltételezzük, hogy csatlakozunk a felhasználókhoz a csoporthoz Felhasználók.

Munkaállomáson a (z) használatával létrehozott felhasználók eltávolításához felhasználó hozzáadása, szerkesztenünk kell a fájlt /etc/gdm3/greeter.gsettings és kommentelje az opciót disable-user-list = true, így a bejelentkezéskor NINCS felhasználói lista jelenik meg. Ez a tartományhoz csatlakoztatott Windows ügyfélszámítógépek szokásos viselkedése.

Ugyanígy, ha azt akarjuk, hogy a létrehozott felhasználók ne indítsanak távoli munkamenetet ssh, szerkesztjük a fájlt / Etc / ssh / sshd_config és a fájl végéhez adja hozzá az utasítást AllowUsers. például:

[....] # és ChallengeResponseAuthentication "nem" -re. UsePAM yes AllowUsers xeon

Megosztott forrásokat adunk hozzá

Példa 1: Meg akarjuk osztani a mappát / home / xeon / zene minden regisztrált felhasználó számára. Az engedély csak olvasható lesz. Először létrehozzuk a mappát / home / xeon / zene és szükség esetén konfiguráljuk a tulajdonosát és az engedélyeket. Mint felhasználó Xeon kivégezzük:

mkdir / home / xeon / music ls -l / home / xeon | grep zene

Aztán a fájl végén smb.conf hozzáadjuk a következőket:

[zene-xeon] megjegyzés = Személyes zene mappa útvonala = / home / xeon / zene csak olvasható = Igen érvényes felhasználók = @ felhasználók olvasási listája = @ felhasználók

A fájl módosítása után végrehajtjuk tesztparm mint felhasználó Xeon és úgy töltjük fel a szolgáltatást gyökér. Futtathatjuk mindkét parancsot, mint a gyökér:

testparm service samba reload

Az újonnan konfigurált szolgáltatás ellenőrzéséhez megtehetjük, ha a számítógépen a következő parancsot hajtjuk végre:

smbclient -L localhost -U%

Példa 2: Meg akarjuk osztani a mappát / home / xeon / zene minden regisztrált felhasználó számára. Az engedélyeket olvasni / írni fogják Xeon és csak olvasható a csoporthoz tartozó többi felhasználó számára Felhasználók. Nincs szükségünk a tulajdonos vagy a mappa engedélyeinek módosítására. Csak kissé megváltoztatjuk a fájl megosztási beállításait smb.conf.

[zene-xeon] megjegyzés = Személyes zene mappa útvonala = / home / xeon / zene csak olvasható = Nincs érvényes felhasználó = @felhasználók írási listája = xeon olvasólista = @ felhasználók

Példa 3: Meg akarjuk osztani a mappát / home / xeon / könyvelés felhasználói csoport számára számlálók. A csoport minden tagjának olvasási engedélye lesz. A felhasználók triton y Zeusz írhatnak a megosztott mappába.

Most HA módosítanunk kell a mappa tulajdonosát és engedélyeit számvitel létrehozása után, így tudnak írni triton y Zeusz akik a csoport tagjai számlálók. Arra is ügyelnünk kell, hogy a fájl létrehozásának vagy módosításának utolsó felhasználója ne váljon abszolút tulajdonosává, hogy azt más írási engedéllyel rendelkező felhasználók módosíthassák.

Alapvető fontosságú megérteni, hogyan kell kezelni a fájlrendszer viselkedését a smb.conf, valamint a UNIX / Linux fájlrendszer biztonságának megértése.

Ezekben az esetekben:

• Nyugodtan deklarálja, hogy ki lesz a megosztott könyvtár tulajdonosi felhasználója és ki lesz a tulajdonos csoportja.
• Engedélyezheti, hogy a tulajdonoscsoport írjon a Megosztott könyvtárba.
• Nyilatkozd meg a bitet SGID (Csoportazonosító beállítása) a könyvtár létrehozása során.
• Nyilvánítsa megfelelően az aktában smb.conf a fájlok és könyvtárak létrehozásának módjai megosztott erőforrásunkon belül.

Egyszerű és lehetséges megoldás a gyakorlatban, ha úgy hajtunk végre gyökér:

mkdir / home / xeon / könyvelés chown -R gyökér: számlálók / home / xeon / könyvelés chmod -R g + ws / home / xeon / könyvelés ls -l / home / xeon

És hozzáadjuk a következőket az smb.conf fájl végéhez:

[könyvelés] megjegyzés = mappa a könyvelők számára path = / home / xeon / könyvelés csak olvasható = nincs érvényes felhasználó = @ könyvelők írási lista = triton, zeus olvasási lista = @ könyvelők kényszer létrehozási mód = 0660 könyvtár könyvtár mód = 0770

Azonnal ellenőrizzük a smb.conf mediante tesztparm és feltöltjük a szolgáltatást szolgáltatás samba újratöltése. Futni is tudunk smbclient -L localhost -U%. a helyi szerveren, és smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% a távoli számítógépről.

Idő az, hogy egy távoli számítógépről csatlakozunk a megosztott erőforráshoz, és elvégezzük az összes szükséges tesztet. Javasoljuk, hogy ellenőrizze, hogyan változik a mappák és fájlok tulajdonosa az erőforráson belüli létrehozásuk során.

Fontos: A felhasználó gyökér vagy a felhasználó Xeon és általában a csoport bármely tagja számlálók, írhat egy ugyanazon a számítógépen indított helyi munkamenetből vagy annak segítségével ssh, vagyis az SMB / CIFS protokoll használata nélkül. Ha helyileg hoz létre mappát vagy fájlt, ne felejtse el újra hozzárendelni a megfelelő engedélyeket. Ellenőrizze ls-l. A fentiek be nem tartása sok zavart okoz.

Barátok, bocsássanak meg a cikk terjedelmét, és remélem, hogy ez valamilyen hasznát fogja venni Önnek. A következő kalandig!