Samba: Server Mandiri di Debian

Halo teman-teman!. Jika kita ingin memiliki Server Independen (Standalone) untuk berbagi sumber daya baik dari stasiun kerja kami; atau untuk sekelompok kecil mesin; atau untuk LAN tanpa pengontrol domain gaya Microsoft, paling mudah melakukannya dengan menggunakan Samba.

Ada beberapa alat grafis untuk tujuan ini, serta alat untuk mengelola Samba melalui web "SWAT". Namun, kami merekomendasikan untuk pemula yang memulai di dunia yang menakjubkan ini secara manual. Ini tidak sesulit atau jahat seperti yang dipikirkan banyak orang. Dan dalam prosesnya Anda belajar banyak tentang jaringan SMB / CIFS dan tentang Izin dan Hak di sistem file Linux.

Sebelum melanjutkan, kami sarankan untuk membaca:

• Samba: Pengenalan yang Diperlukan
• Samba: Jelajahi jaringan SMB / CIFS tanpa Samba
• Samba: Klien Smb
• Samba:CIFS-Utils

Kami tidak akan melihat cara berbagi printer menggunakan Samba. Bagi mereka yang ingin menggunakan suite ini untuk tujuan ini, kami merekomendasikan untuk membaca dokumentasi yang menyertai seperti yang ditunjukkan dalam Samba: Pengenalan yang Diperlukan. Anda juga bisa membaca artikelnya CUPS: Cara menggunakan dan mengkonfigurasi printer dengan cara mudah.

Hal-hal mendasar untuk dipertimbangkan

• Terlepas dari semua aura yang mengelilingi Direktori Aktif dan Pengontrol Domain mereka, yang pada banyak kesempatan tidak diperlukan atau dieksploitasi dengan buruk, menginstal dan mengkonfigurasi Server Samba Independen adalah opsi yang valid dan andal.
• Server Independen bisa seaman atau tidak aman sesuai dengan kebutuhan kita, dan kita dapat mengkonfigurasinya dengan cara yang sederhana atau kompleks.
• Otentikasi pengguna dilakukan di server itu sendiri tempat sumber daya berada.
• Agar pengguna dapat mengakses sumber daya dari komputer jarak jauh, mereka juga harus terdaftar di basis pengguna Samba.
• Kami hanya dapat menambahkan ke database pengguna Samba para pengguna yang sudah ada di server atau mesin desktop kami.
• Server Samba Standalone TIDAK menyediakan Login Jaringan, seperti Pengontrol Domain. Itu juga tidak menyediakan Login ke Domain.
• Semakin sedikit kita mengubah dan / atau menambahkan parameter ke file /etc/smb.conf Tanpa terlebih dahulu mengetahui secara detail apa yang ingin kita capai, itu akan jauh lebih baik.
• Layanan berbagi sumber daya di Samba berfungsi pada sistem file Linux, termasuk keamanan yang melekat padanya. Banyak masalah diselesaikan dengan memperhatikan izin file dan direktori.
• Penting untuk memahami cara menangani perilaku sistem file dari file seseorang.conf, serta memahami cara kerja keamanan sistem file UNIX / Linux.
• Kami merekomendasikan untuk tidak menggunakan aksen, eñes, atau spasi pada nama folder dan sumber daya bersama. Lebih disukai menggunakan huruf kecil untuk nama.
• Nama berbagi tidak dapat diulang di LAN. Setiap nama itu unik.
• Jika TIDAK ADA server WINS di LAN kami, kami dapat membuat Samba kami bertindak seperti itu dengan menambahkan «global»Dari file seseorang.conf parameternya memenangkan dukungan = Ya., yang sangat disarankan.

Server sampel

nama: miwheezy. Domain: teman.cu. IP: 10.10.10.20. Pengguna: xeon, zeus dan triton. Grup tambahan: penghitung

Instalasi

Melalui Synaptic atau melalui konsol kami menginstal paket samba.

sudo aptitude menginstal samba

Sangat berguna juga untuk menginstal paket klien kecil. Kami akan menggunakannya untuk pemeriksaan.

Dalam prosesnya, paket-paket akan diinstal - tetapi kami sebelumnya telah menginstal beberapa paket lain yang terkait dengan Suite- samba, samba-umum, samba-umum-bin y tdb-alat. Juga, file tersebut dibuat /etc/samba/smb.conf. File ini akan dibuat selama paket diinstal samba-umum y samba-umum-bin, dan itu tidak akan dihapus dari sistem sampai kami menghapusnya.

File smb.conf adalah yang paling penting di Samba Suite

Samba memiliki banyak sekali opsi konfigurasi, sebagian besar tidak ditampilkan di contoh seseorang.conf yang menginstal secara default. Opsi dikomentari dengan «;»Dianggap cukup penting untuk ditampilkan, dan nilai defaultnya berbeda dari default perilaku Samba. Opsi konfigurasi dikomentari dengan «#«, Memiliki default Samba, dan juga dianggap penting untuk ditampilkan.

Jika kami ingin melihat konten file tanpa mempertimbangkan opsi komentar baik dengan «;"atau dengan"#«, Kita harus mengeksekusi:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Jika kami ingin melihat isi file tanpa mempertimbangkan opsi berkomentar dengan «#«, Kita harus mengeksekusi:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Hal pertama yang harus kita lakukan adalah menyalin file /etc/samba/smb.conf. Di dalam file itu sendiri kami menemukan cara yang Samba rekomendasikan untuk membuat copy pekerjaan, yang kami jelaskan di bawah ini. Sebagai akar kami melaksanakan:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
total 32 -rw-r - r-- 1 root root 8 Nov 10 2002 gdbcommands -rw-r - r-- 1 root root 805 4 Agustus 12:05 smb.conf -rw-r - r-- 1 root root 12173 4 Agustus 12:05 smb.conf.master

Perhatikan perbedaan ukuran antara smb.conf yang dibuat dengan cara ini dan yang asli. Karena ukurannya lebih kecil, kinerja server meningkat sesuai dengan apa yang ditunjukkan oleh Tim Samba.

Isi awal file /etc/samba/smb.conf Ini akan menjadi (ingat bahwa kami tidak akan mengembangkan berbagi printer):

[global]
        workgroup = TEMAN netbios name = MIWHEEZY security = user
        string server =% h peta server ke tamu = Pengguna Buruk patuhi batasan pam = Ya pam perubahan kata sandi = Ya program passwd = / usr / bin / passwd% u passwd chat = * Masukkan \ snew \ s * \ spassword: *% n \ n * Ketik ulang \ snew \ s * \ spassword $ unix password sync = Ya syslog = 0 file log = /var/log/samba/log.%m max log size = 1000 dns proxy = Tidak ada usershare allow guests = Ya aksi panik = / usr / share / samba / panic-action% d idmap config *: backend = tdb [rumah] komentar = Beranda Direktori pengguna yang valid =% S buat masker = 0700 direktori mask = 0700 dapat dijelajahi = Tidak

Nilai yang ditandai dengan huruf tebal adalah satu-satunya nilai yang harus kita modifikasi pada awalnya. Perhatikan bahwa, meskipun Samba merupakan perilaku default, kami telah secara eksplisit menyatakan opsi keamanan = pengguna mengingat itu sangat penting.

Jika TIDAK ADA server WINS di LAN kami, kami dapat membuat Samba kami bertindak seperti itu dengan menambahkan «global»Dari file seseorang.conf parameternya memenangkan dukungan = Ya., yang sangat disarankan.

peraturan Emas: Semakin sedikit kita mengubah dan / atau menambahkan parameter ke file smb.conf tanpa terlebih dahulu mengetahui secara detail apa yang ingin kita capai, akan semakin baik.

Berikut adalah ringkasan singkat dari beberapa opsi yang ditampilkan. Untuk informasi lebih lanjut, silakan jalankan man smb.conf.

• workgroup: Kontrol di mana Workgroup akan menampilkan peralatan saat membuat web browser. Parameter ini juga mengontrol nama Domain saat bekerja dengan opsi keamanan = domain dan di mana tim bergabung dengan sebuah Domain. Kita akan melihatnya di artikel selanjutnya. Nilai defaultnya adalah WORKGROUP.
• nama netbios: Menyetel nama NetBIOS yang akan digunakan server Samba di jaringan. Secara default, ini sama dengan komponen pertama dari FQDN dari tuan rumah. Dalam contoh kami, file FQDN dari tim ini miwheezy.amigos.cu. Kami dapat menggunakan nama yang berbeda dari host untuk server Samba kami. Jika demikian, disarankan untuk menyertakan data CNAME di DNS.
• keamanan: Parameter yang mempengaruhi cara klien menanggapi Samba dan merupakan salah satu yang paling penting dalam file seseorang.conf. Nilai defaultnya adalah pemakai.
• string server: Mengontrol nama mana yang ditampilkan dalam komentar yang muncul di browser web di samping nama tim.
• peta untuk tamu: Parameter yang hanya berguna jika disetel keamanan = pengguna o keamanan = domain. Nilai "Pengguna Buruk" memberitahu Samba untuk menolak sandi yang tidak valid, kecuali pengguna TIDAK ada, dalam hal ini mereka akan diperlakukan sebagai Tamu atau "tamu«. Jika kita tidak ingin mengizinkan sesi tamu, kita harus mengubah nilainya menjadi Tak pernah, yang merupakan nilai default, dan juga mengubah parameternya usershare mengizinkan tamu a tidak, yang juga merupakan nilai default.
• patuhi batasan pam: Mengontrol apakah Samba harus mematuhi batasan PAM sendiri atau tidak «Modul Otentikasi Plugable«, Mengenai Arahan Administrasi Akun dan Sesi Pengguna. Nilai defaultnya adalah tidak.
• perubahan kata sandi pam: Memberitahu Samba untuk menggunakan PAM untuk perubahan password yang diminta oleh klien SMB. Nilai defaultnya adalah tidak.
• program passwd: Program yang digunakan untuk menyetel sandi UNIX untuk pengguna.
• obrolan paswd: Rantai yang mengontrol percakapan yang terjadi antara iblis seseorang dan program lokal untuk perubahan kata sandi yang ditentukan dalam parameter sebelumnya.
• unix sinkronisasi sandi: Memberi tahu Samba untuk menyinkronkan sandi SMB dengan sandi UNIX, selama perubahan sebelumnya. Nilai defaultnya adalah tidak.
• pengguna yang valid: Daftar pengguna yang diizinkan masuk ke suatu share.

Restart atau Reload layanan Samba

Setiap kali kami membuat perubahan signifikan, terutama di bagian «[global]" dari seseorang.conf, kami harus memulai ulang layanan. Jika kami sudah memiliki pengguna yang terhubung ke server kami, setiap kali kami me-restart Samba, kami akan memutuskan mereka. Itulah sebabnya, dan secara praktis mulai sekarang, kami hanya akan memuat ulang layanan saat kami menambah atau mengubah sumber daya bersama. Untuk memulai kembali layanan, kami menjalankan sebagai akar:

layanan samba restart

Untuk mengisi ulang layanan:

layanan samba isi ulang

Kami menambahkan pengguna ke sistem dan ke database pengguna Samba

Kami hanya dapat menambahkan ke database pengguna Samba para pengguna yang sudah ada di server lokal kami.

Dalam contoh kami, pengguna xeon itu ditambahkan selama instalasi Wheezy. Oleh karena itu, kami tidak akan menambahkannya ke pengguna tim. Grup pengguna ada di sistem dan dibuat selama instalasi.

Beberapa opsi perintah smbpasswd suara:

• -a: Tambahkan pengguna tertentu ke file lokal smbpasswd.
• -x: Pengguna yang ditunjukkan harus dihapus dari file lokal smbpasswd. Hanya tersedia jika smbpasswd berjalan sebagai akar.
• -d: Akun pengguna yang ditunjukkan harus dinonaktifkan. Hanya tersedia jika smbpasswd berjalan sebagai akar.
• -e: Kebalikan dari opsi -d selama akun pengguna dinonaktifkan.

Untuk membuat pengguna di tim kami, kami melakukannya dengan perintah terkenal Tambahkan pengguna.

adduser zeus adduser triton

Untuk membuat grup penghitung:

penghitung grup tambahan

Untuk menambahkan pengguna ke database Samba:

smbpasswd -akar
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Kami bergabung dengan grup penghitung kepada pengguna yang kami inginkan:

adduser xeon counter adduser zeus counter adduser penghitung triton

Direkomendasikan untuk bergabung dengan setiap pengguna yang dibuat ke grup Pengguna, jika kami ingin memberikan izin kepada semua pengguna yang telah kami buat, pada sumber daya tertentu. Cara yang lebih mudah untuk menggabungkan beberapa pengguna ke sebuah grup adalah dengan mengedit file secara langsung / etc / group, dan menambahkan daftar pengguna yang dipisahkan dengan koma. Mereka bisa dibimbing oleh kelompok penghitung. Kami berasumsi bahwa kami menggabungkan pengguna ke grup Pengguna.

Di workstation, untuk menghapus tampilan pengguna yang dibuat menggunakan Tambahkan pengguna, kita harus mengedit file tersebut /etc/gdm3/greeter.gsettings dan hapus tanda komentar pada opsi nonaktifkan-daftar-pengguna = true, sehingga TIDAK ADA daftar pengguna yang ditampilkan saat masuk. Ini adalah perilaku standar dari setiap komputer klien Windows yang bergabung dengan sebuah Domain.

Demikian pula, jika kita ingin pengguna yang dibuat tidak memulai sesi jarak jauh ssh, kami mengedit file / etc / ssh / sshd_config dan tambahkan instruksi ke akhir file IzinkanPengguna. Contoh:

[....] # dan ChallengeResponseAuthentication menjadi 'no'. UsePAM yes AllowUsers xeon

Kami menambahkan sumber daya bersama

Contoh 1: Kami ingin membagikan folder tersebut / home / xeon / music untuk semua pengguna terdaftar. Izin akan menjadi hanya baca. Pertama-tama kita buat foldernya / home / xeon / music dan kami mengonfigurasi pemilik dan izinnya jika perlu. Sebagai pengguna Xeon kami mengeksekusi:

mkdir / home / xeon / music ls -l / home / xeon | musik grep

Kemudian di akhir file seseorang.conf kami menambahkan yang berikut:

[music-xeon] comment = Jalur folder musik pribadi = / home / xeon / music read only = Ya valid users = @users read list = @users

Setelah modifikasi file, kami jalankan testparm sebagai pengguna xeon dan kami mengisi ulang layanan sebagai akar. Kami juga dapat menjalankan kedua perintah seperti akar:

samba reload layanan testparm

Untuk memeriksa layanan yang baru dikonfigurasi, kita dapat melakukannya dengan menjalankan perintah berikut di komputer itu sendiri:

klien smb -L localhost -U%

Contoh 2: Kami ingin membagikan folder tersebut / home / xeon / music untuk semua pengguna terdaftar. Izin akan dibaca / ditulis untuk xeon dan hanya baca untuk pengguna lainnya yang termasuk dalam grup Pengguna. Kami tidak perlu mengubah pemilik atau izin pada folder. Kami hanya mengubah sedikit pengaturan berbagi di file seseorang.conf.

[music-xeon] comment = Jalur folder musik pribadi = / home / xeon / music read only = Tidak ada pengguna yang valid = @users tulis daftar = xeon daftar baca = @users

Contoh 3: Kami ingin membagikan folder tersebut / home / xeon / accounting untuk grup pengguna penghitung. Semua anggota grup akan memiliki izin membaca. Para pengguna pelaut y Zeus mereka akan dapat menulis ke folder bersama.

Sekarang JIKA kita harus mengubah pemilik dan izin folder akuntansi setelah dibuat, sehingga mereka bisa menulis pelaut y Zeus yang merupakan anggota grup penghitung. Kita juga harus berhati-hati agar pengguna terakhir yang membuat atau memodifikasi file tidak menjadi pemilik mutlaknya, sehingga dapat dimodifikasi oleh pengguna lain dengan izin tulis.

Sangat penting untuk memahami bagaimana menangani perilaku sistem file dari seseorang.conf, serta memahami cara kerja keamanan sistem file UNIX / Linux.

Dalam kasus ini kita harus:

• Nyatakan dengan nyaman siapa yang akan menjadi Pengguna Pemilik dan siapa yang akan menjadi Grup Pemilik dari Direktori Bersama.
• Izinkan menulis ke Direktori Bersama oleh Grup Pemilik.
• Deklarasikan bitnya SGID (Setel ID Grup) dari direktori selama pembuatannya.
• Nyatakan dengan benar dalam file seseorang.conf cara membuat file dan direktori dalam sumber daya bersama kami.

Solusi sederhana dan mungkin dalam praktiknya akan kami miliki jika kami mengeksekusi sebagai akar:

mkdir / home / xeon / akuntansi chown -R root: counter / home / xeon / chmod akuntansi -R g + ws / home / xeon / accounting ls -l / home / xeon

Dan kami menambahkan yang berikut ini ke akhir file smb.conf:

[akuntansi] komentar = Folder untuk jalur akuntan = / home / xeon / akuntansi hanya baca = Tidak ada pengguna yang valid = @ akuntan menulis daftar = triton, zeus daftar baca = @ akuntan memaksa mode pembuatan = 0660 mode direktori paksa = 0770

Kami segera memeriksa sintaks dasar file seseorang.conf melalui testparm dan kami mengisi ulang layanan melalui layanan samba isi ulang. Kita juga bisa lari klien smb -L localhost -U%. di server lokal, dan klien kecil -L miwheezy -U% o smbclient -L mywheezy.friends.cu -U% dari komputer jarak jauh.

Waktu adalah dari komputer jarak jauh kita terhubung ke sumber daya bersama dan melakukan semua tes yang diperlukan. Dianjurkan untuk memeriksa bagaimana pengguna yang memiliki folder dan file berubah saat dibuat dalam sumber daya.

Penting: Pengguna akar atau pengguna xeon dan secara umum setiap anggota grup penghitung, Anda dapat menulis dari sesi lokal yang dimulai di komputer yang sama atau melalui ssh, yaitu, tanpa menggunakan protokol SMB / CIFS. Jika Anda membuat folder atau file secara lokal, ingatlah untuk menetapkan kembali izin yang sesuai. Periksa sebelum ls-l. Tidak melakukan hal di atas adalah sumber dari banyak kebingungan.

Teman-teman, maafkan saya panjangnya artikel ini dan saya harap ini akan berguna bagi Anda. Sampai petualangan selanjutnya!