Samba: server autonomo su Debian

Ciao amici!. Se vogliamo avere un server indipendente (Indipendente, autonomo) per condividere le risorse sia dalla nostra postazione di lavoro; o per un piccolo gruppo di macchine; o per una LAN senza un controller di dominio in stile Microsoft, è più semplice farlo usando Samba.

Ci sono alcuni strumenti grafici per questo scopo, così come lo strumento per amministrare Samba tramite il web «SWAT». Però, si consiglia ai principianti che iniziano manualmente in questo meraviglioso mondo. Non è così difficile o diabolico come molti pensano. E durante il processo impari molto sulle reti SMB / CIFS e sui permessi e sui diritti sui file system Linux.

Prima di continuare, ti consigliamo di leggere:

• Samba: introduzione necessaria
• Samba: esplora una rete SMB / CIFS senza Samba
• Samba:SmbClient
• Samba:CIFS-Utils

Non vedremo come condividere le stampanti usando Samba. A chi volesse utilizzare questa suite per questi scopi, si consiglia di leggere la documentazione a corredo come indicato in Samba: introduzione necessaria. Puoi anche leggere l'articolo CUPS: come utilizzare e configurare le stampanti in modo semplice.

Punti fondamentali da considerare

• Nonostante tutta l'aura che circonda Active Directory e i loro Domain Controller, che in numerose occasioni non sono necessari o poco sfruttati, installare e configurare un Independent Samba Server È un'opzione valida e affidabile.
• Un server indipendente può essere sicuro o insicuro in base alle nostre esigenze e possiamo configurarlo in modo semplice o complesso.
• L'autenticazione dell'utente viene eseguita sul server stesso in cui risiedono le risorse.
• Affinché un utente possa accedere alle risorse da un computer remoto, deve anche essere registrato nella base utenti di Samba.
• Possiamo solo aggiungere al database degli utenti di Samba quegli utenti che già esistono sul nostro server o computer desktop.
• Un server Samba autonomo NON fornisce l'accesso alla rete, come fa un controller di dominio. Inoltre non fornisce l'accesso a un dominio.
• Meno cambiamo e / o aggiungiamo parametri al file /etc/smb.conf Senza prima sapere in dettaglio cosa vogliamo ottenere, sarà molto meglio.
• Il servizio di condivisione delle risorse in Samba funziona sul filesystem Linux, inclusa la sua sicurezza intrinseca. Molti problemi vengono risolti prestando la dovuta attenzione ai permessi di file e directory.
• È essenziale capire come gestire il comportamento del file system dal file smb.conf, oltre a comprendere come funziona la sicurezza del file system UNIX / Linux.
• Si consiglia di non utilizzare accenti, eñes o spazi nei nomi di cartelle e risorse condivise. Preferibilmente usa lettere minuscole per i nomi.
• I nomi delle condivisioni non possono essere ripetuti su una LAN. Ogni nome è unico.
• Se NON c'è un server WINS sulla nostra LAN, possiamo fare in modo che il nostro Samba si comporti come tale aggiungendo nel campo «globale»Dal file smb.conf il parametro vince il supporto = Sì., che è altamente raccomandato.

Server di esempio

Nome: strepitoso. dominio: amici.cu. IP: 10.10.10.20. Utenti: xeon, zeus e triton. Gruppi aggiuntivi: contatori

Installazione

Tramite Synaptic o tramite console installiamo il pacchetto samba.

sudo aptitude installa samba

È molto utile installare anche il pacchetto smbclient. Lo useremo per i controlli.

Nel processo, verranno installati i pacchetti, ma in precedenza ne abbiamo installati altri relativi alla Suite- samba, samba-comune, samba-comune-bin y strumenti tdb. Inoltre, il file viene creato /etc/samba/smb.conf. Questo file verrà creato finché i pacchetti saranno installati samba-comune y samba-comune-bine non verrà eliminato dal sistema finché non li disinstalleremo.

Il file smb.conf è il più importante in Samba Suite

Samba ha un numero enorme di opzioni di configurazione, la maggior parte delle quali non sono mostrate nell'esempio di smb.conf che si installa per impostazione predefinita. Le opzioni commentate con un «;»Sono considerati abbastanza importanti da essere visualizzati e i loro valori predefiniti differiscono dai valori predefiniti del comportamento di Samba. Le opzioni di configurazione commentate con un «#«, Hanno impostazioni predefinite di Samba e sono anche considerate importanti da visualizzare.

Se vogliamo vedere il contenuto del file senza considerare le opzioni commentate neanche con «;"o con"#«, Dobbiamo eseguire:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Se vogliamo vedere il contenuto del file senza considerare le opzioni commentate con «#«, Dobbiamo eseguire:

egrep -v '# | ^ * $' /etc/samba/smb.conf

La prima cosa da fare è una copia del file /etc/samba/smb.conf. Nel file stesso troviamo il modo in cui Samba consiglia di fare una copia funzionante, che dettagliamo di seguito. Come radice eseguiamo:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
totale 32 -rw-r - r-- 1 radice radice 8 Nov 10 2002 gdbcommands -rw-r - r-- 1 radice radice 805 4 agosto 12:05 smb.conf -rw-r - r-- 1 radice radice 12173 4 12 agosto 05:XNUMX smb.conf.master

Notare la differenza di dimensioni tra il file smb.conf generato in questo modo e l'originale. Poiché le dimensioni sono inferiori, le prestazioni del server aumentano in base a quanto indicato dal Team Samba.

Il contenuto iniziale del file /etc/samba/smb.conf Sarà (ricorda che non svilupperemo la condivisione della stampante):

[globale]
        gruppo di lavoro = AMICI netbios name = MIWHEEZY security = user
        stringa del server =% h mappa del server su guest = utente non valido obbedisce alle restrizioni pam = Sì modifica password pam = Sì programma passwd = / usr / bin / passwd% u passwd chat = * Immettere \ snew \ s * \ spassword: *% n \ n * Ridigita \ snew \ s * \ spassword $ unix password sync = Sì syslog = 0 file di registro = /var/log/samba/log.%m dimensione massima del registro = 1000 dns proxy = Nessuna condivisione utenti consente agli ospiti = Sì azione di panico = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = Directory home utenti validi =% S create mask = 0700 directory mask = 0700 browseable = No

I valori evidenziati in grassetto sono gli unici che dobbiamo modificare inizialmente. Nota che, nonostante sia il comportamento predefinito di Samba, abbiamo dichiarato esplicitamente l'opzione security = user data la sua grande importanza.

Se NON c'è un server WINS sulla nostra LAN, possiamo fare in modo che il nostro Samba si comporti come tale aggiungendo nel campo «globale»Dal file smb.conf il parametro vince il supporto = Sì., che è altamente raccomandato.

regola d'oro: Meno cambiamo e / o aggiungiamo parametri al file smb.conf senza prima sapere in dettaglio cosa vogliamo ottenere, molto meglio sarà.

Ecco un breve riepilogo di alcune delle opzioni mostrate. Per ulteriori informazioni, esegui uomo smb.conf.

• gruppo di lavoro: Controlla in quale gruppo di lavoro apparirà l'apparecchiatura quando si crea un browser web. Questo parametro controlla anche il nome di dominio quando si lavora con l'opzione sicurezza = dominio e in cui il team entra a far parte di un dominio. Lo vedremo negli articoli successivi. Il valore predefinito è GRUPPO DI LAVORO.
• nome netbios: Imposta il nome NetBIOS con cui il server Samba sarà conosciuto sulla rete. Di default è lo stesso del primo componente di FQDN dall'host. Nel nostro esempio il file FQDN della squadra è miwheezy.amigos.cu. Possiamo usare un nome diverso dall'host per il nostro server Samba. In tal caso è consigliabile includere un record CNAME nel nostro file DNS.
• problemi di: Parametro che influenza il modo in cui i client rispondono a Samba ed è uno dei più importanti nel file smb.conf. Il valore predefinito è Utente.
• stringa del server: Controlla il nome visualizzato nei commenti visualizzati in un browser Web accanto al nome del team.
• mappa per ospite: Parametro utile solo se impostato security = user o sicurezza = dominio. Il valore "Bad User" dice a Samba di rifiutare una password non valida, a meno che l'utente NON esista, nel qual caso verrà trattato come Guest o "ospite«. Se non si desidera consentire le sessioni ospite, è necessario modificarne il valore in Mai, che è esattamente il valore predefinito, e modificare anche il parametro condivisione utenti consentire ospite a no, che è anche il valore predefinito.
• obbedire alle restrizioni di pam: Controlla se Samba deve obbedire o meno alle restrizioni di PAM «Modulo di autenticazione plugable«, Per quanto riguarda le direttive di amministrazione degli account utente e delle sessioni. Il valore predefinito è no.
• modifica della password pam: Dice a Samba di utilizzare PAM per le modifiche della password richieste da un client SMB. Il valore predefinito è no.
• programma passwd: Programma utilizzato per impostare le password UNIX per gli utenti.
• chat passwd: Catena che controlla la conversazione che si svolge tra il demone smb e il programma locale per la modifica della password definita nel parametro precedente.
• sincronizzazione password unix: Dice a Samba di sincronizzare la password SMB con la password UNIX, a condizione che la prima venga modificata. Il valore predefinito è no.
• utenti validi: Elenco di utenti a cui è consentito accedere a una condivisione.

Riavvia o ricarica il servizio Samba

Ogni volta che apportiamo modifiche significative, soprattutto nella sezione «[globale]"di smb.conf, dobbiamo riavviare il servizio. Se abbiamo già utenti connessi al nostro server, ogni volta che riavviamo Samba, li disconnetteremo. Ecco perché, e praticamente d'ora in poi, ricaricheremo il servizio solo quando aggiungeremo o modificheremo le risorse condivise. Per riavviare il servizio, eseguiamo come radice:

riavviare il servizio samba

Per ricaricare il servizio:

ricarica di samba del servizio

Aggiungiamo gli utenti al sistema e al database degli utenti di Samba

Possiamo solo aggiungere al database degli utenti di Samba quegli utenti che già esistono sul nostro server locale.

Nel nostro esempio, l'utente Xeon è stato aggiunto durante l'installazione di Wheezy. Pertanto, non lo aggiungeremo agli utenti del team. Il gruppo di utenti esiste nel sistema ed è stato creato durante l'installazione.

Alcune opzioni di comando smbpasswd sono:

• -a: Aggiunge l'utente specificato al file locale smbpasswd.
• -x: L'utente indicato deve essere rimosso dal file locale smbpasswd. Disponibile solo quando smbpasswd funziona come radice.
• -d: L'account utente indicato deve essere disabilitato. Disponibile solo quando smbpasswd funziona come radice.
• -e: L'opposto dell'opzione -d fintanto che l'account dell'utente è disabilitato.

Per creare gli utenti nel nostro team, lo facciamo con il noto comando Aggiungi utente.

adduser zeus adduser triton

Per creare il gruppo contadores:

contatori addgroup

Per aggiungere utenti al database Samba:

smbpasswd -a radice
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Ci uniamo al gruppo contadores agli utenti che vogliamo:

contatori adduser xeon contatori zeus adduser contatori triton adduser

Si consiglia di unirsi a ogni utente creato nel gruppo utenti, nel caso in cui vogliamo concedere i permessi a tutti gli utenti che abbiamo creato, su una specifica risorsa. Un modo più semplice per unire più utenti a un gruppo è modificare direttamente il file /etc/groupe aggiungendo l'elenco degli utenti separati da una virgola. Possono essere guidati dal gruppo contadores. Partiamo dal presupposto che ci uniamo gli utenti al gruppo utenti.

Su una workstation, per rimuovere la visualizzazione degli utenti creati utilizzando Aggiungi utente, dobbiamo modificare il file /etc/gdm3/greeter.gsettings e rimuovere il commento dall'opzione disable-user-list = true, in modo che NESSUN elenco di utenti venga visualizzato durante l'accesso. Questo è il comportamento standard di qualsiasi computer client Windows aggiunto a un dominio.

Allo stesso modo, se vogliamo che gli utenti creati non avviino una sessione remota tramite SSH, modifichiamo il file /etc/ssh/sshd_config e aggiungi alla fine del file l'istruzione Consenti Utenti. Esempio:

[....] # e ChallengeResponseAuthentication su "no". UsePAM sì AllowUsers xeon

Aggiungiamo risorse condivise

Esempio 1: Vogliamo condividere la cartella / home / xeon / music per tutti gli utenti registrati. L'autorizzazione sarà di sola lettura. Prima di tutto creiamo la cartella / home / xeon / music e ne configuriamo il proprietario e le autorizzazioni, se necessario. Come utente Xeon eseguiamo:

mkdir / home / xeon / music ls -l / home / xeon | grep music

Quindi alla fine del file smb.conf aggiungiamo quanto segue:

[music-xeon] comment = Percorso cartella musicale personale = / home / xeon / music read only = Sì utenti validi = @users read list = @users

Dopo le modifiche al file, eseguiamo prova par come utente Xeon e ricarichiamo il servizio come radice. Possiamo anche eseguire entrambi i comandi come radice:

ricarica samba del servizio testparm

Per verificare il servizio appena configurato possiamo farlo eseguendo il seguente comando sul computer stesso:

smbclient -L host locale -U%

Esempio 2: Vogliamo condividere la cartella / home / xeon / music per tutti gli utenti registrati. I permessi saranno di lettura / scrittura per Xeon e di sola lettura per il resto degli utenti appartenenti al gruppo utenti. Non abbiamo bisogno di modificare il proprietario o le autorizzazioni sulla cartella. Modifichiamo solo un po 'le impostazioni di condivisione nel file smb.conf.

[music-xeon] comment = Percorso cartella musicale personale = / home / xeon / music read only = Nessun utente valido = @users write list = xeon read list = @users

Esempio 3: Vogliamo condividere la cartella / home / xeon / contabilità per gruppo utenti contadores. Tutti i membri del gruppo avranno il permesso di lettura. Gli utenti tritone y Zeus potranno scrivere nella cartella condivisa.

Ora SE dobbiamo modificare il proprietario e le autorizzazioni della cartella contabilità dopo aver creato, in modo che possano scrivere tritone y Zeus che sono un membro del gruppo contadores. Dobbiamo anche fare attenzione che l'ultimo utente che crea o modifica un file non diventi il ​​suo proprietario assoluto, in modo che possa essere modificato da altri utenti con permessi di scrittura.

È essenziale capire come gestire il comportamento del file system dal smb.conf, oltre a comprendere come funziona la sicurezza del file system UNIX / Linux.

In questi casi dobbiamo:

• Dichiarare a comodo chi sarà l'utente proprietario e chi sarà il gruppo proprietario della directory condivisa.
• Consenti la scrittura nella directory condivisa dal gruppo di proprietari.
• Dichiara il bit SGID (Imposta ID gruppo) della directory durante la sua creazione.
• Dichiara correttamente nel file smb.conf i modi di creare file e directory all'interno della nostra risorsa condivisa.

Una soluzione semplice e possibile in pratica avremo se eseguiamo come radice:

mkdir / home / xeon / account chown -R root: counters / home / xeon / accounting chmod -R g + ws / home / xeon / accounting ls -l / home / xeon

E aggiungiamo quanto segue alla fine del file smb.conf:

[contabilità] commento = Cartella per i contabili path = / home / xeon / contabilità di sola lettura = Nessun utente valido = @ accountants write list = triton, zeus read list = @ accountants force create mode = 0660 force directory mode = 0770

Controlliamo immediatamente la sintassi di base del file smb.conf attraverso prova par e ricarichiamo il servizio tramite ricarica di samba del servizio. Possiamo anche correre smbclient -L host locale -U%. sul server locale e smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% dal computer remoto.

Il tempo è che da un computer remoto ci colleghiamo alla risorsa condivisa e facciamo tutti i test necessari. Si consiglia di verificare come cambia l'utente proprietario delle cartelle e dei file quando vengono creati all'interno della risorsa.

Importante: L'utente radice o l'utente Xeon e in generale qualsiasi membro del gruppo contadores, puoi scrivere da una sessione locale avviata sullo stesso computer o da SSH, ovvero senza utilizzare il protocollo SMB / CIFS. Se crei una cartella o un file localmente, ricordati di riassegnare le autorizzazioni appropriate. Controlla entro ls -l. Non fare quanto sopra è fonte di molta confusione.

Amici, perdonatemi la lunghezza dell'articolo e spero vi sia di qualche utilità. Alla prossima avventura!