Samba: atsevišķs serveris Debian

Sveiki draugi!. Ja mēs vēlamies, lai mums būtu neatkarīgs serveris (Standalone), lai dalītos resursos vai nu no mūsu darba stacijas; vai mazai mašīnu grupai; vai LAN bez Microsoft stila domēna kontrollera, visvieglāk to izdarīt, izmantojot Samba.

Šim nolūkam ir daži grafiskie rīki, kā arī rīks Samba administrēšanai, izmantojot tīmekļa "SWAT". Tomēr Mēs rekomendējam iesācējiem, kuri šajā brīnišķīgajā pasaulē startē manuāli. Tas nav tik grūti vai velnišķīgi, kā daudzi domā. Šajā procesā jūs daudz uzzināt par SMB / CIFS tīkliem un par atļaujām un tiesībām Linux failu sistēmās.

Pirms turpināt, ieteicams izlasīt:

• Samba: Nepieciešamais ievads
• Samba: pārlūkojiet SMB / CIFS tīklu bez Samba
• Samba: SmbClient
• Samba: CIFS-Utils

Mēs neredzēsim kā koplietot printerus, izmantojot Samba. Tiem, kas vēlas izmantot šo komplektu šiem mērķiem, iesakām izlasīt pievienoto dokumentāciju, kā norādīts Samba: Nepieciešamais ievads. Jūs varat arī izlasīt rakstu CUPS: Kā ērti izmantot un konfigurēt printerus.

Būtiski apsvērumi

• Neskatoties uz visu auru, kas ieskauj aktīvos direktorijus un to domēna kontrollerus, kas daudzos gadījumos nav nepieciešami vai tiek slikti izmantoti, neatkarīga Samba servera instalēšana un konfigurēšana ir derīga un uzticama iespēja.
• Neatkarīgais serveris var būt tikpat drošs vai nedrošs atbilstoši mūsu vajadzībām, un mēs to varam konfigurēt vienkārši vai sarežģīti.
• Lietotāja autentifikācija tiek veikta pašā serverī, kurā atrodas resursi.
• Lai lietotājs varētu piekļūt resursiem no attālā datora, viņiem jābūt reģistrētiem arī Samba lietotāju bāzē.
• Samba lietotāju datu bāzē mēs varam pievienot tikai tos lietotājus, kuri jau pastāv mūsu serverī vai darbvirsmas mašīnā.
• Atsevišķs Samba serveris NETIEK nodrošināt tīkla pieteikšanos, kā to dara domēna kontrolleris. Tas arī nenodrošina pieteikšanos domēnā.
• Jo mazāk mēs failā mainām un / vai pievienojam parametrus /etc/smb.conf Vispirms detalizēti nezinot, ko mēs vēlamies sasniegt, tas būs daudz labāk.
• Resursu koplietošanas pakalpojums Samba darbojas Linux failu sistēmā, ieskaitot tā raksturīgo drošību. Daudzas problēmas tiek atrisinātas, pievēršot pienācīgu uzmanību failu un direktoriju atļaujām.
• Ir svarīgi saprast, kā rīkoties ar failu sistēmu no faila smb.conf, kā arī izpratni par UNIX / Linux failu sistēmas drošību.
• Mapju un koplietojamo resursu nosaukumos ieteicams neizmantot akcentus, eñes vai atstarpes. Vēlams, lai nosaukumiem izmantotu mazos burtus.
• LAN nosaukumus nevar atkārtot. Katrs nosaukums ir unikāls.
• Ja mūsu LAN tīklā nav WINS servera, mēs varam likt mūsu Samba darboties kā tādam, pievienojot «pasaules»No faila smb.conf parametru uzvar atbalstu = Jā., kas ir ļoti ieteicams.

Servera paraugs

nosaukums: dusmas. Domēns: draugi.cu. IP: 10.10.10.20. Lietotājiem: kseons, zevs un tritons. Papildu grupas: skaitītāji

Uzstādīšana

Izmantojot Synaptic vai caur konsoli, mēs instalējam pakotni samba.

sudo aptitude instalēt samba

Ir ļoti noderīgi arī instalēt pakotni smbclient. Mēs to izmantosim pārbaudēm.

Šajā procesā paketes tiks instalētas, bet mēs jau iepriekš esam instalējuši dažus citus, kas saistīti ar Suite- samba, samba-parasta, samba-common-bin y tdb-rīki. Arī fails tiek izveidots /etc/samba/smb.conf. Šis fails tiks izveidots, kamēr paketes būs instalētas samba-parasta y samba-common-bin, un tas netiks izdzēsts no sistēmas, kamēr mēs tos neatinstalēsim.

Samba Suite vissvarīgākais ir fails smb.conf

Samba ir milzīgs konfigurācijas iespēju skaits, no kurām lielākā daļa nav parādīta smb.conf kas tiek instalēts pēc noklusējuma. Iespējas, kas komentētas ar «;»Tiek uzskatīti par pietiekami svarīgiem, lai tos parādītu, un to noklusējuma vērtības atšķiras no noklusējuma Samba uzvedībā. Konfigurācijas opcijas komentēja ar «#«Vai Samba ir noklusējusi un tiek uzskatīta arī par svarīgu parādīšanai.

Ja mēs vēlamies redzēt faila saturu, neņemot vērā komentētās opcijas, vai nu ar «;"vai ar"#«Mums jāizpilda:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Ja mēs vēlamies redzēt faila saturu, neņemot vērā iespējas, kas komentētas ar «#«Mums jāizpilda:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Pirmais, kas jādara, ir faila kopija /etc/samba/smb.conf. Pašā failā mēs atrodam veidu, kā Samba iesaka izgatavot darba kopiju, kuru mēs detalizēti aprakstām tālāk. Kā sakne mēs izpildām:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
kopā 32 -rw-r - r-- 1 saknes sakne 8. gada 10. novembrī gdbcommands -rw-r - r-- 2002 saknes sakne 1 805. augusts 4:12 smb.conf -rw-r - r-- 05 saknes sakne 1 12173. augusts 4:12 smb.conf.master

Ievērojiet lieluma atšķirību starp šādā veidā izveidotu smb.conf un oriģinālu. Tā kā izmērs ir mazāks, servera veiktspēja palielinās atkarībā no tā, ko norāda Samba komanda.

Sākotnējais faila saturs /etc/samba/smb.conf Tas būs (atcerieties, ka mēs neizstrādāsim printera koplietošanu):

[globāla]
        darba grupa = FRIENDS netbios nosaukums = MIWHEEZY security = lietotājs
        servera virkne =% h servera karte viesim = Slikts lietotājs ievēro pam ierobežojumus = Jā pam paroles maiņa = Jā passwd programma = / usr / bin / passwd% u passwd tērzēšana = * Ievadiet \ snew \ s * \ spassword: *% n \ n * Retype \ snew \ s * \ spassword $ unix password sync = Yes syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 dns proxy = Nav lietotāju koplietošanas atļaut viesiem = Jā panikas darbība = / usr / share / samba / panic-action% d idmap config *: backend = tdb [mājas] komentārs = Mājas direktoriju derīgi lietotāji =% S izveidot masku = 0700 direktoriju maska ​​= 0700 pārlūkojami = nē

Treknrakstā izceltās vērtības ir vienīgās, kuras mums sākotnēji ir jāmaina. Ņemiet vērā, ka, neskatoties uz to, ka tā ir Samba noklusējuma uzvedība, mēs esam skaidri deklarējuši iespēju drošība = lietotājs ņemot vērā tā lielo nozīmi.

Ja mūsu LAN tīklā nav WINS servera, mēs varam likt mūsu Samba darboties kā tādam, pievienojot «pasaules»No faila smb.conf parametru uzvar atbalstu = Jā., kas ir ļoti ieteicams.

Zelta likums: Jo mazāk mēs mainīsim un / vai pievienosim parametrus failam smb.conf, iepriekš detalizēti nezinot, ko mēs vēlamies sasniegt, jo daudz labāk tas būs.

Šeit ir īss dažu parādīto iespēju kopsavilkums. Lai iegūtu vairāk informācijas, lūdzu, palaidiet cilvēks smb.conf.

• darbgrupas: Kontrole, kurā darba grupa parādīs aprīkojumu, veidojot tīmekļa pārlūkprogrammu. Šis parametrs kontrolē arī domēna nosaukumu, strādājot ar opciju drošība = domēns un kurā komanda pievienojas domēnam. To redzēsim vēlākos rakstos. Noklusējuma vērtība ir DARBA GRUPAS.
• netbios nosaukums: Iestata NetBIOS nosaukumu, ar kuru tīklā būs zināms Samba serveris. Pēc noklusējuma tas ir tāds pats kā pirmais komponents FQDN no saimnieka. Mūsu piemērā FQDN no komandas ir miwheezy.amigos.cu. Savam Samba serverim mēs varam izmantot citu nosaukumu nekā resursdators. Tādā gadījumā ieteicams CNAME ierakstu iekļaut mūsu DNS.
• drošība: Parametrs, kas ietekmē to, kā klienti reaģē uz Samba, un ir viens no svarīgākajiem failā smb.conf. Noklusējuma vērtība ir lietotājs.
• servera virkne: Kontrolē, kurš vārds tiek parādīts komentāros, kas tiek parādīti tīmekļa pārlūkprogrammā blakus komandas nosaukumam.
• karte viesim: Parametrs, kas ir noderīgs tikai tad, ja tas ir iestatīts drošība = lietotājs o drošība = domēns. Vērtība "Slikts lietotājs" liek Sambai noraidīt nederīgu paroli, ja vien lietotāja NAV, un tādā gadījumā ar viņu rīkosies kā Viesis vaiviesis«. Ja mēs nevēlamies atļaut viesu sesijas, mums ir jāmaina tā vērtība uz Nekad, kas ir precīzi noklusējuma vērtība, un mainiet arī parametru usershare atļaut viesim a Nē, kas ir arī noklusējuma vērtība.
• pakļauties pam ierobežojumiem: Kontrolē, vai Sambai ir jāpakļaujas PAM paša ierobežojumiem vai nē.Pievienojams autentifikācijas modulis«Par lietotāju kontu un sesiju administrēšanas direktīvām. Noklusējuma vērtība ir Nē.
• pam paroles maiņa: Liek Sambai izmantot PAM paroles maiņai, ko pieprasa SMB klients. Noklusējuma vērtība ir Nē.
• passwd programma: Programma, ko izmanto, lai iestatītu UNIX paroles lietotājiem.
• passwd tērzēšana: Ķēde, kas kontrolē sarunu, kas notiek starp dēmonu smbd un vietējā programma paroles maiņai, kas definēta iepriekšējā parametrā.
• unix paroles sinhronizācija: Liek Sambai sinhronizēt SMB paroli ar UNIX paroli, ja vien pirmā mainās. Noklusējuma vērtība ir Nē.
• derīgi lietotāji: To lietotāju saraksts, kuriem ir atļauts pieteikties koplietošanā.

Restartējiet vai atkārtoti ielādējiet pakalpojumu Samba

Ikreiz, kad veicam būtiskas izmaiņas, it īpaši sadaļā «[globāla]" no smb.conf, mums ir jārestartē pakalpojums. Ja mums jau ir savienoti lietotāji ar mūsu serveri, katru reizi, kad restartējam Samba, mēs tos atvienosim. Tāpēc un praktiski no šī brīža mēs pakalpojumu atkārtoti ielādēsim tikai tad, kad pievienosim vai mainīsim koplietojamos resursus. Lai restartētu pakalpojumu, mēs izpildām kā sakne:

pakalpojumu samba restartējiet

Lai uzlādētu pakalpojumu:

servisa samba pārlādēt

Mēs pievienojam lietotājus sistēmai un Samba lietotāju datu bāzei

Samba lietotāju datu bāzē mēs varam pievienot tikai tos lietotājus, kuri jau pastāv mūsu vietējā serverī.

Mūsu piemērā lietotājs xeon tas tika pievienots Wheezy instalēšanas laikā. Tāpēc mēs to nepievienosim komandas lietotājiem. Lietotāju grupa pastāv sistēmā un tika izveidota instalēšanas laikā.

Dažas komandu iespējas smbpasswd skaņa:

• -a: Pievienojiet norādīto lietotāju vietējam failam smbpasswd.
• -x: Norādītais lietotājs ir jānoņem no vietējā faila smbpasswd. Pieejams tikai tad, kad smbpasswd skrien kā sakne.
• -d: Norādītais lietotāja konts ir jāatspējo. Pieejams tikai tad, kad smbpasswd skrien kā sakne.
• -e: Pretēji opcijai -d kamēr lietotāja konts ir atspējots.

Lai izveidotu lietotājus mūsu komandā, mēs to darām ar labi zināmo komandu adduser.

adduser zevs adduser tritons

Lai izveidotu grupu skaitītāji:

pievienoto grupu skaitītāji

Lai pievienotu lietotājus Samba datu bāzei:

smbpasswd -a sakne
smbpasswd -a xeon smbpasswd -a zevs smbpasswd -a triton

Mēs pievienojamies grupai skaitītāji lietotājiem, kurus mēs vēlamies:

xeon skaitītāji adduser zeus skaitītāji adduser triton skaitītāji

Katram izveidotajam lietotājam ieteicams pievienoties grupai Lietotāji, ja mēs vēlamies piešķirt atļaujas visiem mūsu izveidotajiem lietotājiem noteiktā resursā. Vienkāršāks veids, kā grupai pievienot vairākus lietotājus, ir faila tieša rediģēšana / etc / groupun pievienojot to lietotāju sarakstu, kas atdalīti ar komatu. Viņus var vadīt grupa skaitītāji. Mēs pieņemam, ka pievienojamies lietotājiem grupai Lietotāji.

Darbstacijā, lai noņemtu lietotāju parādīšanu, kas izveidoti, izmantojot adduser, mums ir jārediģē fails /etc/gdm3/greeter.gsettings un komentēt iespēju disable-user-list = true, lai, piesakoties, netiktu parādīts neviens lietotāju saraksts. Tā ir jebkura Windows klienta datora, kas pievienots domēnam, standarta darbība.

Tādā pašā veidā, ja mēs vēlamies, lai izveidotie lietotāji nesāktu attālo sesiju ssh, mēs rediģējam failu / etc / ssh / sshd_config un faila beigās pievienojiet instrukciju AllowUsers. Piemērs:

[....] # un ChallengeResponseAuthentication uz “nē”. UsePAM jā AllowUsers xeon

Mēs pievienojam kopīgus resursus

Piemērs 1: Mēs vēlamies koplietot mapi / home / xeon / music visiem reģistrētajiem lietotājiem. Atļauja būs tikai lasāma. Vispirms mēs izveidojam mapi / home / xeon / music un, ja nepieciešams, mēs konfigurējam tā īpašnieku un atļaujas. Kā lietotājs Xeon mēs izpildām:

mkdir / home / xeon / music ls -l / home / xeon | grep mūziku

Tad faila beigās smb.conf mēs pievienojam sekojošo:

[music-xeon] comment = Personīgās mūzikas mapes ceļš = / home / xeon / music only only = Jā derīgi lietotāji = @users lasīšanas saraksts = @users

Pēc faila modifikācijām mēs izpildām testparm kā lietotājs xeon un mēs uzlādējam pakalpojumu kā sakne. Mēs varam arī palaist abas komandas, piemēram, sakne:

testparm serviss samba pārlādēt

Lai pārbaudītu tikko konfigurēto pakalpojumu, mēs to varam izdarīt, izpildot šādu komandu pašā datorā:

smbclient -L localhost -U%

Piemērs 2: Mēs vēlamies koplietot mapi / home / xeon / music visiem reģistrētajiem lietotājiem. Atļaujas tiks lasītas / rakstītas xeon un tikai lasāms pārējiem lietotājiem, kas pieder grupai Lietotāji. Mums nav jāmaina mapes īpašnieks vai atļaujas. Mēs vienkārši mazliet mainām faila koplietošanas iestatījumus smb.conf.

[music-xeon] comment = Personiskās mūzikas mapes ceļš = / home / xeon / music only only = Nav derīgu lietotāju = @users write list = xeon read list = @users

Piemērs 3: Mēs vēlamies koplietot mapi / home / xeon / grāmatvedība lietotāju grupai skaitītāji. Visiem grupas dalībniekiem būs lasīšanas atļauja. Lietotāji tritons y Zevs viņi varēs rakstīt koplietotajā mapē.

Tagad, ja mums ir jāmaina mapes īpašnieks un atļaujas grāmatvedība pēc izveidošanas, lai viņi varētu rakstīt tritons y Zevs kuri ir grupas locekļi skaitītāji. Mums arī jārūpējas par to, lai pēdējais lietotājs, kurš izveido vai pārveido failu, nekļūtu par tā absolūto īpašnieku, lai to varētu modificēt citi lietotāji ar rakstīšanas atļaujām.

Ir svarīgi saprast, kā rīkoties ar failu sistēmas rīcību no smb.conf, kā arī izpratni par UNIX / Linux failu sistēmas drošību.

Šādos gadījumos mums:

• Ērtības laikā paziņojiet, kurš būs koplietojamā direktorija lietotājs un kurš būs koplietojamā direktorija īpašnieku grupa.
• Atļaut īpašnieku grupai rakstīt uz koplietojamo direktoriju.
• Paziņojiet mazliet SGID (Iestatiet grupas ID) direktorija izveidošanas laikā.
• Pareizi deklarējiet failā smb.conf failu un direktoriju izveidošanas veidi mūsu kopīgajā resursā.

Vienkāršs un iespējams risinājums praksē mums būs, ja mēs izpildām kā sakne:

mkdir / home / xeon / grāmatvedības chown -R sakne: skaitītāji / home / xeon / grāmatvedības chmod -R g + ws / home / xeon / grāmatvedības ls -l / home / xeon

Un faila smb.conf beigās pievienojam sekojošo:

[grāmatvedības] komentārs = Mape grāmatvežiem ceļš = / home / xeon / könyve tikai lasāma = nav derīgu lietotāju = @ grāmatveži raksta saraksts = triton, zeva lasāmo saraksts = @ grāmatveži piespiedu izveides režīms = 0660 piespiež direktorija režīmu = 0770

Mēs nekavējoties pārbaudām smb.conf ar testparm un mēs uzlādējam pakalpojumu servisa samba pārlādēt. Mēs varam arī palaist smbclient -L localhost -U%. vietējā serverī un smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% no attālā datora.

Laiks ir tāds, ka no attālā datora mēs izveidojam savienojumu ar koplietojamo resursu un veicam visus nepieciešamos testus. Ieteicams pārbaudīt, kā mainās lietotājs, kuram pieder mapes un faili, kad tie tiek izveidoti resursā.

Svarīgi: Lietotājs sakne vai lietotājs xeon un vispār jebkurš grupas loceklis skaitītāji, varat rakstīt no vietējās sesijas, kas sākta tajā pašā datorā vai ar kuru ssh, tas ir, neizmantojot SMB / CIFS protokolu. Ja mapi vai failu izveidojat lokāli, atcerieties no jauna piešķirt atbilstošās atļaujas. Pārbaudiet ls-l. Neveicot iepriekš minēto, rodas daudz neskaidrību.

Draugi, piedodiet man raksta garumu, un es ceru, ka tas jums kaut ko noderēs. Līdz nākamajam piedzīvojumam!