Samba: standalone server op Debian

Hallo vrienden!. Als we een onafhankelijke server willen hebben (Standalone) om bronnen te delen ofwel vanaf onze werkplek; of voor een kleine groep machines; of voor een LAN zonder een domeincontroller in Microsoft-stijl, is het het gemakkelijkst om dit te doen met Samba.

Er zijn enkele grafische tools voor dit doel, evenals de tool om Samba via het web "SWAT" te beheren. Echter, wij raden voor beginners die handmatig in deze wondere wereld beginnen. Het is niet zo moeilijk of duivels als velen denken. En tijdens het proces leer je veel over SMB / CIFS-netwerken en over machtigingen en rechten op Linux-bestandssystemen.

Voordat we verder gaan, raden we aan om te lezen:

• Samba: noodzakelijke introductie
• Samba: Blader door een SMB / CIFS-netwerk zonder Samba
• Samba:SmbClient
• Samba:CIFS-Utils

We zullen niet zien hoe u printers deelt met Samba. Aan degenen die deze suite voor deze doeleinden willen gebruiken, raden we aan de bijbehorende documentatie te lezen zoals aangegeven in Samba: noodzakelijke introductie. U kunt ook het artikel lezen CUPS: hoe u printers op de gemakkelijke manier kunt gebruiken en configureren.

Fundamentele punten om te overwegen

• Ondanks alle uitstraling die Active Directories en hun Domain Controllers omringt, die vaak niet nodig zijn of slecht worden benut, is het installeren en configureren van een Independent Samba Server een geldige en betrouwbare optie.
• Een onafhankelijke server kan net zo veilig of onveilig zijn volgens onze behoeften, en we kunnen deze op een eenvoudige of complexe manier configureren.
• Gebruikersauthenticatie wordt uitgevoerd op de server zelf waar de bronnen zich bevinden.
• Om ervoor te zorgen dat een gebruiker toegang heeft tot bronnen vanaf een externe computer, moet deze ook zijn geregistreerd in het Samba-gebruikersbestand.
• We kunnen alleen die gebruikers toevoegen aan de Samba-gebruikersdatabase die al op onze server of desktopcomputer staan.
• Een standalone Samba-server biedt GEEN netwerkaanmelding, zoals een domeincontroller doet. Het biedt ook geen aanmelding bij een domein.
• Hoe minder we parameters wijzigen en / of toevoegen aan het bestand /etc/smb.conf Zonder eerst in detail te weten wat we willen bereiken, zal het veel beter zijn.
• De service voor het delen van bronnen in Samba werkt op het Linux-bestandssysteem, inclusief de inherente beveiliging. Veel problemen worden opgelost door de nodige aandacht te besteden aan bestands- en directoryrechten.
• Het is essentieel om te begrijpen hoe u het gedrag van het bestandssysteem vanuit het bestand moet aanpakken smb.conf, evenals inzicht in hoe UNIX / Linux-bestandssysteembeveiliging werkt.
• We raden aan om geen accenten, eñes of spaties te gebruiken in de namen van mappen en gedeelde bronnen. Gebruik bij voorkeur kleine letters voor namen.
• Sharenamen kunnen niet worden herhaald op een LAN. Elke naam is uniek.
• Als er GEEN WINS-server op ons LAN is, kunnen we onze Samba als zodanig laten werken door de «globaal»Uit het bestand smb.conf de parameter wint ondersteuning = Ja., wat sterk wordt aanbevolen.

Voorbeeldserver

Naam: miezerig. domein: vrienden.cu. IP: 10.10.10.20. Gebruikers: xeon, zeus en triton. Extra groepen: balies

Installatie

Via Synaptic of via de console installeren we het pakket samba.

sudo aptitude installeer samba

Het is erg handig om ook het pakket te installeren smbclient. We zullen het gebruiken voor controles.

Tijdens het proces zullen de pakketten worden geïnstalleerd - maar we hebben eerder een ander geïnstalleerd gerelateerd aan de Suite- samba, samba-gewoon, samba-gemeenschappelijke-bin y tdb-tools. Ook wordt het bestand gemaakt /etc/samba/smb.conf. Dit bestand wordt gemaakt zolang de pakketten zijn geïnstalleerd samba-gemeenschappelijk y samba-gemeenschappelijke-bin, en het zal niet van het systeem worden verwijderd totdat we ze verwijderen.

Het smb.conf-bestand is het belangrijkste in de Samba Suite

Samba heeft een groot aantal configuratie-opties, waarvan de meeste niet in het voorbeeld van smb.conf die standaard wordt geïnstalleerd. De opties hebben gereageerd met een «;»Worden als belangrijk genoeg beschouwd om weer te geven, en hun standaardwaarden verschillen van de standaards voor Samba-gedrag. De configuratie-opties hebben gereageerd met een «#«, Samba-standaardinstellingen hebben, en worden ook als belangrijk beschouwd om weer te geven.

Als we de inhoud van het bestand willen zien zonder rekening te houden met de becommentarieerde opties, ofwel met «;" of met "#«, We moeten uitvoeren:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Als we de inhoud van het bestand willen zien zonder rekening te houden met de opties die met «#«, We moeten uitvoeren:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Het eerste dat we moeten doen, is een kopie van het bestand /etc/samba/smb.conf. In het bestand zelf vinden we de manier waarop Samba aanbeveelt om een ​​werkkopie te maken, die we hieronder toelichten. Zoals wortel wij voeren uit:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
totaal 32 -rw-r - r-- 1 root root 8 nov 10 2002 gdbcommands -rw-r - r-- 1 root root 805 4 aug. 12:05 smb.conf -rw-r - r-- 1 root root 12173 4 augustus 12:05 smb.conf.master

Let op het verschil in grootte tussen het op deze manier gegenereerde smb.conf en het origineel. Naarmate de grootte kleiner is, nemen de prestaties van de server toe volgens wat het Samba-team aangeeft.

De oorspronkelijke inhoud van het bestand /etc/samba/smb.conf Het zal zijn (onthoud dat we het delen van printers niet zullen ontwikkelen):

[globaal]
        workgroup = FRIENDS netbios name = MIWHEEZY security = gebruiker
        server string =% h server map naar guest = Slechte gebruiker gehoorzaamt pam restricties = Ja pam wachtwoord wijzigen = Ja passwd programma = / usr / bin / passwd% u passwd chat = * Voer \ snew \ s * \ spassword: *% n \ n * Typ \ snew \ s * \ spassword $ unix password sync = Ja syslog = 0 logbestand = /var/log/samba/log.%m max log size = 1000 dns proxy = Geen gebruikers delen gasten toestaan ​​= Ja paniekactie = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = Home Directories geldige gebruikers =% S create mask = 0700 directory mask = 0700 browseable = Nee

De vetgedrukte waarden zijn de enige die we in eerste instantie moeten wijzigen. Merk op dat, ondanks dat dit het standaardgedrag van Samba is, we de optie expliciet hebben aangegeven beveiliging = gebruiker gezien het grote belang ervan.

Als er GEEN WINS-server op ons LAN is, kunnen we onze Samba als zodanig laten werken door de «globaal»Uit het bestand smb.conf de parameter wint ondersteuning = Ja., wat sterk wordt aanbevolen.

gouden regel: Hoe minder we parameters wijzigen en / of toevoegen aan het smb.conf-bestand zonder eerst in detail te weten wat we willen bereiken, des te beter het zal zijn.

Hier is een korte samenvatting van enkele van de weergegeven opties. Voor meer informatie, ga naar man smb.conf.

• werkgroep: Bepaalt in welke werkgroep de apparatuur verschijnt bij het maken van een webbrowser. Deze parameter bepaalt ook de domeinnaam wanneer u met de optie werkt security = domein en waarin het team toetreedt tot een domein. We zullen het in latere artikelen zien. De standaardwaarde is WERKGROEP.
• netbios naam: Stelt de NetBIOS-naam in waaronder de Samba-server bekend zal zijn op het netwerk. Standaard is het hetzelfde als het eerste onderdeel van het FQDN van de gastheer. In ons voorbeeld is de FQDN van het team is miwheezy.amigos.cu. We kunnen een andere naam gebruiken dan de host voor onze Samba-server. In dat geval is het raadzaam om een ​​CNAME-record op te nemen in ons DNS.
• veiligheid: Parameter die beïnvloedt hoe clients reageren op Samba en is een van de belangrijkste in het bestand smb.conf. De standaardwaarde is gebruiker.
• serverreeks: Bepaalt welke naam wordt weergegeven in de opmerkingen die in een webbrowser naast de teamnaam verschijnen.
• kaart naar gast: Parameter die alleen nuttig is als deze is ingesteld beveiliging = gebruiker o security = domein. De waarde "Bad User" vertelt Samba om een ​​ongeldig wachtwoord te weigeren, tenzij de gebruiker NIET bestaat, in welk geval ze zullen worden behandeld als Gast of "gast«. Als we geen gastsessies willen toestaan, moeten we de waarde ervan wijzigen in nooit, wat precies de standaardwaarde is, en verander ook de parameter usershare staat gast toe a geen, wat ook de standaardwaarde is.
• gehoorzaam de pam-beperkingen: Bepaalt of Samba al dan niet de eigen beperkingen van PAM moet gehoorzamen «Insteekbare authenticatiemodule«, Met betrekking tot de richtlijnen voor het beheer van gebruikersaccounts en sessies. De standaardwaarde is geen.
• pam wachtwoord wijzigen: Vertelt Samba om PAM te gebruiken voor wachtwoordwijzigingen aangevraagd door een SMB-client. De standaardwaarde is geen.
• passwd programma: Programma dat wordt gebruikt om UNIX-wachtwoorden voor gebruikers in te stellen.
• wachtwoord chatd: Ketting die het gesprek regelt dat plaatsvindt tussen de demon smd en het lokale programma voor de wachtwoordwijziging gedefinieerd in de vorige parameter.
• unix wachtwoordsynchronisatie: Vertelt Samba om het SMB-wachtwoord te synchroniseren met het UNIX-wachtwoord, zolang het eerste verandert. De standaardwaarde is geen.
• geldige gebruikers: Lijst met gebruikers die mogen inloggen op een gedeelde map.

Start de Samba-service opnieuw of laad deze opnieuw

Elke keer dat we belangrijke wijzigingen aanbrengen, vooral in de sectie «[globaal]" van de smb.conf, we moeten de service herstarten. Als we al gebruikers hebben die zijn verbonden met onze server, zullen we elke keer dat we Samba herstarten, ze loskoppelen. Daarom, en praktisch vanaf nu, zullen we de service alleen opnieuw laden als we gedeelde bronnen toevoegen of wijzigen. Om de service opnieuw te starten, voeren we uit als wortel:

service samba herstart

Om de service op te laden:

service samba herladen

We voegen de gebruikers toe aan het systeem en aan de Samba-gebruikersdatabase

We kunnen alleen die gebruikers toevoegen aan de Samba-gebruikersdatabase die al op onze lokale server staan.

In ons voorbeeld is de user xeon het is toegevoegd tijdens de Wheezy-installatie. Daarom zullen we het niet toevoegen aan teamgebruikers. De gebruikersgroep bestaat op het systeem en is tijdens de installatie gemaakt.

Enkele opdrachtopties smbpaswd zijn:

• -a: Voeg de opgegeven gebruiker toe aan het lokale bestand smbpasswd.
• -x: De aangegeven gebruiker moet worden verwijderd uit het lokale bestand smbpasswd. Alleen beschikbaar wanneer smbpaswd loopt als wortel.
• -d: Het aangegeven gebruikersaccount moet worden uitgeschakeld. Alleen beschikbaar wanneer smbpaswd loopt als wortel.
• -e: Tegenover de optie -d zolang het account van de gebruiker is uitgeschakeld.

Om de gebruikers in ons team aan te maken, doen we dat met het bekende commando adduser.

adduser zeus adduser triton

Om de groep te maken contadores:

addgroup tellers

Gebruikers toevoegen aan de Samba-database:

smbpasswd -een root
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

We sluiten ons aan bij de groep contadores aan de gebruikers die we willen:

adduser xeon tellers adduser zeus tellers adduser triton tellers

Het wordt aanbevolen om elke aangemaakte gebruiker bij de groep te voegen gebruikers, voor het geval we machtigingen willen verlenen aan alle gebruikers die we hebben gemaakt, voor een specifieke bron. Een eenvoudigere manier om meerdere gebruikers aan een groep toe te voegen, is door het bestand rechtstreeks te bewerken / etc / group, en het toevoegen van de lijst met gebruikers gescheiden door een komma. Ze kunnen worden begeleid door de groep contadores. We gaan ervan uit dat we de gebruikers bij de groep voegen gebruikers.

Op een werkstation, om weergave-gebruikers te verwijderen die zijn gemaakt met adduser, we moeten het bestand bewerken /etc/gdm3/greeter.gsettings en verwijder commentaar van de optie disable-user-list = true, zodat er GEEN gebruikerslijst wordt weergegeven bij het inloggen. Dit is het standaardgedrag van elke Windows-clientcomputer die lid is van een domein.

Op dezelfde manier, als we willen dat de aangemaakte gebruikers geen externe sessie starten via ssh, we bewerken het bestand / Etc / ssh / sshd_config en voeg aan het einde van het bestand de instructie toe Gebruikers toestaan. Voorbeeld:

[....] # en ChallengeResponseAuthentication op 'nee'. UsePAM ja AllowUsers xeon

We voegen gedeelde bronnen toe

Voorbeeld 1: We willen de map delen / home / xeon / muziek voor alle geregistreerde gebruikers. De toestemming is alleen-lezen. Allereerst maken we de map / home / xeon / muziek en we configureren de eigenaar en machtigingen indien nodig. Als gebruiker Xeon wij voeren uit:

mkdir / home / xeon / muziek ls -l / home / xeon | grep muziek

Dan aan het einde van het bestand smb.conf we voegen het volgende toe:

[music-xeon] comment = Persoonlijke muziekmap pad = / home / xeon / muziek alleen lezen = Ja geldige gebruikers = @users leeslijst = @users

Na de wijzigingen aan het bestand voeren we uit testparm als gebruiker xeon en we laden de service op als wortel. We kunnen ook beide opdrachten uitvoeren, zoals wortel:

testparm service samba herladen

Om de nieuw geconfigureerde service te controleren, kunnen we dit doen door het volgende commando op de computer zelf uit te voeren:

smbclient -L localhost -U%

Voorbeeld 2: We willen de map delen / home / xeon / muziek voor alle geregistreerde gebruikers. De machtigingen zullen worden gelezen / geschreven xeon en alleen-lezen voor de rest van de gebruikers die tot de groep behoren gebruikers. We hoeven de eigenaar of machtigingen voor de map niet te wijzigen. We veranderen gewoon de instellingen voor delen in het bestand een beetje smb.conf.

[music-xeon] comment = Persoonlijke muziekmap pad = / home / xeon / muziek alleen lezen = Geen geldige gebruikers = @users schrijflijst = xeon leeslijst = @users

Voorbeeld 3: We willen de map delen / home / xeon / boekhouding voor gebruikersgroep contadores. Alle groepsleden hebben leesrechten. De gebruikers triton y Zeus ze kunnen naar de gedeelde map schrijven.

Nu ALS we de eigenaar en machtigingen van de map moeten wijzigen accounting nadat ze zijn gemaakt, zodat ze kunnen schrijven triton y Zeus die lid zijn van de groep contadores. We moeten er ook voor zorgen dat de laatste gebruiker die een bestand heeft gemaakt of gewijzigd, niet de absolute eigenaar wordt, zodat het kan worden gewijzigd door andere gebruikers met schrijfrechten.

Het is essentieel om te begrijpen hoe u het gedrag van het bestandssysteem vanuit het smb.conf, evenals inzicht in hoe UNIX / Linux-bestandssysteembeveiliging werkt.

In deze gevallen moeten we:

• Geef voor het gemak aan wie de Eigenaar-Gebruiker en wie de Eigenaarsgroep van de Gedeelde Directory zal zijn.
• Sta schrijven naar de gedeelde directory toe door de eigenaarsgroep.
• Verklaar het bit SGID (Groeps-ID instellen) van de directory tijdens het maken.
• Verklaar correct in bestand smb.conf de manieren om bestanden en mappen te maken binnen onze gedeelde bron.

Een eenvoudige en mogelijke oplossing in de praktijk zullen we hebben als we voeren uit als wortel:

mkdir / home / xeon / accounting chown -R root: counters / home / xeon / accounting chmod -R g + ws / home / xeon / accounting ls -l / home / xeon

En we voegen het volgende toe aan het einde van het smb.conf-bestand:

[accounting] comment = Map voor accountants path = / home / xeon / accounting alleen lezen = Geen geldige gebruikers = @ accountants schrijven lijst = triton, zeus leeslijst = @ accountants dwingen aanmaakmodus = 0660 forceer directory-modus = 0770

We controleren onmiddellijk de basissyntaxis van het smb.conf door middel van testparm en we laden de service door service samba herladen. We kunnen ook rennen smbclient -L localhost -U%. op de lokale server, en smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% vanaf de externe computer.

Het is tijd dat we vanaf een externe computer verbinding maken met de gedeelde bron en alle noodzakelijke tests uitvoeren. Het wordt aanbevolen om te controleren hoe de gebruiker die eigenaar is van de mappen en bestanden verandert wanneer ze binnen de bron worden gemaakt.

Belangrijk: De gebruiker wortel of de gebruiker xeon en in het algemeen elk lid van de groep contadores, kunt u schrijven vanuit een lokale sessie die op dezelfde computer is gestart of door ssh, dat wil zeggen, zonder het SMB / CIFS-protocol te gebruiken. Als u lokaal een map of bestand aanmaakt, vergeet dan niet de juiste machtigingen opnieuw toe te wijzen. Kom langs ls -l. Het bovenstaande niet doen, is een bron van veel verwarring.

Vrienden, vergeef me de lengte van het artikel en ik hoop dat u er wat aan zult hebben. Tot het volgende avontuur!