Hei venner!. Hvis vi vil ha en uavhengig server (Frittstående) for å dele ressurser enten fra arbeidsstasjonen vår; eller for en liten gruppe maskiner; eller for et LAN uten en domenekontroller i Microsoft-stil, er det enklest å gjøre det ved hjelp av Samba.
Det er noen grafiske verktøy for dette formålet, samt verktøyet for å administrere Samba via nettet «SWAT». Men, vi anbefaler til nybegynnere som starter i denne fantastiske verden manuelt. Det er ikke så vanskelig eller djevelsk som mange tror. Og i prosessen lærer du mye om SMB / CIFS-nettverk og om Tillatelser og rettigheter på Linux-filsystemer.
Før du fortsetter, anbefaler vi å lese:
- Samba: Nødvendig introduksjon
- Samba: Bla gjennom et SMB / CIFS-nettverk uten Samba
- Samba:SmbClient
- Samba:CIFS-Utils
Vi får ikke se hvordan du deler skrivere ved hjelp av Samba. For de som ønsker å bruke denne suiten til disse formål, anbefaler vi å lese den medfølgende dokumentasjonen som angitt i Samba: Nødvendig introduksjon. Du kan også lese artikkelen CUPS: Hvordan bruke og konfigurere skrivere på den enkle måten.
Grunnleggende punkter å vurdere
- Til tross for all auraen som omgir Active Directories og deres domenekontrollere, som ved mange anledninger ikke er nødvendig eller dårlig utnyttet, er installering og konfigurering av en uavhengig Samba Server et gyldig og pålitelig alternativ.
- En uavhengig server kan være like sikker eller usikker i henhold til våre behov, og vi kan konfigurere den på en enkel eller kompleks måte.
- Brukerautentisering utføres på selve serveren der ressursene ligger.
- For at en bruker skal kunne få tilgang til ressurser fra en ekstern datamaskin, må de også være registrert i Samba-brukerbasen.
- Vi kan bare legge til brukerne som allerede finnes på vår server eller stasjonære maskin i Samba-brukerdatabasen.
- En frittstående Samba-server gir IKKE nettverksinnlogging, slik en domenekontroller gjør. Det gir heller ikke pålogging til et domene.
- Jo mindre vi endrer og / eller legger til parametere i filen /etc/smb.conf Uten å først vite i detalj hva vi ønsker å oppnå, vil det være mye bedre.
- Ressursdelingstjenesten i Samba fungerer på Linux-filsystemet, inkludert dens iboende sikkerhet. Mange problemer løses ved å ta behørig hensyn til fil- og katalogtillatelser.
- Det er viktig å forstå hvordan man håndterer oppførselen til filsystemet fra filen smb.konf, samt å forstå hvordan UNIX / Linux filsystemsikkerhet fungerer.
- Vi anbefaler at du ikke bruker aksenter, eñes eller mellomrom i navnene på mapper og delte ressurser. Bruk helst små bokstaver for navn.
- Delingsnavn kan ikke gjentas på et LAN. Hvert navn er unikt.
- Hvis det ikke er WINS-server på LAN, kan vi få vår Samba til å fungere som sådan ved å legge til i «global»Fra filen smb.konf parameteren vinner støtte = Ja., som anbefales på det sterkeste.
Eksempel server
navn: miwheezy. Domene: venner.cu. IP: 10.10.10.20. brukere: xeon, zeus og triton. Ytterligere grupper: tellere
Installasjon
Gjennom Synaptic eller gjennom konsollen installerer vi pakken samba.
sudo aptitude installer samba
Det er veldig nyttig å også installere pakken smbclient. Vi vil bruke den til sjekker.
I prosessen blir pakkene installert - men vi har tidligere installert andre relatert til Suite- samba, samba-vanlig, samba-felles-søppel y tdb-verktøy. Dessuten opprettes filen /etc/samba/smb.conf. Denne filen blir opprettet så lenge pakkene er installert samba-vanlig y samba-felles-søppel, og den blir ikke slettet fra systemet før vi avinstallerer dem.
Smb.conf-filen er den viktigste i Samba Suite
Samba har et stort antall konfigurasjonsalternativer, hvorav de fleste ikke vises i eksemplet fra smb.konf som installeres som standard. Alternativene kommenterte med en «;»Anses som viktige nok til å vises, og standardverdiene er forskjellige fra standardinnstillingene for Samba-atferd. Konfigurasjonsalternativene kommenterte med en «#«, Har Samba som standard, og anses også som viktig å vise.
Hvis vi vil se innholdet i filen uten å vurdere de kommenterte alternativene, enten med «;"eller med"#«, Vi må utføre:
egrep -v '# |; | ^ * $' /etc/samba/smb.conf
Hvis vi vil se innholdet i filen uten å vurdere alternativene som er kommentert med «#«, Vi må utføre:
egrep -v '# | ^ * $' /etc/samba/smb.conf
Den første tingen å gjøre er en kopi av filen /etc/samba/smb.conf. I selve filen finner vi måten Samba anbefaler å lage en arbeidskopi, som vi beskriver nedenfor. Som root vi utfører:
cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf root @ miwheezy: / etc / samba # ls -l totalt 32 -rw-r - r-- 1 rotrot 8. nov 10 gdbkommandoer -rw-r - r-- 2002 rotrot 1 805. aug 4:12 smb.conf -rw-r - r-- 05 rotrot 1 12173. august 4:12 smb.conf.master
Legg merke til forskjellen i størrelse mellom smb.conf generert på denne måten og originalen. Siden størrelsen er mindre, øker ytelsen til serveren i henhold til det som er indikert av Samba Team.
Det opprinnelige innholdet i filen /etc/samba/smb.conf Det vil være (husk at vi ikke vil utvikle skriverdeling):
[global]
arbeidsgruppe = VENNER netbios navn = MIWHEEZY sikkerhet = bruker
serverstreng =% h serverkart til gjest = Dårlig bruker følger pam-restriksjoner = Ja pam-passordendring = Ja passwd-program = / usr / bin / passwd% u passwd chat = * Skriv inn \ snew \ s * \ passord: *% n \ n * Skriv inn \ snew \ s * \ spassword $ unix passord sync = Ja syslog = 0 loggfil = /var/log/samba/log.%m maks loggstørrelse = 1000 dns proxy = Ingen brukerdeling tillater gjester = Ja panikkhandling = / usr / share / samba / panic-action% d idmap config *: backend = tdb [hjem] kommentar = Hjemmapper gyldige brukere =% S opprett maske = 0700 katalogmaske = 0700 browseable = Nei
Verdiene uthevet med fet skrift er de eneste som vi må endre i utgangspunktet. Vær oppmerksom på at, til tross for at vi er standardadferden til Samba, har vi eksplisitt erklært alternativet sikkerhet = bruker gitt sin store betydning.
Hvis det ikke er WINS-server på LAN, kan vi få vår Samba til å fungere som sådan ved å legge til i «global»Fra filen smb.konf parameteren vinner støtte = Ja., som anbefales på det sterkeste.
den gyldne regel: Jo mindre vi endrer og / eller legger til parametere i smb.conf-filen uten å først vite i detalj hva vi ønsker å oppnå, desto bedre blir det.
Her er en kort oppsummering av noen av alternativene som vises. For mer informasjon, vennligst kjør mann smb.conf.
- arbeidsgruppe: Kontroller i hvilken arbeidsgruppe utstyret vises når du lager en nettleser. Denne parameteren kontrollerer også domenenavnet når du arbeider med alternativet sikkerhet = domene og der teamet blir med på et domene. Vi vil se det i senere artikler. Standardverdien er ARBEIDSGRUPP.
- netbios navn: Still inn NetBIOS-navnet som Samba-serveren vil bli kjent i nettverket. Som standard er det det samme som den første komponenten i FQDN fra verten. I vårt eksempel FQDN av laget er miwheezy.amigos.cu. Vi kan bruke et annet navn enn verten for Samba-serveren vår. I så fall anbefales det å ta med en CNAME-post i vår DNS.
- sikkerhet: Parameter som påvirker hvordan klienter reagerer på Samba og er en av de viktigste i filen smb.konf. Standardverdien er bruker.
- serverstreng: Kontrollerer hvilket navn som vises i kommentarene som vises i en nettleser ved siden av teamnavnet.
- kart til gjesten: Parameter som bare er nyttig når den er angitt sikkerhet = bruker o sikkerhet = domene. Verdien "Dårlig bruker" ber Samba om å avvise et ugyldig passord, med mindre brukeren IKKE eksisterer. I så fall blir de behandlet som gjest eller "gjest«. Hvis vi ikke vil tillate gjestesessioner, må vi endre verdien til aldri, som er nettopp standardverdien, og endre også parameteren brukerdeling tillater gjest a Nei., som også er standardverdien.
- overholde pam-restriksjoner: Kontrollerer om Samba må overholde PAMs egne begrensninger eller ikke «Plugbar autentiseringsmodul«, Angående direktiver for administrasjon av brukerkontoer og økter. Standardverdien er Nei..
- pam passordendring: Ber Samba om å bruke PAM for passordendringer som en SMB-klient ber om. Standardverdien er Nei..
- passwd-program: Programmet brukes til å angi UNIX-passord for brukere.
- passord chat: Kjede som styrer samtalen som foregår mellom demonen smbd og det lokale programmet for passordendring definert i forrige parameter.
- unix passord synkronisering: Ber Samba om å synkronisere SMB-passordet med UNIX-passordet, så lenge førstnevnte endres. Standardverdien er Nei..
- gyldige brukere: Liste over brukere som har lov til å logge på en deling.
Start Samba-tjenesten på nytt eller på nytt
Hver gang vi gjør betydelige endringer, spesielt i seksjonen «[global]" av smb.konf, må vi starte tjenesten på nytt. Hvis vi allerede har brukere koblet til serveren vår, vil vi koble dem hver gang vi starter Samba på nytt. Det er derfor, og praktisk talt fra nå av, vil vi bare laste inn tjenesten på nytt når vi legger til eller endrer delte ressurser. For å starte tjenesten på nytt, utfører vi som root:
tjenestesamba omstart
Slik lader du opp tjenesten:
tjenestesamba på nytt
Vi legger til brukerne i systemet og i Samba-brukerdatabasen
Vi kan bare legge til brukerne som allerede finnes på vår lokale server i Samba-brukerdatabasen.
I vårt eksempel brukeren Xeon den ble lagt til under Wheezy-installasjonen. Derfor vil vi ikke legge det til teambrukere. Brukergruppen finnes på systemet og ble opprettet under installasjonen.
Noen kommandoalternativer smbpasswd er:
- -a: Legg til den angitte brukeren i den lokale filen smbpasswd.
- -x: Den angitte brukeren må fjernes fra den lokale filen smbpasswd. Bare tilgjengelig når smbpasswd kjører som root.
- -d: Den angitte brukerkontoen må være deaktivert. Bare tilgjengelig når smbpasswd kjører som root.
- -e: Motsatt av alternativet -d så lenge brukerens konto er deaktivert.
For å opprette brukerne i teamet vårt, gjør vi det med den velkjente kommandoen adduser.
adduser zeus adduser triton
Å opprette gruppen tellere:
tilleggsgruppeteller
Slik legger du til brukere i Samba-databasen:
smbpasswd -en rot smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton
Vi blir med i gruppen tellere til brukerne vi ønsker:
adduser xeon tellere adduser zeus tellere adduser triton tellere
Det anbefales å bli med hver bruker som er opprettet i gruppen Brukere, i tilfelle vi ønsker å gi tillatelser til alle brukerne vi har opprettet, på en bestemt ressurs. En enklere måte å bli med flere brukere i en gruppe er ved direkte redigering av filen / etc / gruppe, og legge til listen over brukere atskilt med komma. De kan ledes av gruppen tellere. Vi antar at vi blir med brukerne i gruppen Brukere.
På en arbeidsstasjon, for å fjerne visningsbrukere opprettet ved hjelp av adduser, må vi redigere filen /etc/gdm3/greeter.gsettings og fjerne merking av alternativet disable-user-list = true, slik at INGEN brukerliste vises når du logger på. Dette er standardoppførselen til alle Windows-klientdatamaskiner som er koblet til et domene.
På samme måte, hvis vi vil at de opprettet brukerne ikke skal starte en ekstern økt gjennom ssh, redigerer vi filen / Etc / ssh / sshd_config og legg til instruksjonen på slutten av filen Tillat brukere. Eksempel:
[....] # og ChallengeResponseAuthentication til 'nei'. UsePAM yes AllowUsers xeon
Vi legger til delte ressurser
1 eksempel: Vi vil dele mappen / hjem / xeon / musikk for alle registrerte brukere. Tillatelsen er skrivebeskyttet. Først og fremst lager vi mappen / hjem / xeon / musikk og vi konfigurerer eieren og tillatelsene om nødvendig. Som bruker Xeon vi utfører:
mkdir / home / xeon / musikk ls -l / home / xeon | grep musikk
Så på slutten av filen smb.konf vi legger til følgende:
[music-xeon] comment = Sti til personlig musikkmappe = / home / xeon / music read only = Ja gyldige brukere = @users read list = @users
Etter endringene i filen, utfører vi test parm som bruker Xeon og vi lader opp tjenesten som root. Vi kan også kjøre begge kommandoene som root:
testparm service samba reload
For å sjekke den nylig konfigurerte tjenesten kan vi gjøre det ved å utføre følgende kommando på selve datamaskinen:
smbclient -L localhost -U%
2 eksempel: Vi vil dele mappen / hjem / xeon / musikk for alle registrerte brukere. Tillatelsene vil bli lest / skrevet for Xeon og skrivebeskyttet for resten av brukerne som tilhører gruppen Brukere. Vi trenger ikke endre eieren eller tillatelsene til mappen. Vi endrer bare delingsinnstillingene i filen litt smb.konf.
[music-xeon] comment = Personlig musikkmappesti = / home / xeon / music read only = Ingen gyldige brukere = @users skriveliste = xeon read list = @users
3 eksempel: Vi vil dele mappen / hjem / xeon / regnskap for brukergruppe tellere. Alle gruppemedlemmene har lestillatelse. Brukerne triton y Zeus de vil kunne skrive til den delte mappen.
Nå HVIS vi må endre eieren og tillatelsene til mappen regnskap etter opprettet, slik at de kan skrive triton y Zeus som er medlem av gruppen tellere. Vi må også passe på at den siste brukeren som oppretter eller endrer en fil ikke blir den absolutte eieren, slik at den kan endres av andre brukere med skrivetillatelse.
Det er viktig å forstå hvordan man håndterer oppførselen til filsystemet fra smb.konf, samt å forstå hvordan UNIX / Linux filsystemsikkerhet fungerer.
I disse tilfellene må vi:
- Forklar når det er praktisk hvem som vil være eierbruker og hvem som vil være eiergruppe for den delte katalogen.
- Tillat skriving til den delte katalogen av eiergruppen.
- Erklære litt SGID (Angi gruppe-ID) av katalogen under opprettelsen.
- Erklær ordentlig i filen smb.konf måtene å lage filer og kataloger innenfor vår delte ressurs.
En enkel og mulig løsning i praksis vil vi ha hvis vi utfører som root:
mkdir / home / xeon / accounting chown -R root: tellere / home / xeon / accounting chmod -R g + ws / home / xeon / accounting ls -l / home / xeon
Og vi legger til følgende på slutten av smb.conf-filen:
[regnskap] kommentar = Mappe for regnskapsførers bane = / hjem / xeon / regnskap skrivebeskyttet = Ingen gyldige brukere = @ regnskapsførere skriver liste = triton, zeus leseliste = @ regnskapsførere tvinger opprettingsmodus = 0660 styrker katalog modus = 0770
Vi sjekker umiddelbart den grunnleggende syntaksen til smb.konf gjennom test parm og vi lader tjenesten gjennom tjenestesamba på nytt. Vi kan også løpe smbclient -L localhost -U%. på den lokale serveren, og smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% fra den eksterne datamaskinen.
Tiden er at fra en ekstern datamaskin kobler vi til den delte ressursen og gjør alle nødvendige tester. Det anbefales å sjekke hvordan brukeren som eier mappene og filene endres når de blir opprettet i ressursen.
Viktig: Brukeren root eller brukeren Xeon og generelt ethvert medlem av gruppen tellere, kan du skrive fra en lokal økt startet på samme datamaskin eller av ssh, det vil si uten å bruke SMB / CIFS-protokollen. Hvis du oppretter en mappe eller fil lokalt, må du huske å tildele de aktuelle tillatelsene på nytt. Sjekk innom ls-l. Å ikke gjøre det ovennevnte er kilden til mye forvirring.
Venner, tilgi meg lengden på artikkelen, og jeg håper det vil være til nytte for deg. Inntil neste eventyr!
Utmerket som alltid. Disse artiklene blir satt pris på når vi jobber med servere. 😉
Veldig bra freeke, men for meg er det bedre å bruke FreeNAS til den slags ting
????
Takk for kommentarene dine !!!. Freeke, FreeBSDs FreeNAS er en annen vill historie, og jeg kan vie en artikkel til den. Til slutt er det Samba over FreeBSD.
Veldig bra innlegg må jeg si, som jeg alltid har sagt om du hadde lagt ut dette for noen år siden, ville det spart meg for mange problemer, men det er bra at noen er interessert i å vise hvordan jeg konfigurerer samba, Hilsen
Som ordtaket sier "det er aldri sent hvis lykke er bra" og det andre "det er bedre sent enn aldri." Takk for kommentaren. Jeg begynte å bruke Samba tror jeg rundt 2007. Inntil nå hadde jeg ikke klart å legge ut noe om det.
På samme måte har jeg brukt samba i nesten samme tid, men jeg ser at du har perfeksjonert mye og har rett i at "det er aldri for sent hvis lykke er bra", det virket for meg, jeg må si at det er veldig bra for noen å dele sin kunnskap, mange Noen ganger blir man ikke oppmuntret eller har ikke tid, i mitt tilfelle er det den første
Venn @fico, jeg liker virkelig artiklene dine. De er ekstremt godt forklart og detaljerte. Takk skal du ha.
Jeg håper de er nyttige for deg. Det er formålet !!!.
Ja, det er 🙂
Jeg så forresten nettopp artikkelen din lagt ut på en annen side (http://www.infognu.com.ar/2013/08/samba-servidor-independiente-en-debian.html) og referansen til kilden er veldig liten. Det er ikke gjort. Fortjeneste som fortjener det, jævla det! Jeg vet ikke om de herfra kan be folk om å sette hvem som gjør ting stort. For det utrente øye ville det passere som om de skapte det og la det ut.
Herr forfatter av innlegget, hva om du lager en artikkel om hvordan du deler filer via samba for vanlige brukere, jeg mener noe mindre omfattende og mer grafisk, for eksempel hvordan du deler fra linux til linux og fra linux til windows, men ikke fra en som profesjonell måte, men som å dele filer mellom PCer hjemme.
I så fall anbefaler jeg å bruke ssh for Linux - Linux og winscp for Windows - Linux. Det er flere artikler på samme side.
Det samme innlegget, selv om det kan virke komplisert, fungerer det også for et hjemmenettverk hvis du kopierer og limer inn de få kommandoene det inneholder.
Selv om det ville være mer praktisk å bruke SMB / CIFS-systemet til å bruke samme fildelingsprotokoll for Windows (eller for korte delte mapper).
Jeg vil gjøre eksperimentene mine for å kunne gjøre en veiledning om hvordan jeg lager en delt mappe i GNU / Linux (i mitt tilfelle Debian Wheezy) slik at nettverkene med Windows gjenkjenner den som en delt mappe.
veldig bra og lengden er verdt det, men kanskje du bør nevne oslevel-parameteren tidlig før du kommuniserer med windows.
Hilsen
Merk at det er et nettverk uten Windows Domain Controller. Vi vil bruke den parameteren når vi håndterer en maskin som er koblet til et domene.
når jeg har litt tid vil jeg
[offtopic] Jeg vil gjerne legge ut GIMP-opplæringsprogrammer. Det kan?
[/ offtopic]
Venn @giskard, jeg besøkte nettopp http://www.infognu.com.ar/2013/08/samba-servidor-independiente-en-debian.html, og jeg så ingen henvisning til dette innlegget. De laget en kopi / lim inn kinnet, Hahahahahaha. Det viser at innlegget i det minste er av god kvalitet. Jeg sier nei? Hahahahahaha.
Nær slutten med små bokstaver er lenken som sier "kilde" og peker på dette nettstedet. Men å ha gjort det virker for meg som en total ubehag og mangel på respekt. Heldigvis vet vi her hvem forfatteren er 🙂
De setter referansen, men det kan neppe bli lagt merke til at de måtte ha nevnt i begynnelsen av artikkelen
I arch wiki står det at fra og med versjon 3.4 anbefales det å bruke pdbedit i stedet for smbpasswd.
Et spørsmål, ifølge en venn før du legger til en bruker i Samba, må det opprettes en bruker i systemet, men med / bin / false
useradd -s / bin / false myuser
Er 0.o sant?
Friend @ truko22, og generelt, for de som stiller lignende spørsmål. Husk at vi alltid har uttalt at vi bare gir en Inngangspunkt til emnet. Vi anbefaler også å lese den medfølgende dokumentasjonen. Til slutt er tilpasningen av tjenesten ansvaret for den som implementerer den, på en måte som responderer på deres behov og sikkerhetsnivået som tilfredsstiller dem.
For eksempel kan tillatelsesproblemet unngås hvis vi lar noen skrive til delingen ved hjelp av chmod 777. Det er selvfølgelig ikke en sikker løsning.
Du kan forhindre at brukeren starter en lokal økt eller via ssh hvis vi oppretter den gjennom adduser-bruker –skall / kasse / falsk. Med andre ord kan brukeren som er opprettet, ikke få tilgang til en terminal eller konsoll.
Med andre ord kan Samba konfigureres på mange måter, alt fra det enkleste til det mest komplekse.
Hva skjer?. Hvis vi fra begynnelsen skriver innlegget uten å la brukere lagt til Samba logge inn lokalt, vil de helt sikkert spørre hvorfor. Det er derfor vi foretrekker å skrive det på en mest mulig klassisk måte, og la alle trekke sine egne konklusjoner.
@ truko22, takk for at du ga meg rett poeng til å komme med forrige kommentar !!!
Tusen takk, nå forstår jeg 😀 om –shell / bin / false
Venn @ truko22, jeg glemte pdbedit. Siden Etch ble jeg vant til å bruke smbpasswd. Denne kommandoen kan utføres av alle brukere på systemet, og dens oppførsel og resultater varierer. pdbedit, kan også brukes, men kan bare påberopes av rotbrukeren.
Om Samba kan du skrive hele artikler på mange av kommandoene.
Det er veldig bra!!
Hilsen
Veldig bra artikkel. Gratulerer og takk for et slikt bidrag
Jeg ønsket å spørre deg om det var en artikkel om samba som en domenekontroller, og hvis den allerede kan kontrollere domenet med gruppepolicyer som en Windows-server, mener jeg å forhindre endring av egenskaper til nettverksadresser, bruk av pendrives, etc.
Hei, hvordan har du Fico, jeg har installert Samba 3.6 med LDAP og LAM 3.7 - Jeg vil gjerne vite om du vet hvordan du kan tillate brukere å endre passordet når de starter seksjonen siden det forteller meg "du har ikke tillatelse til å endre passordet ditt" hilsener ...