Samba: samodzielny serwer w systemie Debian

Cześć przyjaciele!. Jeśli chcemy mieć niezależny serwer (Standalone) do udostępniania zasobów albo z naszego stanowiska pracy; lub dla małej grupy maszyn; lub w przypadku sieci LAN bez kontrolera domeny w stylu Microsoft najłatwiej jest to zrobić za pomocą Samby.

Do tego celu służą narzędzia graficzne, a także narzędzie do administrowania Sambą za pośrednictwem sieci „SWAT”. Jednak, zalecamy dla początkujących, którzy zaczynają w tym cudownym świecie ręcznie. To nie jest tak trudne ani diabelskie, jak wielu myśli. W trakcie tego procesu dowiesz się wiele o sieciach SMB / CIFS oraz o uprawnieniach i prawach w systemach plików Linux.

Przed kontynuacją zalecamy przeczytanie:

• Samba: Niezbędne wprowadzenie
• Samba: Przeglądaj sieć SMB / CIFS bez Samby
• Samba:SmbClient
• Samba: narzędzia CIFSU

Nie zobaczymy jak udostępniać drukarki za pomocą Samby. Tym, którzy chcą używać tego pakietu do tych celów, zalecamy przeczytanie dołączonej dokumentacji, jak wskazano w Samba: Niezbędne wprowadzenie. Możesz także przeczytać artykuł CUPS: Jak w łatwy sposób używać i konfigurować drukarki.

Podstawowe kwestie do rozważenia

• Pomimo całej aury otaczającej Active Directory i ich Kontrolery Domeny, które w wielu przypadkach nie są konieczne lub słabo wykorzystywane, instalacja i konfiguracja Niezależnego Serwera Samby JEST dobrą i niezawodną opcją.
• Niezależny serwer może być równie bezpieczny lub niezabezpieczony w zależności od naszych potrzeb i możemy go skonfigurować w prosty lub złożony sposób.
• Uwierzytelnianie użytkownika jest wykonywane na samym serwerze, na którym znajdują się zasoby.
• Aby użytkownik mógł uzyskać dostęp do zasobów z komputera zdalnego, musi być również zarejestrowany w bazie użytkowników Samby.
• Do bazy danych użytkowników Samby możemy dodać tylko tych użytkowników, którzy już istnieją na naszym serwerze lub komputerze stacjonarnym.
• Samodzielny serwer Samba NIE zapewnia logowania do sieci, tak jak robi to kontroler domeny. Nie zapewnia również logowania do domeny.
• Im mniej zmieniamy i / lub dodajemy parametry do pliku /etc/smb.conf Bez wcześniejszej szczegółowej wiedzy, co chcemy osiągnąć, będzie znacznie lepiej.
• Usługa współdzielenia zasobów w Sambie działa w systemie plików Linuksa, łącznie z jego wewnętrznymi zabezpieczeniami. Wiele problemów można rozwiązać, zwracając należytą uwagę na uprawnienia do plików i katalogów.
• Ważne jest, aby zrozumieć, jak radzić sobie z zachowaniem systemu plików z pliku smb.konf, a także zrozumienie, jak działa ochrona systemu plików UNIX / Linux.
• Nie zalecamy stosowania akcentów, eñes ani spacji w nazwach folderów i zasobów udostępnionych. W nazwach najlepiej używać małych liter.
• Nazwy udziałów nie mogą się powtarzać w sieci LAN. Każde imię jest niepowtarzalne.
• Jeśli w naszej sieci LAN NIE ma serwera WINS, możemy sprawić, by Samba działała jako taka, dodając «światowy»Z pliku smb.konf parametr wygrywa wsparcie = Tak., co jest wysoce zalecane.

Przykładowy serwer

nazwa: świszczący oddech. domena: przyjaciele.cu. IP: 10.10.10.20. Użytkownicy: Xeon, Zeus i Triton. Dodatkowe grupy: liczniki

instalacja

Instalujemy pakiet przez Synaptic lub przez konsolę samba.

sudo aptitude zainstaluj sambę

Bardzo przydatne jest również zainstalowanie pakietu smbclient. Użyjemy go do czeków.

W tym czasie pakiety zostaną zainstalowane - ale wcześniej zainstalowaliśmy inne związane z pakietem - samba, samba-wspólna, samba-wspólny pojemnik y tdb-narzędzia. Tworzony jest również plik /etc/samba/smb.conf. Ten plik zostanie utworzony, dopóki pakiety są zainstalowane samba-wspólna y samba-wspólny pojemniki nie zostaną usunięte z systemu, dopóki ich nie odinstalujemy.

Plik smb.conf jest najważniejszym w pakiecie Samba

Samba ma ogromną liczbę opcji konfiguracyjnych, z których większość nie jest pokazana na przykładzie smb.konf który instaluje się domyślnie. Opcje z komentarzem «;»Są uważane za wystarczająco ważne, aby można było je wyświetlić, a ich domyślne wartości różnią się od domyślnych ustawień zachowania Samby. Opcje konfiguracji opatrzone komentarzem «#«, Miej domyślne ustawienia Samby i są również uważane za ważne do wyświetlenia.

Jeśli chcemy zobaczyć zawartość pliku bez uwzględnienia skomentowanych opcji albo z «;" lub z "#«, Musimy wykonać:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Jeśli chcemy zobaczyć zawartość pliku bez uwzględnienia opcji z komentarzem «#«, Musimy wykonać:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Pierwszą rzeczą do zrobienia jest kopia pliku /etc/samba/smb.conf. W samym pliku znajdujemy sposób, w jaki Samba zaleca wykonanie kopii roboczej, którą szczegółowo opisujemy poniżej. Tak jak korzeń wykonujemy:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
łącznie 32 -rw-r - r-- 1 root root 8 10 listopada 2002 gdbcommands -rw-r - r-- 1 root root 805 4 sierpnia 12:05 smb.conf -rw-r - r-- 1 root root 12173 4 sierpnia, 12:05 smb.conf.master

Zwróć uwagę na różnicę w rozmiarze między smb.conf wygenerowanym w ten sposób a oryginałem. Ponieważ rozmiar jest mniejszy, wydajność serwera wzrasta zgodnie ze wskazaniami zespołu Samba.

Początkowa zawartość pliku /etc/samba/smb.conf Będzie to (pamiętajmy, że nie będziemy rozwijać udostępniania drukarek):

[światowy]
        grupa robocza = PRZYJACIELE nazwa sieci = MIWHEEZY bezpieczeństwo = użytkownik
        ciąg serwera = serwer% h mapuj na gościa = zły użytkownik przestrzega ograniczeń pam = tak zmiana hasła pam = tak passwd program = / usr / bin / passwd% u passwd chat = * Enter \ snew \ s * \ spassword: *% n \ n * Wpisz ponownie \ snew \ s * \ spassword $ unix password sync = Tak syslog = 0 plik dziennika = /var/log/samba/log.%m maksymalny rozmiar dziennika = 1000 dns proxy = brak udostępniania użytkowników zezwalaj gościom = Tak działanie paniki = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = katalogi domowe prawidłowi użytkownicy =% S utwórz maskę = 0700 maska ​​katalogu = 0700 do przeglądania = nie

Wartości wyróżnione pogrubioną czcionką są jedynymi, które musimy wstępnie zmodyfikować. Zauważ, że pomimo domyślnego zachowania Samby, wyraźnie zadeklarowaliśmy tę opcję security = użytkownik biorąc pod uwagę jego wielkie znaczenie.

Jeśli w naszej sieci LAN NIE ma serwera WINS, możemy sprawić, by Samba działała jako taka, dodając «światowy»Z pliku smb.konf parametr wygrywa wsparcie = Tak., co jest wysoce zalecane.

złota zasada: Im rzadziej zmieniamy i / lub dodajemy parametry do pliku smb.conf, nie wiedząc wcześniej szczegółowo, co chcemy osiągnąć, tym będzie znacznie lepiej.

Oto krótkie podsumowanie niektórych pokazanych opcji. Aby uzyskać więcej informacji, uruchom mężczyzna smb.conf.

• Workgroup: Kontroluje, w której grupie roboczej pojawi się sprzęt podczas tworzenia przeglądarki internetowej. Ten parametr kontroluje również nazwę domeny podczas pracy z opcją bezpieczeństwo = domena iw którym zespół dołącza do domeny. Zobaczymy to w późniejszych artykułach. Wartość domyślna to GRUPA ROBOCZA.
• nazwa Netbios: Ustawia nazwę NetBIOS, pod którą serwer Samba będzie znany w sieci. Domyślnie jest taki sam, jak pierwszy składnik Nazwa FQDN od gospodarza. W naszym przykładzie Nazwa FQDN zespołu jest miwheezy.amigos.cu. Możemy użyć innej nazwy niż nazwa hosta dla naszego serwera Samba. W takim przypadku wskazane jest dołączenie rekordu CNAME do naszego DNS.
• bezpieczeństwo: Parametr, który wpływa na sposób odpowiedzi klientów na Sambę i jest jednym z najważniejszych w pliku smb.konf. Wartość domyślna to użytkownik.
• ciąg serwera: Określa, która nazwa jest wyświetlana w komentarzach wyświetlanych w przeglądarce internetowej obok nazwy zespołu.
• mapa do gościa: Parametr przydatny tylko wtedy, gdy jest ustawiony security = użytkownik o bezpieczeństwo = domena. Wartość „Zły użytkownik” mówi Sambie, aby odrzuciła nieprawidłowe hasło, chyba że użytkownik NIE istnieje, w takim przypadku zostanie potraktowany jako gość lub „gość«. Jeśli nie chcemy zezwalać na sesje gościnne, musimy zmienić jego wartość na Nigdy, która jest dokładnie wartością domyślną, a także zmień parametr udział użytkowników zezwala na gości a Nie, która jest również wartością domyślną.
• przestrzegaj ograniczeń PAM: Określa, czy Samba musi przestrzegać własnych ograniczeń PAM. «Podłączany moduł uwierzytelniania«, Odnośnie dyrektyw dotyczących zarządzania kontami użytkowników i sesjami. Wartość domyślna to Nie.
• pam zmiana hasła: Nakazuje Sambie użycie PAM do zmiany hasła żądanego przez klienta SMB. Wartość domyślna to Nie.
• program passwd: Program używany do ustawiania haseł UNIX dla użytkowników.
• hasło czatd: Łańcuch kontrolujący rozmowę między demonem smbd oraz lokalny program do zmiany hasła zdefiniowany w poprzednim parametrze.
• synchronizacja haseł unix: Nakazuje Sambie synchronizację hasła SMB z hasłem UNIX, o ile poprzednie ulegnie zmianie. Wartość domyślna to Nie.
• prawidłowych użytkowników: Lista użytkowników, którzy mogą logować się do udziału.

Uruchom ponownie lub załaduj ponownie usługę Samba

Ilekroć dokonujemy znaczących zmian, szczególnie w sekcji «[światowy]"z smb.konf, musimy ponownie uruchomić usługę. Jeśli mamy już użytkowników połączonych z naszym serwerem, za każdym razem, gdy uruchomimy Sambę ponownie, rozłączymy ich. Dlatego praktycznie od teraz będziemy ponownie ładować usługę tylko wtedy, gdy dodamy lub zmodyfikujemy współdzielone zasoby. Aby zrestartować usługę, wykonujemy jako korzeń:

restart usługi Samba

Aby naładować usługę:

usługa przeładowania samby

Dodajemy użytkowników do systemu i bazy danych użytkowników Samby

Do bazy danych użytkowników Samby możemy dodać tylko tych użytkowników, którzy już istnieją na naszym serwerze lokalnym.

W naszym przykładzie user xeon został dodany podczas instalacji Wheezy. Dlatego nie będziemy go dodawać do użytkowników zespołu. Grupa użytkowników istnieje w systemie i został utworzony podczas instalacji.

Niektóre opcje poleceń smbpasswd dźwięk:

• -a: Dodaj określonego użytkownika do lokalnego pliku smbpasswd.
• -x: Wskazany użytkownik musi zostać usunięty z lokalnego pliku smbpasswd. Dostępne tylko wtedy, gdy smbpasswd działa jako korzeń.
• -d: Wskazane konto użytkownika musi być wyłączone. Dostępne tylko wtedy, gdy smbpasswd działa jako korzeń.
• -e: Przeciwieństwo opcji -d tak długo, jak konto użytkownika jest wyłączone.

Aby stworzyć użytkowników w naszym zespole, robimy to znanym nam poleceniem adduser.

adduser zeus adduser triton

Aby utworzyć grupę contadores:

addgroup counters

Aby dodać użytkowników do bazy danych Samby:

smbpasswd - root
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Dołączamy do grupy contadores do użytkowników, których chcemy:

adduser xeon liczniki adduser zeus liczniki adduser liczniki trytonów

Zaleca się dołączenie do każdej utworzonej grupy Użytkownicyna wypadek, gdybyśmy chcieli nadać uprawnienia wszystkim utworzonym przez nas użytkownikom na określonym zasobie. Łatwiejszym sposobem dołączenia wielu użytkowników do grupy jest bezpośrednia edycja pliku / etc / groupi dodanie listy użytkowników oddzielonych przecinkami. Mogą być prowadzeni przez grupę contadores. Zakładamy, że dołączamy użytkowników do grupy Użytkownicy.

Na stacji roboczej, aby usunąć wyświetlających użytkowników utworzonych za pomocą adduser, musimy edytować plik /etc/gdm3/greeter.gsettings i odkomentuj opcję disable-user-list = true, dzięki czemu podczas logowania NIE jest wyświetlana żadna lista użytkowników. Jest to standardowe zachowanie każdego komputera klienckiego z systemem Windows przyłączonego do domeny.

W ten sam sposób, jeśli chcemy, aby utworzeni użytkownicy nie rozpoczynali sesji zdalnej ssh, edytujemy plik / etc / ssh / sshd_config i dodaj na końcu pliku instrukcję Zezwól Użytkownikom. Przykład:

[....] # i ChallengeResponseAuthentication na „nie”. UsePAM tak AllowUsers xeon

Dodajemy współdzielone zasoby

Przykład 1: Chcemy udostępnić folder / home / xeon / music dla wszystkich zarejestrowanych użytkowników. Uprawnienie będzie tylko do odczytu. Przede wszystkim tworzymy folder / home / xeon / music iw razie potrzeby konfigurujemy jego właściciela i uprawnienia. Jako użytkownik Xeon wykonujemy:

mkdir / home / xeon / music ls -l / home / xeon | muzyka grep

Następnie na końcu pliku smb.konf dodajemy:

[music-xeon] comment = Ścieżka do osobistego folderu z muzyką = / home / xeon / music tylko do odczytu = Tak, poprawni użytkownicy = @users read list = @users

Po modyfikacjach pliku wykonujemy testparm jako użytkownik xeon i doładowujemy usługę jako korzeń. Możemy również uruchomić oba polecenia, takie jak korzeń:

przeładowanie usługi testparm Samba

Aby sprawdzić nowo skonfigurowaną usługę, możemy to zrobić, wykonując następujące polecenie na samym komputerze:

smbclient -L host lokalny -U%

Przykład 2: Chcemy udostępnić folder / home / xeon / music dla wszystkich zarejestrowanych użytkowników. Uprawnienia będą do odczytu / zapisu xeon i tylko do odczytu dla pozostałych użytkowników należących do grupy Użytkownicy. Nie mamy potrzeby modyfikowania właściciela ani uprawnień do folderu. Po prostu zmieniamy nieco ustawienia udostępniania w pliku smb.konf.

[music-xeon] comment = Ścieżka do osobistego folderu z muzyką = / home / xeon / music tylko do odczytu = Brak prawidłowych użytkowników = @users write list = xeon read list = @users

Przykład 3: Chcemy udostępnić folder / home / xeon / accounts dla grupy użytkowników contadores. Wszyscy członkowie grupy będą mieli uprawnienia do odczytu. Użytkownicy Triton y Zeus będą mogli pisać do udostępnionego folderu.

Teraz JEŚLI musimy zmodyfikować właściciela i uprawnienia folderu rachunkowości po utworzeniu, aby mogli pisać Triton y Zeus którzy są członkami grupy contadores. Musimy również uważać, aby ostatni użytkownik, który utworzył lub zmodyfikował plik, nie stał się jego absolutnym właścicielem, tak aby mogli go modyfikować inni użytkownicy z uprawnieniami do zapisu.

Ważne jest, aby zrozumieć, jak obsługiwać zachowanie systemu plików z smb.konf, a także zrozumienie, jak działa ochrona systemu plików UNIX / Linux.

W takich przypadkach musimy:

• Zadeklaruj w dogodnym momencie, kto będzie użytkownikiem będącym właścicielem, a kto grupą właścicieli wspólnego katalogu.
• Zezwól na zapis do katalogu udostępnionego przez grupę właścicieli.
• Zadeklaruj bit SGID (Ustaw identyfikator grupy) katalogu podczas jego tworzenia.
• Zadeklaruj poprawnie w pliku smb.konf sposoby tworzenia plików i katalogów w ramach naszego udostępnionego zasobu.

Proste i możliwe rozwiązanie w praktyce będziemy mieć, jeśli wykonujemy jako korzeń:

mkdir / home / xeon / księgowość chown -R root: counters / home / xeon / rachunkowość chmod -R g + ws / home / xeon / księgowość ls -l / home / xeon

I dodajemy na końcu pliku smb.conf:

[księgowość] komentarz = Folder dla księgowych ścieżka = / home / xeon / księgowość tylko do odczytu = Brak prawidłowych użytkowników = @ księgowych lista zapisu = triton, lista odczytu zeusa = @ księgowi wymuszają tworzenie trybu = 0660 wymuszają tryb katalogu = 0770

Natychmiast sprawdzamy podstawową składnię smb.konf przez testparm i doładowujemy usługę usługa przeładowania samby. Możemy też biegać smbclient -L host lokalny -U%. na serwerze lokalnym i smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% z komputera zdalnego.

Czas jest taki, że ze zdalnego komputera łączymy się z udostępnionym zasobem i wykonujemy wszystkie niezbędne testy. Zaleca się sprawdzenie, jak zmienia się użytkownik będący właścicielem folderów i plików podczas ich tworzenia w zasobie.

Ważne: Użytkownik korzeń lub użytkownika xeon i ogólnie każdy członek grupy contadores, możesz pisać z sesji lokalnej uruchomionej na tym samym komputerze lub przez sshczyli bez użycia protokołu SMB / CIFS. Jeśli tworzysz folder lub plik lokalnie, pamiętaj o ponownym przypisaniu odpowiednich uprawnień. Sprawdź ls -l. Niewykonanie powyższego jest źródłem wielu nieporozumień.

Przyjaciele, wybaczcie mi długość tego artykułu i mam nadzieję, że przyda się Wam trochę pożytku. Do następnej przygody!