Samba: Samostatný server v Debiane

Dobrý deň, priatelia!. Ak chceme mať nezávislý server (Samostatný) zdieľať zdroje buď z našej pracovnej stanice; alebo pre malú skupinu strojov; alebo pre LAN bez radiča domény v štýle Microsoftu je najjednoduchšie to urobiť pomocou Samby.

Na tento účel existuje niekoľko grafických nástrojov, ako aj nástroj na správu Samby cez web „SWAT“. Napriek tomu odporúčame pre začiatočníkov, ktorí začínajú v tomto nádhernom svete manuálne. Nie je to také ťažké ani diabolské, ako si mnohí myslia. A v tomto procese sa dozviete veľa o sieťach SMB / CIFS a o oprávneniach a právach v súborových systémoch Linux.

Pred pokračovaním odporúčame prečítať si:

• Samba: Nevyhnutný úvod
• Samba: Prechádzajte sieť SMB / CIFS bez Samby
• Samba: SmbClient
• Samba: CIFS-Nástroje

Neuvidíme ako zdieľať tlačiarne pomocou Samby. Pre tých, ktorí chcú použiť tento balík na tieto účely, odporúčame prečítať si sprievodnú dokumentáciu, ako je uvedené v Samba: Nevyhnutný úvod. Môžete si tiež prečítať článok CUPS: Ako ľahko používať a konfigurovať tlačiarne.

Základné body, ktoré je potrebné zvážiť

• Napriek všetkej aure, ktorá obklopuje aktívne adresáre a ich radiče domén, ktoré pri mnohých príležitostiach nie sú potrebné alebo zle využívané, je inštalácia a konfigurácia nezávislého servera Samba platnou a spoľahlivou voľbou.
• Nezávislý server môže byť rovnako bezpečný alebo nezabezpečený podľa našich potrieb a môžeme ho nakonfigurovať jednoduchým alebo zložitým spôsobom.
• Autentifikácia užívateľa sa vykonáva na serveri samotnom, kde sa nachádzajú zdroje.
• Aby mal užívateľ prístup k zdrojom zo vzdialeného počítača, musí byť tiež registrovaný v užívateľskej databáze Samba.
• Do databázy používateľov Samby môžeme pridať iba tých používateľov, ktorí už existujú na našom serveri alebo počítači.
• Samostatný server Samba NEPOSKYTUJE sieťové prihlásenie, ako to robí radič domény. Neposkytuje tiež prihlásenie do domény.
• Čím menej budeme meniť a / alebo pridávať parametre do súboru /etc/smb.conf Bez toho, aby sme najskôr podrobne vedeli, čo chceme dosiahnuť, bude to oveľa lepšie.
• Služba zdieľania zdrojov v Sambe funguje na súborovom systéme Linux vrátane jeho inherentnej bezpečnosti. Mnoho problémov sa rieši venovaním náležitej pozornosti povoleniu súborov a adresárov.
• Je nevyhnutné pochopiť, ako zaobchádzať so správaním súborového systému zo súboru kom. konf, ako aj pochopenie toho, ako funguje zabezpečenie súborového systému UNIX / Linux.
• V názvoch priečinkov a zdieľaných prostriedkov odporúčame nepoužívať diakritiku, medzery alebo medzery. Pri menách používajte najlepšie malé písmená.
• Názvy zdieľania sa v sieti LAN nemôžu opakovať. Každé meno je jedinečné.
• Pokiaľ v našej LAN nie je ŽIADNY server WINS, môžeme našu Sambu nechať pôsobiť tak, že do nej pridáme «celkovo»Zo súboru kom. konf parameter získava podporu = Áno., čo sa veľmi odporúča.

Ukážkový server

názov: piskot. Dominio: friends.cu. IP: 10.10.10.20. Užívatelia: xeon, zeus a triton. Ďalšie skupiny: pulty

inštalácia

Balík inštalujeme cez Synaptic alebo cez konzolu samba.

sudo aptitude nainštalovať sambu

Je veľmi užitočné tiež nainštalovať balík smbclient. Použijeme to na kontroly.

V tomto procese sa balíčky nainštalujú - predtým sme však nainštalovali nejaké ďalšie súvisiace s balíkom samba, samba-obyčajná, samba-spoločný-bin y tdb-tools. Taktiež sa vytvorí súbor /etc/samba/smb.conf. Tento súbor sa vytvorí, pokiaľ budú nainštalované balíčky samba-obyčajná y samba-spoločný-bina nebude odstránený zo systému, kým ich neodinštalujeme.

V balíku Samba Suite je najdôležitejší súbor smb.conf

Samba má obrovské množstvo možností konfigurácie, z ktorých väčšina nie je uvedená v príklade kom. konf ktorý sa inštaluje štandardne. Možnosti komentované «;»Považujú sa za dostatočne dôležité na to, aby sa zobrazili, a ich predvolené hodnoty sa líšia od predvolených nastavení správania Samby. Možnosti konfigurácie boli komentované znakom «#«, Majú predvolené hodnoty Samby a tiež sa považujú za dôležité zobrazené.

Ak chceme vidieť obsah súboru bez zváženia komentovaných možností buď pomocou «;„alebo s“#«, Musíme vykonať:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Ak chceme vidieť obsah súboru bez zváženia možností komentovaných «#«, Musíme vykonať:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Prvá vec, ktorú musíte urobiť, je kópia súboru /etc/samba/smb.conf. V samotnom súbore nájdeme spôsob, akým Samba odporúča vytvoriť pracovnú kópiu, ktorú podrobne uvádzame nižšie. Ako koreň vykonávame:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
celkom 32 -rw-r - r-- 1 koreňový koreň 8. novembra 10 gdbcommands -rw-r - r-- 2002 koreňový koreň 1 805. augusta 4:12 smb.conf -rw-r - r-- 05 koreňový koreň 1 12173. augusta 4:12 smb.conf.master

Všimnite si rozdiel vo veľkosti medzi takto vytvoreným súborom smb.conf a originálom. Keď je veľkosť menšia, výkon servera sa zvyšuje podľa toho, čo naznačil tím Samba.

Počiatočný obsah súboru /etc/samba/smb.conf Bude (pamätajte, že nebudeme rozvíjať zdieľanie tlačiarní):

[Global]
        workgroup = FRIENDS netbios name = MIWHEEZY security = užívateľ
        string server =% h server server to guest = Bad User up poslu pam restrictions = Yes pam heslo change = Yes passwd program = / usr / bin / passwd% u passwd chat = * Enter \ snew \ s * \ spassword: *% n \ n * Retype \ snew \ s * \ spassword $ unix heslo synchronizácia = Áno syslog = 0 súbor protokolu = /var/log/samba/log.%m maximálna veľkosť protokolu = 1000 0700 dns proxy = Žiadni používatelia zdieľať povolenie hostí = Áno panická akcia = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = Domovské adresáre platní používatelia =% S vytvoriť masku = 0700 adresárová maska ​​= XNUMX prehľadávať = Nie

Hodnoty zvýraznené tučným písmom sú jediné, ktoré musíme pôvodne upraviť. Upozorňujeme, že napriek tomu, že ide o predvolené správanie Samby, túto možnosť sme výslovne deklarovali bezpečnosť = používateľ vzhľadom na jeho veľký význam.

Pokiaľ v našej LAN nie je ŽIADNY server WINS, môžeme našu Sambu nechať pôsobiť tak, že do nej pridáme «celkovo»Zo súboru kom. konf parameter získava podporu = Áno., čo sa veľmi odporúča.

Zlaté pravidlo: Čím menej budeme meniť a / alebo pridávať parametre do súboru smb.conf bez toho, aby sme najskôr podrobne vedeli, čo chceme dosiahnuť, tým lepšie to bude.

Tu je zhrnutie niektorých zobrazených možností. Ďalšie informácie získate spustením muž smb.konf.

• workgroup: Ovládacie prvky, v ktorých pracovných skupinách sa zariadenie zobrazí pri vytváraní webového prehľadávača. Tento parameter tiež riadi názov domény pri práci s touto voľbou zabezpečenie = doména a v ktorej sa tím pripojí k Doméne. Uvidíme to v ďalších článkoch. Predvolená hodnota je WORKGROUP.
• netbios meno: Nastavuje názov NetBIOS, pod ktorým bude server Samba v sieti známy. Predvolene je to rovnaké ako s prvou zložkou súboru FQDN od hostiteľa. V našom príklade FQDN tímu je miwheezy.amigos.cu. Pre náš server Samba môžeme použiť iné meno ako hostiteľ. V takom prípade je vhodné do záznamu zahrnúť záznam CNAME DNS.
• zabezpečenia: Parameter, ktorý ovplyvňuje reakciu klientov na Sambu a je jedným z najdôležitejších v súbore kom. konf. Predvolená hodnota je užívateľ.
• reťazec servera: Určuje, ktoré meno sa zobrazí v komentároch, ktoré sa zobrazia vo webovom prehliadači vedľa názvu tímu.
• mapa pre hosťa: Parameter, ktorý je užitočný, iba keď je nastavený bezpečnosť = používateľ o zabezpečenie = doména. Hodnota „Zlý používateľ“ hovorí Sambe, aby odmietla neplatné heslo, pokiaľ používateľ NEEXISTUJE, v takom prípade bude považovaný za Hosťa alebo „host«. Ak nechceme povoliť relácie hosťa, musíme zmeniť jeho hodnotu na Nikdy, čo je presne predvolená hodnota, a tiež zmeniť parameter zdieľanie používateľov povoliť hosťa a žiadny, čo je tiež predvolená hodnota.
• dodržiavať obmedzenia pam: Kontroluje, či Samba musí alebo nemusí dodržiavať vlastné obmedzenia PAM «Pripojiteľný autentifikačný modul«, Pokiaľ ide o smernice pre správu používateľských účtov a relácií. Predvolená hodnota je žiadny.
• pam zmena hesla: Povie Sambe, aby použila PAM na zmeny hesla požadované klientom SMB. Predvolená hodnota je žiadny.
• program passwd: Program používaný na nastavenie hesiel UNIX pre používateľov.
• heslo chat: Reťazec, ktorý riadi konverzáciu, ktorá sa odohráva medzi démonom koho a lokálny program na zmenu hesla definovaný v predchádzajúcom parametri.
• synchronizácia hesla unix: Povie Sambe, aby synchronizovala heslo SMB s heslom UNIX, pokiaľ sa pôvodné zmení. Predvolená hodnota je žiadny.
• platní používatelia: Zoznam používateľov, ktorí majú povolenie prihlásiť sa do zdieľanej zložky.

Reštartujte alebo znovu načítajte službu Samba

Kedykoľvek urobíme významné zmeny, najmä v časti «[Global]„z kom. konf, musíme službu reštartovať. Ak už máme k nášmu serveru pripojených používateľov, zakaždým, keď reštartujeme Sambu, odpojíme ich. Preto a prakticky odteraz budeme službu znova načítať, až keď pridáme alebo upravíme zdieľané zdroje. Na reštartovanie služby spustíme ako koreň:

reštart služby samba

Dobitie služby:

služba samba reload

Pridávame používateľov do systému a do databázy používateľov Samby

Do databázy používateľov Samby môžeme pridať iba tých používateľov, ktorí už existujú na našom lokálnom serveri.

V našom príklade používateľ Xeon bol pridaný počas inštalácie Wheezy. Preto ho nebudeme pridávať k tímovým používateľom. Skupina používateľov v systéme existuje a bol vytvorený počas inštalácie.

Niektoré možnosti príkazov smbpasswd Sú to:

• -a: Pridajte zadaného používateľa do miestneho súboru smbpasswd.
• -x: Uvedený používateľ musí byť odstránený z lokálneho súboru smbpasswd. K dispozícii iba vtedy, keď smbpasswd beží ako koreň.
• -d: Uvedený používateľský účet musí byť deaktivovaný. K dispozícii iba vtedy, keď smbpasswd beží ako koreň.
• -e: Naproti možnosti -d pokiaľ je užívateľský účet deaktivovaný.

Aby sme vytvorili používateľov v našom tíme, robíme to pomocou známeho príkazu adduser.

adduser zeus adduser triton

Na vytvorenie skupiny pulty:

počítadlá pridaných skupín

Pridanie používateľov do databázy Samba:

smbpasswd -a koreň
smbpasswd -a xeon smbpasswd -a zeus smbpasswd -a triton

Pripojíme sa k skupine pulty používateľom, ktorých chceme:

počítadlá xeon adduser počítadlá adduser Zeus počítadlá adduser triton

Odporúča sa pripojiť sa ku každému používateľovi vytvorenému v skupine užívatelia, v prípade, že chceme udeliť povolenie všetkým používateľom, ktorých sme vytvorili, na konkrétnom zdroji. Jednoduchší spôsob, ako sa pripojiť k skupine viacerých používateľov, je priama úprava súboru / etc / groupa pridanie zoznamu používateľov oddelených čiarkou. Môžu byť vedení skupinou pulty. Predpokladáme, že sa k skupine pripojíme užívatelia.

Na pracovnej stanici odstrániť používateľov zobrazujúcich sa pomocou adduser, musíme súbor upraviť /etc/gdm3/greeter.gsettings a odznačte túto možnosť disable-user-list = true, aby sa po prihlásení nezobrazil ŽIADNY zoznam používateľov. Toto je štandardné správanie ľubovoľného klientskeho počítača so systémom Windows pripojeného k doméne.

Rovnakým spôsobom, ak chceme, aby vytvorení používatelia nespúšťali vzdialenú reláciu ssh, upravíme súbor / Etc / ssh / sshd_config a pridajte na koniec súboru inštrukciu Povoliť používateľom, príklad:

[....] # a ChallengeResponseAuthentication na „nie“. UsePAM áno AllowUsers xeon

Pridávame zdieľané zdroje

Príklad 1: Chceme zdieľať priečinok / home / xeon / hudba pre všetkých registrovaných používateľov. Povolenie bude iba na čítanie. Najskôr vytvoríme priečinok / home / xeon / hudba a v prípade potreby nakonfigurujeme jeho vlastníka a povolenia. Ako užívateľ Xeon popravujeme:

mkdir / home / xeon / music ls -l / home / xeon | grep hudba

Potom na konci súboru kom. konf pridávame nasledovné:

[music-xeon] comment = cesta k osobnému hudobnému priečinku = / home / xeon / hudba iba na čítanie = áno platní používatelia = @users zoznam na čítanie = @users

Po úpravách v súbore vykonáme testparm ako užívateľ Xeon a službu dobíjame ako koreň. Môžeme tiež spustiť oba príkazy ako koreň:

znova načítať službu samba testparm

Ak chcete skontrolovať novo nakonfigurovanú službu, môžeme to urobiť vykonaním nasledujúceho príkazu v samotnom počítači:

smbclient -L localhost -U%

Príklad 2: Chceme zdieľať priečinok / home / xeon / hudba pre všetkých registrovaných používateľov. Povolenia budú na čítanie a zápis Xeon a iba na čítanie pre ostatných používateľov patriacich do skupiny užívatelia. Nie je potrebné upravovať vlastníka ani povolenia pre priečinok. Len sme trochu zmenili nastavenia zdieľania v súbore kom. konf.

[music-xeon] comment = Cesta k osobnému hudobnému priečinku = / home / xeon / hudba iba na čítanie = Žiadni platní používatelia = @users write list = xeon read list = @users

Príklad 3: Chceme zdieľať priečinok / home / xeon / účtovníctvo pre skupinu používateľov pulty. Všetci členovia skupiny budú mať povolenie na čítanie. Používatelia triton y Zeus budú môcť zapisovať do zdieľaného priečinka.

Teraz AK musíme upraviť vlastníka a povolenia priečinka účtovníctva po vytvorení, aby mohli písať triton y Zeus ktorí sú členom skupiny pulty. Musíme tiež dbať na to, aby sa posledný používateľ, ktorý vytvorí alebo upraví súbor, nestal jeho absolútnym vlastníkom, aby ho mohli upravovať ďalší používatelia s oprávnením na zápis.

Je nevyhnutné pochopiť, ako zaobchádzať s chovaním súborového systému z kom. konf, ako aj pochopenie toho, ako funguje zabezpečenie súborového systému UNIX / Linux.

V týchto prípadoch musíme:

• Pohodlne určte, kto bude používateľom vlastníka a kto bude skupinou vlastníkov zdieľaného adresára.
• Povoliť zápis do zdieľaného adresára skupinou vlastníkov.
• Vyhláste bit SGID (Nastaviť ID skupiny) adresára počas jeho vytvárania.
• Správne deklarovať v spise kom. konf spôsoby vytvárania súborov a adresárov v rámci nášho zdieľaného zdroja.

Jednoduché a možné riešenie v praxi budeme mať, ak vykonávame ako koreň:

mkdir / home / xeon / účtovníctvo ch -R root: pulty / home / xeon / účtovníctvo chmod -R g + ws / home / xeon / účtovníctvo ls -l / home / xeon

A na koniec súboru smb.conf pridáme toto:

[účtovníctvo] komentár = Priečinok pre účtovníkov cesta = / domov / xeon / účtovníctvo iba na čítanie = Žiadni platní používatelia = @ účtovníci píšu zoznam = triton, zeus zoznam na čítanie = @ účtovníci vynútiť vytvorenie režimu = 0660 vynútiť režim adresára = 0770

Okamžite skontrolujeme základnú syntax súboru kom. konf cez testparm a službu dobíjame prostredníctvom služba samba reload. Môžeme aj behať smbclient -L localhost -U%. na lokálnom serveri a smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% zo vzdialeného počítača.

Čas je taký, že zo vzdialeného počítača sa pripojíme k zdieľanému prostriedku a vykonáme všetky potrebné testy. Odporúča sa skontrolovať, ako sa užívateľ, ktorý vlastní priečinky a súbory, mení pri ich vytváraní v rámci prostriedku.

Dôležité: Používateľ koreň alebo používateľ Xeon a vo všeobecnosti ktorýkoľvek člen skupiny pulty, môžete písať z miestnej relácie spustenej na rovnakom počítači alebo ssh, to znamená bez použitia protokolu SMB / CIFS. Ak lokálne vytvoríte priečinok alebo súbor, nezabudnite znova prideliť príslušné povolenia. Skontrolujte podľa ls -l. Nerobenie vyššie uvedeného je zdrojom veľkého zmätku.

Priatelia, prepáčte mi dĺžku článku a dúfam, že vám bude nejako užitočný. Až do ďalšieho dobrodružstva!