Samba: Debian'da Bağımsız Sunucu

Merhaba arkadaşlar!. Bağımsız bir Sunucumuz olsun istiyorsak (Bağımsız) kaynakları paylaşmak için iş istasyonumuzdan; veya küçük bir makine grubu için; veya Microsoft tarzı etki alanı denetleyicisi olmayan bir LAN için, bunu Samba kullanarak yapmak en kolay yoldur.

Bu amaç için bazı grafik araçları ve ayrıca Samba'yı web "SWAT" aracılığıyla yönetme aracı vardır. Ancak, Önerdiğimiz bu harika dünyada manuel olarak başlayan yeni başlayanlara. Birçoğunun düşündüğü kadar zor ya da şeytani değil. Ve bu süreçte SMB / CIFS ağları ve Linux dosya sistemlerindeki İzinler ve Haklar hakkında çok şey öğrenirsiniz.

Devam etmeden önce şunları okumanızı öneririz:

• Samba: Gerekli Giriş
• Samba: Samba olmadan bir SMB / CIFS ağına göz atın
• Samba:SmbClient
• Samba:CIFS-Utils

Biz görmeyeceğiz Samba kullanarak yazıcıların nasıl paylaşılacağı. Bu paketi bu amaçlarla kullanmak isteyenler için, aşağıdaki belgelerde belirtildiği gibi ekli belgeleri okumanızı öneririz. Samba: Gerekli Giriş. Ayrıca makaleyi okuyabilirsiniz CUPS: Yazıcıları kolay yoldan kullanma ve yapılandırma.

Dikkate alınması gereken temel noktalar

• Aktif Dizinleri ve bunların Etki Alanı Denetleyicilerini çevreleyen ve birçok durumda gerekli olmayan veya kötü bir şekilde kullanılmayan tüm auraya rağmen, bir Bağımsız Samba Sunucusunun kurulması ve yapılandırılması geçerli ve güvenilir bir seçenektir.
• Bağımsız bir Sunucu, ihtiyaçlarımıza göre güvenli veya güvensiz olabilir ve onu basit veya karmaşık bir şekilde yapılandırabiliriz.
• Kullanıcı kimlik doğrulaması, kaynakların bulunduğu sunucunun kendisinde gerçekleştirilir.
• Bir kullanıcının uzak bir bilgisayardan kaynaklara erişebilmesi için, aynı zamanda Samba kullanıcı tabanına da kayıtlı olması gerekir.
• Samba kullanıcı veritabanına yalnızca sunucumuzda veya masaüstü makinemizde zaten mevcut olan kullanıcıları ekleyebiliriz.
• Bağımsız bir Samba Sunucusu, bir Etki Alanı Denetleyicisi gibi Ağ Oturum Açma Sağlamaz. Ayrıca bir Etki Alanına Giriş sağlamaz.
• Dosyaya ne kadar az parametre değiştirir ve / veya parametre eklersek /etc/smb.conf Öncelikle neyi başarmak istediğimizi ayrıntılı olarak bilmeden, Çok Daha İyi olacaktır.
• Samba'daki kaynak paylaşım hizmeti, doğal güvenliği de dahil olmak üzere Linux dosya sistemi üzerinde çalışır. Dosya ve dizin izinlerine gereken dikkat gösterilerek birçok sorun çözülür.
• Dosya sisteminin davranışının dosyadan nasıl işleneceğini anlamak önemlidir. smb.confUNIX / Linux dosya sistemi güvenliğinin nasıl çalıştığını anlamanın yanı sıra.
• Klasörlerin ve paylaşılan kaynakların adlarında aksan, eñ veya boşluk kullanmamanızı öneririz. Adlar için tercihen küçük harf kullanın.
• Paylaşım adları bir LAN üzerinde tekrarlanamaz. Her isim benzersizdir.
• LAN'ımızda WINS sunucusu YOKSA, Samba'mızın bu şekilde davranmasını sağlamak için «global»Dosyadan smb.conf parametre desteği kazanır = Evet., şiddetle tavsiye edilir.

Örnek sunucu

isim: hırıltılı. Domain: arkadaşlar.cu. IP: 10.10.10.20. Kullanıcılar: xeon, zeus ve triton. Ek gruplar: sayaçlar

Montaj

Synaptic veya konsol aracılığıyla paketi kuruyoruz samba.

sudo aptitude samba yükle

Paketi kurmak da çok kullanışlıdır smbclient. Çekler için kullanacağız.

Süreçte, paketler yüklenecek - ancak daha önce Suite ile ilgili başka bazılarını kurduk- samba, samba-yaygın, samba ortak bölmesi y tdb-araçları. Ayrıca dosya oluşturulur /etc/samba/smb.conf. Bu dosya, paketler kurulu olduğu sürece oluşturulacaktır. samba-yaygın y samba ortak bölmesive biz onları kaldırana kadar sistemden silinmeyecektir.

Smb.conf dosyası, Samba Suite'teki en önemli dosyadır

Samba, çoğu örnekte gösterilmeyen çok sayıda yapılandırma seçeneğine sahiptir. smb.conf varsayılan olarak yüklenir. Seçenekler bir «ile yorumlandı;»Görüntülenecek kadar önemli kabul edilirler ve varsayılan değerleri Samba davranış varsayılanlarından farklıdır. Yapılandırma seçenekleri bir «ile yorumlandı#«, Samba varsayılanlarına sahip ve ayrıca görüntülenmesinin önemli olduğu kabul ediliyor.

Dosyanın içeriğini yorum seçeneklerine bakmadan görmek istiyorsak «;"veya ile"#«, Yapmalıyız:

 egrep -v '# |; | ^ * $' /etc/samba/smb.conf

Dosyanın içeriğini «ile yorumlanan seçenekleri dikkate almadan görmek istiyorsak#«, Yapmalıyız:

egrep -v '# | ^ * $' /etc/samba/smb.conf

Yapmamız gereken ilk şey dosyanın bir kopyası /etc/samba/smb.conf. Dosyanın kendisinde, Samba'nın aşağıda detaylandırdığımız bir çalışma kopyası oluşturmayı önerdiği yolu buluyoruz. Gibi kök yürütürüz:

cd / etc / samba mv smb.conf smb.conf.master testparm -s smb.conf.master> smb.conf
root @ miwheezy: / etc / samba # ls -l
toplam 32 -rw-r - r-- 1 kök kök 8 Kasım 10 2002 gdbcommands -rw-r - r-- 1 kök kök 805 Ağustos 4 12:05 smb.conf -rw-r - r-- 1 root root 12173 4 Ağustos 12:05 smb.conf.master

Bu şekilde oluşturulan smb.conf ile orijinal arasındaki boyut farkına dikkat edin. Boyut küçüldükçe, Samba Ekibi'nin belirttiği şeye göre sunucunun performansı artar.

Dosyanın ilk içeriği /etc/samba/smb.conf Olacak (yazıcı paylaşımını geliştirmeyeceğimizi unutmayın):

[küresel]
        çalışma grubu = ARKADAŞLAR netbios adı = MIWHEEZY güvenlik = kullanıcı
        server string =% h server map to guest = Kötü Kullanıcı pam kısıtlamalarına uyuyor = Evet pam şifre değişikliği = Evet passwd program = / usr / bin / passwd% u passwd chat = * \ snew \ s * \ spassword girin: *% n \ n * \ snew \ s * \ spassword $ unix şifresini yeniden yazın = Yes syslog = 0 günlük dosyası = /var/log/samba/log.%m maks. günlük boyutu = 1000 dns proxy = Kullanıcı paylaşımına izin verilmez = Evet panik eylem = / usr / share / samba / panic-action% d idmap config *: backend = tdb [homes] comment = Home Dizinler geçerli kullanıcılar =% S maske oluştur = 0700 dizin maskesi = 0700 göz atılabilir = Hayır

Kalın olarak vurgulanan değerler, başlangıçta değiştirmemiz gereken tek değerlerdir. Samba'nın varsayılan davranışı olmasına rağmen, seçeneği açıkça beyan ettiğimizi unutmayın. güvenlik = kullanıcı büyük önemi göz önüne alındığında.

LAN'ımızda WINS sunucusu YOKSA, Samba'mızın bu şekilde davranmasını sağlamak için «global»Dosyadan smb.conf parametre desteği kazanır = Evet., şiddetle tavsiye edilir.

altın kural: Neye ulaşmak istediğimizi ayrıntılı olarak bilmeden smb.conf dosyasına ne kadar az parametre değiştirir ve / veya parametre eklersek, o kadar iyi olacaktır.

Aşağıda, gösterilen bazı seçeneklerin kısa bir özeti verilmiştir. Daha fazla bilgi için lütfen çalıştırın erkek arkadaş.

• çalışma grubu: Bir web tarayıcısı oluştururken ekipmanın hangi Çalışma Grubunda görüneceğini kontrol eder. Bu parametre aynı zamanda seçenekle çalışırken Alan adını da kontrol eder. güvenlik = etki alanı ve ekibin bir Etki Alanına katıldığı. Daha sonraki makalelerde göreceğiz. Varsayılan değer ÇALIŞMA GRUBU.
• netbios adı: Samba sunucusunun ağda bilineceği NetBIOS adını ayarlar. Varsayılan olarak, ürünün ilk bileşeniyle aynıdır. FQDN ana bilgisayardan. Örneğimizde FQDN takımın miwheezy.amigos.cu. Samba sunucumuz için ana bilgisayardan farklı bir isim kullanabiliriz. Bu durumda, bir CNAME kaydı eklemeniz önerilir. DNS.
• güvenlik: İstemcilerin Samba'ya nasıl tepki verdiklerini etkileyen ve dosyadaki en önemli parametrelerden biri olan parametre smb.conf. Varsayılan değer kullanıcı.
• sunucu dizesi: Ekip adının yanında bir web tarayıcısında görünen yorumlarda hangi adın gösterileceğini kontrol eder.
• misafir haritası: Yalnızca ayarlandığında yararlı olan parametre güvenlik = kullanıcı o güvenlik = etki alanı. "Kötü Kullanıcı" değeri, Samba'ya, kullanıcı mevcut OLMADIĞI sürece geçersiz bir şifreyi reddetmesini söyler, bu durumda Misafir olarak kabul edilir veya "konuk«. Misafir oturumlarına izin vermek istemiyorsak, değerini şu şekilde değiştirmeliyiz: asla, bu tam olarak varsayılan değerdir ve ayrıca parametreyi de değiştirir kullanıcı paylaşımına misafir izin ver a yok hayır, bu aynı zamanda varsayılan değerdir.
• pam kısıtlamalarına uy: Samba'nın PAM'ın kendi kısıtlamalarına uyması gerekip gerekmediğini denetler «Takılabilir Kimlik Doğrulama Modülü«, Kullanıcı Hesaplarının ve Oturumlarının Yönetimine İlişkin Yönergeler Hakkında. Varsayılan değer yok hayır.
• pam şifre değişikliği: Samba'ya bir SMB istemcisi tarafından talep edilen şifre değişiklikleri için PAM'ı kullanmasını söyler. Varsayılan değer yok hayır.
• passwd programı: Kullanıcılar için UNIX şifrelerini ayarlamak için kullanılan program.
• şifreli sohbet: İblis arasında gerçekleşen konuşmayı kontrol eden zincir küçük düşürmek ve önceki parametrede tanımlanan şifre değişikliği için yerel program.
• unix şifre senkronizasyonu: Samba'ya SMB şifresini UNIX şifresi ile eskisi değiştiği sürece senkronize etmesini söyler. Varsayılan değer yok hayır.
• geçerli kullanıcılar: Bir paylaşımda oturum açmasına izin verilen kullanıcıların listesi.

Samba hizmetini yeniden başlatın veya yeniden yükleyin

Ne zaman önemli değişiklikler yapsak, özellikle de «[küresel]" smb.conf, hizmeti yeniden başlatmalıyız. Sunucumuza zaten bağlı kullanıcılarımız varsa, Samba'yı her yeniden başlattığımızda, onların bağlantılarını keseceğiz. Bu nedenle ve pratik olarak bundan sonra hizmeti yalnızca paylaşılan kaynakları eklediğimizde veya değiştirdiğimizde yeniden yükleyeceğiz. Hizmeti yeniden başlatmak için şu şekilde çalıştırıyoruz: kök:

hizmet samba yeniden başlatma

Hizmeti yeniden şarj etmek için:

hizmet samba yeniden yükleme

Kullanıcıları sisteme ve Samba kullanıcı veri tabanına ekliyoruz

Samba kullanıcı veritabanına yalnızca yerel sunucumuzda zaten var olan kullanıcıları ekleyebiliriz.

Örneğimizde, kullanıcı xeon Wheezy kurulumu sırasında eklenmiştir. Bu nedenle, onu ekip kullanıcılarına eklemeyeceğiz. Kullanıcılar grubu sistemde var ve kurulum sırasında oluşturuldu.

Bazı komut seçenekleri smbpasswd ses:

• -a: Belirtilen kullanıcıyı smbpasswd yerel dosyasına ekleyin.
• -x: Belirtilen kullanıcı yerel smbpasswd dosyasından kaldırılmalıdır. Yalnızca ne zaman kullanılabilir smbpasswd olarak çalışır kök.
• -d: Belirtilen kullanıcı hesabı devre dışı bırakılmalıdır. Yalnızca ne zaman kullanılabilir smbpasswd olarak çalışır kök.
• -e: Opsiyonun tam tersi -d kullanıcının hesabı devre dışı bırakıldığı sürece.

Ekibimizdeki kullanıcıları oluşturmak için iyi bilinen komutla yapıyoruz Kullanıcı Ekle.

adduser zeus adduser triton

Grubu oluşturmak için CONTADORES:

addgroup sayaçları

Samba veritabanına kullanıcı eklemek için:

smbpasswd - bir kök
smbpasswd - bir xeon smbpasswd - bir zeus smbpasswd - bir triton

Gruba katılıyoruz CONTADORES istediğimiz kullanıcılara:

adduser xeon sayaçları adduser zeus sayaçları adduser triton sayaçları

Oluşturulan her kullanıcının gruba katılması önerilir. kullanıcılar, belirli bir kaynak üzerinde oluşturduğumuz tüm kullanıcılara izin vermek istememiz durumunda. Birden çok kullanıcıyı bir gruba eklemenin daha kolay bir yolu, dosyayı doğrudan düzenlemektir. / etc / groupve virgülle ayrılmış kullanıcı listesini ekleyerek. Grup tarafından yönlendirilebilirler CONTADORES. Kullanıcıları gruba kattığımızı varsayıyoruz kullanıcılar.

Bir iş istasyonunda, kullanılarak oluşturulan görüntüleyen kullanıcıları kaldırmak için Kullanıcı Ekledosyayı düzenlemeliyiz /etc/gdm3/greeter.gsettings ve seçeneğin açıklamasını kaldırın devre dışı-kullanıcı-listesi = true, böylece oturum açarken HİÇBİR kullanıcı listesi görüntülenmez. Bu, Etki Alanına katılmış herhangi bir Windows istemci bilgisayarın standart davranışıdır.

Aynı şekilde, oluşturulan kullanıcıların uzaktan oturum başlatmamasını istiyorsak sshdosyayı düzenleriz / Etc / SSH / sshd_config ve dosyanın sonuna talimatı ekleyin Kullanıcılara İzin Ver. örnek:

[....] # ve ChallengeResponseAuthentication 'hayır' olarak ayarlayın. UsePAM yes AllowUsers xeon

Paylaşılan kaynaklar ekliyoruz

Örnek 1: Klasörü paylaşmak istiyoruz / home / xeon / music tüm kayıtlı kullanıcılar için. İzin salt okunur olacaktır. Öncelikle klasörü oluşturuyoruz / home / xeon / music ve gerekirse sahibini ve izinlerini yapılandırıyoruz. Kullanıcı olarak Xeon yürütürüz:

mkdir / home / xeon / müzik ls -l / home / xeon | grep müzik

Sonra dosyanın sonunda smb.conf aşağıdakileri ekliyoruz:

[music-xeon] comment = Kişisel müzik klasörü yolu = / home / xeon / salt okunur = Evet geçerli kullanıcılar = @ kullanıcılar listeyi oku = @users

Dosyada yapılan değişikliklerden sonra, test parm kullanıcı olarak xeon ve hizmeti şu şekilde yeniden şarj ediyoruz kök. Her iki komutu da şu şekilde çalıştırabiliriz: kök:

testparm hizmet samba yeniden yükleme

Yeni yapılandırılmış hizmeti kontrol etmek için, bilgisayarın kendisinde aşağıdaki komutu çalıştırarak yapabiliriz:

smbclient -L yerel ana bilgisayar -U%

Örnek 2: Klasörü paylaşmak istiyoruz / home / xeon / music tüm kayıtlı kullanıcılar için. İzinler okunacak / yazılacak xeon ve grubun geri kalanı için salt okunur kullanıcılar. Klasörün sahibini veya izinlerini değiştirmemize gerek yok. Sadece dosyadaki paylaşım ayarlarını biraz değiştiriyoruz smb.conf.

[music-xeon] comment = Kişisel müzik klasörü yolu = / home / xeon / salt okunur = Geçerli kullanıcı yok = @users yazma listesi = xeon okuma listesi = @users

Örnek 3: Klasörü paylaşmak istiyoruz / ev / xeon / muhasebe kullanıcı grubu için CONTADORES. Grubun tüm üyeleri okuma iznine sahip olacaktır. Kullanıcılar triton y Zeus paylaşılan klasöre yazabilecekler.

Şimdi klasörün sahibini ve izinlerini değiştirmemiz gerekiyorsa muhasebe oluşturulduktan sonra yazabilirler triton y Zeus grubun üyesi kimler CONTADORES. Ayrıca, bir dosyayı oluşturan veya değiştiren son kullanıcının, yazma izinlerine sahip diğer kullanıcılar tarafından değiştirilebilmesi için mutlak sahibi olmamasına da dikkat etmeliyiz.

Dosya sisteminin davranışının nasıl ele alınacağını anlamak önemlidir. smb.confUNIX / Linux dosya sistemi güvenliğinin nasıl çalıştığını anlamanın yanı sıra.

Bu durumlarda şunları yapmalıyız:

• Kimin Sahip Kullanıcı olacağını ve Paylaşılan Dizinin Sahip Grubunun kim olacağını uygun bir şekilde beyan edin.
• Sahip Grubu tarafından Paylaşılan Dizine yazmaya izin verin.
• Biraz açıkla SGID (Grup Kimliğini Ayarla) oluşturma sırasında dizinin.
• Dosyada doğru şekilde beyan et smb.conf Paylaşılan kaynağımız içinde dosya ve dizin oluşturma yolları.

Pratikte basit ve olası bir çözüme sahip olacağız olarak yürütürüz kök:

mkdir / home / xeon / muhasebe chown -R kökü: sayaçlar / ev / xeon / muhasebe chmod -R g + ws / home / xeon / muhasebe ls -l / home / xeon

Ve smb.conf dosyasının sonuna şunu ekliyoruz:

[muhasebe] comment = Muhasebeciler için klasör yol = / home / xeon / muhasebe salt okunur = Geçerli kullanıcı yok = @ muhasebeciler listeyi yaz = triton, zeus okuma listesi = @ muhasebeciler oluşturmaya zorla = 0660 zorla dizin modu = 0770

Hemen temel sözdizimini kontrol ediyoruz smb.conf içinden test parm ve hizmeti, hizmet samba yeniden yükleme. Biz de koşabiliriz smbclient -L yerel ana bilgisayar -U%. yerel sunucuda ve smbclient -L mywheezy -U% o smbclient -L mywheezy.friends.cu -U% uzak bilgisayardan.

Zaman, uzak bir bilgisayardan paylaşılan kaynağa bağlanmamız ve gerekli tüm testleri yapmamızdır. Klasör ve dosyaların sahibi olan kullanıcının, kaynakta oluşturuldukça nasıl değiştiğini kontrol etmeniz önerilir.

Önemli: Kullanıcı kök veya kullanıcı xeon ve genel olarak grubun herhangi bir üyesi CONTADORES, aynı bilgisayarda başlatılan yerel bir oturumdan veya sshyani SMB / CIFS protokolünü kullanmadan. Yerel olarak bir klasör veya dosya oluşturursanız, uygun izinleri yeniden atamayı unutmayın. Kontrol et ls -l. Yukarıdakileri yapmamak, çok fazla kafa karışıklığının kaynağıdır.

Arkadaşlar, makalenin uzunluğunu affedin ve umarım sizin için yararlı olur. Bir sonraki maceraya kadar!