Kaj je SAMBA?

Izvajanje omrežnih protokolov Blok sporočil strežnika (SMB) in Skupni internetni datotečni sistem (CIFS). Glavni namen je izmenjava datotek in tiskalnikov med sistemi Linux in Windows.

Samba sestavlja več demonov, ki se izvajajo v ozadju in ponujajo storitve ter številna orodja ukazne vrstice za interakcijo s storitvami Windows:

smbd - daemon, ki je strežnik SMB za storitve za datoteke in tiskanje;
nmbd - daemon, ki zagotavlja storitve imena NetBIOS;
smblient - Orodje omogoča dostop iz ukazne vrstice do virov SMB. Prav tako vam omogoča, da dobite sezname virov v skupni rabi na oddaljenih strežnikih in si ogledate omrežno okolje;
smb.conf - konfiguracijsko datoteko, ki vsebuje nastavitve za vsa Samba orodja;

Seznam pristanišč, ki jih uporablja Samba

delež - ta varnostni način posnema način overjanja, ki ga uporabljajo operacijski sistemi Windows 9x / Windows Me. V tem načinu so uporabniška imena prezrta, gesla pa so dodeljena v skupne vire. V tem načinu poskuša Samba uporabiti geslo, ki ga je podal odjemalec, ki ga lahko uporabljajo različni uporabniki.
uporabnika* - Ta varnostni način je privzeto nastavljen in za overjanje uporablja uporabniško ime in geslo, kot se običajno izvaja v Linuxu. V večini primerov sodobni operacijski sistemi shranjujejo gesla v šifrirani bazi podatkov, ki jo uporablja samo Samba.
strežnik - ta varnostni način se uporablja, kadar je potrebno, da Samba izvede preverjanje pristnosti z dostopom do drugega strežnika. Za odjemalce ta način izgleda enako kot overjanje na ravni uporabnika (uporabniški način), v resnici pa Samba dostopa do strežnika, ki je podan v parametru strežnika gesel, da izvede preverjanje pristnosti.
domene - s tem varnostnim načinom se lahko popolnoma pridružite domeni Windows; za odjemalce izgleda enako kot overjanje na ravni uporabnika. Za razliko od overjanja na ravni strežnika preverjanje pristnosti domene uporablja varnejšo izmenjavo gesel na ravni domene. Če se želite popolnoma pridružiti domeni, morate zagnati dodatne ukaze v sistemu Samba in po možnosti v krmilniku domene.
oglasov - Ta način zaščite je podoben načinu preverjanja pristnosti v domeni, vendar zahteva krmilnik domene domen storitve Active Directory.

Popoln seznam parametrov Samba je v straneh.

Zgoraj je bil prikazan primer dostopa do imenika v skupni rabi. Razmislite o drugem primeru z zasebnim imenikom, ki je dostopen le s prijavo in geslom.

Ustvarite skupino in ji dodajte uporabnika.

Sudo groupadd smbgrp sudo usermod -a -G smbgrp proft

Ustvarite imenik za uporabnika in nastavite dovoljenja.

Sudo mkdir -p / srv / samba / proft sudo chown -R proft: smbgrp / srv / samba / proft sudo chmod -R 0770 / srv / samba / proft

Ustvarite uporabnika sambe

Sudo smbpasswd -proft

Dodajte nov vir v /etc/samba/smb.conf

pot = / srv / samba / proft veljavni uporabniki = @smbgrp gost ok = ni zapisljiv = da brskalnik = da

Znova zaženite strežnik

Sudo systemctl ponovno zaženite smbd

Primer postavitve vira, v katerem je simlink na mapo uporabnika ( / srv / samba / mediji / video » / domov / proft / video)

pot = / srv / samba / medijski gost ok = da samo za branje = da brskati = da sila uporabnik = proft

Nastavitev odjemalca

Oglejte si skupne vire računalnika

Smbclient -L 192.168.24.101 -U%

Drug način za povezovanje anonimnega uporabnika z ukazno vrstico

Smbclient -U nihče //192.168.24.101/javni ls

Če je strežnik konfiguriran z višjo stopnjo varnosti, bo morda potrebno prenesti ime uporabnika ali domene z uporabo parametrov -W in -U.

Smbclient -L 192.168.24.101 -U proft -W WORKGROUP

Namestitev vira sambe

# ustvari točko pritrditve mkdir -p ~ / shares / public # mount resource # za anonimnega uporabnika nihče mount -t cifs //192.168.24.101/public / home / proft / shares / public -o uporabnik = nobody, password =, workgroup = WORKGROUP, ip = 192.168.24.101, utf8 # za uporabniški proft mount -t cifs //192.168.24.101/public / home / proft / shares / public -o uporabnik = proft, geslo = 1, delovna skupina = WORKGROUP, ip = 192.168. 24.101, utf8

Še bolje, gesla so shranjena v ločeni datoteki.

# sudo vim / etc / samba / sambacreds Uporabniško ime = geslo za proft = 1 uporabniško ime = neupravičeno geslo =

Nastavimo pravice dostopa 0600

Sudo chmod 0600 / etc / samba / sambacreds

Nova vrstica za montažo

Mount -t cifs //192.168.24.101/public / home / proft / shares / public -o uporabnik = proft, poverilnice = / etc / samba / sambacreds, delovna skupina = WORKGROUP, ip = 192.168.24.101

In primer za / etc / fstab

//192.168.24.101/public / home / proft / shares / public cifs noauto, uporabniško ime = proft, poverilnice = / etc / samba / sambacreds, delovna skupina = WORKGROUP, ip = 192.168.24.101 0 0

Vi lahko odprete vir v upravljalniku datotek Nautilus / Nemo / etc, ki uporablja to pot. smb: //192.268.24.101.

Če piše Nemo Nemo ne more upravljati "smb" lokacij. to pomeni, da ni dovolj paketa gvfs-smb.

Dostop do strežnika iz odjemalca Windows in Android

V operacijskem sistemu Windows lahko delovno skupino naučite iz ukazne mize

Neto konfiguracijska delovna postaja

Sredstva na oddaljenem računalniku lahko odprete tako, da v vrstico Explorer vpišete naslov Run (Zaženi - zagon) in naslov UNC: \192.168.24.101 .

V sistemu Android se lahko povežete s strežnikom s pomočjo ES File Explorer, na zavihku Network dodajte strežnik, preprosto po IP (ne da bi določili shemo, smb). Nato lahko odprete skupne vire. Za statistiko: HDRIP-film gre brez upočasnitve.

Dodatno branje

Ali pa samo zanimanje in radovednost spodbujajo uporabnike, da iščejo drugačno ustrezno programsko opremo. Ta programska oprema je Samba. Če želite ustvariti bazo podatkov ali shrambo datotek iz računalnika, morate vedeti, kako nastavite Sambo na strežniku Ubuntu.

Namestitev Sambe na Ubuntu Server omogoča ustvarjanje baze podatkov.

Če ste mislili, da je stran namenjena študiju plesa, se rahlo motite. Samba je brezplačna programska oprema. Omogoča dostop do tiskalnikov in datotek. Poleg tega to počne na različnih operacijskih sistemih.

Za kaj je?

V primerjavi z drugimi programskimi paketi podobnega namena ima Samba več prednosti in lastnosti.

Omogoča vam, da se povežete s sistemom, podobnim Unixu, tj. Vsem sistemom v Linuxu in Windows. In ne samo Windows. Program je zelo "vsejed": MacOS, Solaris in drugi operacijski sistemi različnih stopenj priljubljenosti.
Samba uporabnikom sistema Windows omogoča uporabo računalnikov v Ubuntu kot strežnik. To pomeni, da uporabite datoteke, do katerih je dostop vzpostavljen, kot tudi del povezanih naprav.
Podpira domensko strukturo domene NT, upravlja uporabnike NT, podpira funkcije udeleženca, primarnega krmilnika.

Verjetno je za mnoge najpomembnejša povezava s stroji na Windows. V tem primeru delujejo kot odjemalec in računalnik v Ubuntuju - kot strežnik. Po drugi strani pa lahko uporabnik Ubuntu dostopa tudi do omrežnih map Windows.

Samba se proizvaja od leta 1992. In kar je najpomembneje, nove različice so še vedno izven. Slednji je bil izdan 7. marca 2017. Vsako leto razvijalci poskušajo vzpostaviti združljivost z velikim številom različic operacijskega sistema, vendar je glavni čip povezava Linux-sistemov z Microsoftom. V primerjavi s strežnikom Windows Server je Samba morda slabša zaradi pomanjkanja podpore za nekatere protokole in gostiteljske infrastrukture. Vendar pa mnogi trdijo, da je hitrost Sambe veliko višja.

Konfiguriranje Sambe

Pred namestitvijo mora biti program nameščen. Samba namestitev se izvede na enak način kot pri drugih programih - z vnosom ukaza v terminal:

sudo apt-get namestite sambo

Takoj opomba: vsa dejanja, ki bodo opisana, vključno z namestitvijo programa, se lahko izvedejo na enostavnem Ubuntu in Ubuntu strežniku. Samo na slednjem je na voljo izključno besedilni vmesnik.

Po namestitvi morate varnostno kopirati konfiguracijsko datoteko:

$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

$ sudo vi /etc/samba/smb.conf

Ali pa uredimo obstoječo. Ta datoteka vsebuje glavno namestitev strežnika Samba. Da bi razumeli, kaj bomo naredili naslednje, morate razumeti, kaj pomenijo različne vrstice.

Delovna skupina - delovna skupina. Vrednost tega parametra bo pogosto tudi delovna skupina, ker v sistemu Windows privzeta domena delovne skupine izgleda točno tako.
Ime Netbios je ime računalnika Ubuntu, ki ga uporabniki Windows vidijo. Tukaj lahko vnesete vrednost po lastni presoji.
Varnost - način avtorizacije uporabnika. Privzeta nastavitev je Uporabnik, to je preverjanje pristnosti na ravni uporabnika. Za zdaj je bolje, da odidete.
Os os - označuje prednost, ki jo ima Samba pred drugimi strankami (osebnimi računalniki) v lokalnem ali internetnem omrežju.
Naročilo za razrešitev imena - vrstni red razreševanja naslovov IP z imenom NetBIOS.
Samo za branje - privilegij branja ali pisanja imenika. Vrednost je lahko “da” - samo za branje, “ne” - napišite.

Ustvarite uporabnika

To je najpreprostejša akcija, s katero lahko začnete delati s Sambo.

Dodajte uporabnika v sam operacijski sistem:

$ useradd -M -l -s / sbin / nologin uporabniško ime

Ustvarite geslo za:

Dodajte našega uporabnika v bazo podatkov Samba:

$ smbpasswd - uporabniško ime

Z ukazom $ smbpasswd lahko izvajate različne druge akcije:

$ smbpasswd uporabniško ime - sprememba gesla
$ smbpasswd -x username - izbriši uporabnika
$ smbpasswd -d uporabniško ime - prepoved uporabnika

Če spremenite konfiguracijsko datoteko, morate ponovno zagnati strežnik. To naredite z ukazom:

$ systemctl znova zaženi

To so osnovne nastavitve Sambe. Zdaj lahko poskusite uresničiti program.

Dostop do mape

Najprej poskusimo ustvariti mapo, dostop do katere bodo dostopni vsem uporabnikom, tudi tistim, ki v Sambi niso pooblaščeni.

Ustvarite mapo, s katero bomo nato delali na dveh računalnikih:

$ sudo mkdir -p / samba / access

Zdaj delamo razširjen dostop za to mapo, tako da jo lahko odpre vsak odjemalec našega lokalnega omrežja:

$ cd / samba
$ sudo chmod -R 0755 dostop
$ sudo chown -R nobody: nogroup dostop /

Lastnik po kodi ni nihče.

Zdaj v konfiguracijski datoteki strežnika morate narediti dva odseka: prvi, ki vsebuje osnovne informacije:

delovna skupina = DELOVNA SKUPINA
strežniški niz = Samba Server% v
netbios ime = srvr1
varnost = uporabnik
zemljevid za gosta = slab uporabnik
ime razreši naročilo = bcast gostitelj
dns proxy = ne
#==============
Drugi pa vsebuje podatke o dostopni mapi:

pot = / samba / dostop
brskanje = da
writable = yes
gost ok = da
samo za branje = ne

Sledite odsekom enega za drugim v istem vrstnem redu.

Spremembe strežnika za posodabljanje:

$ sudo storitev smbd restart

Računalniška dejanja v sistemu Windows

V operacijskem sistemu Windows morate izvesti tudi nekaj dejanj, tako da lahko preprosto odprete novo mapo v skupni rabi in jo uredite.

Odprite ukazni poziv. Priporočljivo je, da to storite z razširjenimi pravicami, to je v imenu skrbnika.
Izvedite ukaz:
notepad C: Windows System 32 gonilniki in gostitelji
Odpre se datoteka, v katero vnesemo naslednjo vrstico:
168.0.1 srvr1.domain.com srvr1
Zahvaljujoč njeni mapi bo na voljo.
Odprete ga lahko s pomočjo vrstice »Run«. Pritisnemo Win + R, vnesemo: Po tem bomo odprli mapo.

Zaprta mapa

Konfiguriran strežnik Samba se lahko uporablja tudi za ustvarjanje omrežnih map z omejenim dostopom. To mapo morate najprej ustvariti in jo nato dodati v konfiguracijo Sambe.

Naredite mapo z imenom »Zaprto«:

$ sudo mkdir -p / samba / allaccess / zaprto

Izdelamo posebno skupino, ki lahko dostopa do te mape:

$ sudo addgroup zavarovana skupina

Ustvarjamo posebne pravice za različne skupine:

$ cd / samba / dostop
$ sudo chown -R richard: zaprta skupina
$ sudo chmod -R 0770 zaprto /

Tako kot v primeru odprte mape v konfiguracijo dodamo informacije:

pot = / samba / dostop / zaprto
veljavni uporabniki = @securedgroup
gost ok = ne
writable = yes
brskanje = da

Znova zaženite strežnik.

Kot lahko vidite, smo mapo zaprli v Accessu. Tako lahko dostop odpre vsak uporabnik lokalnega omrežja, vendar morate za ogled in urejanje zaprtega omrežja imeti posebne pravice.

Če želite zagotoviti, da vse deluje točno tako, kot smo ga nastavili v paketni datoteki, lahko sledite nekaj preprostim korakom.

Najprej namestite paket. samba:

Sudo apt install samba

Zdaj lahko nastavite Sambo za skupno rabo.

Samba Setup

Konfiguracijska datoteka Sambe se nahaja ob poti /etc/samba/smb.conf. Izvirna konfiguracijska datoteka ima veliko število komentarjev za dokumentiranje različnih konfiguracijskih direktiv.
V datoteko privzetih nastavitev niso vključene vse možnosti. Podrobnosti si oglejte v priročniku man smb.conf ali Samba Help.

Najprej spremenite ali dodajte naslednjo vrednost v razdelek. Datoteka /etc/samba/smb.conf:

Delovna skupina = WORKGROUP security = uporabnik

Ime delovne skupine spremenite glede na nastavitve (v sistemu Windows je privzeto ime delovne skupine WORKGROUP).

Dodajte nov razdelek na koncu datoteke ali odkomentirajte enega od primerov za imenik, ki ga želite dati v skupno rabo:

comment = mapa v skupni rabi v poti Ubuntu = / home / samba / share browsable = da gost ok = da samo za branje = no create mask = 0644

komentar - opis delnice.
   pot - pot do imenika v skupni rabi.
   brskanje - omogoča odjemalcem, da si ogledajo vsebino imenika v skupni rabi.
   guest ok - omogoča odjemalcem, da se povežejo z deležem brez podajanja gesla.
   samo za branje - ali je vir »samo za branje« ali ne.
   ustvarite masko - nastavite dovoljenja za datoteke.

Zdaj morate ustvariti imenik:

Sudo mkdir -p / home / samba / share

možnost -p pove, da mkdir ustvari polno drevo imenikov, če ne obstaja.
Nastavite dovoljenja za to:

Sudo chown nobody: nogroup / home / samba / share / sudo chmod 755 / domov / samba / share /

Nazadnje znova zaženite storitve sambe, da uporabite nove nastavitve:

Sudo storitev smbd restart

Zdaj se bo v vašem omrežju prikazal vaš Ubuntuov delež in lahko brskate po imenih v skupni rabi. Če odjemalec ne prikaže samodejno vaših virov v skupni rabi, poskusite stopiti v stik s strežnikom po njegovem naslovu IP, na primer: \\ t Če želite preveriti, ali je datotečni strežnik odprt, poskusite ustvariti imenik v skupnem viru.

Če želite ustvariti dodatne vire v skupni rabi, ustvarite nov razdelek. v /etc/samba/smb.conf in znova zaženite Sambo. Prepričajte se, da je bil imenik v skupni rabi ustvarjen in da ima ustrezna dovoljenja.

Ta izdelek je nabor strežniške in odjemalske programske opreme za komuniciranje strojev UNIX z omrežji Microsoft in LanManager V operacijskem sistemu Windows je ta sistem bolj znan kot »skupna raba datotek in map« ali globus. Strežnik Samba je potreben za odpiranje dostopa do trdega diska vašega strežnika Linux iz drugih računalnikov. Na strani Fedora sta za storitev odgovorni dve storitvi nmbd in smbd (obstaja tudi storitev winbindd, vendar brez nje vse deluje, je potrebno, da strežnik deluje v domeni).

SMBD ali demon strežnika sambe
NMBD demon NetBios, ki je odgovoren za razreševanje imen gostiteljev in za zagotavljanje, da je računalnik mogoče najti v omrežnem okolju, če ga ne zaženete ali konfigurirate nepravilno, bo računalnik viden samo za ip-osebo.
Winbind Ta storitev je novo orodje, zasnovano za popolnejšo integracijo Sambe v domene Windows; pojavil se je, začenši s Sambo 2.2.0. Ta storitev bere svojo konfiguracijo iz /etc/samba/smb.conf in dinamično komunicira z domeno PDC, samodejno sinhronizira sezname uporabnikov in skupin domene in Samba. Zato je winbind zelo priročno orodje za samodejno vzdrževanje pomembnosti baze uporabnikov domene na Samba delovnih postajah.

Za delo v omrežjih SMB je potrebno:

stranka
strežnik
orodja za upravljanje

Pri uporabi SMB so na voljo naslednji viri:

omrežnih pogonov
neposredne pogonske poti
tiskalniki
avtorizacija in upravljanje domen

Namestitev potrebnih paketov

Vnesite ukaz:

Su -c "yum -y samba samba-odjemalec samba-skupni"

Nameščena bosta oba zahtevana demona: smbd in nmbd ter dodatni programski paket. Namestite lahko tudi dodatni paket za konfiguriranje strežnika v grafičnem načinu:

Namestite samba system-config-samba

Po tem morate konfigurirati strežnik:

Konfiguracija strežnika

V večini primerov je konfiguriranje Sambe urejanje glavne /etc/samba/smb.conf konfiguracijske datoteke in upravljanje uporabnikov z uporabo smbpasswd. Če je to nenavadno, poskusite uporabiti spletni vmesnik SWAT (Samba Web Administration Tool); To naredite tako, da namestite paket samba-swat in v brskalniku odprete URL http: // localhost: 901 /.

Ali je vse mogoče konfigurirati z običajno grafiko, paket system-config-samba.

Če želite začeti, shranite datoteko varnostne kopije tako, da se lahko vrnete:

Cp smb.conf smb.conf.backup

Urnik prilagajanja

Tipične konfiguracije smb.conf

Konfiguracije strežnikov Samba se lahko zelo razlikujejo po velikosti in funkciji. Datoteka lahko uporablja veliko število različnih direktiv :. Nadalje v članku obravnavamo samo najbolj tipične konfiguracije in upoštevamo direktive, ki so v njih vključene.

Običajni strežnik

workgroup = OFFICE security = uporabnik os level = 65 domena master = ni domenskih vpisov = no support = no comment = javna pot path = / home / samba / public public = da writable = no write list = @staff

Oddelek opredeljuje splošne nastavitve strani strežnika Samba kot celoto za vse vire.

delovna skupina: Ime delovne skupine.

varnosti: Stopnja definicije ravni dostopa uporabnika.

os ravni: Prednost tega strežnika med drugimi računalniki delovne skupine: določa, kdo bo glavni stroj, odgovoren za preslikavo omrežnih virov. Za primerjavo, Win9X ima os ravni = 34, NT4 pa ima os ravni = 64.

glavni domeni : definira domeno glavnega strežnika. V tem primeru je direktiva onemogočena.

prijave v domeno : Ne postanite strežnik gesel za bližnje naprave. Torej, če vam je vznemirjeni skrbnik sosednjega NT strežnika tekel, ko ste se pritoževali, da ga niso pustili na lastnem strežniku - postavite domenske prijave = ne

zmaga podporoO: Običajno v najpreprostejši mreži WINS ni potreben, onemogočimo ga in naredimo enako zase.

komentar : komentar, viden v spletu kot komentar na vir

poti : pot do imenika virov

javno : dostop za branje za vse pooblaščene uporabnike (vključno z gosti, če so definirani)

pisati : prepoved pisanja vsem uporabnikom

seznam za pisanje = @staff: dovoljenje za pisanje za vse uporabnike v skupini zaposlenih v sistemu

Razširjena pravilna konfiguracija

V tej konfiguraciji se uporabljajo najpogostejše direktive. Ni nujno, da ga popolnoma prekopirate, ta konfiguracija je očitno nepotrebna za redni strežnik in nezadostna za strežnik v domeni. Vendar, če niste uspeli zagnati strežnika z običajno konfiguracijo, boste razumeli, kako deluje ta strežnik in kako ga lahko razhroščite, če nekaj ne deluje.

workgroup = strežniška skupina strežniški niz = Samba različica strežnika% v netbios ime = MYSERVER ime razreši naročilo = zmaga lmhosts bcast winbind: 10 log file = /var/log/samba/log.%m max log size = 50 zmaga support = ne zmaga server = 192.168.1.1 zmaga proxy = da dns proxy = da smb passwd datoteka = / etc / samba / smbpasswd možnosti vtičnice = TCP_NODELAY SO_RCVBUF = 8192 SO_SNDBUF = 8192 IPTOS_LOWDELAY IPTOS_THROUGHPUT lokalni mojster = ja unix charset = utf8 dos charset = cp1251 zaslon charset = varnost uTF8 = uporabnik passdb hrbtenica = tdbsam gost račun = gost komentar = Domov imeniki brskali = ne pisati = ja komentar = Pot do javnih stvari = / home / samba browseable = da javna = da writable = da printable = ni list za pisanje = + osebna pot = / pub browseable = da javna = da pisati = da

niz strežnika : Niz, ki sledi imenu računalnika pri ogledu omrežnega okolja (Na primer: MYSERVER Samba Server različice 3.3.4).
ime : to je ime računalnika netbios.
ime reši : Direktiva določa vrstni red, v katerem bo strežnik poskušal razrešiti imena gostiteljev.
vmesniki : Direktiva določa vmesnike in podomrežje, ki jih bo poslušal samba
log : Log raven podrobnosti, podpira veliko razhroščevanje razredov. Več informacij o direktivi lahko najdete na smb-conf.ru
datoteko dnevnika : Označuje pot do datoteke dnevnika. Strežnik hrani različne datoteke dogodkov za različne uporabnike ali računalnike (bodite pozorni na to).
največja velikost dnevnika : Največja velikost dnevnika v kilobajtih. Ko dosežete velikost datoteke, se izvede rotiran dnevnik.
zmaga podporo : Parameter je nastavljen na yes, če je vaš nmbd v Samba strežnik WINS. Tj strežnik wins je del demona nmb. Več o WINS bo malo kasneje.
zmaga strežnik : naslov zmagovalnega strežnika.
zmaga proxy : Ta parameter nadzoruje obnašanje nmbd, ali se bo odzval na zahteve po oddajanju za razreševanje imen iz drugih računalnikov. Za nekatere stare stranke boste morda morali parameter nastaviti na yes.
dns proxy : Samba pravi, ali naj skuša rešiti imena Netbios prek rednega DNS nslookup.
smb datoteka passwd : Ta parameter podaja pot do šifrirane datoteke gesel smbpasswd. Ta pot je privzeto prevedena v Sambu.
možnosti vtičnice : omogoča nastavitev parametrov vtičnice, ki bo uporabljena za strežbo odjemalcev. Uporablja se za "pospeševanje" dela sambe.
lokalni poveljnik : Ta možnost omogoča demonu nmbd, da poskusi postati lokalni glavni brskalnik v tej podomrežju.
unix charset : Kodiranje, v katerem Samba sodeluje z * nix-odjemalci
dos charset : Kodiranje za interakcijo z odjemalci Windows
nabor znakov : Določa nabor znakov, ki jih bo samba uporabila za tiskanje sporočil v stdout (izhodni tok) in stderr (tok napak).
varnosti : Določa način interakcije s strankami ali pa strankam pove, da pošljejo uporabniško ime in geslo za dostop do strežnika.
backdb : Ta parameter omogoča skrbniku, da izbere mehanizem za shranjevanje podatkov o uporabnikih in po možnosti o skupinah. Privzeta vrednost je smbpasswd.
račun gosta : Ko se strežnik Samba poveže z navadnimi ali gostujočimi uporabniki, se morajo ujemati z ustreznim uporabnikom strežnika. Izberite enega od obstoječih uporabnikov sistema, ki bo postal račun gosta Sambe.

Pomembne direktive

Direktive varnosti

ADS - Strežnik Samba deluje kot član domene v domeni domene Active Directory (domena Active Directory, ADS). Če želite to narediti, morate Kerberos namestiti in konfigurirati na strežniku, Samba pa mora postati član področja ADS z uporabo ukaza net, vključenega v paket samba-odjemalec. Za več informacij si oglejte stran man net. Če izberete to možnost, Samba ne postane krmilnik ADS. Podajte obseg strežnika Kerberos v polju Kerberos domena (Kerberos Realm).
Domena - Strežnik Samba preveri uporabnika, pri čemer se opira na primarni in varnostni krmilnik domene Windows NT. Strežnik pošlje krmilniku uporabniško ime in geslo ter počaka na odgovor. V polje Authentication Server vnesite NETBIOS ime primarnega ali varnostnega krmilnika domene. Če je izbrana ta možnost, mora biti parameter Encrypted Passwords kodiran.
Strežnik - Strežnik Samba poskuša preveriti kombinacijo uporabniškega imena in gesla z drugim strežnikom Samba. Če to ne uspe, ga strežnik poskuša preveriti z načinom preverjanja pristnosti uporabnika. V polje Authentication Server vnesite ime NETBIOS drugega strežnika Samba.
Vir (delež) - Samba uporabnikom ni treba vnesti svojega uporabniškega imena in gesla pri povezovanju s strežnikom Samba. Strežnik Samba ne zahteva imena in gesla, dokler ne poskusita vzpostaviti povezave z določenim imenom v skupni rabi tega strežnika.
Uporabnik - (Privzeto) Uporabniki Sambe morajo za strežnik Samba podati pravilno uporabniško ime in geslo. To možnost izberite, če želite, da funkcija Uporabniško ime za Windows (uporabniško ime Windows) deluje.

Direktiv WINS

WINS (storitev Windows Internet Name Service) je storitev preslikavanja imen računalnika NetBIOS z naslovi IP vozlišča. Če strežnik WINS ni podan, bo metoda resolv z dobitki zanemarjena. Obstaja zmagovalni strežnik in zmagovalni odjemalec. Ko se odjemalec prijavi v omrežje, strežniku sporoči njegovo ime Netbios in nato uporabi strežnik za razrešitev drugih imen sistemov. Prisotnost strežnika WINS je potrebna za zmanjšanje količine oddajnega prometa. Če je podomrežje dovolj veliko, lahko oddaja veliko.

Zagon strežnika

Ko je strežnik konfiguriran, morate nastaviti strežniško storitev smb za samodejni zagon in zagon samega strežnika:

Systemctl omogoči smb systemctl omogoči nmb systemctl zagon smb systemctl zagon nmb

Za starejše sisteme brez systemd uporabite:

Chkconfig - nivoji 235 sm 235 chkconfig - nivoji 235 nmb 235 storitev smb start service nmb start

Vsakič, ko spremenite smb.conf, ponovno zaženemo strežnik:

Systemctl restart smb

ali za starejše sisteme:

Znova zaženite Smbd

Poskrbite tudi, da so v imenikih v skupni rabi ustrezni imeniki. Ne pozabite, da SElinux ne bo dovolil dostopa do žog v domačih mapah uporabnikov.

Konfiguriranje požarnega zidu iptables

Da bi bil vir sambe dostopen od odjemalcev, morate konfigurirati požarni zid Iptables, zato morate odpreti vrata 137-139 in 445. \\ t V naslednjem primeru je dostop do strežnika SAMBA dovoljen iz podmreže 192.168.1. *, Če je potrebno, lahko odstranite možnost -s 192.168.1.0/24, da omogočite dostop do strežnika vsem

Iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp -dport 137 -m stanje - stanje NEW -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp - dport 138 -m stanje - stanje NOVO -j ACCEPT iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --port 139 -m stanje - stanje NOVO -j ACCEPT iptables -A INPUT -s 192.168 .1.0 / 24 -p tcp -m tcp --dport 445 -m stanje - stanje NEW -j ACCEPT iptables-save\u003e / etc / sysconfig / iptables

Ustvarjanje uporabnikov za SAMBA

Najprej morate ustvariti rednega uporabnika v sistemu, nato pa uporabite poseben ukaz smbpasswd, da uporabnika dodate v bazo podatkov Samba-server Ustvarite običajnega uporabnika:

Useradd -M (brez domače mape) -l -s / sbin / nologin (da se ne boste prijavili prek ssh) uporabniškega imena

Določite geslo uporabnika:

Prenesi toćko

Ustvarite uporabnika Sambe:

Smbpasswd -a tom

Diagnostika strežnika

Ko zaženete strežnik, se lahko z njim povežete s strežnika z uporabo smbclient:

Smbclient // / -U

Zamenjaj ime gostitelja ali naslov IP strežnika Samba, s katerim se želite povezati, - ime imenika, ki ga želite brskati, in - uporabniško ime Samba na oddaljenem sistemu. Vnesite pravilno geslo ali kliknite, če geslo ni potrebno za tega uporabnika.

Smbclient -L ime gostitelja - poglejte skupne vire na gostitelju

Če računalnik sploh ni viden v omrežnem okolju, morate s pomočjo pripomočka nmblookup preveriti delovanje storitve imena.Prvič, pripomoček se zažene na odjemalcu, nato pa, če odjemalec na strežniku izda napako razrešitve-zagona. Če strežnik ne poda ničesar, potem je problem z nmb-daemonom in se morate ukvarjati s strežnikom. Požarni zidovi na odjemalcu ali strežniku lahko prav tako vplivajo.

Nmblookup<имя_компьютера> nmblookup -A IP

Za iskanje strežnikov v omrežju lahko uporabite tudi ukaze findsms.

Podoben ukaz z vijakom:

Net view (NBNAME nbtstat)

Če nič ne deluje, je namen videti, kaj se zgodi, če onemogočite požarni zid:

Storitev iptables se ustavi

Pripomočki za strežnik

Za delo s strežnikom obstaja več dodatnih pripomočkov:

smbstatus :: Prikaže poročilo o trenutnih povezavah s strežnikom.

smbpasswd :: Uporablja se za nastavljanje ali spreminjanje gesel za uporabnike Sambe.

findsmb :: Uporablja se za iskanje Samba računalnikov v omrežju.

nmblookup :: uporablja NetBIOS prek TCP / IP za pretvorbo imen računalnika v IP naslove.

net :: Uporablja se za oddaljeno upravljanje strežnika Samba.

smbclient :: Uporabljajo ga odjemalski računalniki UNIX / Linux za povezavo s strežnikom.

smbtar :: Pomožni program se uporablja za izdelavo varnostne kopije podatkov, shranjenih v strežniku.

testparm :: Orodje preveri skladnjo konfiguracijske datoteke strežnika (smb.conf).

Koristni ukazi

Po spremembi smb.conf morate znova zagnati storitev:

Systemctl restart smb

Če želite priklopiti vir Sambe v imenik, ustvarite imenik, če še ne obstaja, in za koren zaženite naslednji ukaz:

Mount -t cifs -o uporabniško ime = , geslo = /// / mnt / točka /

Ta ukaz namesti vir. s strežnika v lokalni imenik / mnt / point /. Če je bilo vse nameščeno brez napak, lahko registrirate avtomatsko namestitev imenika v / etc / fstab.

Povežite se z gostiteljem z uporabniškim imenom in si oglejte žoge na gostiteljskem gostitelju:

Smbclient -L gostitelj -U uporabniško ime

Ustvarjanje novega uporabnika:

Smbpasswd -a

Obstoječa sprememba gesla uporabnika:

Smbpasswd

Izbriši obstoječega uporabnika:

Smbpasswd -x

Prekinitev računa brez brisanja:

Smbpasswd -d

Povezovanje tega računalnika z obstoječo domeno:

Smbpasswd -j -U

Povezane spletne strani

http://smb-conf.ru/ Vse o Sambi v ruskem jeziku

SAMBA je skupek strežniške in odjemalske programske opreme za komuniciranje UNIX strojev z omrežji Microsoft ™ in LanManager, ki sta sama podklasa SMB omrežij.

Sprva je IBM-ova omrežja razvila SMB, ki so temeljila na protokolu NetBIOS, namenjena so bila predvsem omrežjem Token Ring in so bila v celoti implementirana v OS / 2 Warp LanServer. Kasneje v operacijskem sistemu Windows 95 je bil ta protokol zamenjan z NetBEUI (nekoliko poenostavljena različica NetBIOS-a).

Prej v OS / 2 Warp in NT 3.5 je bila za kompleksne heterogene mreže izvedena bolj priročna izvedba za TCP / IP - NetBIOS preko TCP / IP. Zaradi očitnih prednosti tega pristopa se še danes uporablja. Ko nekje v operacijskem sistemu Windows organizirate delo z omrežnimi sredstvi v skupni rabi prek TCP / IP, se dejansko uporablja »NetBIOS over TCP / IP« (kar je na primer v Win95 v lastnostih TCP / IP, obstaja ustrezna oznaka na zavihku NetBIOS) .

Samba uporablja tudi protokol "NetBIOS over TCP / IP", ki mu omogoča uspešno interakcijo z implementacijami SMB, kot so tiste, ki so vključene v OS / 2 3-4, Windows 9X-ME, NT3.5-4 / 2000 / XP, sisteme UNIX z Sambo in morda tudi z drugimi. Manj očitno je, da Samba ne more delovati brez uporabe TCP / IP (na NetBIOS in NetBEUI). To ne smemo pozabiti pri načrtovanju omrežij.

Torej za delo v omrežjih SMB potrebujete:

stranka;

strežnik;

orodja za upravljanje.

Vse to je v samba-odjemalcu, samba-client-cups, samba-common, samba, samba-swat paketih, ki sestavljajo distribucijo.

Pri uporabi SMB so na voljo naslednji viri:

omrežni pogoni;

neposredne poti do pogonov;

tiskalniki;

avtorizacija in upravljanje domen.

Pregled imenikov in datotek

Vse konfiguracijske in avtorizacijske datoteke Sambe se nahajajo v imeniku / etc / samba in njegovih podimenikih. Razmislite o njih bolj podrobno.

MACHINE.SID

sistemski identifikator naprave, ki se ustvari samodejno, ko se strežnik zažene, in je namenjen identifikaciji računalnika v domeni omrežja Microsoft ™;

kodepages /

duhovi

enaka kot / etc / hosts, vendar je namenjena pretvorbi IP NetBIOS. Običajno vsebuje samo en vnos:

127.0.0.1 localhost

vendar se lahko šteje za dobro zamisel, da tam pripeljemo gostitelje iz drugih podomrežij (če je iz neznanega razloga nemogoče zanesljivo pretvoriti IP-NetBIOS z oddajnimi zahtevami ali uporabo WINS) ali obratno - ključni strežniki vaše domene;

secrets.tdb

ključno datoteko za identifikacijo naprave v domeni Microsoft ™. Z vidika varnosti ima enako vrednost kot datoteke / etc / tcb / * / shadow - zato morajo biti pravice dostopa root.root 0600;

glavna konfiguracijska datoteka Sambe. Potrebno je ne le strežniško, temveč vse druge komponente tega sistema;

smbpasswd

analogni / etc / passwd in / etc / tcb / * / shadow - datoteka uporabnikov strežnika Samba z gesli. Z vidika varnosti ima isto vrednost kot / etc / tcb / * / shadow - zato morajo biti pravice dostopa root.root 0600. Korespondenca uporabnikov Sambe in uporabnikov sistema je narejena na podlagi skupnega UID; Ta datoteka Samba uporablja v odsotnosti uporabniških podatkov na PDC ali v odsotnosti samega PDC;

smbusers

datoteka za preslikavo omrežja SMB in lokalnega uporabniškega imena; To je priročna metoda za organiziranje administrativnih prijav in prijav gostov na strežnik. Korespondenca uporabnikov Sambe in uporabnikov sistema je narejena na podlagi simbolnih imen;

/ var / log / samba / *

samba log datotek na strani strežnika. Od tega so log.smbd, log.nmbd, log.winbind dnevniki ustreznih procesov, vsi ostali pa so dnevniki interakcije strežnika s posameznimi gostiteljskimi strežniki v privzetem dnevniku formata imenovanja. . Če je omejitev, podana v smb.conf, presežena, se izvede rotacija dnevnika in oblikujejo datoteke * .old;

/ var / spool / samba

samba strežnik natisne dinamični vmesni imenik. Na težko naloženih tiskalniških strežnikih je ponavadi prazen; prisotnost več datotek v času, ko nobena od strank ne natisne, je jasen znak, da tiskalniški strežnik ni uspel;

/ var / cache / samba / *

datoteke (praviloma binarne baze podatkov) so nastale med delovanjem različnih Samba komponent. Najpomembnejši:

browse.dat in wins.dat

besedilnih datotek, njihova imena govorijo zase;

winbindd * .tdb

podatkovne baze uporabnikov domene, ki jih ustvari winbind (glej “Uporaba winbind”). Od časa do časa jih je treba arhivirati: če med nadgradnjo, »premikanjem« ali znova namestitvijo strežnika winbind generira te datoteke iz nič, se bo spremenilo simbolično in številčno ime sistema in domene ter zamenjali pravice dostopa do datotek, obnovljenih iz arhiva. Zato je zelo priporočljivo arhivirati datoteke /var/cache/samba/winbindd*.tdb;

/ var / lib / samba / *

imenikov storitev za skrbnika strežnika.

Seznam izvršljivih datotek Samba lahko dobite z ukazom:

$ rpm -ql `rpm -qa | grep samba` | grep bin /

in se seznanite z vsakim od njih, tako da preberete ustrezne dele dokumentacije.

Tu se bomo osredotočili le na najpomembnejše in najpogosteje uporabljene komponente.

1. komponente strežnika:

/ usr / sbin / nmbd

strežnik za prevajanje imen in naslovov;

/ usr / sbin / smbd

datotečni strežnik;

/ usr / sbin / winbindd

uvoz uporabnikov in skupin s PDC;

/ usr / sbin / swat

samba orodje za spletno konfiguracijo

/etc/init.d/smb in /etc/init.d/winbind

nadzorne skripte za inicializacijo storitev.

Treba je opozoriti, da ima skript /etc/init.d/smb dva načina ponovnega zagona - ponovni zagon in ponovno nalaganje, ki se bistveno razlikujejo v naslednjih funkcijah:

ponovno zaženite izvede popoln ponovni zagon procesov smbd in nmbd z resetiranjem trenutnih povezav. Praviloma se stranke samodejno ponovno povežejo z viri, če pa so bile datoteke odprte ob ponovnem zagonu, so možne težave z odjemalskimi aplikacijami (na primer MS Office in 1C);

ponovno naložite povzroči, da smbd in nmbd samo ponovno preberejo konfiguracijske datoteke, ne da bi znova zagnali in spustili povezave. Istočasno še vedno obstajajo stare povezave v skladu s starimi pravili, nova pravila pa bodo uporabljena za vse nove povezave, ki temeljijo na konfiguracijskih datotekah.

2. komponente odjemalca:

/ usr / bin / smbclient

interaktivna aplikacija za pregledovanje omrežnih virov;

/sbin/mount.smb, /sbin/mount.smbfs, / usr / bin / smbumount, / usr / sbin / smbmnt, / usr / bin / smbmount

sredstva za namestitev / odklapljanje omrežnih datotečnih sistemov.

3. pripomočki:

/ usr / bin / smbpasswd

upravljanje uporabniških in domenskih povezav;

/ usr / bin / wbinfo

prikaže seznam uporabnikov, ki jih je uvozil winbindd;

/ usr / bin / testparm

preverjanje skladenjske datoteke;

/ usr / bin / smbstatus

prikaz statusa procesov smbd in nmbd;

/ usr / bin / nmblookup

program za razreševanje imen WINS (podobno kot nslookup za DNS).

Prilagajanje

Običajni strežnik

S tem mislimo na računalnik, ki omrežju zagotavlja datotečne vire. Pravzaprav je to najpreprostejši neodvisni datotečni strežnik z lastno bazo podatkov za avtorizacijo uporabnikov.

Če želite ustvariti tak strežnik, morate samo prilagoditi standardno konfiguracijsko datoteko smb.conf (nadomestiti zahtevano ime delovne skupine in imena virov) in ustvariti uporabniške račune, kot je opisano spodaj, in upoštevati tudi varnostna priporočila, ki so navedena na koncu članka. .

Tu so glavni vnosi smb.conf, ki nam bodo ustvarili »redni strežnik«.

# Oddelek določa splošne nastavitve strežnika Samba v

# Na splošno za vse vire.

# Ime delovne skupine URADA

delovna skupina = URAD

# Raven določanja pravic dostopa na uporabniški ravni

# Prednost tega strežnika med drugimi računalniki delovne skupine:

# določa, za koga bo odgovoren glavni stroj

# preslikava omrežnih virov. Za primerjavo, Win9X os raven = 34, in

# pri NT4 os ravni = 64.

# Očitno, ker ni domene, ni gospodarja.

domena master = ne

# Ne postanite strežnik gesel za bližnje stroje. Torej kaj

# če je besen skrbnik sosednjega NT strežnika z

# pritožbe, da ni dovoljen na svojem strežniku - put

# prijava v domeno = ne ;-)

prijava domene = št

# Običajno v najpreprostejšem omrežju WINS ni potrebno, ga onemogočimo in nato

zmaga podpora = ne

No, zdaj moramo določiti, kateri imeniki bomo zagotovili omrežju. Za vsak vir obstaja ločen oddelek.

Najenostavnejša možnost za navadne vire je navaden imenik z imenom javni:

# ime vira v omrežju

comment = Javne stvari

# pot do imenika virov

path = / home / samba / public

# znak za dostop za branje za vse pooblaščene uporabnike (vključno z

#, vključno z gostom, če je določen)

# prepoved pisanja vsem uporabnikom

# dovoljenje za pisanje za vse uporabnike v sistemu

# osebje skupine

napišite seznam = @staff

Podobno lahko ustvarite različne omrežne strežniške vire z različnimi pravicami dostopa; Za več pomoči o direktivah in njihovi skladnji glejte referenčni priročnik.

Ker se Samba ne izvaja v chroot, znotraj virov, lahko uporabite vse simbolne povezave do lokalno in omrežnih (NFS, SMB, Coda, itd.) Datotečnih objektov, kar je zelo priročno v smislu sistemske administracije.

Posebni viri - na primer domači imeniki uporabnikov:

# ime vira, ki se bo samodejno nadomestilo z imenom

# domači imenik uporabnika, s katerim je odjemalec povezan

# in točno ime njegovega domačega imenika bo prikazano v omrežju

# kot ime vira.

# Za dostop do tega vira mora stranka zagotoviti

# ime in geslo strežnika, vsi drugi uporabniki

# Ta vir sploh nima dostopa.

# comment, viden na spletu kot komentar o virih

comment = Domači imeniki

# znak nevidnosti - ta vir je viden samo v omrežju

# uporabniku, ki je lastnik. Za to

# Dostop do vira je mogoč neposredno z navedbo njegovega imena, vendar v

# brskanje po omrežju bo viden samo lastniku.

# Dovoljenje za pisanje.

writable = yes

Tiskalniki:

# Ime vira, ki bo vidno v omrežju. Poleg njega bo omrežje

# lokalni tiskalniki so vidni tudi pod istimi imeni kot v

# sistem z ukazom lpq.

# komentar je prezrt.

comment = Vsi tiskalniki

# Pot do imenika, kjer se nahaja tiskalniški vmesnik

# zagotovljena za omrežje prek Sambe

path = / var / spool / samba

# nevidnost virov pri brskanju, se nadomesti s sistemskim

# vir.

# dovoljenje za tiskanje za gostujoče klice.

# prepoved pisanja, ker Samba piše na sam spool, in ne

# uporabnik.

# znak, da je to tiskalnik in ne datotečni vir

# maska za ustvarjanje datotek za tiskanje

način ustvarjanja = 0700

# Ukazi, ki jih izvaja Samba za tiskanje dokumenta.

# z uporabo gonilnika odjemalca, ki se uporablja za ne-UNIX

# strank.

print command = lpr-cups -P% p -o raw% s -r

# Uporaba gonilnika CUPS na strani strežnika (na strani

# odjemalci uporabljajo generični gonilnik PostScript.

; print command = lpr-skodelice -P% p% s

# Naslednji ukazi so standardni pri nastavljanju tiskanja = skodelice,

# jih je mogoče po potrebi spremeniti.

lpq command = lpq -P% p

lprm ukaz = prekliči% p-% j

Strežnik kot del obstoječe domene NT

Novoustanovljeni stroj Samba z imenom COMP bomo povezali z obstoječo domeno DOM, katere skrbnik je skrbniški uporabnik, PDC te domene pa se izvaja na drugem računalniku.

Najprej morate zagotoviti, da stroji z istim imenom, kot je tisti, ki ga bomo povezali, še niso v domeni. V nasprotnem primeru morate ta stroj odstraniti iz domene s pomočjo samega PDC ali izbrati drugo ime.

Na računalniku COMP v /etc/samba/smb.conf morate narediti naslednje spremembe:

delovna skupina = DOM

ime netbios = COMP

security = domena

geslo strežnika = *

dovoli zaupanja vredne domene = da

nt acl support = da

Po tem morate zaustaviti strežnik Samba, če se izvaja, s ukazom zaustavitve storitve smb.

Zdaj morate PDC-ju poslati zahtevo za pooblastitev novega člana domene z naslednjim ukazom:

$ smbpasswd -j DOM-r DOMPDC -U skrbnik

in kot odgovor na zahtevo za vnos gesla skrbniškega uporabnika - isto, s katerim je ta uporabnik registriran v domeni.

Če je prejeto sporočilo:

Pridružena domena DOM.

vse deluje; drugače, v smb.conf morate napisati:

log level = 4

ponovite zadnji ukaz in izvedite, kaj je narobe s podrobnimi dnevniki. Na tej ravni dnevnika log.smbd vsebuje podrobno poročilo o izmenjavi z PDC. Možno je, da je prišlo do napak pri črkovanju imen ali pa je bilo geslo napačno vneseno; možne so tudi napake na strani PDC.

Od takrat naprej, ko je uporabniku »user123« z geslom »passw« dostopal Samba, je:

najprej ga išče v datoteki / etc / samba / smbpasswd, če se geslo in ime ujemata, to dopušča, sicer zavrne avtorizacijo ali meni, da je gost (odvisno od nastavitve);

če v omenjeni datoteki ni takega imena - pogleda v / etc / passwd (preverjanje zadetkov v datoteki / etc / samba / smbusers) in

če obstaja takšen uporabnik, PDC vpraša, ali je prejeto geslo »passw«;

če je tako, dopušča, sicer zavrne avtorizacijo ali preklop na vpis gosta, v skladu z nastavitvijo.

Običajno, ko delate v domeni na navadnih delovnih postajah, morajo biti / etc / samba / smbpasswd popolnoma prazne ali vsebovati samo administrativne račune, ki niso povezani z domeno.

Ta logika delovanja se uporablja samo, če se ne uporablja winbind. Da bi uporabniki domene samodejno končali v / etc / passwd na prvem uspešnem dostopu (pravilnost gesel je potrdila PDC), morate vnesti eno vrstico v /etc/samba/smb.conf

dodaj uporabniški skript = / usr / sbin / useradd -d / home / domena /% u -g 600-m

K / etc / skel_domain -s / bin / false% u

ustrezno morajo že obstajati imeniki / home / domena in / etc / skel_domain ter skupina 600. Vsa specifična imena in možnosti uporabnika lahko spremenite glede na določene aplikacije.

Z direktivo add user script, ki se aktivira v primerih, ko uporabnik še ni registriran na tem računalniku, lahko pokličete ne samo / usr / sbin / useradd s ključi, ampak tudi vse druge programe; Če ste prišli do fantazije, potem lahko s pomočjo te direktive naredite zelo zanimive stvari.

Ne pozabite na varnost - programi, ki ste jih zagnali z uporabo uporabniškega skripta za dodajanje, se bodo izvajali iz vsemogočnega znotraj korenskega uporabniškega sistema, parametre njihovega klica pa delno določi uporabnik, kar je potencialno nevarno!

Zdaj lahko strežnik Samba omogočite z ukazom: service smb zaženite in delajte v omrežni domeni Windows kot navaden član domene.

Strežnik kot domena PDC

Če želite ustvariti primarni krmilnik domene (PDC), morate v smb.conf narediti / spremeniti naslednje vnose

# Ime strežnika; če ta parameter ni definiran,

# bo vzel vrednost, ki ustreza imenu gostitelja.

netbios name = COOLSERVER

# Ime domene

delovna skupina = COOLDOMAIN

# Način sistema za avtorizacijo strežnika.

# Dovoljenje za uporabo šifriranih gesel

šifriranje gesel = da

# Pot do datoteke z lokalnim geslom

smb passwd datoteka = / etc / samba / smbpasswd

# Postanite glavni brskalnik domene

lokalni master = yes

# Bodi PDC

domena master = yes

# Takoj na začetku poskusite postati glavni brskalnik domene

prednostni mojster = da

# Biti strežnik za geslo domene

prijava v domeno = da

# Lokacija profila domenskega uporabnika

prijavna pot =% L Profili% U

# Domena upravne skupine, prisotnost na seznamu

# Uporabnik "administrator" je zelo zaželen, brez

# ta uporabnik ne bo prejel administrativnih

# pravic na odjemalskih računalnikih Windows.

domena admin admin = skrbnik root @wheel

# Bodite WINS strežnik. WINS strežnik je smiseln, ko je več kot 10 na spletu

# SMB stroji. Prisotnost takšnega strežnika je zapletena

# Omrežje bistveno zmanjša promet radiodifuzije.

zmaga podpora = da

# Postopek za razreševanje NetBIOS imen po analogiji z vnosom v

# /etc/host.conf za ločljivost imena DNS. Vrednost zmage

# je smiselna le, če so v omrežju zmagalni strežniki,

# sicer bo upočasnilo delo.

ime razreši red = zmaga lmhosts bcast

Ustvariti morate tudi sredstva za domeno.

Netlogon vir je potreben za delovanje PDC in domene na splošno. Samo mora obstajati.

comment = Omrežna prijava

path = / var / lib / samba / netlogon

gost ok = da

writable = no

seznam za pisanje = admin, skrbnik

Ta vir je potreben za ustvarjanje in shranjevanje profilov uporabnikov domene:

path = / var / lib / samba / profili

browseable = no

samo za branje = ne

ustvarite mask = 0600

maska imenika = 0700

Ko ustvarite domenskega uporabnika v / var / lib / samba / profile, se imenik samodejno ustvari z istim imenom kot uporabnik, ki ga je ustvaril in mu pripada (z 0700 pravicami). Ta imenik bo shranil osebne nastavitve uporabnika.

Če želite omogočiti odjemalskemu računalniku domeno, morate izvesti naslednje korake.

Najprej morate ustvariti lokalnega sistemskega uporabnika z imenom, ki ustreza imenu NetBIOS naprave, povezane z domeno. Na koncu se imenu doda simbol “$”. Če želite dodati stroj z imenom machine_name, morate kot koren zagnati naslednje ukaze:

# / usr / sbin / useradd -g stroji -d / dev / null -c "strojni vzdevek" -s

/ bin / false ime_delave $

# passwd -l ime_stroja $

Zdaj, ko je bil uporabnik ustvarjen ("$" na koncu imena pomeni, da je to ime NetBIOS računalnika, ne pa uporabniško ime), ga lahko dodate domeni tako, da za koren uporabite naslednji ukaz: smbpasswd -a -m ime_napravila.

Zdaj je računalnik povezan z domeno.

Delo z ustvarjanjem strojnega računa se lahko premakne v Samba z vključitvijo naslednjega vnosa v smb.conf:

dodajte uporabniški skript = / usr / sbin / useradd -d / dev / null -g stroji -s

/ bin / false -M% u

Zdaj bo Samba sprejel zahteve za članstvo v domeni od odjemalskih strojev in jih samodejno registriral na enak način kot NT Server.

Od te točke naprej domena in PDC, ki temelji na strežniku Samba, začneta obstajati. Uporabniki se lahko prijavijo s svojimi uporabniškimi imeni in gesli iz kateregakoli računalnika domene z shranjenimi nastavitvami ter neodvisno spreminjajo uporabniška gesla brez pomoči skrbnika omrežja.

Uporabniški računi

Vsi računi so shranjeni v datoteki / etc / samba / smbpasswd.

Uporabniški računi, ki jih uporablja Samba, spadajo v dve kategoriji:

zapisi računalnikov v domeni;

zapisi uporabnikov, registriranih na tem strežniku.

Treba je opozoriti, da morate za ustvarjanje in uporabo katerega koli računa v / etc / samba / smbpasswd najprej ustvariti ustrezen vnos v / etc / passwd. Splošno pravilo je, da mora biti za vsakega uporabnika v datoteki / etc / samba / smbpasswd uporabnik v / etc / passwd. Nasprotno ni res.

Za upravljanje računov je namenjen pripomoček smbpasswd; Celoten seznam njenih zmožnosti najdete na ustrezni strani, tukaj pa bomo preučili najpogostejše načine uporabe.

Ustvarjanje novega uporabnika:

# smbpasswd -a

Obstoječa sprememba gesla uporabnika:

# smbpasswd

Izbriši obstoječega uporabnika:

# smbpasswd -x

Prekinitev računa brez brisanja:

# smbpasswd -d

Povezovanje tega računalnika z obstoječo domeno:

# smbpasswd -j -U

Uporabite winbind

Storitev winbind je novo orodje, zasnovano za popolnejšo integracijo Sambe v domene Windows; pojavil se je, začenši s Sambo 2.2.0. Ta storitev bere svojo konfiguracijo iz /etc/samba/smb.conf in dinamično komunicira z domeno PDC, samodejno sinhronizira sezname uporabnikov in skupin domene in Samba. Zato je winbind zelo priročno orodje za samodejno vzdrževanje pomembnosti baze uporabnikov domene na Samba delovnih postajah.

Delovanje te storitve poteka brez spreminjanja vsebine avtorizacijskih datotek v / etc in ko se računalnik znova zažene, se uporabniki domene pojavijo v sistemu šele potem, ko je zagnan winbindd. Če med izvajanjem zaustavite winbindd, uporabniki domene in skupine ne bodo izginili iz sistema do ponovnega zagona, vendar se dinamična posodobitev seznamov imen in gesel ne bo zgodila.

Če želite zagotoviti, da pri ponovnem zagonu računalnika (ali samo storitve winbindd), notranji UID-ji in domene SID-ji ne bodo kršeni, shrani trenutno stanje seznamov v datoteke /var/cache/samba/winbindd*.tdb.

Za normalno delovanje winbindd je treba v datoteki /etc/samba/smb.conf deklarirati naslednje direktive:

# Obseg lokalnih uporabniških številk, ki bodo

# se uporablja za dinamično ustvarjanje uporabnikov domene.

winbind uid = 10000-20000

# Obseg številk lokalnih uporabniških skupin, ki bodo

# se uporablja za dinamično ustvarjanje skupin uporabnikov

# domena.

winbind gid = 10000-20000

# Simbol ločila, ki se uporablja za sestavljanje domenskih imen

# uporabniki in se nahajajo med imenom domene in imenom

# uporabnikov.

winbind separator = +

# Interval (v sekundah) med zahtevami winbind na PDC

#, da sinhronizirate sezname uporabnikov in skupin.

winbind cache time = 10

# Predloga za ime domačih imenikov uporabnikov domene,

# se samodejno dodeli vsakemu uporabniku. Imeniki sami,

# pa ni dinamično ustvarjen. Namesto spremenljivke% D se nadomesti

# je ime domene in uporabniško ime je zamenjano za% U.

template homedir = / home /% D /% U

# Privzeti tolmač ukazov za

# uporabnikov, pooblaščenih prek winbindd.

template shell = / bin / bash

Prav tako je potrebno v datoteko /etc/nsswich.conf vnesti spremembe v datoteko passwd in group, tako da vnesemo winbind direktivo - na primer na ta način:

passwd: datoteke winbind

group: datoteke winbind

Od te točke naprej lahko uporabite imena uporabnikov domene v /etc/samba/smb.conf z namenom nadzora dostopa, v pravicah do datotek in imenikov, da se povežete z omrežnimi viri tega gostitelja od drugih gostiteljev.

Tiskalni strežnik CUPS

Samba je privzeto konfigurirana tako, da uporablja CUPS kot tiskalnik v ozadju. To pomeni, da je CUPS že konfiguriran in se izvaja. V /etc/samba/smb.conf so navedene naslednje direktive:

printcap ime = lpstat

naložite tiskalnike = da

tiskanje = skodelice

Ustvariti morate tudi vir; njegovo ustvarjanje in dodeljevanje direktiv sta podrobno opisana v razdelku »Redni strežnik« v razdelku Posebni viri.

Posebnosti lokalizacije odjemalca in strežnika

Da bi vse komponente Sambe delovale pravilno z ruskimi imeni objektov in virov datotek, je treba v /etc/samba/smb.conf dodati naslednje direktive:

kodna stran odjemalca =

$ LANG = ru_RU.KOI8-R

kodna stran odjemalca = 866

znak = koi8-r

$ LANG = ru_RU.CP1251

kodna stran odjemalca = 866

znak = 1251

$ LANG = be_BY.CP1251

kodna stran odjemalca = 866

nabor znakov = 1251

$ LANG = uk_UA.KOI8-U

kodna stran odjemalca = 1125

nabor znakov = koi8-u

$ LANG = uk_UA.CP1251

kodna stran odjemalca = 1125

nabor znakov = 1251U

$ LANG = ru_UA.CP1251

kodna stran odjemalca = 1125

nabor znakov = 1251U

V zadnjih dveh primerih je 1251U posebna oznaka znotraj Sambe za lokalno kombinacijo »1251 - daljinsko 1125«. V Sambi definicija oddaljenega kodiranja poteka z lokalnim imenom.

Prav tako je treba zagotoviti, da so ustrezne nastavitve lokalizacije sistema nastavljene na tistih računalnikih Windows, s katerimi se predvideva interakcija preko Sambe. V nasprotnem primeru je verjetno, da se namesto cirilskih znakov prikažejo znaki ali drugi neželeni znaki.

Podane direktive /etc/samba/smb.conf vplivajo na delovanje vseh komponent Sambe, tako strežnika kot odjemalca. Trenutno so podprte cirkularne črkovanje datotek, imenikov in virov.

Nekatera varnostna vprašanja

Ta oddelek se nanaša predvsem na strani strežnika Samba.

Najprej je treba določiti, katere vmesnike mora Samba poslušati med čakanjem na zahtevo za povezavo (privzeto se poslušajo vsi razpoložljivi v sistemu).

Na primer, da bi omejili poslušanje lokalnega gostitelja in prve omrežne kartice, morate pisati v /etc/samba/smb.conf:

vmesniki = 127.0.0.1 eth0

samo povezovalni vmesniki = Da

Nadalje lahko omejite obsege naslovov, s katerih je mogoče dostopati do tega strežnika. Učinek teh direktiv je podoben učinkom /etc/hosts.allow in /etc/hosts.deny na xinetd in ssh: če naslov IP gostitelja ne spada pod dovoljeno pravilo, povezava sploh ne bo vzpostavljena. Za omejitev dostopa do dveh podomrežij in lokalnega sistema, z izjemo enega gostitelja, lahko napišete:

gostitelji omogočajo = 192.168.1. 192.168.2. 127.

gostitelji deny = 192.168.1.12

Vse zgornje direktive omejujejo povezave na ravni vmesnika in naslova IP pred katero koli avtorizacijo. Naslednje direktive nadzorujejo način avtorizacije uporabnika.

Da bi se izognili prestrezanju občutljivih podatkov med prenosom prek omrežja v jasnem besedilu, je običajno šifriranje gesel. Samba in vse različice sistema Windows, začenši z različico Win98, privzeto uporabljajo šifriranje gesel. Ta direktiva ga vključuje v Sambo:

šifriranje gesel = da

Datoteka preglasitve uporabniškega imena je zelo zmogljivo orodje za upravljanje uporabniških računov, vendar je to orodje, če ga uporabljate nerazumno, nevarno in je zato privzeto onemogočeno. Pred uporabo skrbno preberite vsebino datoteke / etc / samba / smbusers.

; username map = / etc / samba / smbusers

Redna stranka

Funkcije odjemalca Samba so predstavljene s pregledovalnikom omrežnega okolja in z namestitvijo datotečnih sistemov / usr / bin / smbclient in / usr / bin / smbmount. Na voljo so tudi mount.smb in mount.smbfs, ki sta simbolni povezavi z / usr / bin / smbount.

Ko se zaženejo, ti programi preberejo trenutno konfiguracijo iz datoteke /etc/samba/smb.conf in uporabljajo funkcije domene, če je naprava povezana z domeno Windows.

Možno je tudi, da namestite datotečne sisteme s sistemskim ukazom mount, ki določa tip datotečnega sistema smbfs, in uporabite te vnose v / etc / fstab, da se samodejno namesti, ko se sistem zažene.

Na primer, za priklop javnega vira v imenik / mnt / disk iz stroja SMALLSERVER kot cooluser, zaženite ukaz: smbmount // smallserver / public / mnt / disk -o username = cooluser

Register pisanja imen računalnikov, virov in uporabnikov ni pomemben. Če želite dobiti seznam virov Samba tega računalnika in seznam strojev za delovno skupino ali domeno, zaženite ukaz: smbclient -L localhost -N

Več podrobnosti najdete na straneh man na smbclient in smbmount.

Distribucija prihaja z dvema grafičnima odjemalskima programoma, LinNeighborhood in gnomba, ki se izvajata na vrhu pripomočkov smbclient in smbmount.

Na naslovu http://www.public.iastate.edu/~chadspen/homepage.html lahko dobite zelo kakovostno grafično aplikacijo odjemalca xSMBrowser.

Stranka kot del obstoječe domene NT

Povezava je ista, kot je opisana v poglavju "Strežnik kot del obstoječe domene NT". Poleg tega je vse delo popolnoma enako, kot je opisano v prejšnjem odstavku.

Značilnosti uporabe Sambe 3.0

Samba 3.0 ima opazne razlike od prejšnjih različic; Najpomembnejši med njimi so izboljšana podpora Unicode v primerjavi z različico 2.2, podpora za veliko večje število kodnih strani, nov program za administracijo omrežja, ki je zamenjan za smbpasswd.

Paket vključuje samba3-client, samba3-client-cups, samba3-common, samba3, samba3-swat pakete.

Nastavitev kodnih strani

Za nastavitev kodiranja se uporabljajo naslednji novi parametri smb.conf:

unix charset =

dos charset =

prikaz charset =

kjer - vsako kodiranje, ki ga podpira iconv. Seznam možnih kodiranj je mogoče najti z ukazom iconv -list.

Parametri kodne strani odjemalca in niza znakov niso več podprti. Parameter unix charset določa kodiranje, v katerem bodo shranjene datoteke na disku, v katerih so parametri podani v smb.conf. Nazadnje je možno shraniti imena datotek v UTF-8!

Parameter dos charset določa kodiranje, v katerem bo Samba komunicirala z odjemalci, ki ne podpirajo Unicode. Vse različice operacijskega sistema Windows, začenši s 95, razumejo Unicode - vendar je še vedno vredno nastaviti dos charset = cp866, ki ustreza kodni strani odjemalca = 866 v starejših različicah.

Parameter charset za prikaz določa, v katerem kodiranju morajo biti informacije o programu oddane, neposredno komuniciranje z uporabnikom, na primer smbclient, net, wbinfo in druge.

Omrežje

Net utility je namenjen zamenjavi smbpasswd in ponuja veliko več možnosti za pridobivanje informacij o upravljanju omrežja in omrežja. Oblika zapisa pripomočka je zelo podobna formatu ukaza Windows NT / 2000 z istim imenom.

Glavne uporabe ukaza net:

ustvarjanje in brisanje uporabnikov: uporabnik omrežja

vključno z napravo v domeni: neto oglasi se pridružijo - Active Directory; net rpc join - domena NT;

pridobivanje informacij o domeni, stroju, odprtih datotekah, sejah: net info, stanje neto oglasov, stanje neto rpc;

ustvarjanje in brisanje skupnih virov na oddaljenih strojih: neto delež;

časovna sinhronizacija s strežnikom Windows: neto čas

Upravljanje naprave Samba s konzole Microsoft Management Console

Samba, ki se začne z različico 2.2, ima možnost oddaljenega upravljanja iz Microsoftove konzole za upravljanje (MMC). Ta funkcija je uporabna, kadar je Samba član domene NT ali AD. Skrbnik domene lahko ustvarja, briše in spreminja omrežna sredstva na računalniku UNIX, v katerem se izvaja Samba.

Kako konfigurirati Sambo za oddaljeno upravljanje? Za upravljanje virov uporabite parametre /etc/samba/smb.conf:

dodaj ukaz za skupno rabo =

Parameter določa skript, ki bo priklican, ko poskušate ustvariti nov vir v MMC-ju. Skript je prejel štiri parametre:

ime konfiguracijske datoteke (na primer, /etc/samba/smb.conf);

ime ustvarjenega vira;

pot do obstoječega imenika na disku;