Ultima dată când am început să ia în considerare problema cum se instalează și se configurează un server de fișiere securizat Samba pentru (non-Internet) utilizarea locală. o trecere în revistă a scopurilor acest server a fost făcut, a fost explicat de ce Samba este cea mai potrivită pentru setarea „unități de rețea“ pentru clienții din rețeaua locală, concepte definite și concepte Samba, și cum se instalează daemon Samba server, utilitati client, și o interfață web pentru SWAT - configurare Samba.
În acest moment, o imagine de ansamblu va fi extins, și va fi demonstrat în mod specific că este necesar să se înregistreze în fișierul smb.conf, astfel încât resursele să fie protejate în mod corespunzător. Vom aborda problema într-un sens general, dar o atenție deosebită va fi acordată securității.
utilizați Case
Cu alte cuvinte, serverul nostru va rula in user-mode, care va utiliza o combinație de utilizatori locali Linux / UNIX și Samba-hash parola de utilizatori. Aceasta este ceea ce va determina accesul la resursele partajate ale grupului de lucru. In grupul de lucru, după cum vă amintiți, poate fi mai multe resurse comune furnizate de diverse Samba-servere, fiecare server stochează baza de date de utilizator propriu, independent de celelalte servere. Acesta este motivul pentru domenii și Active Directory sunt cea mai bună soluție pentru rețele mari. În testul nostru grupul de lucru va fi doar un singur server.
Să presupunem că am închiriat un apartament de trei agenți secreți ai FSB: Skippy, Knut si Pepe. Ei iubesc modul în care mă pregătesc în mod constant și să monitorizeze meniul meu săptămânal pe care am posta pe meu Samba server, în noaptea de duminică spre luni. Pun pariu nimeni nu va lucra în seara când cina este servită pe clatite de cartofi. Programul săptămânal este un document public.
Totuși, acești tipi - agenți secreți, și, prin urmare, ei nu ar vrea inamicul să știe că au săpat o groapă de compost. Prin urmare, lista pot fi vizualizate numai de către agenții noștri secreți, dar să-l schimbe, nu au putut.
Deci, am nevoie pentru a crea un grup de lucru (numesc fed-CENTRAL) cu patru utilizatori (skippy, Knute, pepe și mick) și trei resurse comune (Supper, Chores și BUZZ-OFF).
Samba Configurare: Setări globale
Acum suntem gata. Presupun că ați instalat corect Samba-server și software-ul client pachete. Primul pas este de a stabili unele variabile globale.
Cu toate acestea, în ultimul timp am fost obișnuiți cu cea de a doua metodă: GUI SWAT (instrument de administrare Samba Web). Dacă nu-ți place atitudinea mea pozitivă față de utilitate, care necesită pentru a seta parola de root (implicit în Ubuntu este dezactivat), apoi citiți articolul meu anterior. Serverul nostru nu arata la Internet, și obiectivele educaționale, în acest caz, este mai important pentru noi decât problemele de siguranță.
În acest stadiu, se presupune că nu aveți probleme cu Samba și instalarea Swat (a fost descris într-un articol anterior). Tu inclusiv configurat și reporniți inetd, precum și setați parola de root prin comanda sudo passwd rădăcină. Dacă nu doriți să pună în pericol securitatea serverului dumneavoastră, sau pur și simplu nu doriți să utilizați Swat - încă argumente suplimentare vor fi de ajutor. La urma urmei, ceea ce este afișat în capturi de ecran și în fișierul smb.conf Swat - de fapt, unul și același lucru.
Cu toate acestea, trecerea la un setări globale Samba. Acestea sunt deschise prin apăsarea butonului Globals, veți vedea ceva de genul figura 1.
Figura 1. Setări globale
Evident, avem nevoie doar de a schimba numele grupului de lucru pentru grup de lucru il-fed CENTRAL. Valoarea implicită NetBIOS-nume este luat din fișierul / etc / hostname. cele mai multe ori este nevoie doar să fie lăsat așa cum este. Acesta este numele calculatorului pe care oamenii vor vedea mediul de rețea deschisă.
Valoarea garanției implicit câmp - utilizator. aceasta este ceea ce ne dorim. Același lucru este valabil și pentru parola criptați variabilă - lasă să da.
Următoarele două variabile - Schannel client și server Schannel. trebuie să se schimbe. Schannel este o metodă sigură de transmitere (canalul securizat). Această opțiune permite clienților să meargă la Samba Samba server sub numele dvs., iar noi nu vrem să fie de alegere. Este necesar să se facă procedura obligatorie. Prin urmare, cele două variabile trebuie să fie setat la Da.
pagina Scrolling pe setările globale, veți vedea similitudinea din figura 2.
Figura 2. Chiar mai multe setări globale
Familiarizarea cu aceste setări globale. Parametru Restricții Supuneti pam înseamnă că Samba va adera la regulile stabilite de PAM de sistem (conectabile autentificare Module). În practică, cu toate acestea, în cazul în care criptați parolele parametru setat la Da. Samba va ignora în continuare PAM.
Parametrul backend Passdb specifică o bază în Samba ce tip de date vor fi stocate parolele criptate. Valoarea implicită (tbdsam) - este cea mai bună alegere.
cont de oaspete - este un utilizator Linux local care va fi folosit pentru clienți, care nu sunt autentificate - am scris despre asta un pic mai mare. Programul passwd. passwd chat-ul și parola de sincronizare unix definesc modul în care gestionează cererile de utilizator Samba pentru a schimba parola prin Samba-sesiune. Dacă nu doriți să permiteți utilizatorilor să schimbe parolele lor, lasă totul așa cum este.
Aici s-ar putea întreba, ceea ce este diferența dintre o bază de date și o listă cu parolele HASH Samba în fișierul / etc / shadow, în cazul în care încă se referă la același set de utilizatori locali? Răspunsul scurt este: Samba (SMB / CIFS) utilizează un protocol de autentificare care nu este compatibil cu parolele HASH UNIX.
Vestea proastă este că, pentru acest motiv, baza de date parola Linux Samba pare excesivă, ceea ce duce la faptul că utilizatorii trebuie să-și amintească două parole diferite. Cu toate acestea, în cazul în care programul parametrii passwd și chat passwd sunt setate corect (dacă utilizați pachetele oficiale pentru distribuția dvs., probabil totul este în ordine), iar sincronizarea parolelor unix setată la da, atunci Samba va actualiza automat Linux-parola utilizatorului de fiecare dată când schimba Samba-parola. Hai să vorbim despre acest lucru în secțiunea următoare.
În plus, utilizatorii valabile o listă de utilizatori UNIX care pot accesa Samba-resurse. Valoarea implicită este „“ (gol) - nimeni nu poate avea acces la resurse. Pentru scenariul nostru, este necesar utilizatorilor valide conține mick utilizator, Knute, pepe, skippy, nimeni.
Utilizatorii admin vă permite să dea acces root la toate resursele unuia sau mai multor utilizatori locali, indiferent de ce drepturi la acea resursă Samba- sau Linux-stabilite. Fii atent cu această setare! Pe eficacitatea acestei opțiuni este similar cu punerea în aplicare a echipelor locale în numele rădăcină. După cum se poate vedea în figura 2, am mick ca superuser, pentru că am folosi datele de conectare pentru adminstrirovaniya sistem.
Lista de listă citi identificarea acelor utilizatori care au implicit, numai în citire permisiuni. După cum se vede în figura 2, lista include utilizatorii Knute, pepe, skippy.
În mod similar, scrie lista definește lista utilizatorilor care au dreptul de a citi și a scrie. Am această mick.
Deci, ne-am ocupat de variabile globale. Pentru a aplica modificările, care este, pentru a le salva într-un fișier /etc/samba/samba.conf. click pe butonul Aplicați modificările.
Unele dintre variabilele pe care le-ați modificat valoarea sa (de exemplu, utilizatorii valide), nu poate fi afișată atunci când ecranul este reîmprospătată. Pentru a le vedea, pur și simplu faceți clic pe avansat (urmați semnul Vizualiz: partea de sus a paginii).
Setările contului
Primul pas este realizată în diferite sisteme în moduri diferite - printr-o interfață grafică de utilizator (de exemplu, prin intermediul Utilizatorilor-GNOME applet și Grupuri) sau folosind comenzile useradd consola, userdel etc.
Al doilea pas este de a stabili un utilizator cu parola nou creat, ca aceasta:
Evident, după introducerea parolei inițiale (de exemplu, 12345) trebuie să-l treacă în secret la Pepe, după care acesta va fi capabil de a schimba această parolă pe propria opțiune (dar acest lucru se va întâmpla doar în etapa a patra).
Al treilea pas vom folosi comanda smbpasswd. astfel, pentru a crea cont de utilizator bazat pe Linux în baza de date a parolei Samba. Ceva de genul asta:
În cele din urmă, du-te la sistemul în numele lui Pepe (numai dacă nu setați parametrii cochilia pentru a / bin / false la prima etapă) și echipa:
Pepe a cerut lui parola veche, noua dorită și confirmați-l pentru a evita greșelile. Dacă totul merge bine, Samba va schimba ambele parole Pepe - Samba-parolă și parola bazate pe Linux. Rețineți că această sincronizare nu apare atunci când creați o intrare cu pepe inițial Samba pe bază de (a treia etapă).
Recuperarea smb.conf în Debian / Ubuntu
situație foarte probabil atunci când alege o configurație Samba, vă sunt complet pierdut și trebuie să înceapă pur și simplu peste, înapoi la /etc/samba/smb.conf fișierul original. Ce se întâmplă dacă uitați să efectuați o copie de rezervă?
Swat te va ajuta. Pe lângă fiecare parametru de configurare are un buton Setare implicită. Prin apăsarea-l, vă va returna valoarea care a fost la momentul instalării Samba. Cu toate acestea, în experiența mea, că aceste butoane se comportă imprevizibil. Uneori returnează incorect o valoare nulă, și este, în sine, o apăsare pe butonul lung este procesat.
Dacă aveți un Debian sau derivați ai acestuia (de exemplu, Ubuntu), atunci este mai bine să profite de în acest fel. Pentru a obține un fișier smb.conf proaspăt, aveți nevoie pentru a elimina complet pachetul-samba comun. și apoi re-l instalați. Acest lucru va elimina pachetele dependente, deci verificați pentru tine pe care îl eliminați, apoi pentru a restabili.
După ce ați eliminat samba-comune. dar nu l-au instalat încă o dată, asigurați-vă că fișierul smb.conf a fost eliminat cu exactitate (în cazul în care - elimina manual).
concluzie
Astfel, scenariul descris, datorită Swat seta parametrii de bază, și am început să adăugați utilizatori. În următorul articol vom crea resurse partajate. Următoarele surse de informații pe care le va ajuta.