2018. március 23., péntek

SAMBA szerver

Telepítése;
sudo apt-get install samba

A Samba segítségével egy UNIX-gép beállítható fájl- és nyomtatókiszolgálóként DOS, Windows és OS/2 gépekhez is. A Samba mára egy teljes szolgáltatáskörrel bíró és meglehetősen összetett hálózati termékké fejlődött. A Samba beállítáható a YaST, a SWAT (webes felület) vagy a konfigurációs fájlja segítségével.

SMB protokoll

A Samba a NetBIOS szolgáltatásokra épülő SMB (server message block, kiszolgáló-üzenetblokk) nevű protokollt használja. Az IBM nyomására a Microsoft széles körben elérhetővé tette a protokollt, így más szoftvergyártók is kapcsolatot létesíthetnek egy Microsoft-tartománnyal. A Samba esetében az SMB protokoll a TCP/IP-protokollokra épül, tehát a TCP/IP-protokollcsaládot az összes kliensen telepíteni kell.
CIFS-protokoll
A CIFS (common Internet file system) a Samba által támogatott másik protokoll. A CIFS egy szabványos távoli fájlrendszer-elérési protokollt ad meg hálózati használathoz, amely lehetővé teszi a felhasználók csoportjának együttműködését és dokumentumok megosztását a hálózaton.
NetBIOS
A NetBIOS számítógépek közötti kommunikációra kialakított szoftvercsatoló (API). Része egy névszolgáltatás is. Ez lehetővé teszi, hogy a hálózatra csatlakoztatott gépek neveket foglaljanak le maguknak. A név lefoglalása után a gépek név alapján címezhetők. Nincs központi folyamat, amely ellenőrizné a neveket. A hálózat bármely gépe tetszőleges számú nevet foglalhat le, ha azok még nem használtak. A NetBIOS-csatoló többféle hálózati architektúrán is megvalósítható. Egy megvalósítás, amely viszonylag szorosan együttműködik a hálózati hardverrel, a NetBEUI, de sokszor és sokan ezt értik NetBIOS alatt. Létezik a Novell IPX protokolljára és TCP/IP-re épülő NetBIOS is (TCP/IP-n keresztüli NetBIOS).
A TCP/IP-n keresztül küldött NetBIOS-neveknek semmi közük sincs az /etc/hosts fájlban, illetve a DNS által használt nevekhez. A NetBIOS saját, teljesen független névkonvenciót használ. Az adminisztráció leegyszerűsítése érdekében célszerű azonban a DNS-gépnevekkel megegyező neveket használni. Éppen ezért a Samba által használt alapértelmezett beállítás is ez.
Samba-kiszolgáló
A Samba kiszolgáló SMB/CIFS szolgáltatásokat és NetBIOS over IP elnevezési szolgáltatást biztosít a kliensek számára. Linux rendszeren két démon áll rendelkezésre a Samba kiszolgálóhoz: az smbd az SMB/CIFS szolgáltatásokhoz, és az nmbd az elnevezési szolgáltatásokhoz.
Samba-kliens
A Samba-kliens a Samba-kiszolgáló Samba-szolgáltatásait SMB protokollon keresztül igénybe vevő rendszer. Az összes elterjedt operációs rendszer – például a Mac OS X, a Windows és az OS/2 is – támogatja az SMB protokollt. A TCP/IP protokollt az összes számítógépen telepíteni kell. A Samba a UNIX-változatok alá biztosít SMB-klienst. Linuxhoz egy külön kernelmodul is készült az SMB-hez, amely lehetővé teszi az SMB-erőforrások rendszerszintű integrációját. A Samba-klienshez nem kell démont futtatni.
Megosztások
Az SMB-kiszolgálók úgynevezett megosztásokon keresztül biztosítanak hardverterületet a kliensek számára. A megosztás a kiszolgáló egyik könyvtárát és ennek alkönyvtárait tartalmazza. Ezt a kiszolgáló név alapján ajánlja ki (exportálja) és e név alapján érhető el. A megosztásnév tetszőleges lehet – nem kell megegyeznie az exportált könyvtár nevével. A nyomtatókhoz is van név rendelve. A kliensek a nyomtatót szintén név alapján tudják elérni.
Samba indítása és leállításaSamba indítása és leállítása
A Samba-kiszolgáló a rendszerindítás során automatikusan leállítható és elindítható, később pedig manuálisan. Az indítási és leállítási irányelv a YaST Samba kiszolgáló konfgurációjának része (lásd: 36.3.1. szakasz - Samba-kiszolgáló beállítása YaST segítségével).
A Samba szolgáltatásai a YaST Rendszer+Rendszerszolgáltatások (Futási szint) menüpontja segítségével indíhatók el, illetve állíthatók le. A parancssorból a Samba futtatásához szükséges szolgáltatások az rcsmb stop && rcnmb stop paranccsal állíthatók le, illetve az rcnmb start && rcsmb start paranccsal indíthatók el.
Samba-kiszolgáló beállításaSamba-kiszolgáló beállítása
A Samba-kiszolgáló SUSE Linux Enterprise® rendszeren kétféleképp állítható be: a YaST segítségével és kézzel. A kézi beállítás részletesebb lehet, de a YaST GUI használata jóval kényelmesebb.
Samba-kiszolgáló beállítása YaST segítségévelSamba-kiszolgáló beállítása YaST segítségével
A Samba-kiszolgáló beállításához indítsa el a YaST programot és válassza ki a Hálózati szolgáltatások+Samba-kiszolgáló menüpontot. A modul első indítása alkalmával megjelenik a Samba-kiszolgáló telepítése párbeszédablak, amelyben néhány alapvető döntést meg kell hoznia a kiszolgáló adminisztrációjával kapcsolatban, majd a beállítás végén meg kell adni a Samba root felhasználói jelszavát. A többi indítás esetén a Samba-kiszolgáló beállítása jelenik meg.
A Samba-kiszolgáló telepítése párbeszédablak két részből áll:
Munkacsoport- és tartománynév
A Munkacsoport- vagy tartománynév legördölő menüből válasszon ki egy meglévő munkacsoportot/tartományt vagy adjon meg egy újat, és kattintson a Tovább gombra.
Samba-kiszolgáló típusa
A következő lépésben adja meg, hogy a kiszolgálónak kell-e PDC-ként (elsődleges tartományvezérlőként) viselkednie, majd kattintson a Tovább gombra.
Később a Samba-kiszolgáló telepítése menüben lévő összes beállítás módosítható a Samba-kiszolgáló beállítások párbeszédablak Azonosítás lapján.
Samba szakértői beállítása a YaST segítségévelSamba szakértői beállítása a YaST segítségével
A Samba-kiszolgáló modul első indításakor a Samba-kiszolgáló telepítése párbeszédablak után közvetlenül megjelenik a Samba-kiszolgáló beállítások párbeszédablak. Ennek segítségével adhatók meg a Samba-kiszolgáló beállításai.
A beállítás módosítása után az ablak bezárásához kattintson a Befejezés menüpontra.
A kiszolgáló indításaA kiszolgáló indítása
Az Indítás lapon állítsa be a Samba-kiszolgáló indítási lehetőségeit. Ha a szolgáltatást minden rendszerindításkor el kívánja indítani, akkor válassza a Rendszertöltés alatt lehetőséget. A manuális indítás aktiválásához válassza a Kézzel lehetőséget. A Samba-kiszolgáló indításával kapcsolatos további információ: 36.2. szakasz - Samba indítása és leállítása.
Ezen a lapon a tűzfal portjait is megnyithatja. Ehhez válassza ki a Tűzfalport megnyitása menüpontot. Ha több hálózati csatolóval rendelkezik, akkor a Samba-szolgáltatásokhoz tartozó kiválasztásához kattintson a Tűzfalbeállítások menüpontra, válassza ki a kívánt csatolót, majd kattintson az OK gombra.
MegosztásokMegosztások
A Megosztások lapon adja meg az aktiválandó Samba-megosztásokat. Léteznek előre meghatározott megosztások, mint például a saját könyvtárak és a nyomtatók. Az Állapot átkapcsolása menüpont segítségével válthat az Aktív és Inaktív állapot között. Kattintson a Hozzáadás lehetőségre új megosztások felvételéhez, illetve a Törlés lehetőségre a kiválasztott megosztás törléséhez.
AzonosításAzonosítás
Az Azonosítás lapon adható meg a tartomány, amelyhez a gép rendelve van (Alapbeállítások) és azt, hogy használjon-e alternatív gépnevet a hálózatban (NetBIOS gépnév). Szakértői globális beállítások megadásához vagy felhasználói hitelesítés beállításához kattintson a Szakértői beállítások menüpontra.
Webes adminisztráció a SWAT segítségévelWebes adminisztráció a SWAT segítségével
A SWAT (Samba Web Administration Tool) a Samba-kiszolgáló adminisztrációjára szolgáló alternatív eszköz. Ez egyszerű webes felületet biztosít a Samba-kiszolgáló beállításához. A SWAT használatához nyissa meg a http://localhost:901 címet a webböngészőben, és jelentkezzen be root felhasználóként. Ha nincs speciális Samba root fiókja, akkor használja a rendszer root fiókot.
  A SWAT aktiválása
A Samba-kiszolgáló telepítése után a SWAT még nincs aktiválva. Az aktiválásához nyissa ki a YaST Hálózati szolgáltatások+Hálózati szolgáltatások (xinetd) menüpontját, engedélyezze a hálózati szolgáltatások beállítását, válassza ki a táblázat swat pontját és kattintson az Állapot átkapcsolása (be vagy ki) menüpontra.
A kiszolgáló manuális beállításaA kiszolgáló manuális beállítása
Ha a Sambát kiszolgálóként kívánja használni, akkor telepítse a samba csomagot. A Samba fő konfigurációs fájlja az /etc/samba/smb.conf. Ez a fájl két fő logikai részre oszlik. A[global] rész a központi és általános beállításokat tartalmazza. A [share] rész pedig az egyedi fájl- és nyomtatómegosztásokat írja le. E megközelítés segítségével a megosztások jellemzői megadhatók megosztásonként eltérően, vagy a [global] részben egységesen. Ez javítja a konfigurációs fájl strukturális áttekinthetőségét.
A [global] részA [global] rész
A [global] rész alábbi paramétereit a saját hálózati beállításokhoz kell igazítani, hogy a gépek SMB-n keresztül hozzá tudjanak férni a Samba-kiszolgálóhoz Windows környezetben.
workgroup = TUX-NET
Ez a sor a Samba-kiszolgálót egy munkacsoporthoz rendeli. A TUX-NET helyére a hálózati környezet megfelelő munkacsoportját kell írni. A Samba-kiszolgáló a DNS-neve alatt jelenik meg, hacsak ez a név nem lett hozzárendelve a hálózat valamelyik másik gépéhez. Ha a DNS-név már foglalt, akkor a netbiosname=EZANEVEM sorhoz hasonló módon adja meg a kiszolgáló nevét. A paraméterrel kapcsolatos részletek a mansmb.conf paranccsal hívhatók elő.
os level = 2
Ez a paraméter azt szabályozza, hogy a Samba-kiszolgáló megpróbáljon-e LMB-vé (local master browser, helyi master böngésző) válni a munkacsoportban. Nagyon alacsony értéket válasszon ide, hogy megkímélje a meglévő Windows-hálózatot a rosszul beállított Samba-kiszolgáló okozta zavaroktól. E fontos témakörről további információ a csomagdokumentáció textdocsalkönyvtárában, a BROWSING.txt és BROWSING-Config.txt fájlokban olvasható.
Ha nincs más SMB-kiszolgáló jelen a hálózatban (például egy Windows NT vagy 2000 kiszolgáló) és azt kívánja, hogy a Samba-kiszolgáló tárolja a helyi környezetben jelen lévő összes rendszer listáját, akkor állítsa az os level értékét nagyobbra ( például 65-re). A Samba-kiszolgáló ezután LMB-ként kiválasztásra kerül a helyi hálózathoz.
A beállítás módosításakor gondosan mérlegelje a változásnak a meglévő windowsos hálózati környezetre gyakarolt hatását. Először próbálja ki a módosításokat egy elszigetelt hálózatban vagy a nap nem kritikus időszakában.
wins support és wins server
Ha a Samba-kiszolgálót aktív WINS-kiszolgálót működtető Windows-hálózatba kívánja integrálni, akkor használja a wins server beállítást és az értéke legyen a WINS-kiszolgáló IP-címe.
Ha a windowsos gépek külön alhálózatokhoz csatlakoznak, de tudniuk kell egymásról, akkor van szükség WINS-kiszolgálóra. A Samba-kiszolgáló is képes ellátni a WINS-kiszolgáló feladatait. Ehhez használja a wins support = Yes beállítást. Ügyeljen rá, hogy a hálózat csak egyetlen Samba-kiszolgálóján legyen engedélyezve ez a beállítás. A wins server és a wins support beállítás egyszerre nem használható az smb.conf fájlban.
MegosztásokMegosztások
Az alábbi példák bemutatják, hogyan tehető elérhetővé a CD-ROM meghajtó és a felhasználói saját könyvtárak (homes) az SMB-kliensek számára.
[cdrom]
A CD-ROM véletlen megosztását az alábbi sorok megjegyzésekké tételével (ebben az esetben pontosvesszők beírásával) lehet letiltani. A CD-ROM Sambán keresztüli megosztásához törölje az első oszlopban lévő pontosvesszőket.
36.1. példa - CD-ROM megosztása
;[cdrom]
;       comment = Linux CD-ROM
;       path = /media/cdrom
;       locking = No

[cdrom] és comment
A [cdrom] bejegyzés a megosztás neve, amelyet az SMB-kliensek látnak a hálózaton. A megosztás további leírásához azonban megadható egy további megjegyzés (comment).
path = /media/cdrom
A path exportálja a /media/cdrom könyvtárat.
Egy nagyon megszorító alapértelmezett konfiguráció miatt ez a megosztás csak a rendszeren jelen lévő felhasználók számára elérhető. Ha ezt a megosztást mindenki számára elérhetővé kell tenni, akkor a konfigurációhoz adja hozzá a guest ok = yes sort. Ez a beállítás olvasás jogosultságot biztosít mindenkinek a hálózaton. Ezt a paramétert körültekintően kell kezelni. Ez különösen érvényes, ha a paramétert a [global] részben használjuk.
[homes]
A [home] megosztásnak különös jelentősége van itt. Ha a felhasználó egy érvényes azonosítóval és jelszóval rendelkezik a Linux-fájlkiszolgálóhoz és a saját könyvtárához, akkor csatlakozni tud hozzá.
36.2. példa - homes megosztás
[homes]
comment = Home Directories
valid users = %S
browseable = No
read only = No
create mask = 0640
directory mask = 0750

[homes]
Ha nincs másik megosztás, amely az SMB-kiszolgálóhoz csatlakozó felhasználó megosztás nevét használná, akkor a megosztás a [homes] megosztási utasítások segítségével dinamikusan létrehozásra kerül. A megosztás eredményül kapott neve a felhasználónév.
valid users = %S
A %S helyére a megosztás konkrét neve kerül, amint a kapcsolat sikeresen létrejött. A [homes] megosztás esetén ez mindig a felhasználó neve. Ennek következményeképp a felhasználó megosztását csak a felhasználó érheti el.
browseable = No
Ez a beállítás láthatatlanná teszi a megosztást a hálózati környezetben.
read only = No
A Samba alapértelmezés szerint a read only = Yes paraméterrel letiltja az exportált megosztás írási hozzáférését. Egy megosztás írhatóvá tételéhez a read only = No értéket kell beállítani, amelynek hatása egyébként megegyezik a writable = Yes paraméterével.
create mask = 0640
A nem MS Windows NT-re épülő rendszerek nem foglalkoznak a UNIX-jogosultságokkal, így egy fájl létrehozásakor nem rendelnek hozzá jogosultságokat. A create mask paraméter ezért meghatározza az újonnan létrehozott fájlok hozzáférési jogosultságait. Ez természetesen csak az írható megosztásokra érvényes. A gyakorlatban ez a jogosultságérték azt jelentené, hogy a tulajdonos olvasási és írási, a tulajdonos elsődleges csoportjának tagjai pedig olvasási jogosultsággal rendelkeznek. A valid users = %S paraméter azonban letiltja a csoport olvasási hozzáférését, hiába rendelkezik a csoport olvasási jogosultsággal. Ahhoz, hogy a csoport rendelkezzen olvasási vagy írási hozzáféréssel, kapcsolja ki a valid users = %S sort.
Biztonsági szintekBiztonsági szintek
A biztonság növelése érdekében minden megosztási hozzáférés védhető jelszóval. Az SMB háromféle jogosultságellenőrzést tesz lehetővé:
Megosztási szintű biztonság (security = share)
A megosztáshoz szigorúan hozzátartozik egy jelszó. Csak a jelszót ismerő személyek férhetnek hozzá a megosztáshoz.
Felhasználói szintű biztonság (security = user)
A változat kapcsán először foglalkozunk a felhasználó fogalmával az SMB-n belül. Minden felhasználónak saját jelszóval kell bejelentkeznie a kiszolgálóhoz. Regisztráció után a kiszolgáló az egyes megosztásokhoz a felhasználói névtől függően biztosít hozzáférést.
Kiszolgálószintű biztonság (security = server):
A kliensek felé a Samba úgy működik, mintha felhasználói szintű módban futna. A valóságban azonban az összes jelszólekérdezést átadja egy másik felhasználói szintű kiszolgálónak, amely a hitelesítést végzi. Ehhez a beállításhoz még egy paramétert meg kell adni (password server).
A megosztási, felhasználói és kiszolgálószintű biztonság közötti különbség, hogy az utóbbi a teljes kiszolgálóra érvényes. A kiszolgáló egyedi megosztásai már nem védhetők külön megosztásonkénti vagy felhasználói szintű biztonsággal. Megteheti azonban, hogy a rendszer minden beállított IP-címéhez külön Samba-kiszolgálót futtat.
A tárggyal kapcsolatos további információt a Samba HOWTO-gyűjtemény tartalmaz. Ha egy rendszeren több kiszolgáló van, akkor az interfaces és bind interfaces only beállításra is figyeljen.
Kliensek beállításaKliensek beállítása
A kliensek a Samba-kiszolgálót csak TCP/IP-n keresztül érik el. A NetBEUI és a NetBIOS IPX-en keresztül nem használható Sambával.
Samba-kliens beállítása YaST segítségévelSamba-kliens beállítása YaST segítségével
Állítson be egy Samba-klienst a Samba-kiszolgálón található erőforrások (fájlok vagy nyomtatók) használatához. A Hálózati szolgáltatások+Windows-tartománytagság menüpontban adja meg a tartományt vagy munkacsoportot. A rendelkezésre álló csoportok és tartományok megjelenítéséhez (és az egér segítségével történő kiválasztásához) kattintson a Tallózás gombra. Ha aktiválja az SMB-információ használata Linux-hitelesítéshez menüpontot, akkor a felhasználói hitelesítés a Samba-kiszolgálón keresztül történik. Az összes beállítás megadása után a befejezéshez kattintson a Befejezésgombra.
Windows 9x és MEWindows 9x és ME
A Windows 9x és ME beépített TCP/IP-támogatással rendelkezik. Alapértelmezés szerint azonban ez nem kerül telepítésre. A TCP/IP hozzáadásához menjen a Vezérlőpult+Rendszer menüpontra, és válassza ki a Hozzáadás+Protokollok+Microsoft TCP/IP lehetőséget. A Windows-gép újraaindítása után a Samba-kiszolgáló kikereséséhez kattintson duplán a hálózati környezet asztalon levő ikonjára. A Samba-kiszolgáló nyomtatójának használatához telepítse a megfelelő Windows-verzióhoz tartozó szabványos vagy Apple-PostScript nyomtató-illesztőprogramot. Legjobb a Linux-nyomtatósorhoz csatolni, amely elfogadja a Postscriptet bemeneti formátumként
Samba mint bejelentkezési kiszolgálóSamba mint bejelentkezési kiszolgáló
A túlnyomórészt Windows-klienseket tartalmazó hálózatban gyakran igény, hogy a felhasználók csak érvényes azonosítóval és jelszóval regisztrálhassák magukat. Windows alapú hálózatban ezt a feladatot az elsődleges tartományvezérlő (primary domain controller, PDC) kezeli. A Windows NT kiszolgáló beállítható PDC-ként, de a feladat Samba-kiszolgáló segítségével is elvégezhető. Az smb.conf [global] részébe beírandó bejegyzéseket a 36.3. példa - Az smb.conf globális része mutatja be.
36.3. példa - Az smb.conf globális része
       [global]
       workgroup = TUX-NET
       domain logons = Yes
       domain master = Yes


Ha az ellenőrzési célra titkosított jelszavakat használnak – ez az alapértelmezett beállítás egy jól karbantartott MS Windows 9x rendszerben, MS Windows NT 4.0 alatt a 3. szervizcsomagtól kezdve és az újabb termékekben – a Samba-kiszolgálónak kezelnie kell tudnia ezt. A [global] encrypt passwords = yes bejegyzése kapcsolja ezt be (a Samba 3-as verziójában már ez az alapértelmezés). Ezenfelül a felhasználói azonosítókat és jelszavakat a Windowsnak megfelelő titkosított formátumban kell előkészíteni. Ez az smbpasswd -a name paranccsal hajtható végre. Hozza létre a számítógépek tartományazonosítóját (ezt a Windows NT tartomány igényli) az alábbi parancsokkal.
36.4. példa - Gépazonosító létrehozása
useradd hostname\$
smbpasswd -a -m hostname


A useradd parancshoz egy dollárjelet adva az smbpasswd jelszó ezt automatikusan beszúrja a -m paraméter használatakor. A megjegyzéssel ellátott konfigurációs példa(/usr/share/doc/packages/Samba/examples/smb.conf.SuSE) tartalmazza a feladatot automatizáló beállításokat is.
36.5. példa - A gépazonosító automatikus beállítása
add machine script = /usr/sbin/useradd -g nogroup -c "NT Machine Account" \
-s /bin/false %m\$
   


Annak biztosításához, hogy a Samba ezt a parancsfájlt biztosan helyesen hajtsa végre, válasszon ki egy Samba-felhasználót a szükséges adminisztrátori jelszavakkal. Ehhez válasszon ki egy felhasználót és adja hozzá az ntadmin csoporthoz. Ezután a Linux-csoporthoz tartozó összes felhasználóhoz Domain Admin (tartományadminisztrátor) állapot rendelhető a következő paranccsal:
     net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin
 
http://sugo.ubuntu.hu/10.04/html/serverguide/hu/samba-fileserver.html

http://sugo.ubuntu.hu/10.10/html/serverguide/hu/


Nincsenek megjegyzések:

Megjegyzés küldése