Administrace komentářů

Mnou používaná distribuce: Gentoo Linux 2006.0
Verze SAMBA serveru:       net-fs/samba-3.0.22-r3
Verze CLAMAV skeneru:      app-antivirus/clamav-0.88.3
USE flagy:                 samba oav readline pam examples -cups -swat

gate ~ # cat /etc/samba/smb.conf
[global]
        dos charset = 852
        unix charset = ISO8859-2
        netbios name = SERVER
        workgroup = DOMA-NET
        server string = Linux server %v
        log file = /var/log/samba/log.%u
        max log size = 50
        smb passwd file = /var/lib/samba/private/smbpasswd
        add user script = /usr/sbin/useradd -m %u
        delete user script = /usr/sbin/userdel -r %u
        add group script = /usr/sbin/groupadd %g
        delete group script = /usr/sbin/groupdel %g
        add user to group script = /usr/sbin/usermod -G %g %u
        add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
        passwd program = /usr/bin/passwd %u
        passwd chat = "*New password:*" %n\r "*New password (again):*" %n\r \ "*Password changed*"
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        interfaces = lo eth1
        bind interfaces only = yes
        hosts allow = 127.0.0.1 192.168.1.0/24
        hosts deny = 0.0.0.0/0
        security = user
        encrypt passwords = yes
        local master = yes
        os level = 65
        domain master = yes
        preferred master = yes
        hide dot files = no
        domain logons = yes
        logon script = %u.bat
        logon path = \\%L\profiles\%u
        logon drive = H:
        logon home = \\%L\%u\.9xprofile
        guest account = nobody
        guest ok = no
        vfs object = vscan-clamav
        vscan-clamav: config-file = /etc/samba/vscan-oav.conf



[netlogon]
        path = /home/samba/_netlogon
        guest ok = yes
        read only = yes
        browseable = no

[profiles]
        path = /home/samba/_profiles
        browseable = no
        guest ok = yes
        writeable = yes
        root preexec = PROFILE=/home/samba/_profiles/%u; if [ ! -e $PROFILE ]; \
                        then mkdir -pm700 $PROFILE; chown %u:%g $PROFILE; fi

[homes]
        path = /home/%u
        browseable = no
        valid users = %S
        hide dot files = yes
        read only = no
        guest ok = no
        inherit permissions = yes

[public]
        comment = Verejny sdileny adresar
        path = /home/samba/data/_public
        public = yes
        writeable = yes
        create mask = 0777
        directory mask = 0777
        browseable = yes
        write list = @users

[global]
označuje sekci definující globální nastavení serveru SAMBA
dos charset = 852
určuje, jaké kódování se má použít k ukládání souborů na server.
unix charset = ISO8859-2
určuje, jaké kódování používá náš operační systém (LINUX)
netbios name = SERVER
definuje jméno/název našeho serveru
workgroup = DOMA-NET
definuje název naší domény/pracovní skupiny
server string = SAMBA server %v
nastavuje popis serveru, "%v" zobrazí v popisu verzi našeho Samba serveru
log file = /var/log/samba/log.%u
nastavuje cestu a název, kde budou umístěny logovací soubory. "%u" nám nastavuje, že soubor s logem se bude jmenovat log."náš_uživatel"
max log size = 50
udává, jakou maximální velikost může mít soubor s logem. Hodnota je v KB.
smb passwd file = /var/lib/samba/private/smbpasswd
nastavuje cestu k souboru, do kterého SAMBA ukládá svá hesla ve formátu HASH
add user script = /usr/sbin/useradd -m %u
skript, který automaticky přidává uživatele do SAMBY. "%u" = jméno aktuálního uživatele
delete user script = /usr/sbin/userdel -r %u
skript, který automaticky odstraní uživatele ze SAMBY
add group script = /usr/sbin/groupadd %g
skript, který přidá skupinu do SAMBY.
delete group script = /usr/sbin/groupdel %g
skript, který odstraní skupinu ze SAMBY.
add user to group script = /usr/sbin/usermod -G %g %u
skript, který přidá uživatele do dané skupiny
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
automaticky přidá PC do SAMBY
passwd program = /usr/bin/passwd %u
program pro nastavení hesla pro daného uživatele
passwd chat = "*New password:*" %n\r "*New password (again):*" %n\r \ "*Password changed*"
to nám automaticky odpoví pro program passwd na hlášky typu Nove heslo: Ještě jednou heslo: bla bla bla
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
to aby nám SAMBA trošku rychleji odpovídala na dotazy
interfaces = lo eth1
definuje fyzická síťová rozhraní, na kterých bude SAMBA server naslouchat dotazům určených pro něj
bind interfaces only = yes
TAK TOHLE NEVIM, ale je to takřka v každém vzorovém příkladu konfigurace.
hosts allow = 127.0.0.1 192.168.1.0/24
určuje síťové rozsahy IP adres, na které má SAMBA server odpovídat
hosts deny = 0.0.0.0/0
rozsahy IP adres, které nejsou povoleny, budeme "ignorovat"
security = user
nastavuje bezpečnostní politiku (víc viz. man samba)
encrypt passwords = yes
to aby jsme nemuseli hýbat s registry našich Windows
local master = yes
náš server bude primární doménový řadič
os level = 65
to abychom měli jistotu, že naše SAMBA je hlavní PDC
domain master = yes
ano, jsme a budeme primárním doménovým řadičem
preferred master = yes
prostě žádný jiný PDC uznávat nebudeme a HOTOVO 
hide dot files = no
globálně nebudeme skrývat soubory, začínající tečkou
domain logons = yes
nastavuje, že požadujeme používat netlogon skripty
logon script = %u.bat
udává, jak se logon skript jmenuje, %u=jméno uživatele
logon path = \\%L\profiles\%u
udává cestu k profilům našich uživatelů, sem se budou profily ukládat
logon drive = H:
udává název síťové jednotky pro domácí adresář
logon home = \\%L\%u\.9xprofile
zajistíme kompatibilitu s Windows 9x
guest account = Guest
udává jméno uživatele pro anonymní přístup - stejně ho globálně vypnu
guest ok = no
globálně guest accounty používat nechci !
vfs object = vscan-clamav
doplnění o antivirová online scanner
vscan-clamav: config-file = /etc/samba/vscan-oav.conf
určuje, kde se nachází konfigurační soubor pro online antivirový scanner
[netlogon]
sekce pro NETLOGON skripty
path = /home/samba/_netlogon
určuje cestu, kde jsou netlogon skripty uloženy
guest ok = yes
musí sem být anonymní přístup - nevím proč
read only = yes
skripty jsou pouze pro čtení
browseable = no
uživatel nemůže vidět ostatní adresáře
[profiles]
definuje nastavení sekce pro profily
path = /home/samba/_profiles
cesta, kam se ukládají profily uživatelů
browseable = no
uživatel nemůže vidět ostatní adresáře s profily
guest ok = yes
nevím proč, zase to musí být
writeable = yes
adresář s profily musí být zapisovatelný
root preexec = PROFILE=/home/samba/_profiles/%u; if [ ! -e $PROFILE ]; \
                        then mkdir -pm700 $PROFILE; chown %u:%g $PROFILE; fi
pokud adresář s profilem neexistuje, založ ho a nastav mu správnou skupinu
[homes]
sekce pro domácí adresáře uživatelů
path = /home/%u
cesta k domácím adresářům uživatelů
browseable = no
uživatel nemůže vidět adresáře ostatních uživatelů
valid users = %S
uživatelé mající sem přístup
hide dot files = yes
soubory začínající tečkou jim schválně skryjeme
read only = no
adresáře budou zapisovatelné daným uživatelům
guest ok = no
žádnej anonymní přístup sem
inherit permissions = yes
TAK TOHLE NEVÍM
[public]
sdílený adresář - budou sem moc všichni zapisovat a číst
comment = Verejny sdileny adresar
nastavuje popis adresáře
path = /home/samba/data/_public
určuje cestu ke sdílenému adresáři
public = yes
veřejný ANO
writeable = yes
zapisovatelný ANO
create mask = 0777
nastav práva na 777 nebo-li všichni vše dovoleno
directory mask = 0777
nastav práva adresářů na 777 nebo-li všichni vše dovoleno
browseable = no
smí vidět pouze tento adresář
write list = @users
zapisovat sem smí pouze uživatelé SAMBA serveru

gate ~ # testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[homes]"
Processing section "[public]"
Loaded services file OK.
WARNING: passdb expand explicit = yes is deprecated
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

TADY PAK UŽ JEN ZOBRAZÍ /etc/samba/smb.conf

gate ~ # /etc/init.d/samba start
 * samba -> start: smbd ...[ok]                                                                                               
 * samba -> start: nmbd ...[ok]                                                                                          

gate ~ # smbpasswd -a root
New SMB password: *** nějaké tajné dlouhé heslo ***
Retype new SMB password: *** to samé ještě jednou ***

gate ~ # useradd -m -G users jmeno_zivatele
New UNIX password: ****vaše heslo****
Retype new UNIX password: **** a ještě jednou vaše heslo ****
passwd: heslo bylo úspěšně změněno

gate ~ # su jmeno_zivatele
stiskni CTRL+D

gate ~ # smbpasswd -a jmeno_uzivatele
New SMB password: ****jakékoliv heslo - může se lišit od předchozího ****
Retype new SMB password: **** to samé heslo ještě jednou ****

Tento pořítač --> Vlastnosti --> Název počítače --> Změnit
Je členem domény: DOMA-NET

Zobrazí se tabulka s výzvou:
Zadejte uživatelské jméno: root
Heslo: vaše_tajné_dlouhé_heslo

gate ~ # cat /etc/samba/vscan-oav.conf
[samba-vscan]
max file size = 0
verbose file logging = no
scan on open = yes
scan on close = yes
deny access on error = yes
deny access on minor error = yes
send warning message = yes
infected file action = delete
quarantine directory  = /tmp
quarantine prefix = vir-
max lru files entries = 100
lru file entry lifetime = 5
exclude file types =
oav ip = 127.0.0.1
oav port = 8127

gate ~ # cat /etc/clamd.conf
LogFile /var/log/clamav/clamd.log
LogTime
PidFile /var/run/clamav/clamd.pid
LocalSocket /var/run/clamav/clamd.sock
FixStaleSocket
User clamav

gate ~ # ls -ln /home/samba/
celkem 0
drwxr-xr-x 3 0 0  72 2006-08-04 13:46 data
drwxr-xr-x 2 0 0 104 2006-08-08 10:11 _netlogon
drwxr-xr-t 4 0 0 104 2006-08-06 10:17 _profiles

gate ~ # ls -ln /home/samba/data/
celkem 0
drwxrwxrwx 2 0 0 48 2006-08-08 10:32 _public

gate ~ # ls -ln /home/samba/_netlogon/
celkem 8
-rwxrwxrwx 1 0 0 143 2006-08-08 10:11 muj_uzivatel.bat
-rwxrwxrwx 1 0 0 143 2006-08-08 10:11 test.bat

gate ~ # ls -ln /home/samba/_profiles/
celkem 1
drwxrwxrwx 13 1000 1000 456 2006-08-08 10:30 muj_uzivatel
drwxrwxrwx 14 1002 1002 480 2006-08-08 10:33 test

Petr Dvořáček
email: petr.dvoracek@atlas.cz
mobil: +420 604 526 132
ICQ:    137 852 144