Soukromá síť - III

21. 9. 2004 | Kamil Kantar | Sítě | 30191×

Samba - úvod

Samba je balík nástrojů, který umožňuje na unixových či linuxových serverech využívat protokol SMB (Server Message Block) vyvinutý společností Microsoft pro sdílení souborů a tiskáren na systémech jako jsou Windows nebo OS/2. Můžeme ji tedy využít v naší síti s windowsovými klienty a linuxovým serverem. V naší síti budeme Sambu používat k následujícím činnostem:

• Nastavíme Samba server, aby fungoval jako primární doménový řadič v naší sítí. Vytvoříme doménu Windows NT s naším serverem, který bude pracovat jako řadič domény, tzn., že bude poskytovat přihlašování do domény a autentizaci přístupu ke sdíleným prostředkům. A protože používáme Sambu ve verzi 2.2 a novější, můžeme náš server použít jako primární doménový řadič jak pro klienty se systémy Windows 95/98/Me, tak pro klienty s Windows NT/2000/XP. V tomto smyslu předpokládám, že v síti zatím není žádný jiný počítač, který by sloužil jako doménový řadič.
• Sdílení domovských adresářů našich uživatelů. Po přihlášení do domény NT bude uživateli k dispozici jeho domovský adresář na serveru. Ten bude moci využít pro ukládání jakýchkoliv dat, avšak bude omezený diskovými kvótami vytvořenými v minulém díle seriálu, aby nedošlo k zaplnění diskové kapacity serveru neukázněnými uživateli.
• Sdílení dalších souborů a adresářů. Pomocí Samby můžeme na serveru či stanici sdílet další soubory či adresáře a poskytnout je ostatním klientům. To vše samozřejmě s využitím uživatelských práv.
• Nastavíme Sambu k používání cestovních profilů. Cestovní profily slouží k poskytnutí lepšího pohodlí našim uživatelům tím, že po přihlášení na jakýkoliv počítač v naší síti jim bude k dispozici poslední nastavení jejich pracovního prostředí (ikony na ploše, nabídka Start, dokumenty apod.).

Základní nastavení

Začneme opět na serveru. Hlavní konfigurační soubor Samby se jmenuje smb.conf a na mém Slackwaru je uložen v adresáři /etc/samba/. Může se stát, že po instalaci Samby se vytvoří soubor s názvem jako smb.conf.example, který bude obsahovat jednoduchý příklad nastavení Samba serveru. Pokud je to tak, tento soubor klidně přejmenujte nebo odstraňte a vytvořte nový. Výsledkem nechť je prázdný soubor smb.conf. Abychom mohli využít všech výše zmíněných vlastností, musíme soubor smb.conf správně nastavit. Příkladem takového nastavení může být vzorový soubor smb.conf, který si můžete stáhnout na konci toho článku. Zde jsou vysvětleny funkce důležitých řádků:

[global]

Říkáme, že budeme nastavovat globální parametry našeho Samba serveru.

workgroup = DOMA.CZ

Název pracovní skupiny. Přestože, se proměnná jmenuje workgroup (pracovní skupina), pracovat budeme s doménou.

netbios name = SERVER

Jméno našeho počítače.

encrypt passwords = yes

Chceme šifrovat hesla. Pokud se hlásíme do domény, musíme šifrování použít. U pracovní skupiny je tento údaj nepovinný.

domain master = yes

Chceme náš server použít jako doménový hlavní prohlížeč, což znamená, že bude spravovat prohlížecí seznamy mezi podsítěmi.

local master = yes

Chceme náš server použít jako místní hlavní prohlížeč, což znamená, že bude udržovat seznam aktivních počítačů (prohlížecí seznam).

os level = 65

Čím vyšší číslo, tím vyšší šance, že náš server vyhraje volbu místního hlavního prohlížeče. Tuto funkci využijeme, pokud máme v síti další doménové radiče. Ty v tuto chvíli nemáme, ale pokud bychom je přidali, takto vysoké číslo nám zajistí, že náš server se Sambou volbu vyhraje.

security = user

Určuje zabezpečení, které bude Samba používat při autentizaci. V tomto případě bude vyžadovat jméno a heslo.

domain logons = yes

Samba se bude starat o přihlašování do domény.

logon path = \\%L\profiles\%u\%m

Cesta pro ukládání cestovních profilů našich uživatelů ze systémů Windows NT/2000/XP. Cesta se skládá z proměnné %L (jméno serveru), sdílení "profiles" (bude definováno později), proměnné %u (přihlášený uživatel) a proměnné %m (jméno klienta).

add machine script = /usr/sbin/useradd -c "Machine account" -d /dev/null -g 103 -s /bin/false %u

Definuje skript pro automatické registrování stanic do domény (viz níže).

Dále definujeme sekci [profiles] vytvářející sdílení, kam budeme ukládat cestovních profily uživatelů.

[profiles]
  path = /home/roaming  ;Sem se budou soubory ukládat
  browsable = no        ;Sdílením nebude možno procházet
  writable = yes        ;Ale zapisovat do něj ano
  create mask = 0600    ;Masky souborů a adresářů. Plná práva
  directory mask = 0700 ;pro vlastníka, nula pro všechny ostatní

Nyní můžeme lépe pochopit hodnotu příkazu logon path, který jsme před chvíli nadefinovali. Cesta se skládala z proměnné %L (jméno serveru), sdílení "profiles", proměnné %u (přihlášený uživatel) a proměnné %m (jméno klienta). Skutečná cesta tedy může vypadat například takto (na serveru):

Upozorňuji, že toto nastavení bude fungovat pouze s Windows NT/2000/XP, nikoliv s Windows 95/98/Me.

V poslední sekci ve vzorovém souboru smb.conf je definované sdílení domácích adresářů uživatelů. Sdílení se MUSÍ jmenovat [homes], jinak jej Samba bude brát jako obyčejné sdílení (a navíc by nefungovalo, protože nemáme nastavenu žádnou cestu). O sdílení domovských adresářů si více řekneme později. Správnou syntaxi souboru smb.conf si ověříme příkazem testparm. Ten by nám měl mimo jiné vypsat řádek

který oznamuje roli našeho serveru v naší siti (PDC = Primary domain controler = Primární doménový řadič).

Abychom na to později nezapomněli, vytvoříme si na serveru adresář /home/roaming s potřebnými právy:

Vše potřebné máme nyní připravené, a tak můžeme Samba server spustit.

Příprava na připojení klientů

Abychom mohli naše klienty přihlásit do domény, musíme jim (podobně jako uživatelům) na serveru vytvořit účty, což se budeme snažit dělat automaticky. Doménový řadič pak povolí přístup pouze počítačům, které zná. Pro udržování dvojic uživatelské jméno - zašifrované heslo používá Samba soubor /etc/samba/private/smbpasswd. Ten je podobný známému souboru podobného významu /etc/shadow. Pro přidání uživatele slouží příkaz:

A potom následuje dvojí zadání hesla. Když budete přidávat prvního uživatele, možná dostanete negativní odezvu, že databáze uživatelů neexistuje. Druhý pokus by už měl být úspěšný. Ještě než zaregistrujeme naše skutečné uživatele, vytvoříme na řadiči domény účet doménového administrátora, kterým je na Sambě uživatel root. Pomocí tohoto účtu budeme později registrovat naše stanice do domény.

Jako heslo doporučuji vybrat jiné než to, které má váš root na serveru.

Nyní je čas říci si něco o registraci stanic. Aby byl ve věcech pořádek, vytvoříme skupinu hosts (příkazem groupadd hosts), kam budeme přidávat účty všech našich stanic (u mě má GID 103). K přidávání stanic do databáze slouží příkaz add machine script v globální sekci souboru smb.conf, který by měl zabezpečit, že se NetBIOS jméno naší stanice (následované znakem "$") automaticky přidá jak do souboru/etc/passwd (díky hodnotě useradd), tak do souboru smbpasswd.

Nicméně setkal jsem se s případy, kdy řadič odmítl stanici automaticky zaregistrovat, což se projevilo hláškou "Neplatné uživatelské jméno" při pokusu registrovat stanici do domény. Pravděpodobně to mají na svědomí různé verze Samby, přičemž ta starší (2.2?) používá pro ten samý úkon příkaz add user script. Každopádně pokud máte s přidáváním stanic problémy, vždy pomůže manuální přidání "uživatelského účtu" stanice do databáze uživatelů a následné přidání stejného účtu do databáze smbpasswd. Návod, jak to udělat, najdete v příštím díle.

Ještě předtím, než budeme moci vyzkoušet, zda automatické přidávání stanic funguje, musíme přidat do databáze smbpasswd naše skutečné uživatele - uživatele našich stanic. Upozorňuji však, že se musí jednat o uživatele, kteří mají na našem serveru skutečně zřízený účet s platným UID. Ty jsme vytvářeli ve druhém díle našeho seriálu. Příkazem

a dvojím zadáním hesla přidáme do databáze uživatele kamil. Příkaz opakujeme pro všechny uživatele, které chceme přidat. Příkazem findsmb pak překontrolujeme, zda naše stanice reagují na SMB dotazy. Pokud ano, můžeme se pustit do jejich konfigurace. To bude náplní dalšího dílu.

Nástroje: Tisk bez diskuse