Последнее изменение файла: 2019.07.23
Скопировано с www.bog.pp.ru: 2024.11.21

Bog BOS: samba - реализация протоколов SMB и CIFS

samba - реализация с открытым кодом протоколов SMB и CIFS. Реализован как клиент (пакеты samba-client и samba-common), так и сервер (samba и samba-common). В RHEL 5 имеются как пакеты Samba 3.0, так и Samba 3.5 (samba3x-common, samba3x-client, samba3x, samba3x-doc; поддерживается с версии RHEL 5.5). Пакет samba-swat/samba3x-swat (Samba Web Administration Tool) позволяет удалённо настраивать сервер через веб-интерфейс. Пакет samba3x-winbind позволяет хосту Linux стать членом домена Windows и использовать учётные записи пользователей Windows. Пакет system-config-samba позволяет настроить сервер (на таком уровне можно и в редакторе). Пакет samba3x-doc содержит документацию. Пакет smbldap-tools содержит набор скриптов, позволяющих добавлять, изменять и удалять пользователей. Реализует:

• сетевой доступ к файловой системе
• сетевой доступ к серверу печати
• поиск серверов
• доменная аутентификация
• Windows Internet Name Service (WINS) - преобразование имён NetBIOS в IP адреса
• Primary Domain Controller (PDC) Windows NT
• Backup Domain Controller (BDC) для PDC на Samba
• сервер может работать как член домена Active Directory (Windows NT/2000/2003), но не как контроллер

Сервисы:

• smbd (сервис smb) - сетевой файловый сервер и сервер печати, аутентификация пользователей и блокировка ресурсов (TCP/139 и TCP/445)
• nmbd (сервис smb - сервис nmb в 3.5) - сервис имён NetBIOS (клиенты Windows 95/98/ME, Windows NT, Windows 2000, Windows XP), обеспечение поиска серверов (UDP/137)
• winbindd (сервис winbind) - обращается к Windows NT или Windows Server 2003 для проверки аутентификации пользователей (используется Microsoft RPC, PAM, NSS); позволяет использовать Windows-имена клиентов и групп (отображение на Unix-имена)

Режимы безопасности:

• share - пароль запрашивается при доступе к каждому ресурсу
• user - имя пользователя и пароль запрашиваются при обращении к серверу или входе в домен (берутся сервером из кеша, созданного в начале локального сеанса пользователя); клиент может иметь несколько сессий (различаются по UID)
  • user - локальные пользователи
  • domain - имя и пароль пользователя проверяются на внешнем контроллере домена NT (MS Windows 2000)
  • ads - сервер является частью домена AD (MS Windows 2003), требуется Kerberos и внешний сервер аутентификации
  • server - имя и пароль пользователя проверяются на другом Samba сервере

Протоколы аутентификации:

• NTLM - позволяет использовать для аутентификации перехваченный хеш
• NTLMv2 - позволяет автономно подбирать пароль по перехваченному хешу
• Kerberos - не работает при обращению к файловому серверу по IP

Хранение информации аутентификации:

?
• текст (/etc/passwd) - имена и пароли пересылаются незашифрованными
• smbpasswd - текстовый файл с учётными записями MS Windows LanMan и NT, пароли зашифрованы; отсутствует хранение информации Windows NT/2000/2003 SAM
• tdbsam - локальная БД учётных записей, включая SAM (/var/lib/samba/private/)
• ldapsam - распределённая (slurp) БД учётных записей, включая SAM (описание схемы - /usr/share/doc/samba3x-*/LDAP/samba.schema или /etc/openldap/schema/samba.schema)
• ldapsam_compat - использование OpenLDAP в режиме, совместимом с Samba 2
• mysqlsam - распределённая БД учётных записей, включая SAM (не поддерживается)

Поиск серверов в сети (Network Neighborhood) осуществляется с использованием NetBIOS over TCP/IP (UDP, широковещательные запросы в подсети). Ведение локального списка серверов подсети осуществляет местный мастер просмотра (local master browser)/ Слияние списков серверов подсетей осуществляет мастер просмотра домена (domain master browser). Обзор сети: "findsmb -d [широковещательный-адрес]". Поиск мастера просмотра домена: "nmblookup -M -- -". Поиск мастера просмотра по рабочей группе: "nmblookup -M имя-группы". Поиск сервера по имени: "nmblookup имя-NetBIOS". Получение списка ресурсов сервера: "smbclient -L имя-или-адрес-сервера -U имя-пользователя" или "net -l share -S имя-сервера -U имя-пользователя" (анонимный пользователь - "%"). В Nautilus для поиска указывать "smb:". Получение списка пользователей: "net [rap] user -l {-S имя-сервера|-I адрес} -U имя-пользователя".

Сетевой доступ к файловой системе из командной строки: "smbclient [-m LANMAN2] //имя-NetBIOS-или-адрес/ресурс -U имя-пользователя". Монтирование: "mount -t cifs -o имя-пользователя,пароль //имя-NetBIOS-или-адрес/ресурс /mnt". В Nautilus: "smb://имя-сервера/имя-разделяемого-ресурса")

Утилита pdbedit позволяет добавлять (-a), смотреть (-L) и удалять (-x) пользователей независимо от способа хранения аутентификационной информации:

pdbedit -a root # "root = Administrator" в /etc/samba/smbusers

Вывести список текущих сессий: smbstatus.

Отобразить группу Windows на группу Unix:

net groupmap add ntgroup="Domain Admins" unixgroup=root type=d
net groupmap add ntgroup="Domain Users"  unixgroup=users type=d
net groupmap add ntgroup="Domain Guests" unixgroup=nobody type=d
net groupmap list

Конфигурационный файл /etc/samba/smb.conf имеет строчный формат, комментарии начинаются с символов ';' или '#'. Сервер периодически проверяет наличие изменений в файле. Делится на секции (имя секции в квадратных скобках в начале секции): global, homes (ресурс для раздачи домашних каталогов), printers (ресурс сетевых принтеров), public (доступные всем ресурсы), прочие ресурсы.

Секция общих параметров:

• workgroup = имя-рабочей-группы-или-домена
• server string = описание сервера
• netbios name = имя-сервера
• interfaces = список сетевых интерфейсов через пробел или запятую # lo обязателен
• bind interfaces only = yes # ?
• smb ports = 139 | 445 # 139 - NetBIOS over TCP/IP (предпочтительно, если нет AD), 445 - SMB over TCP/IP
• hosts allow = список шаблонов адресов через пробел #
• hosts deny = список шаблонов адресов через пробел #
• log file = шаблон имени файла # %m - разбивать журнал по клиентам
• max log size = КБ # при превышении происходит ротация
• syslog = 1
• syslog only = Yes
• timestamp logs = Yes
• log level = 1
• security = share | user | domain | server | ads
• encrypted passwords = yes # передавать пароль в зашифрованном виде
• guest account = имя-пользователя # Linux-овое
• passdb backend = tdbsam | smbpasswd | ldapsam # способ локального хранения
• domain master = yes # сервер будет сливать списки серверов между подсетями (Domain Master Browser)
• domain logons = yes # сервис аутентификации в домене для клиентов
• realm = имя-домена # для режима ads
• password server = * | имя-PDC-сервера [имя-BDC-сервера] # для режимов ads и server
• local master = yes # участвует в выборах мастера просмотра сети
• os level = приоритет # выбирается наибольший (в MS Windows установлено 33)
• preferred master = yes # увеличивает шансы быть выбранным
• wins support = yes # включается WINS сервер (его адрес д.б. прописан у клиентов; например, в настройках DHCP раздавать netbios-name-servers)
• wins server = IP-адрес # включается WINS-клиент
• ? wins proxy = no # ?
• dns proxy = yes # использовать DNS для разрешения NetBIOS имён
• name resolve order = lmhosts host bcast # wins bcast hosts?
• time server = yes # сервер Samba будет раздавать время клиентам
• load printers = yes # автоматически создавать список принтеров
• printcap name = cups # и брать его из CUPS
• printing = cups # использовать CUPS как систему печати
• cups options = raw # обработка (и драйвер) производится на клиентских компьютерах (принтер добавлять как локальный в файл, а в настройках драйвера добавлять сетевой порт)
• ? show add printer wizard = yes | no
• disable spoolss = yes # откатиться к поведению сервера печати LanMan, невозможно загрузить драйвера на сервер
• store dos attributes = yes # использвать расширенные атрибуты (монтировать с user_xattr) для хранения атрибутов FAT
• map archive = no # не использовать биты прав доступа для хранения атрибутов FAT
• map hidden = no
• map read only = no
• map system = no
• hide dot files = no
• dos charset = CP866
• unix charset = LOCALE
• display charset = UTF8
• preserve case = yes
• short preserve case = yes
• ? nt acl support = no
• ? idmap uid = 16777216-33554431
• ? idmap gid = 16777216-33554431
• ? template shell = /bin/false
• add user script = /usr/sbin/useradd −m −G users ’%u’
• delete user script = /usr/sbin/userdel -r '%u'
• add group script = /usr/sbin/groupadd '%g'
• delete group script = /usr/sbin/groupdel '%g'
• add user to group script = /usr/sbin/usermod -A '%g' '%u'
• add machine script = /usr/sbin/useradd -s /bin/false -d /var/lib/nobody '%u'
• pam password change = yes
• passwd program = /usr/bin/passwd %u
• passwd chat = *New*Password* %n\n *Re−enter*new*password*%n\n *Password*changed*
• unix password sync = yes
• utmp = yes
• logon script = scripts\logon.bat # CRLF!

  net time \\имя-сервера /set /yes
  net use h: /home
  

• logon path = \\%L\profiles\%U # для перемещаемых профилей (%L - имя сервера, %U - имя пользователя для ресурса profiles)
• logon drive = H:
• logon home = \\%L\%U
• domain logons = yes | no
• shutdown script = /var/lib/samba/scripts/shutdown.sh
• abort shutdown script = /sbin/shutdown -c # кого гасим?!
• username map = /etc/samba/smbusers # каждая строка содержит Linux имя, символ "=" и список SMB имён через пробел; имена с пробелами необходимо заключать в кавычки
• ? winbind use default domain = no

Секции ресурсов:

• comment = описание ресурса
• browseable = no | yes
• writable = no | yes
• read only = no | yes
• valid users = %S | MYDOMAIN\%S | %G # ?
• path = путь-к-раздаваемым-файлам
• public = yes
• guest ok = yes # пароль не запрашивается, действия производятся от имени гостевого пользователя
• guest only = yes
• force user = имя-Linux-пользователя # создаваемые файлы будут иметь владельцем этого пользователя
• force group = имя-Linux-группы
• nt acl support = no
• locking = no # обязательно для netlogon
• profile acls = yes # для profiles
• admin users = список
• printable = yes # это ресурс очередей печати
• use client driver = yes # форматирование печати производится клиентом
• default devmode = yes

Утилита проверки синтаксиса: testparm.

Правила SELinux:

• samba_domain_controller
• samba_enable_home_dirs
• samba_export_all_ro
• samba_export_all_rw

Дополнительные разделяемые каталоги (не системные и не /home необходимо пометить для SELinux: "chcon -t samba_share_t каталог".

Каталог /var/lib/samba/scripts содержит скрипты, выполняемые ...

• руководство от разработчиков Samba (PDF, обновления только в формате HTML)
• коллекция рецептов (HOWTO, PDF, обновления только в формате HTML)
• The Linux Samba-OpenLDAP Howto
• Smbldap-tools - руководство пользователя (перевод на русский)
• Using Samba, 3rd Edition. January 01, 2007. Robert Eckstein, Paul Andrew Watters, Jay Ts, Gerald Carter. O'Reilly