25.2. Nastavení serveru

SUSE LINUX – Příručka správce systému Kapitola 25. Samba / 25.2. Nastavení serveru
	Kapitola 25. Samba		25.3. Samba jako přihlašovací server

Nejdříve je třeba nainstalovat samba. Ručně pak můžete spustit službu příkazem rcsmb start a pomocí rcsmb stop opět ukončit.

Centrální konfigurační soubor v Sambě je /etc/samba/smb.conf. Zde je možné konfigurovat celou službu. V zásadě se dělí konfigurační soubor /etc/samba/smb.conf na dvě části. V [globals] části jsou obecná a centrální nastavení. V druhé části -- [share] se nastavují sdílené adresáře a nastavují práva k souborům a adresářům. Pokud má být určité nastavení v [share] části platné pro celou sekci, pak je třeba ho přesunout do [globals] a tím bude platné pro všechny shares, což ušetří stresovaným správcům systémů trochu práce.

Abychom to celé trochu zprůhlednili, vysvětlíme si jednotlivé parametry.

25.2.1. Sekce [global]

Aby ostatní počítače s prostředím Windows mohly přistupovat prostřednictvím SMB k vašemu Samba serveru, važdují následující parametry ze sekce [global] určité úpravy v nastavení sítě.

workgroup = TUX-NET

Samba serveru je pomocí této řádky přiřazen název pracovní skupiny. Je potřeba uvést TUX-NET mezi vaše pracovní skupiny nebo konfigurovat klienty na tuto hodnotu.

os level = 2

Podle tohoto parametru se bude Samba server rozhodovat, zda se stane LMB (Local Master Browser) pro své pracovní skupiny. V příkladu uvedená hodnota je schválně nízká tak, aby existující windowsová síť nebyla rušena špatně nakonfigurovanou Sambou. Bližší informace k této volbě naleznete v souborech BROWSING.txt a BROWSING-Config.txt, které najdete v podadresáři textdocs dokumentace balíku.

Pokud ještě neprovozujete SMB server (např. ve Windows NT, 2000, XP) a sambový server by měl v lokální síti udržovat informace o jménech dostupných systémů -- tak stačí zvýšit os level na vyšší hodnotu (např. 65) a stane se tak LMB.

Při změnách této hodnoty byste měli být obzvláště opatrní, protože můžete rušit komunikaci ve stávající síti. First test the changes in an isolated network or at a noncritical time of day.

wins support a wins server

Když chcete integrovat Sambu do windowsové sítě, kde již běží WINS server -- tak položku odkomentujte a uveďte jeho IP adresu.

Když jsou windowsové systémy provozovány v oddělených podsítích, měly by se vidět, ve vaší win síti není žádný WINS server a chcete Sambu používat jako WINS server -- tak nastavte wins support = yes. Pozor na to, abyste tuto položku aktivovali pouze na jednom serveru.

25.2.2. Sdílení

V následujících příkladech si ukážeme, jak sdílet CD mechaniku a domovské soubory tzv. homes.

V následujícím příkladě jsou všechny řádky zakomentované znakem ;. Pokud chcete sdílet CD mechaniku, musíte tento znak z každé řádky odstranit.

[cdrom]

Aby nedošlo ke zneužití CD mechaniky, je ve výchozím nastavení deaktivována pomocí komentáře (zde středník). Odstraněním komentáře můžete CD-ROM sdílet.

;[cdrom]
;       comment = Linux CD-ROM
;       path = /media/cdrom
;       locking = No

[cdrom] a [comment]: Položka cdrom obsahuje jméno, které bude vidět na SMB klientech. Pomocí comment můžete použít libovolné jméno.
path = /media/cdrom: Slouží pro exportování bodu připojení, v tomto případě /media/cdrom.

Tento způsob exportování je omezen pouze na lokální uživatele. Ostatním umožníte přístup volbou guest ok = yes. Protože tato volba umožňuje přístup ke čtení všem, je potřeba s ní zacházet velice opatrně. Hlavně při používání v sekci global.

[homes]

Zvláštní postavení má export tzv. homes. Pokud má uživatel na linuxovém souborovém serveru platný účet a vlastní domovský adresář, pak se může jeho klient po zadání platného uživatelského jména a hesla připojit

[homes]
        comment = Home Directories
        valid users = %S
        browseable = no
        writeable = yes
        create mask = 0640
        directory mask = 0750

[homes]: Při připojení uživatele k SMB serveru je automaticky vytvořeno sdílení pomocí parametru [homes]. Výsledné jméno sdílení je shodné s uživatelským jménem a vytvoří se pouze, pokud již neexistuje sdílení se stejným jménem.
valid users = %S: \%S po úspěšné výstavbě spojení je nahrazen exportovaným jménem. Protože při exportu home musí být vždy exportovaný název stejný s názvy uživatelů, je omezeno používání home pouze na vlastníka.
browseable = No: Když je tato volba nastavena na no - nebude zobrazován v seznamech
read only = No: Samba má přenastaven zápis u exportovaných dat na read only = yes. Pokud má být adresář přístupný pro zápis, pak je třeba nastavit writeable = yes. U domovských adresářů je to většinou požadováno. Samba má přenastaven zápis u exportovaných dat na read only = yes. Pokud má být adresář přístupný pro zápis, pak je třeba nastavit writeable = yes. U domovských adresářů je to většinou požadováno.
create mask = 0640: Systémy nezaložené na MS Windows NT nedokáží pracovat s UNIXovými pžístupovými právy a tím pádem ani nastavit tato práva při vytváření souborů. Parametr create mask nastavuje přístupová práva všech nově vytvořených souborů. Toto nastavení se týká pouze těch sdílení, do kterých mají uživatelé právo zápisu. Výše uvedená hodnota nastavuje právo pro četní a zápis vlastníka souboru a práva pro čtení pro všechny uživatele z vlastníkovy skupiny. Nastavením valid users = %S zamezíte ostatním členům skupiny přítupu ke čtení i v případě, že to práva povolují. Aby měla celá skupina práva ke čtení a zápisu, je nutné řádku valid users = %S zakomentovat.

25.2.3. Security Level

SMB protokol vychází z prostředí DOS/Windows bere ohledy na problematiku bezpečnosti. Proto je možné přístup ke každému exportovanému adresáři ochránit heslem. SMB rozlišuje tři různé způsoby:

Share Level Security (security = share):: Heslo je stejné pro všechny uživatele. Každý, kdo toto heslo zná, má přístup ke sdíleným souborům a tiskárnám.
User Level Security (security = user):: Každý uživatel má vlastní heslo. Po registraci server přiděluje uživatel přístup jek k jejich povoleným sdílením.
Server Level Security (security = server):: Samba pracuje v uživateslkém režimu. Tím jsou vechny žádosti o ověření předávány jinému serveru, který také pracuje v tomto režimu. Tento parametr vyžaduje další nastavení(password server =).

Uvedená nastavení jsou aplikována na celý server. Není možné nastavit individuální sdílení s různými bezpečnostními stupni. Můžete však pro každou IP adresu nastavenou na systému spustit vlastní Samba server.

Více informací o této problematice najdete v Samba HOWTO Collection. U vícenásobného serveru na jednom počítači věnujte pozornost volbám interfaces a bind interfaces only.

Tip

	Tip
Pro jednoduchou správu Samba serverů existuje program swat. Ten používá pro konfiguraci jednoduché webové rozhraní, pomocí kterého je možné pohodlně konfigurovat server. Používá port `901` a po spuštění prohlížeče ho najdete na adrese http://localhost:901, kde se přihlaste jako uživatel `root`. Nezapomeňte, že swat je potřeba taky aktivovat v souborech `/etc/xinetd.d/samba` a `/etc/services`. K tomu musíte v souboru `/etc/xinetd.d/samba` nastavit parametr `disable` na hodnotu `no`. Další informace o swat najdete v jeho manuálové stránce.

Pro jednoduchou správu Samba serverů existuje program swat. Ten používá pro konfiguraci jednoduché webové rozhraní, pomocí kterého je možné pohodlně konfigurovat server. Používá port 901 a po spuštění prohlížeče ho najdete na adrese http://localhost:901, kde se přihlaste jako uživatel root. Nezapomeňte, že swat je potřeba taky aktivovat v souborech /etc/xinetd.d/samba a /etc/services. K tomu musíte v souboru /etc/xinetd.d/samba nastavit parametr disable na hodnotu no. Další informace o swat najdete v jeho manuálové stránce.