На этот раз рассмотрим более сложный случай.

Пример 2. Samba-сервер в одноранговой сети. Персональные общие папки.

Содержание:

1. Особенности данного примера

2. Начальные допущения

3. Создаем пользователей файл-сервера

4. Создание общих ресурсов и назначение прав

5. Конфигурирование сервера Samba, запуск и проверка в работе

6. Подключение windows-клиентов

7. Полезные команды для администрирования файл-сервера Samba

Источник: Форум сообщества ALT Linux
Тренин Сергей, аkа greyzy
июль 2010

В этой статье постараюсь изложить основы настроики сервера Samba в windows-окружении. Изложение основано на книге Джона Терпстры Samba-3 в примерах (John Terpstra. Samba-3 by Example), которую вы можете найти на сайте команды разработчиков Samba www.samba.org.

Пример 1. Простой Samba-сервер. Доступ всем на все.

Содержание:

1. Требования и удаленное подключение к будущему файл-серверу

2. Подготовка раздела для общих ресурсов

3. Планирование общих ресуров

4. Создаем владельца общих ресурсов и сами общие папки

5. Конфигурирование сервера Samba

6. Запуск сервера Samba и проверка работы

7. Монтирование общих ресурсов в windows- и linux-клиентах

В этом примере речь пойдет о том, как организовать простой файловый сервер с безпарольным доступом к общим ресурсам. То есть можно будет "всем все", помните об этом, когда вдруг захотите скопировать через такую общую папку файл с паролями от вашей кредитки.

Ничего нового а не написал, все по материалам книги Samba-3 by Example, от себя добавил, как смонтировать общие ресурсы в windows и linux клиентах (ответы на мои же вопросы на форуме ALT Linux ).

Источник: Форум сообщества ALT Linux
Тренин Сергей, аkа greyzy
июль 2010

Этот документ является переводом статьи рамещенной в сети интернет по адресу http://forums.freebsd.org/showthread.php?t=770. Считаю своим долгом дополнить данный материал пунктом 6, ибо статья без него не является законченным работоспособным решением. Данное решение было протестировано переводчиком в виртуальной среде vmware, в операционной системе FreeBSD 8.0.

Обсудить данный перевод можно в соответствующей ветке форума.

1. Общая информация

В данном документе описана установка и настройка домена Samba на FreeBSD с базой данных в LDAP. Данная статья не позволит вам осуществлять соединения с сервером по протоколу ssh, описанная конфигурация позволит создать контроллер домена для клиентов windows.

2. Требования

Необходим shell доступ к серверу freebsd. Все операции должны выполняться от пользователя root.

3. Установка

Убедитесь что ваши порты обновлены перед установкой программ. Имя сервера serv01 Имя домена smbdomain.local FQDN имя serv01.smbdomain.local

#cat /etc/host

Содержимое файла /etc/hosts должно иметь вид ниже.

::1                     localhost localhost.smbdomain.local
127.0.0.1               localhost localhost.smbdomain.local
192.168.50.195          serv01.smbdomain.local serv01
192.168.50.195          serv01.smbdomain.local.

Нам необходимо установить следующие порты:

/net/openldap24-server

/net/samba3

/net/nss_ldap

/net/smbldap-tools

3.1 Установим сервер базы Openldap

Примем опции установки по умолчанию.

# cd /usr/ports/net/openldap24-server
# make install clean

3.2 Установим сервер Samba

# cd /usr/ports/net/samba30
# make install clean

Выберем следующие опции для установки:

[X] LDAP With LDAP support
[X] ADS With Active Directory support
[X] CUPS With CUPS printing support
[X] WINBIND With WinBIND support
[X] ACL_SUPPORT With ACL support
[X] AIO_SUPPORT With Asyncronous IO support
[ ] FAM_SUPPORT With File Alteration Monitor
[X] SYSLOG With Syslog support
[X] QUOTAS With Disk quota support
[X] UTMP With UTMP accounting support
[ ] PAM_SMBPASS With PAM authentication vs passdb backends
[ ] CLUSTER With experimental cluster support
[ ] DNSUPDATE With dynamic DNS update(require ADS)
[ ] EXP_MODULES With experimental modules
[X] POPT With system-wide POPT library
[X] PCH With precompiled headers optimization
[ ] MAX_DEBUG With maximum debugging
[ ] SMBTORTURE With smbtorture

3.3 Установим nss_ldap

# cd /usr/ports/net/nss_ldap/
# make install clean

3.4 Установим smbldap-tools

# cd /usr/ports/net/smbldap-tools
# make install clean

4. Конфигурирование

4.1 Настройка openldap

Настроим конфигурационный файл openldap (/usr/local/etc/openldap/slapd.conf). Создадим пароль для доступа к серверу openldap.

# slappasswd -s very-secure-password

{SSHA}2pCGrVMhMh3cC+LakUXApebb9jwICf5e

Примечание переводчика: обратите внимание дальше по тексту будет часто встречаться "very-secure-password". Так вот это пароль для доступа к серверу openldap.

Скопируем строку вывода, она нам понадобится. Теперь откроем наш конфигурационный файл

#vi usr/local/etc/openldap/slapd.conf

и приведем его к такому виду

# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

loglevel 256

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
moduleload      back_bdb

#######################################################################
# BDB database definitions
#######################################################################

database        bdb
suffix          "dc=smbdomain,dc=local"
rootdn          "cn=Manager,dc=smbdomain,dc=local"
#rootpw = very-secure-password
rootpw          {SSHA}2pCGrVMhMh3cC+LakUXApebb9jwICf5e

directory       /var/db/openldap-data

# Indices to maintain
index   objectClass     eq
index   cn              pres,sub,eq
index   sn              pres,sub,eq
index   uid             pres,sub,eq
index   displayName     pres,sub,eq
index   uidNumber               eq
index   gidNumber               eq
index   memberUID               eq
index   sambaSID                eq
index   sambaPrimaryGroupSID    eq
index   sambaDomainName         eq
index   default                 sub

Теперь нам необходимо произвести некоторые операции с файлами и папками указанными в этом конфигурационном файле.

# mkdir -p /var/db/openldap-data
# cp /usr/local/etc/openldap/DB_CONFIG.example /var/db/openldap-data/DB_CONFIG
# chown -R ldap:ldap /var/db/openldap-data
# chown -R ldap:ldap /usr/local/etc/openldap/
# chmod -R 0700 /var/db/openldap-data
# chmod 0400 /usr/local/etc/openldap/slapd.conf

Также необходимо скопировать схему samba в директорию со схемами ldap сервера.

# cp /usr/local/share/examples/samba/LDAP/samba.schema /usr/local/etc/openldap/schema/

Добавим в syslog лог файлы ldap сервера. Для этого в файл /etc/syslog.conf необходимо добавить строки

!slapd
*.*                             /var/log/slapd.log

Теперь создадим лог файл и перезапустим syslog

# touch /var/log/slapd.log
# /etc/rc.d/syslogd restart

4.2 Настройка nss_ldap

Настроим файл /usr/local/etc/nss_ldap.conf, приведем его к виду

base dc=smbdomain,dc=local

bind_policy soft
bind_timelimit 10

host localhost
idle_timelimit 3600
ldap_version 3

nss_base_group  ou=Groups,dc=smbdomain,dc=local?one
nss_base_passwd ou=People,dc=smbdomain,dc=local?one
nss_base_passwd ou=Computers,dc=smbdomain,dc=local?one
nss_base_shadow ou=People,dc=smbdomain,dc=local?one

nss_connect_policy persist
nss_paged_results yes

pagesize 1000
port 389
scope one
timelimit 30

Теперь необходимо создать символическую ссылку с /usr/local/etc/nss_ldap.conf на файл /usr/local/etc/openldap/ldap.conf

# rm -/usr/local/etc/openldap/ldap.conf
# ln -s /usr/local/etc/nss_ldap.conf /usr/local/etc/openldap/ldap.conf
# ln -s /usr/local/etc/nss_ldap.conf /usr/local/etc/ldap.conf

Настроим автоматический запуск сервера ldap после загрузки компьютера.

# echo "#enable slapd"  >> /etc/rc.conf
# echo slapd_enable=\"YES\" >> /etc/rc.conf
# echo slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://0.0.0.0/ ldap://127.0.0.1/"' >> /etc/rc.conf
# echo slapd_sockets="/var/run/openldap/ldapi" >> /etc/rc.conf

Ну и пробуем его запустить.

# /usr/local/etc/rc.d/slapd start

Starting slapd.

# ps ax | grep slap

11383  ??  Ss     0:00,01 /usr/local/libexec/slapd -h ldapi://%2fvar
11385  p2  S+     0:00,00 grep slap

Также необходимо отредактировать файл /etc/nsswitch.conf в частности изменить значение строк group: и passwd:

group: files ldap
group_compat: nis
hosts: files dns
networks: files
passwd: files ldap
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files

4.3 Настроим samba.

Теперь настроим сервер samba Все общие ресурсы и другие необходимые длся samba файлы расположим в директории /usr/local/samba

# mkdir /usr/local/samba

Создадим файл usermap для сопоставления пользователя с правами администратор

# vi /usr/local/samba/usermap

root = administrator

Удалим конфигурационный файл /usr/local/etc/smb.conf

#rm /usr/local/etc/smb.conf
# vi /usr/local/etc/smb.conf

и приведем его к виду ниже

# Global parameters
[global]
      workgroup = SMBDOMAIN
      server string = Samba Server
      netbios name = serv01
      hosts allow = 192.168.50. 127. 10.0.1.
      interfaces = fxp0, lo
      bind interfaces only = Yes

# passwd backend
      encrypt passwords = yes
      passdb backend   = ldapsam:ldap://serv01.smbdomain.local/
      enable privileges = yes
      pam password change= Yes
      passwd program = /usr/bin/passwd %u
      passwd chat = *New*UNIX*password* %nn *ReType*new*UNIX*password* %nn * passwd:*all*authentication*tokens*updated*successfully*
      unix password sync = Yes

# Log options
      log level = 1
      log file = /var/log/samba/%m
      max log size = 50
      syslog = 0

# Name resolution
      name resolve order = wins bcast host

# misc
      timeserver = Yes
      socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
      use sendfile = yes
      veto files = /*.eml/*.nws/*.{*}/
      veto oplock files = /*.doc/*.xls/*.mdb/
      deadtime         = 120

# Dos-Attribute
      map hidden = No
      map system = No
      map archive = No
      map read only = No
      store dos attributes = Yes

# printers - configured to use CUPS and automatically load them
      load printers = Yes
      printcap name = CUPS
      printing = cups
      cups options = Raw
      show add printer wizard = No

# scripts invoked by samba
      add user script               = /usr/local/sbin/smbldap-useradd -m %u
      delete user script            = /usr/local/sbin/smbldap-userdel %u
      add group script              = /usr/local/sbin/smbldap-groupadd -p %g
      delete group script           = /usr/local/sbin/smbldap-groupdel %g
      add user to group script      = /usr/local/sbin/smbldap-groupmod -m %u %g
      delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
      set primary group script      = /usr/local/sbin/smbldap-usermod -g %g %u
      add machine script            = /usr/local/sbin/smbldap-useradd -w %m

# LDAP-iConfiguration
      ldap delete dn                = Yes
      ldap ssl                      = off
      ldap passwd sync              = Yes
      ldap suffix                   = dc=smbdomain,dc=local
      ldap machine suffix           = ou=Computers
      ldap user suffix              = ou=People
      ldap group suffix             = ou=Groups
      ldap idmap suffix             = ou=Idmap
      ldap admin dn                 = cn=Manager,dc=smbdomain,dc=local
      idmap backend                 = ldap:ldap://serv01.smbdomain.local
      idmap uid                     = 10000-20000
      idmap gid                     = 10000-20000

# logon options
      logon script = logon.bat
      logon path = \%Lprofiles%u
      logon path =
      logon home = \%L%U
      logon drive = H:

# setting up as domain controller
      username map = /usr/local/samba/usermap
      preferred master = Yes
      wins support = Yes
      domain logons = Yes
      domain master = Yes
      local master = Yes
      os level = 64
      map acl inherit = Yes
      unix charset     = UTF8

#============================ Share Definitions ==============================

[netlogon]
      comment = Network Logon Service
      path = /usr/local/samba/netlogon
      guest ok = yes
      locking = no

[homes]
      comment = Home Directories
      valid users = %S
      read only = No
      browseable = No

[Profiles]
      comment = Network Profiles Service
      path = /usr/local/samba/profiles
      read only = No
      profile acls = yes
      hide files = /desktop.ini/ntuser.ini/NTUSER.*/
      profile acls = Yes

[printers]
      comment = All Printers
      path = /var/spool/samba
      browseable = No
      guest ok = Yes
      printable = Yes
      use client driver = Yes
      default devmode = Yes

[print$]
      comment = Printer Drivers
      path = /usr/local/samba/printer-drivers
      browseable = yes
      guest ok = no
      read only = yes
      write list = root

[data]
      comment = Data Directory
      path = /usr/local/samba/data
      write list = @smbdomain
      read only = No
      create mask = 0777
      directory mask = 0777

Обратите внимание на два параметра

interfaces = fxp0, lo
bind interfaces only = Yes

Значение первого fxp0 необходимо заменить на имя вашего сетевого интерфейса, или закомментируйте эти две строки. Теперь создадим следующие директории netlogon, profiles, printer-drivers, директории общих ресурсов и дадим на них соответствующие права.

# mkdir /usr/local/samba/netlogon
# mkdir /usr/local/samba/profiles
# mkdir /usr/local/samba/printer-drivers
# mkdir /usr/local/samba/data
# chmod 777 /usr/local/samba/profiles

Командой testparm проверим наш файл smb.conf на ошибки.

# testparm /usr/local/etc/smb.conf

Мы должны увидеть что то подобное без ошибок.

Load smb config files from /usr/local/etc/smb.conf
Processing section "[netlogon]"
Processing section "[homes]"
Processing section "[Profiles]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[data]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

Теперь сохраним пароль к LDAP серверу в файле secret.tdb samba. Для этого остановим сервер LDAP.

/usr/local/etc/rc.d/slapd stop

Stopping slapd.
Waiting for PIDS: 49851.

# smbpasswd -w very-secure-password

Setting stored password for "cn=Manager,dc=smbdomain,dc=local" in secrets.tdb

Добавим в автозапуск системы запуск сервера samba.

# echo "#enable Samba" >> /etc/rc.conf
# echo nmbd_enable="YES" >> /etc/rc.conf
# echo smbd_enable="YES" >> /etc/rc.conf
# echo winbindd_enable="YES" >> /etc/rc.conf
# echo cupsd_enable="YES" >> /etc/rc.conf

Запустим сервер samba.

# /usr/local/etc/rc.d/samba start

Removing stale Samba tdb files: ....... done
Starting nmbd.
Starting smbd.
Starting winbindd.

Проверим что сервер samba работает.

# ps -ax | grep mdb

1093  ??  Ss     0:00.03 /usr/local/sbin/nmbd -D -s /usr/local/etc/smb.conf
1095  ??  I      0:00.00 /usr/local/sbin/nmbd -D -s /usr/local/etc/smb.conf
1100  ??  Ss     0:00.01 /usr/local/sbin/smbd -D -s /usr/local/etc/smb.conf

Изменим стартовый конфигурационный скрипт samba добавив в зависимости slapd после cupsd во второй строке REQUIRE: как это сделано ниже

# vi /usr/local/etc/rc.d/samba

#PROVIDE: nmbd smbd
#PROVIDE: winbindd
#REQUIRE: NETWORKING SERVERS DAEMON ldconfig resolv
#REQUIRE: cupsd slapd
#BEFORE: LOGIN
#KEYWORD: shutdown

4.4 Настройка smbldap-tools

Настроим smbldap-tools. Запустим файл /usr/local/share/examples/smbldap-tools/configure.pl И будем отвечать на вопросы. Мной были добавлены [HIT ENTER] там где не нужно ничего менять, и [<--- NEEDS CHANGE] где требуются изменения. По просьбе читателей переводчик ввел дополнительно [<--- NEEDS PASSWORD + ENTER] вместо надписи "very-secure-password". После вопроса ldap tls support (1/0) [0] будет пауза в работе скрипта, она связана с тем что скрипт пытается получить SID, это может занять несколько секунд.

# /usr/local/share/examples/smbldap-tools/configure.pl

Use of $# is deprecated at /usr/local/share/examples/smbldap-tools/configure.pl line 314.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
       smbldap-tools script configuration
       -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Before starting, check
. if your samba controller is up and running.
. if the domain SID is defined (you can get it with the 'net getlocalsid')

. you can leave the configuration using the Crtl-c key combination
. empty value can be set with the "." character
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Looking for configuration files...

Samba Configuration File Path [/usr/local/etc/smb.conf]  [HIT ENTER]

The default directory in which the smbldap configuration files are stored is shown.
If you need to change this, enter the full directory path, then press enter to continue.
Smbldap-tools Configuration Directory Path [/etc/opt/IDEALX/smbldap-tools/] /usr/local/etc/smbldap-tools [<--- NEEDS CHANGE]
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Let's start configuring the smbldap-tools scripts ...

. workgroup name: name of the domain Samba act as a PDC
  workgroup name [smbdomain] [HIT ENTER]
. netbios name: netbios name of the samba controler
  netbios name [serv01] [HIT ENTER]
. logon drive: local path to which the home directory will be connected (for NT Workstations). Ex: 'H:'
  logon drive [H:] [HIT ENTER]
. logon home: home directory location (for Win95/98 or NT Workstation).
  (use %U as username) Ex:'\serv01%U'
  logon home (press the "." character if you don't want homeDirectory) [\%L%U] [HIT ENTER]
. logon path: directory where roaming profiles are stored. Ex:'\serv01profiles%U'
  logon path (press the "." character if you don't want roaming profile) [\serv01profiles%U] [HIT ENTER]
. home directory prefix (use %U as username) [/home/%U] [HIT ENTER]
. default users' homeDirectory mode [700] [HIT ENTER]
. default user netlogon script (use %U as username) [logon.bat] [HIT ENTER]
  default password validation time (time in days) [45] 100000  [<--- NEEDS CHANGE]
. ldap suffix [dc=smbdomain,dc=local] [HIT ENTER]
. ldap group suffix [ou=Groups] [HIT ENTER]
. ldap user suffix [ou=People] [HIT ENTER]
. ldap machine suffix [ou=Computers] [HIT ENTER]
. Idmap suffix [ou=Idmap] [HIT ENTER]
. sambaUnixIdPooldn: object where you want to store the next uidNumber
  and gidNumber available for new users and groups
  sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=smbdomain] [HIT ENTER]
. ldap master server: IP adress or DNS name of the master (writable) ldap server
  ldap master server [serv01.smbdomain.local] [HIT ENTER]
. ldap master port [389] [HIT ENTER]
. ldap master bind dn [cn=Manager,dc=smbdomain,dc=local] [HIT ENTER]
  ldap master bind password [] [<--- NEEDS PASSWORD + ENTER]
. ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master one
  ldap slave server [serv01.smbdomain.local] [HIT ENTER]
. ldap slave port [389] [HIT ENTER]
. ldap slave bind dn [cn=Manager,dc=smbdomain,dc=local] [HIT ENTER]
. ldap slave bind password [] [<--- NEEDS PASSWORD + ENTER]
. ldap tls support (1/0) [0] [HIT ENTER]
. SID for domain smbdomain: SID of the domain (can be obtained with 'net getlocalsid serv01')
  SID for domain smbdomain [S-1-5-21-2609998211-36760486-3473504348] [HIT ENTER]
. unix password encryption: encryption used for unix passwords
  unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] [HIT ENTER]
. default user gidNumber [513] [HIT ENTER]
. default computer gidNumber [515] [HIT ENTER]
. default login shell [/bin/sh] [HIT ENTER]
. default skeleton directory [/etc/skel] [HIT ENTER]
. default domain name to append to mail adress [] [HIT ENTER]
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Use of uninitialized value in concatenation (.) or string at /usr/local/share/examples/smbldap-tools/configure.pl line 314, /usr/local/etc/smbldap-tools/smbldap.conf.old
  /usr/local/etc/smbldap-tools/smbldap_bind.conf->/usr/local/etc/smbldap-tools/smbldap_bind.conf.old
writing new configuration file:
  /usr/local/etc/smbldap-tools/smbldap.conf done.
  /usr/local/etc/smbldap-tools/smbldap_bind.conf done.

Теперь запустим LDAP сервер

# /usr/local/etc/rc.d/slapd start

И создадим структуру базы домена

# smbldap-populate -u 10000 -g 10000 -r 10000

Populating LDAP directory for domain smbdomain (S-1-5-21-2609998211-36760486-3473504348)
(using builtin directory structure)

adding new entry: dc=smbdomain,dc=local
adding new entry: ou=People,dc=smbdomain,dc=local
adding new entry: ou=Groups,dc=smbdomain,dc=local
adding new entry: ou=Computers,dc=smbdomain,dc=local
adding new entry: ou=Idmap,dc=smbdomain,dc=local
adding new entry: uid=root,ou=People,dc=smbdomain,dc=local
adding new entry: uid=nobody,ou=People,dc=smbdomain,dc=local
adding new entry: cn=Domain Admins,ou=Groups,dc=smbdomain,dc=local
adding new entry: cn=Domain Users,ou=Groups,dc=smbdomain,dc=local
adding new entry: cn=Domain Guests,ou=Groups,dc=smbdomain,dc=local

adding new entry: cn=Domain Computers,ou=Groups,dc=smbdomain,dc=local
adding new entry: cn=Administrators,ou=Groups,dc=smbdomain,dc=local
adding new entry: cn=Account Operators,ou=Groups,dc=smbdomain,dc=local
adding new entry: cn=Print Operators,ou=Groups,dc=smbdomain,dc=local
adding new entry: cn=Backup Operators,ou=Groups,dc=smbdomain,dc=local
adding new entry: cn=Replicators,ou=Groups,dc=smbdomain,dc=local
adding new entry: sambaDomainName=smbdomain,dc=smbdomain,dc=local

Please provide a password for the domain root:
Changing UNIX and samba passwords for root
New password:[<--- NEEDS PASSWORD + ENTER]
Retype new password:[<--- NEEDS PASSWORD + ENTER]

Пароль который вы должны ввести это пароль пользователя administrator для сервера samba он необязательно должен совпадать с паролем к ldap серверу.

4.5 Настройка winbind

Теперь нужно настроить winbind (для этого потребовалось перезагрузить samba прим. переводчика)

# net rpc join -S serv01 -Uroot

password:
joined domain smbdomain

5. Администрирование сервера samba

Для администрирования сервера можно воспользоваться утилитой microsoft ftp://ftp.microsoft.com/Softlib/MSLFILES/SRVTOOLS.EXE

6. Админские привилегии в домене Samba.

Посмотреть назначенные привилегии

#net rpc rights list accounts -U administrator%пароль_администратора

Для добавления админских привилегий в домене группе Domain Admins:

#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SeAddUsersPrivilege
#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SeMachineAccountPrivilege
#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SeTakeOwnershipPrivilege
#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SeBackupPrivilege
#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SeRestorePrivilege
#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SeRemoteShutdownPrivilege
#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SePrintOperatorPrivilege
#net rpc rights grant -U administrator%пароль_администратора 'SMBDOMAIN\Domain Admins' SeDiskOperatorPrivilege

специально для smb-conf.ru
Айзятуллен Рамиль
май 2010

Lycane: попробовавшие утверждают, что скоростЬ чтения поднимается с 20 до 60 мб/с

Вообще говоря, я давно был не слишком доволен работой своего самба-сервера в плане низкой скорости скачивания данных с него, но руки не доходили разобраться что и как. А тут в рассылке stable@ как раз наткнулся на эту тему со ссылкой на официальный форум, попробовал рецепт, который там вычитал и был изрядно удивлен и обрадован. Собственно, оригинал здесь, а кому лень читать английский текст, могут продолжать читать дальше.

Для достижения нирваны нам нужно подгрузить модуль aio (асинхронного I/O), вставив в /etc/loader.conf следующее:

aio_load="YES"

Кроме того, нам нужно собрать (пересобрать) Samba с поддержкой aio (если самба уже стояла, не забываем забэкапить ее конфигурационный файл: /usr/local/etc/smb.conf. Кромe этого саму самбу придется снести):

#cd /usr/ports/net/samba33 & make config

#make install & clean

После чего необходимо внести некоторые изменения в /usr/local/etc/smb.conf, добавив в секцию [global] следующие строки:

socket options=SO_RCVBUF=131072 SO_SNDBUF=131072 TCP_NODELAY
min receivefile size=16384
use sendfile=true
aio read size = 16384
aio write size = 16384
aio write behind = true
dns proxy = no

Кроме того, советуют в /etc/sysctl.conf вставить следующие строки:

kern.ipc.maxsockbuf=16777216
kern.ipc.nmbclusters=32768
kern.ipc.somaxconn=32768
kern.maxfiles=65536
kern.maxfilesperproc=32768
kern.maxvnodes=800000
net.inet.tcp.delayed_ack=0
net.inet.tcp.inflight.enable=0
net.inet.tcp.path_mtu_discovery=0
net.inet.tcp.recvbuf_auto=1
net.inet.tcp.recvbuf_inc=524288
net.inet.tcp.recvbuf_max=16777216
net.inet.tcp.recvspace=65536
net.inet.tcp.rfc1323=1
net.inet.tcp.sendbuf_auto=1
net.inet.tcp.sendbuf_inc=524288
net.inet.tcp.sendspace=65536
net.inet.udp.maxdgram=57344
net.inet.udp.recvspace=65536
net.local.stream.recvspace=65536
net.inet.tcp.sendbuf_max=16777216
net.inet.tcp.mssdflt=1460

Вот собственно и все. После этого перезагружаемся, либо делаем:

#kldload aio
#/usr/local/etc/rc.d/samba restart

и с помощью sysctl меняем переменные (#sysctl команда_из_последнего_списка).

После чего запускаем копирование с samba-сервера и радуемся жизни.

Первоисточник Оптимизация работы Samba-сервера
Автор skiangel
март 2010

Обсудить данный перевод можно в соответствующей ветке форума.

Если вы нашли ошибки в переводе, пишите с пометкой "smbldap-tools перевод", постараемся исправить.

Руководство применимо к версии smbldap-tools 0.9.3 (которое идет с пакетом версии 0.9.5, прим.перев.).

Оригинал (doc\smbldap-tools.pdf) документа является собственностью IDEALX, распространяется под условием лицензии GNU Free Documentation License.

Smbldap-tools. Руководство пользователя

Версия (оригинала) : 1.7, от 22 апреля, 2008, Автор: Jerome Tournier

От переводчика

1.  Введение

1.1 Требования к программному обеспечению

1.2 Обновление этого документа

1.3 Распространение документа

2.  Установка

2.1 Требования

2.2 Установка

2.2.1 Установка из rpm-пакета

2.2.2 Установка из tarball

3.  Конфигурирование smbldap-tools

3.1 Файл smbldap.conf

3.2 Файл smbldap_bind.conf

4.  Использование скриптов

4.1 Создание структуры каталога

4.2 Управление пользователями

4.2.1 Добавление пользователей

4.2.2 Удаление пользователя

4.2.3 Внесение изменений в учетную запись пользователя

4.3 Управление группами

4.3.1 Создание группы

4.3.2 Удаление группы

4.4 Добавление пользователя доверенного домена

5.  Samba и smbldap-tools

5.1 Основное конфигурирование

5.2 Миграция PDC c NT4 на Samba 3

6.  Часто задаваемые вопросы

7.  Благодарности

8.  Приложения

8.1 Примеры конфигурационных файлов

8.1.1 Файл /etc/smbldap-tools/smbldap.conf

8.1.2 Файл /etc/smbldap-tools/smbldap_bind.conf

8.1.3 Файл /etc/samba/smb.conf

8.1.4 Конфигурационный файл OpenLDAP /etc/openldap/slapd.conf

8.2 Изменение административной учетной записи (ldap admin dn в файле smb.conf)

8.3 Известные ошибки

специально для smb-conf.ru
Тренин Сергей, аkа greyzy
апрель 2010

Январь 2010 – добавлено описание работы с учетными записями Windows 7.

Также обратите пожалуйста своё внимание на перевод Smbldap-tools. Руководство пользователя.

CentOS 5.x контроллер домена Samba с LDAP Backend

1.  Отключение selinux, установка пакетов

2.  Установка имени хоста (hostname)

3.  Генерация мастер-пароля и настройка LDAP

4.  Установка удаленного администратора LDAP

5.  Как сделать доступным только что установленное ПО

6.  Интеграция LDAP в Samba

7.  Начало установки LDAP Samba

8.  Усовершенствование Samba для возможности входа в домен систем на базе Windows 7

Первоисточник CentOS 5.x Samba Domain Controller With LDAP Backend.

Перевод на русский язык выполнил Айзятуллен Ренат, оформление и адаптация к сайту Айзятуллен Рамиль.

Обсудить данный перевод можно в соответствующей ветке форума.

специально для smb-conf.ru
март 2010

Неофициальное Samba HOWTO

1.  Краткая история

2.  Установка Samba

3.  Настройка Samba

4.  Подключение Samba

5.  Samba как Первичный Контроллер Домена

6.  Перемещаемые профили

7.  Безопасность Samba

8.  Samba производительность и оптимизация

9.  Эпилог

Первоисточник The Unofficial Samba HOWTO, by David Lechnyr.

Перевод на русский язык выполнил Айзятуллен Рамиль.

Обсудить данный перевод можно в соответствующей ветке форума.

специально для smb-conf.ru
январь 2010

ИМЯ

profiles — Утилита для изменения и просмотра SIDs в файлах реестра.

СИНТАКСИС

profiles [-v] [-c SID] [-n SID] {file}

ОПИСАНИЕ

Утилита часть пакета samba(7).

Profiles – это утилита для изменения и просмотра SIDs в файлах реестра windows.Сейчас поддерживается только NT.

ПАРАМЕТРЫ

file

Файл реестра для просмотра и редактирования.

-v | --verbose

Режим подробных сообщений.

-c SID1 -n SID2

Заменить все вхождения SID1 в файле на SID2.

-h | --help

Выводит суммарную информацию об опциях командной строки.

ВЕСИЯ

Этот man написан для версии 3 пакета Samba.

АВТОР

Изначально Samba и сопутствующие утилиты были разработаны Эндрю Тридгеллом (Andrew Tridgell). Сейчас Samba разрабатывается Samba Team в качестве Open Source проекта – напоминает то, как разрабатывается ядро Linux.

Страница man profiles написана Jelmer Vernooij.

Перевод на русский язык выполнил Айзятуллен Рамиль.

Обсудить данный перевод можно в соответствующей ветке форума.

ИМЯ

log2pcap — Сетевой трассировщик для log файлов Samba.

СИНТАКСИС

log2pcap [-h] [-q] [logfile] [pcap_file]

ОПИСАНИЕ

Утилита часть пакета samba(7).

Программа log2pcap считывает из лог-файла Samba и генерирует PCAP файл (читаемый большинством программ снифферов, таких как ethereal или tcpdump) на основе дампа пакетов из лог-файла.

Лог-файл должен генерироваться с уровнем log level не менее 5 для чтения заголовков, параметров прав SMB, 10 для получения первых 512 байт данных в пакете и 50 для получения всего пакета.

ПАРАМЕТРЫ

-h

Если опция определена, то в файле вывода будет HEX дамп в формате читаемом утилитой text2pcap.

-q

Спокойный режим. Не выводятся сообщения о потеряных или не выполненных данных.

logfile

Log файл Samba. log2pcap будет считывать log со стандартного stdin, если лог файл не определен.

pcap_file

Имя файла вывода для записи PCAP (или hexdump) данных. Если агрумент не определен данные выводятся на стандартный вывод stdout.

-h | --help

Выводит общую информацию о опциях командной строки.

ПРИМЕРЫ

Вывести весь сетевой трафик из всех log файлов samba:

$ log2pcap < /var/log/* > trace.pcap

Конвертировать в формат pcap используя text2pcap:

$ log2pcap -h samba.log | text2pcap -T 139,139 - trace.pcap

ВЕРСИЯ

Этот man написан для версии 3 пакета Samba.

ОШИБКИ

Только данные SMB data будут извлечены из файлов samba logs, не LDAP, NetBIOS lookup или другие данные.

Создаваемые заголовки TCP и IP не содержат действительной контрольной суммы.

АВТОР

Изначально Samba и сопутствующие утилиты были разработаны Эндрю Тридгеллом (Andrew Tridgell). Сейчас Samba разрабатывается Samba Team в качестве Open Source проекта – напоминает то, как разрабатывается ядро Linux.

Страница man log2pcap написана Jelmer Vernooij.

Перевод на русский язык выполнил Айзятуллен Рамиль.

Обсудить данный перевод можно в соответствующей ветке форума.

ИМЯ

smbpasswd — шифрованый файл паролей Samba

СИНТАКСИС

smbpasswd

ОПИСАНИЕ

Утилита часть пакета samba(7).

smbpasswd — шифрованый файл паролей Samba. Он содержит имя пользователя, UNIX ID пользователя и SMB хеш пароля пользователя, а также информацию об активности учетной записи и время последнего изменения пароля. Формат этого файла меняется вместе с Samba и пережил несколько разных форматов в прошлом.

ФОРМАТ ФАЙЛА

Формат файла smbpasswd используемый Samba 2.2 очень похож на формат Unix файла passwd(5). Это файл в формате ASCII, содержащий одну строку на каждого пользователя. Кажое поле в строке отделено от следующего двоеточием. Любая запись, начинающаяся с # игнорируется. Smbpasswd файл содержит следующую информацию для каждого пользователя:

name

Имя пользователя. Это может быть имя, которое уже существует в стандартном файле паролей UNIX.

uid

Это UNIX UID. Он должен совпадать с полем uid для некоторого пользователя в стандартном файле паролей UNIX. Если не совпадает Samba не признает эту запись файла smbpasswd действительной для пользователя.

Lanman Password Hash

LanMan хеш пароль пользователя кодируется в виде 32 шестнадцатеричных цифр. LanMan хеш создается путем DES шифрования известной строки с помощью пароля пользователя в качестве ключа DES. Это тот же пароль используется компьютерами Windows 95/98. Заметьте, что такой хэш пароля считается слабым, он уязвим для атаки по словарю, и если двум пользователям выбрать одинаковый пароль хеш получится идентичным (такие пароли не используются в качестве паролей UNIX). Если у пользователя пустой пароль, то в области пароля будут символы "НЕТ ПАРОЛЯ" в начале шестнадцатеричной строки. Если шестнадцатеричная строка содержит 32 символа 'X', то учетная запись пользователя помечена как отключенная, и пользователь не сможет авторизоваться на сервере Samba.

ВНИМАНИЕ! Протокол аутентификации SMB / CIFS работает по принципу запрос-ответ, поэтому все кто знают хеш пароля могут им воспользоваться. По этой причине эти хэши известны как простые эквиваленты текста и не должны быть доступны для всех, кроме root пользователя. Для защиты этих паролей smbpasswd файл помещается в папку с правами на чтение и траверс доступ только root пользователю, а на сам файл smbpasswd устанавливается доступ на чтение/запись только пользователю root.

NT Password Hash

Windows NT хеш пароля пользователя кодируется как 32 шестнадцатеричных цифр. Хэш Windows NT создается путем принятия пароля пользователя в 16-битном формате, little-endian UNICODE, а затем применением к нему MD4 (RFC 1321) алгоритма хэширования.

Этот хеш пароля считается более безопасным, чем LanMan хеш пароля. Он сохраняет регистр пароля и использует гораздо более высокое качество алгоритма шифрования. Однако по-прежнему если двум пользователям выбрать одинаковый пароль хеш получится идентичным (такие пароли не используются в качестве паролей UNIX).

ВНИМАНИЕ! Протокок аутентификации SMB / CIFS работает по принципу запрос-ответ, поэтому все кто знают хеш пароля могут им воспользоваться. По этой причине эти хэши известны как простые эквиваленты текста и не должны быть доступны для всех, кроме root пользователя. Для защиты этих паролей smbpasswd файл помещается в папку с правами на чтение и траверс доступ только root пользователю, а на сам файл smbpasswd устанавливается доступ на чтение/запись только пользователю root.

Account Flags

Секция содержит флаги описывающие атрибуты учетной записи пользователя. Это поле содержит символы квадратных скобок '[' и ']' а также тринадцать символов (включая символы скобок). Содержимое поля может быть одним из следующих символов:

• U - Означает что запись является учетной записью пользователя;
• N - Означает что учетная запись не имеет пароля (поле паспорта LANMAN Password Hash или NT Password Hash игнорируется). Заметьте, пользователям быдет позволен вход без пароля только если установлен параметр null passwords в конфигурационном файле smb.conf;
• D - Учетная запись отключена и SMB / CIFS логин не разрешен пользователю;
• X - Пароль не имеет срока давности, т.е. не истечет;
• W - Означает что эта учетная запись "Workstation Trust". Используется в коде Samba PDC для доступа Windows NT Workstations и Servers для ввода в домен Samba PDC.

Другие флаги могут быть добавлены в будущем. Пустое место заполнено пробелами. Для получения дополнительной справки по флагам обратитесь к странице справки команды pdbedit.

Last Change Time

Время последней модификации учетной записи. Поле содержит символы 'LCT-' и временем в цифровой кодировке UNIX в секундах с начала эпохи (1970) на момент последнего изменения учетной записи.

Все другие поля разделенные двоеточиями в настоящее время игнорируются.

ВЕРСИЯ

Страница man корректна для 3 версии пакета Samba.

СМОТРИТЕ ТАКЖЕ

smbpasswd(8), RFC 1321 для большей информации о алгоритме MD4.

АВТОР

Изначально Samba и сопутствующие утилиты были разработаны Эндрю Тридгеллом (Andrew Tridgell). Сейчас Samba разрабатывается Samba Team в качестве Open Source проекта – напоминает то, как разрабатывается ядро Linux.

Изначально страницы man поддерживал Karl Auer. Исходные коды страниц man конвертировались в формат YODL (доступно здесь yodl.sourceforge.net) и обновлялись для релизов Samba 2.0 Jeremy Allison. Переведено в формат DocBook для Samba 2.2 Джерардом Картером (Gerald Carter). Переведено в формат XML 4.2 для Samba 3.0 Александром Боковым.

Перевод на русский язык Айзятуллен Рамиль.

Обсудить данный перевод можно в соответствующей ветке форума.