Все о Samba » user

GroupPolicy WinXP samba3

admin1 — Fri, 07 Aug 2009 17:21:29 +0000

GroupPolicy WinXP samba3

Предисловие

Поднял в школе домен под управлением samba 3.3.6. Создал mandatory профиль (можете почитать предыдущий пост). В общем все замечательно Единственное что – в предыдущем посте я сказал, что для mandatory профиля нужно подправить групповую политику, а машин у меня 26 штук и настраивать политику на каждой машине не хотелось, поэтому я изобрел велосипед

Про pstools можно почитать здесь.

0. Для начала необходимо настроить самбу. Нам будет нужна шара, которая пускает пользователей без пароля (вообще! то есть запроса пароля нет). Для этого редактируем smb.conf:

- в секцию [global] добавляем такие параметры:

map to guest = bad user guest account = nobody

- создаем шару:

[GroupPolicy] path = /home/GroupPolicy browseable = no read only = yes guest only = yes

Теперь, после таких манипуляций, самба будет пускать на эту шару без пароля (даже при security = user). Остается только перезапустить самбу.

1. Сидя за своим рабочим местом, запускаем gpedit.msc и настраиваем политику для локального компьютера.

После чего копируем папку %systemroot%\system32\GroupPolicy на нашу самбовскую шару.
Примечание: папка скрытая, так что включите отображение скрытых папок.

2. Скачиваем pstools. И разархивируем их куда-нибудь. Нам понадобится утилита psexec.exe и pshutdown.exe (эта необязательная утилита).

3. Теперь выбираем любой компьютер (просто посмотрите на него xD ), запоминаем имя. У меня это ws1-48. Теперь переходим непосредственно к применению политик. Для этого запускаем последовательно нижеследующие команды.

Первая команда удаляет директорию с политиками:

psexec.exe \\ws1-48 -u Администратор -p password cmd.exe /C rmdir C:\WINDOWS\system32\GroupPolicy /S /Q

Здесь мы создаем каталог для политик:

psexec.exe \\ws1-48 -u Администратор -p password cmd.exe /C mkdir C:\WINDOWS\system32\GroupPolicy

А здесь происходит копирование политики с самбовской шары:

psexec.exe \\ws1-48 -u Администратор -p password cmd.exe /C xcopy \\asassin\GroupPolicy\GroupPolicy C:\WINDOWS\system32\GroupPolicy /s /e /h /y

4. Все – политики скопировались (можно пойти и на машине ws1-48 запустить gpedit и посмотреть изменения). Для их применения можно использовать gpedit или ребутнуть машину. Для пущей уверенности я перезагружу удаленную машину. Для этого я буду использовать psshutdown.exe:

psshutdown.exe -u Администратор -p password -r -t 10 \\ws1-48

Удаленная машина перезагрузится (-r) через десять секунд (-t).

Итого: Мы получили вполне работоспособное решение, которое, к тому же не требует GUI оболочек, а следовательно все эти команды можно запихнуть в скрипт и запускать автоматом, после изменения политики. Вот такой вот костыль

Источник:

www.fr33man.ru/2009/07/30/grouppolicy-winxp-samba3/

ОПИСАНИЯ РАЗДЕЛОВ

admin1 — Mon, 25 May 2009 14:56:09 +0000

Каждый раздел в файле конфигурации (за исключением секции [global]) описывает общий ресурс (известный как «share»). Название раздела – это имя общего ресурса и параметры в разделе определяют свойства общего ресурса.

Есть три специальных раздела, [global], [homes] and [printers], которые описаны под специальными разделами. Следующие примечания относятся к обычным описаниям секции.

Общий ресурс состоит из директории, к которой дается доступ плюс описание прав доступа, которое предоставляется пользователю сервисом. Некоторые вспомогательные опции также специфичны.

Разделы – это или общие файловые ресурсы (используемые клиентом как расширение их родных файловых систем) или сервисы печати (используемые клиентом для доступа к сервису печати на сервере печати).

Разделам может быть назначен гостевой доступ, в этом случае не требуется пароль для доступа к ним. Специальная UNIX гостевая учетная запись используется для определения привилегий доступа в этом случае.

Разделы, отличные от гостевого сервиса требуют пароль для доступа к ним. Клиент предоставляет имя пользователя. Для старых клиентов предоставляющих пароли без имен пользователей, вы можете задать список имен пользователей для проверки паролей используя параметр user = option в настройках общего ресурса. Для современных клиентов, таких, как Windows 95/98/ME/NT/2000, этого не требуется.

Права доступа, предоставленные сервером замаскированы правами доступа, предоставленными указанному или гостевому UNIX пользователю системы. Сервер не предоставит доступа больше чем UNIX система.

Следующий типовой раздел определяет файловый общий ресурс. Пользователь имеет доступ на запись в папку /home/bar. Общий ресурс доступен через имя общего ресурса foo:

path = /home/bar

read only = no

Следующий типовой раздел определяет общий ресурс печати. Общий ресурс только для чтения но с возможностью печати. Таким образом доступ на запись через запросы вида открыть, записать и закрыть печатаемый файл. guest ok разрешает печать гостевому пользователю (определенному в другом месте):

[aprinter]

path = /usr/spool/public

read only = yes

printable = yes

guest ok = yes

СПЕЦИАЛЬНЫЕ РАЗДЕЛЫ

Раздел [global]

Параметры этого раздела применяются к серверу целиком или являются умолчаниями для разделов если они специально не определены. Более подробно смотри примечания под разделом PARAMETERS.

Раздел [homes]

Если раздел названый [homes] включен в конфигурационный файл, сервисы подключающие клиентов к их домашним директориям могут быть созданы сервером на лету.

Когда запрос на соединение сделан, сканируется существующая секция. Если соответствие обнаружено, оно используется. Если соответствия нет, то название секции трактуется как имя пользователя и происходит обращение к локальному файлу паролей. Если имя существует и пароль корректен, общий ресурс создастся клонируя [home] секцию.

Некоторые изменения сделаны к недавно созданному ресурсу. Имя общего ресурса изменяется с homes на выбранного username. Если ни один путь не удался, путь определяется как домашняя директория

пользователя. Если вы решите использовать path = line в вашем [homes] разделе, может быть полезно использовать %S макрос.

Например: path = /data/pchome/%S может быть полезно если вы имеете различные домашние директории для вашего ПК по сравнению с UNIX доступом.

Это быстрый и простой способ для большого количества клиентов получить доступ к своим домашним каталогам с минимумом суматохи.

Аналогичный процесс происходит, если запрашиваемое название раздела «homes», за исключением того, что имя общего ресурса не изменилось, что и запрашивающего пользователя. Это метод использования [homes] раздела работает хорошо, если разные пользователи используют общий ресурс клиентского ПК.

[homes] раздел может определить все параметры, которые может определить нормальный раздел, хотя некоторые имеют больше смысла чем другие. Следующая из типичных ситуаций раздела [homes]:

[homes]

read only = no

Важный пункт, если доступ гостя определен в разделе [homes], все домашние каталоги будут видимы всем клиентам без пароля. В очень редких случаях, когда это действительно целесообразно, можно указать доступом только для чтения.

Флаг видимости для авто домашних директорий будет унаследован от глобального флага видимости, не от [homes] флага видимости. Это полезно как средство установки browseable = no в разделе [homes] будет скрывать [homes] общий ресурс, но сделает любые авто home каталоги видимыми.

Раздел [printers]

Этот раздел работает как [homes], но для принтеров. Если [printers] раздел есть в конфигурационном файле, пользователи имеют возможность подключиться к любому принтеру из local host’s printcap файла.

Когда запрос на соединение сделан, сканируется существующая секция. Если соответствие обнаружено, оно используется. Если соответствия нет, но раздел [home] существует он используется как описано выше. В противном случае предложеное название раздела трактуется как имя принтера и соответствующие printcap файл сканируется, чтобы, если предложеное название раздела – это действительное имя общего ресурса принтера. Если соответствие обнаружено, общий ресурс принтера создастся клонируя [printers] секцию.

На вновь созданном ресурсе произойдут следующие изменения:

Имя общего ресурса установится к имени принтера
Если имя принтера не указано, то оно установится в имя определивщегося принтера
Если общий ресурс не позволяет гостевой доступ и не указано имя пользователя, то имя пользователя установится в имя принтера

Сервис [printers] ДОЛЖНО быть пригодным для печати – если Вы определите иначе, то сервер откажется загрузить файл конфигурации.

Типично определенный путь – это доступная всем на запись принтерная директория с установленным sticky bit. Стандартная настройка [printers] похожа на это:

[printers]

path = /usr/spool/public

guest ok = yes

printable = yes

Все псевдонимы для принтера приводятся в файле printcap. Если ваша подсистема печати не работает, возможно, вам придется создать pseudo-printcap. Это файл, состоящий из одной или более строк так :

alias|alias|alias|alias…

Каждый псевдоним должен быть приемлемым именем принтера для вашей подсистемы печати. В разделе [global] укажите новый фаил как ваш printcap. Сервер признает только названия, найденные в вашем pseudo-printcap, который конечно может содержать любые псевдонимы, которые Вы любите. Та же самая техника может использоваться просто, чтобы ограничить доступ к подмножеству ваших локальных принтеров.

Он же, кстати, определяется как компонент первой строки printcap записи. Записи разделяются новой строкой, компоненты (если есть больше чем один) отделены вертикальными символами (|).

В SYSV системах, использующих lpstat для определения того какие принтеры присутствуют в системе вы можете использовать printcap name = lpstat для получения списка принтеров автоматически. Более подробно смотрите опцию printcap.

USERSHARES

Начиная с версии 3.0.23 добавлена возможность для не root пользователей добавлять, изменять и удалять собственные общие ресурсы. Эта возможность называется usershares и настраивается установкой параметров в разделе [global] файла smb.conf. Соответствующие параметры:

usershare allow guests – Разрешен гостевой доступ.

usershare max shares – Максимальное количество пользовательских общих ресурсов.

usershare owner only – Если установлено, то только хозяин директории общего ресурса может создавать общий ресурс.

usershare path – Директория, содержащая пользовательские общие ресурсы. Разрешения файловой системы для этой директории контролируют того, кто может создать пользовательские общие ресурсы.

usershare prefix allow list – Список имен путей, отделенных запятой, определяющий какие директории могут быть shared. Только каталоги ниже этих путей в этом списке разрешаются.

usershare prefix deny list – Список имен путей, отделенных запятой, определяющий какие директории могут быть shared. Каталоги ниже пути в этом списке запрещены.

usershare template share – Имена существующущих share используются в качестве образца для создания новых usershares. Все другие параметры share, не указанные в настройках пользовательского общего ресурса копируются из этого имени share.

Для разрешения членам Unix группы foo создавать пользовательские общие ресурсы, создайте директорию, содержащую настройки share:

С правами root:

mkdir /usr/local/samba/lib/usershares chgrp

foo /usr/local/samba/lib/usershares chmod

1770 /usr/local/samba/lib/usershares

Затем добавьте параметры:

usershare path = /usr/local/samba/lib/usershares

usershare max shares = 10 # (or the desired number of shares)

в раздел global вашего smb.conf. Члены группы foo могут изменять пользовательские общие ресурсы используя следующие команды:

net usershare add sharename path [comment] [acl] [guest_ok=[y|n]]

Для создания или измениения пользовательского общего ресурса.

net usershare delete sharename

Для удаления пользовательского общего ресурса.

net usershare list wildcard-sharename

Для просмотра пользовательских общих ресурсов.

net usershare info wildcard-sharename

Для печати информации о пользовательских общих ресурсах.

PARAMETERS

Параметры специфичные для разделов.

Некоторые параметры специфичны для раздела [global]. Некоторые параметры используются во всех разделах. Все другие разрешены только в нормальных разделах. Разделы [homes] и [printers] считаются нормальными. Символ G в скобках говорит что параметр указан для раздела [global]. Символ S говорит что параметр указан для сервисного раздела. Все S параметры могут также указываться в разделе [global] – в этом случае они будут определяться по-умолчанию для всех сервисов.

Параметры отсортированы по-алфавиту – это может не лучщее решение, но по крайней мере так их можно найти. Там где есть синонимы предпочтительный синоним описан, другие обращаются к этому синониму.

user (S)

admin1 — Sat, 09 May 2009 11:49:31 +0000

Этот параметр – синоним для username.

security (G)

admin1 — Sat, 09 May 2009 11:37:17 +0000

Значение по умолчанию:

security = USER

Пример:

security = DOMAIN

англ. security (G)

Этот параметр влияет на то, как будут себя вести клиенты Samba и это один из наиболее важных параметров файла smb.conf.

Он устанавливает "security mode bit" в репликах к smbd в момент согласования протокола, тем самым включая или отключая режим безопасности. Клиенты, основываясь на этой информации, определяют нужно ли (и если да то как) передавать серверу имя пользователя и пароль.

Значение по умолчанию security = USER, т.к. это наиболее подходящее значение для связи с Windows 98 и Windows NT. Другие значения: SHARE, SERVER или DOMAIN.

В версиях Samba до 2.0.0, значением по умолчанию было SHARE в основном потому, что это было единственное значение, имевшее тогда смысл. Есть одна ошибка в Windows для рабочих групп (Windows for Workgroups, WfWg), которая имеет отношение к этому параметру. При работе в режиме USER или SERVER, клиенты Windows для рабочих групп игнорируют имя пользователя и пароль, указываемые в диалоге для доступа к ресурсу. "Благодаря" этому практически невозможно присоединиться к сервису Samba пользователем, отличным от того, с правами которого произведен вход в Windows. Если на Ваших ПК имена пользователей такие же как имена пользователей в UNIX, тогда Вам нужно использовать режим USER. Если Вы используете имена, которые не существуют на сервере UNIX тогда используйте режим SHARE. Вам также следует использовать режим SHARE, если Вы хотите открыть гостевой доступ. В основном это используется для принт-серверов. Настроить гостевой доступ при использовании USER сложнее, смотрите секцию map to guest для получения более подробной информации. Возможно настроить smbd в смешанном режиме, когда Samba будет обслуживать оба режима (USER и SHARE), используя разные псевдонимы NetBIOS.

security = SHARE

Когда клиенты присоединяются к ресурсу с security = SHARE им не нужно регистрироваться с использованием действительного имени пользователя и пароля (хотя современные клиенты Windows 95/98 и Windows NT посылают запрос на вход в систему с именем пользователя без пароля, когда подсоединяются к серверу, находящемуся в режиме SHARE). Вместо этого, клиенты посылают информацию аутентификации (пароли) на конкретный ресурс, в тот момент, когда хотят получить доступ к этому ресурсу. Заметьте, что smbd ВСЕГДА использует реального пользователя UNIX, когда обслуживает клиента, даже если установлено security = SHARE. Т.к. в режиме SHARE от пользователя не требуется посыла его имени, smbd использует несколько приемов для определения пользователя UNIX.

Список предполагаемых имен пользователей UNIX и соответствующих им паролей определяется следующим образом:

Если установлен параметр guest only, тогда все остальные сценарии пропускаются и используется только имя гостевой учетки (guest account).
Если имя пользователя послано вместе с запросом на установление соединения после сопоставления (см. username map), добавляется в список.
Если клиент выполнял запрос logon (вызов SessionSetup SMB), тогда имя пользователя, использовавшееся в этом вызове будет добавлено в список.
Имя сервиса, которое запросил клиент, будет добавлено в список. NetBIOS имя клиента добавляется в список. Все пользователи из списка пользователей добавляются в этот список.

Если параметр guest only не установлен, тогда этот список пользователей обрабатывается с соответствующими паролями. Первый пользователь, пароль которого совпадет с реальным будет использован в качестве действующего пользователя UNIX.

Если параметр guest only установлен или не найдено подходящего имени пользователя, тогда, если Samba разрешено "принимать гостей" (usershare allow guests), будет использоваться гостевая учетка, в противном случае доступ будет запрещен.

Заметьте, что при использовании уровня безопасности SHARE может быть очень сложно определить какой же пользователь UNIX будет использован в конечном счете.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

security = USER

Это значение по умолчанию в Samba 3.0. При этом, клиент должен сначала произвести вход (logon), с существующим именем пользователя и паролем (имя может быть транслировано с помощью параметра username map). Шифрованные пароли (см. encrypted passwords) также могут быть использованы в этом режиме.

Такие параметры, как user и guest only, если они установлены на ресурс, могут поменять значение пользователя UNIX, который будет использоваться в конечном счете, НО только после того как пользователь успешно пройдет аутентификацию.

Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетки не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей.

См. секцию параметра map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

security = DOMAIN

Такой режим будет работать только в том случае, если была использована команда net(8) для добавления этого компьютера в домен Windows NT. Это требует установленного параметра encrypted passwords = yes.

В этом режиме Samba попытается опознать имя пользователя и пароль, передав их первичному или резервному домен контроллерам Windows NT, т.е. сделает тоже самое, что сделал бы сервер Windows NT.

Заметьте, что реальный пользователь UNIX все-таки должен быть, потому что Samba придется проверять права доступа пользователя UNIX (пусть даже и транслированного в другого, прим. перев.), к файлу в файловой системе UNIX. С точки зрения клиента, нет разницы между режимами DOMAIN и USER. Это затрагивает лишь то, как сервер проводит аутентификацию, только и всего.

Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые шары не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей, чтобы сервер аутентифицировал пользователя используются параметр guest account.

Обязательно ознакомьтесь с map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

И еще смотрите секции параметров password server и encrypted passwords.

security = SERVER

В этом режиме Samba попытается определить правильность пары пользователь/пароль, передав ее другому серверу SMB, такому как NT. Если это не получится, будет работать security = USER.

Шифрованные пароли (см. encrypted passwords) также могут быть использованы в этом режиме (конечно удаленный сервер должен поддерживать их). Тем не менее, если на этапе согласования параметров соединения, Samba уже НЕ сможет вернуться к режиму проверки файла паролей UNIX, у нее должен быть файл smbpasswd, в котором она и будет проверять пользователей. Как это сделать? — см Samba HOWTO Collection.

Замечание. В зтом режиме есть серьезные недостатки, потому что он уязвим для атак посредника (man-in-the-middle) и подмене сервера. В частности, этот режим работы может вызвать значительно потребление ресурсов первичного контроллера домена, т.к. должен обслуживать активное соединение все то время пока оно активно. Более того, если соединение потеряно, нет вариантов переподключиться и будущие аутентификации могут провалиться (от одного клиента, пока он не отсоединится).

Замечание. С точки зрения клиента, нет разницы в режимах SERVER и USER. Это затрагивает лишь то, как сервер проводит аутентификацию, только и всего. Заметьте, что имя запрошенного ресурса не будет послано серверу до тех пор, пока сервер не аутентифицирует клиента. Именно поэтому гостевые учетки не работают в режиме USER, не позволяя серверу преобразовывать неопознанных пользователей в гостей.

См. секцию параметра map to guest.

См. также ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ.

И еще смотрите секции параметров password server и encrypted passwords.

security = ADS

В этом режиме Samba работает как член домена AD.

Для работы в этом режиме, компьютеру, на котором запущена Samba, необходим будет установленный и настроенный Kerberos, и Samba должна быть присоеденина к области AD с использованием утилиты net.

Заметим, что этот режим НЕ заставляет Samba работать в качестве доменного контроллера AD.

Прочитайте раздел Domain Membership в HOWTO для получения более подробной информации.

only user (S)

admin1 — Sat, 09 May 2009 10:44:01 +0000

Может принимать булево значение и разрешает (или запрещает) обслуживание соединений, имена пользователей в которых не найдены в списке пользователей. По умолчанию значение параметра разрешено, таким образом клиент может предоставить имя, которое впоследствии будет использовано сервером (т.е. размер списка не фиксирован жестко, прим. перев.). Если поставить yes, тогда сервер будет использовать имена только из списка пользователей. Это применимо только в случае установленного параметра security = share.

Заметьте, что это также означает, что Самба не будет пытаться получить имена пользователей из имени сервиса. Это может быть весьма раздражительным для секций [homes]. Чтобы устранить это Вы можете воспользоваться параметром user = %S , которое означает, что Ваш список пользователей будет соответствовать именам сервисов, которые для домашних директорий совпадают с именами пользователей.

Значение по умолчанию :

only user = no

ЗАМЕЧАНИЯ О ПРОВЕРКЕ ИМЕНИ/ПАРОЛЯ

admin — Fri, 08 May 2009 11:55:10 +0000

Есть множество путей, которыми пользователь может соединиться с сервисом. Сервер использует следующие шаги при определении, разрешить ли доступ к сервису. Если все шаги безуспешны, запрос подключения отклоняется. Однако, если один из шагов успешен, следующие шаги не проверяются.

Если сервис guest only = yes и сервер работает в режиме security SHARE, шаги 1 – 5 пропускаются.

1. Если клиент передал имя пользователя/пароля, и проверка пароля системой UNIX прошла успешно, подключение устанавливается от имени этого пользователя. Это serverservice%username метод передачи имени пользователя.

2. Если клиент предварительно зарегистрировался в системе и теперь указывает правильный пароль для того имени пользователя, соединение разрешается.

3. NetBIOS имя клиентов и любые предварительно используемые имена пользователей проверяются на соответствие паролю. Если они соответствуют, связь разрешается от соответствующего пользователя.

4. Если клиент предварительно утвердил пару имени пользователя/пароля с сервером, и клиент передал символ ратификации, то имя пользователя используется.

5. Если user = поле, указанно в smb.conf файле для сервиса, и клиент предоставил пароль, и пароль соответствует (согласно проверке пароля системы UNIX) одному из имен пользователей в поле user = , связь устанавливается от лица user = строка. Если одно из имен пользователей в user = список начинается с @, то имя соответствует списку имен в группе с тем же именем.

6. Если сервис – это гостевой сервис, соединение устанавливается от пользователя, указанного в guest account = для сервиса, независимо от предоставляемого пароля.