2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Записки IT специалиста

Содержание

  • Автор: Уваров А.С.
  • 08.06.2019

Файловый сервер можно без преувеличения назвать средством первой необходимости, даже в сетях без выделенного сервера вы всегда обнаружите папки с общим доступом, но по мере роста объемов данных появляется потребность в отдельном решении. Вариантов его организации множество, одним из которых является служба Samba на Linux-сервере, это простое, недорогое, но в тоже время мощное решение по организации общего доступа к файлам и папкам в Windows сетях. В данной статье мы рассмотрим настройку простого сервера на основе Samba 4 работающего в ОС Debian / Ubuntu.

Несмотря на то, что в данной статье в качестве ОС мы использовали Debain 9 все сказанное будет справедливо для любой ОС на базе Debian или Ubuntu, а с поправкой на работу пакетного менеждера — для любого Linux-дистрибутива. Также мы предполагаем, что читатель имеет базовые навыки работы с Linux-системами на базе Debian.

Подготовка системы

Прежде чем приступать к работе продумайте схему хранения данных и доступа к ним. Существую разные типы данных, которые мы будем характеризовать по интенсивности доступа к ним, скажем «холодные данные» отличаются тем, что обращения к ним происходят крайне редко (а к некоторым вообще никогда), но при этом они могут занимать значительные объемы. Это прежде всего резервные копии, инсталляционные пакеты, образа дисков и т.д. и т.п.

Противоположность им «горячие данные» — это данные которые интенсивно используются и изменяются, для файлового сервера примером таких данных может служить файловая информационная база 1С:Предприятия. Между ними находятся обычные данные, характер доступа к которым не имеет каких-либо особенностей.

Исходя из типа данных следует выбирать диски для хранения, для «горячих данных» это должны быть быстрые диски или SSD, а для «холодных» подойдут экономичные модели с упором на большой объем. Также не забывайте про RAID, для защиты данных от аппаратного выхода дисков из строя.

Также продумайте структуру директорий и прав доступа к ним. Разумно будет исходить из следующих соображений: разделяйте диски с данными и системой, чтобы при необходимости можно было заменить их без лишних затруднений или перенести на другой сервер. Храните разные типы данных на разных дисках или разделах, скажем, если на разделе для резервных копий закончится свободное место, то это никак не повлияет на работу баз 1С.

В нашем примере мы будем использовать виртуальную машину с двумя жесткими дисками, один для системы, второй для данных, точку монтирования диска для данных мы указали как /samba, вы можете использовать другое имя и расположение.

Также обратите внимание на имя компьютера, Samba 4 будет использовать его в качестве NetBIOS имени.

После установки ОС следует изменить настройку лимита на количество одновременно открытых файлов, в Linux это 1024, а в Windows 16384. Для этого откройте файл /etc/security/limits.conf и добавьте в конце две строки:

После чего сервер следует перезагрузить.

Установка и базовая настройка Samba 4

Установка Samba предельно проста:

После чего откроем файл /etc/samba/smb.conf и выполним общие настройки. Большинство указанных опций в файле уже есть, многие из них даже не потребуется менять, но их назначение будет полезно знать, поэтому мы прокомментируем наиболее важные из них.

За общие настройки сервера отвечает секция [global], которая, кстати, прекрасно прокомментирована. Обратите внимание на два вида комментариев опций, если для этого используется символ # — то указанное значение применяется по умолчанию, а символ ; обозначает предлагаемый вариант настройки.

Начнем, опции перечисляются в порядке их следования в файле:

Обозначает рабочую группу Windows, по умолчанию WORKGROUP.

Предлагаемая опция, которые определяет интерфейсы или подсети, с которыми будет работать Samba. Допускается смешанная запись, как в примере выше, либо можно указать только интерфейсы:

Или только подсети:

Но само по себе указание интерфейсов не ограничивает Samba, для того чтобы ограничения начали действовать нужно включить следующую опцию:

Следующая опция указывает расположение логов:

По умолчанию лог выключен, для того чтобы его включить добавьте в файл опцию:

Если вам нужен более подробный лог — установите более высокий уровень, минимальное значение — 1, максимальное — 5.

Также закомментируйте опцию:

В настоящий момент она является не рекомендованной (deprecated).

Обозначает простой файловый сервер, не требующий подключения к домену.

Определяет способ определения гостевого доступа, при указанном значении гостем будет считаться любой пользователь, который отсутствует в базе Samba. Также могут использоваться значения never — не использовать гостевой доступ и bad password — в этом случае гостем будет считаться в том числе, и существующий пользователь если он неправильно введет пароль. Данное значение использовать не рекомендуется, так как при ошибке в пароле пользователь все равно получит доступ, но с гостевыми правами.

На этом общая настройка сервера закончена. Проверим конфигурацию на ошибки:

И перезапустим сервер

Настройка общего ресурса с гостевым доступом

Начнем с самого простого варианта — создадим общий ресурс, доступ к которому может иметь любой пользователь. Для этого добавим в конец файла /etc/samba/smb.conf следующие строки.

В квадратных скобках задаем имя ресурса, все что ниже скобок — секция этого ресурса. В ней мы указали следующие опции:

  • comment — описание ресурса, необязательный параметр;
  • path — путь к директории;
  • read only — режим только чтения, указываем no;
  • guest ok — разрешен ли гостевой доступ, указываем yes;

Теперь создадим саму директорию:

и установим на нее необходимые права, для гостевого ресурса это 777:

Перезапускаем Samba и пробуем получить доступ с любого Windows-клиента.

Если все сделано правильно, то сервер появится в сетевом окружении, и вы без проблем получите доступ к созданной нами общей папке.

Настройка общего ресурса с парольным доступом

Гостевой доступ это просто и удобно, но не всегда приемлемо. Существуют ситуации, когда доступ к общему ресурсу должны иметь только определенные пользователи. В нашем примере создадим два таких ресурса: для бухгалтерии и для IT-отдела.

Снова откроем конфигурационный файл и добавим в него две секции:

Они предельно просты и отличаются запретом гостевого доступа — guest ok = no. Для того, чтобы разделить доступ к ресурсам будем использовать группы пользователей, создадим две новые группы для наших подразделений:

Теперь создадим каталоги:

и изменим группу владельца:

Затем установим права:

Значение 2770 обозначает что мы предоставляем полные права владельцу и группе, для остальных доступ запрещен. А первая двойка устанавливает SGID для каталога, что обеспечивает присвоение группы каталога каждому создаваемому в нем файлу.

В некоторых случаях определенный интерес представляет выставление дял каталога sticky bit, который означает, что удалить или переименовать файл может только его владелец, но работать с ним, в том числе изменять, может любой пользователь, имеющий права записи в каталог. Для этого вместо набора прав 2770 используйте права 3770.

На этом настройки закончены, не забываем перезапустить Samba. Но в наших группах пока нет пользователей, давайте добавим их туда.

Начнем с уже существующих пользователей, в нашем случае это пользователь andrey, который является главным администратором и должен иметь доступ к обоим ресурсам. Поэтому добавим его в обе группы:

Затем добавим его в базу Samba:

При этом потребуется установить пароль для доступа к Samba-ресурсам, он должен совпадать с основным паролем пользователя. После чего включим эту учетную запись:

Проверяем, после ввода пароля мы должны получить доступ к созданным нам ресурсам. Также обратите внимание, после аутентификации в списке общих ресурсов появилась папка с именем пользователя, подключенная только на чтение.

С настройками по умолчанию Samba предоставляет каждому существующему пользователю доступ только на чтение к его домашнему каталогу. На наш взгляд это довольно удобно и безопасно. Если вас не устраивает такое поведение — удалите из конфигурационного файла секцию [homes].

Теперь о других пользователях. Скажем у нас есть бухгалтер Иванова и админ Петров, каждый из которых должен иметь доступ к своему ресурсу. В тоже время иметь доступ к самому Samba-серверу им необязательно, поэтому создадим новых пользователей следующей командой:

Ключ -M заводит пользователя без создания домашнего каталога, а -s /sbin/nologin исключает возможность входа такого пользователя в систему.

Поместим каждого в свою группу:

Затем добавим их в базу Samba, при этом потребуется установить им пароли:

И включим эти учетные записи

Если все сделано правильно, то пользователь будет иметь доступ к своим ресурсам и не иметь к чужим.

Также обратите внимание, что несмотря на то, что общий ресурс с именем пользователя создан, доступ он к нему получить не сможет, так как физически его домашняя директория не существует.

Настройка корзины для общего ресурса

Полезность корзины на файловом сервере, пожалуй не будет отрицать никто. Человеку свойственно ошибаться и будет очень обидно, если ценой ошибки окажется несколько часов работы, но, к счастью Samba позволяет помещать удаленные файлы в корзину.

Читать еще:  Как сделать домашнюю сеть из двух компьютеров?

Для активации корзины добавьте в секцию к общему ресурсу следующие строки:

Первая опция добавит в общий ресурс новый объект — корзину, вторая укажет ее расположение — скрытая папка в корне. Две следующих включают сохранение структуры папок при удалении и сохранение нескольких версий файла с одним и тем же именем. Это нужно в тех случаях, когда разные пользователи удалят разные файлы с одним и тем же именем.

Перезапустим Samba и попробуем что-нибудь удалить.

Несмотря на грозное предупреждение Проводника удаляемые файлы перемещаются в корзину, откуда мы их можем восстановить.

Как видим, работать с Samba не просто, а очень просто, при том, что мы оставили за кадром многие возможности тонкой настройки, многие из которых требуют отдельных статей. Надеемся, что данный материал окажется вам полезным и поможет быстро и без проблем развернуть файловый сервер на Linux.

Настройка файлового сервера в локальной сети на Windows/Linux

В инструкции описан процесс настройки общего файлового сервера для всех пользователей локальной или виртуальной сети с операционными системами Linux и Windows.

Что это такое?

Файловый сервер работает по протоколу SMB/CIFS и позволяет предоставить доступ к общим ресурсам в локальной сети, например, текстовым файлам или сетевым принтерам. Для его развертывания на Windows используются штатные средства ОС, на Linux используется файловый сервер Samba.

В инструкции рассмотрена настройка файлового сервера на серверах с операционными системами Linux и Windows. На сервере будет находиться 2 каталога — публичный и приватный. К файловому серверу подключение будет происходить как с операционной системы Windows, так и с Linux, т.к. в виртуальной или физической локальной сети могут находиться серверы с разными ОС.

Создание и настройка частной сети

Для начала в панели управления должны быть созданы все необходимые для сети серверы.

После создания необходимо объединить все машины в единую локальную сеть через панель управления в разделе Сети. В результате серверы получат локальные IP-адреса.

После создания частной сети необходимо настроить сетевые адаптеры на каждом сервере. Об этом можно прочитать в наших инструкциях:

Настройка файлового сервера

Прежде всего, необходимо определиться, на сервере с какой операционной системой будет находиться общий каталог.

Настройка файлового сервера на Linux (Debian/Ubuntu)

Для развертывания файлового сервера на системах Linux используется инструмент SAMBA. Ниже перечислены действия по его установке и настройке.

Прежде всего следует обновить локальную базу пакетов:

Далее установите пакеты из главного репозитория:

apt-get install -y samba samba-client

Создайте резервную копию файла конфигурации Samba:

cp /etc/samba/smb.conf /etc/samba/smb.conf.bak

Создайте или выберете директорию, к которой все пользователи будут иметь общий доступ:

mkdir -p /samba/public

Перейдите к этому каталогу и измените режим доступа и владельца:

cd /samba
chmod -R 0755 public

Создайте или выберете каталог, к которому иметь доступ будут ограниченное число пользователей:

Создайте группу пользователей, которые будут иметь доступ к приватным данным:

Создайте нужных пользователей с помощью команды useradd:

Добавьте созданных пользователей в группу:

usermod -aG smbgrp user1

Измените группу, которой принадлежит приватная директория:

chgrp smbgrp /samba/private

Задайте пароль, с помощью которого пользователь будет подключаться к каталогу:

smbpasswd -a user1

Откройте файл конфигурации на редактирование с помощью текстового редактора, например nano:

Замените содержимое файла на следующие строки:

[global]
workgroup = WORKGROUP
security = user
map to guest = bad user
wins support = no
dns proxy = no

[public]
path = /samba/public
guest ok = yes
force user = nobody
browsable = yes
writable = yes

[private]
path = /samba/private
valid users = @smbgrp
guest ok = no
browsable = yes
writable = yes

Сохраните внесенные изменения, нажав CTRL+X, затем Enter и Y.

Значения параметров выше:

  • global — раздел с общими настройками для Samba сервера
  • workgroup — рабочая группа Windows, WORKGROUP — значение по умолчанию для всех Windows машин, если вы не меняли самостоятельно
  • security — режим безопасности, значение user означает аутентификацию по логину и паролю
  • map to guest — задает способ обработки запросов, bad user — запросы с неправильным паролем будут отклонены, если такое имя пользователя существует
  • wins support — включить или выключить поддержку WINS
  • dns proxy — возможность запросов к DNS
  • public — название общего каталога, которое будут видеть пользователи сети, может быть произвольным и не совпадать с именем директории
  • path — полный путь до общего каталога
  • browsable — отображение каталога в сетевом окружении
  • writable — использование каталога на запись, инверсия read only
  • guest ok — авторизация без пароля
  • force user — пользователь по умолчанию
  • valid users — список пользователей, у которых есть доступ к каталогу, через @ указывается unix-группа пользователей

Проверить настройки в smb.conf можно с помощью команды:

Чтобы изменения вступили в силу, перезапустите сервис:

service smbd restart

Далее нужно настроить firewall, открыв порты, которые использует SAMBA. Настоятельно рекомендуем разрешить только подключения из локального диапазона IP-адресов или виртуальной частной сети. Адресное пространство вашей частной сети вы можете увидеть в панели управления 1cloud.

Замените значение параметра –s в правилах ниже для соответствия адресному пространству вашей частной сети. Как правило префикс сети /24, если вы явно не подразумеваете иного:

iptables -A INPUT -p tcp -m tcp —dport 445 –s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p tcp -m tcp —dport 139 –s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p udp -m udp —dport 137 –s 10.0.0.0/24 -j ACCEPT
iptables -A INPUT -p udp -m udp —dport 138 –s 10.0.0.0/24 -j ACCEPT

Теперь необходимо сделать так, чтобы указанные выше правила фаервола iptables были сохранены после перезагрузки машины. Для это установим пакет iptables-persistent:

apt-get install iptables-persistent

После установки откроется окно с предложением последовать запомнить текущие правила iptables для IPv4 и IPv6. Подтвердите это действие.

Проверить актуальные правила iptables можно командой:

В выводе команды вы должны увидеть ранее добавленные разрешающие политики (Accept).

Настройка общего публичного каталога на Windows

Для общего доступа к файлам по сети в Windows используются стандартные средства ОС.

Чтобы пользователи локальной сети могли без пароля подключаться к общему ресурсу, необходимо в панели управления снять ограничения защиты. Откройте панель управления и перейдите в раздел Сеть (Network and Internet) -> Центр управления сетями и общим доступом (Network and Sharing Center) -> Расширенные настройки общего доступа (Advanced sharing settings). В разделе Все сети (All Networks) выберете опцию Отключить доступ с парольной защитой (Turn off password protected sharing) и сохраните изменения.

Далее, чтобы настроить общий доступ к каталогу на Windows необходимо создать или выбрать нужный и открыть его свойства. В свойствах перейдите во вкладку Доступ (Sharing) и нажмите Расширенная настройка (Advanced Sharing).

В открывшемся окне отметьте галочкой Открыть общий доступ к этой папке (Share this folder), для того чтобы она стала общедоступной. В поле Имя общего ресурса (Share name) введите имя, которое будет видно всем пользователям. Далее нажмите Разрешения (Permissions) для настройки прав доступа.

Выберете нужные права доступа для всех пользователей (Everyone). Нажмите Применить (Apply), чтобы изменения вступили в силу.

Теперь в свойствах каталога нажмите Общий доступ (Share).

В поле поиска введите Все пользователи (Everyone) и нажмите Добавить (Add). Для полного доступа выберете права Read/Write и нажмите Поделиться (Share).

Теперь ваш каталог Windows доступен всем пользователям локальной сети без пароля.

Настройка общего приватного каталога на Windows

Для настройки общего каталога, который будет доступен только определенным пользователям, необходимо, чтобы данные пользователи существовали на сервере с общей папкой и на Windows машине с которой будет происходить подключение (наличие пользователя на Linux сервере не требуется), причем логин и пароль пользователей должны полностью совпадать. О том как создать нового пользователя читайте в нашей инструкции.

Чтобы пользователи локальной сети могли без пароля подключаться к общему ресурсу, необходимо в панели управления снять ограничения защиты. Откройте панель управления и перейдите в раздел Сеть (Network and Internet) -> Центр управления сетями и общим доступом (Network and Sharing Center) -> Расширенные настройки общего доступа (Advanced sharing settings). В разделе Все сети (All Networks) выберете опцию Отключить доступ с парольной защитой (Turn off password protected sharing) и сохраните изменения.

Далее, чтобы настроить общий доступ к каталогу на Windows необходимо создать или выбрать нужный и открыть его свойства. В свойствах перейдите во вкладку Доступ (Sharing) и нажмите Расширенная настройка (Advanced Sharing).

Так как каталог будет доступен только определенным пользователям, необходимо удалить группу Все пользователи (Everyone) с помощью кнопки Удалить (Remove).

Далее с помощью кнопки Добавить (Add) добавьте пользователей для управления каталогом.

Введите имя и нажмите Проверить имена (Check Names), выберете полное имя пользователя и нажмите OK.

Установите нужные права и нажмите Применить (Apply).

Теперь в свойствах каталога нажмите Поделиться (Share).

В поле поиска введите имя пользователя и нажмите Добавить (Add). Для полного доступа выберете права Чтение/Запись (Read/Write) и нажмите Поделиться (Share).

В итоге каталог стает общедоступным для определенных пользователей.

Подключение к общему каталогу с помощью Linux

Чтобы подключиться к общему каталогу, необходимо установить клиент для подключения:

sudo apt-get install smbclient

Для подключения используйте следующий формат команды:

Также можно выполнить монтирование общего каталога, для этого установите дополнительный пакет утилит:

sudo apt-get install cifs-utils

Для монтирования используйте следующий формат команды:

mount -t cifs -o username= ,password= // /

Где — адрес машины, на которой расположена общая директория, а — путь до общей директории.

mount -t cifs -o username=Everyone,password= //10.0.1.2/Win /root/shares/public

Если общий каталог находится на Windows Server?

Если общий каталог находится на сервере с операционной системой Windows, то для публичного каталога используйте имя пользователя Everyone, а в качестве пароля просто нажмите Enter. Например:

Читать еще:  Как создать домашнюю сеть в Windows 10?

smbclient -U Everyone \\10.0.1.2\Win
Enter Everyone’s password:
OS=[Windows Server 2016 Standard 14393] Server=[Windows Server 2016 Standard 6.3]
smb: >

Для приватного каталога используйте имя пользователя и пароль, которому разрешен доступ.

Если общий каталог находится на Linux?

Если общий каталог находится на сервере с операционной системой Linux, то для публичного каталога используйте имя пользователя nobody, а в качестве пароля просто нажмите Enter. Например:

smbclient -U nobody \\10.0.1.2\public
Enter nobody’s password:
OS=[Windows Server 2016 Standard 14393] Server=[Windows Server 2016 Standard 6.3]
smb: >

Для приватного каталога используйте имя пользователя и пароль, которому разрешен доступ.

Подключение к общему каталогу с помощью Windows

Для подключения используйте Проводник Windows, в адресную строку введите строку в следующем формате:

Если общий каталог находится на Windows Server?

Если вы подключаетесь к приватному каталогу, то он откроется автоматически, а если подключаетесь к публичному, то перед вами вами появится окно для ввода данных для входа. Введите логин Everyone и пустой пароль, нажмите OK. В результате вы будете подключены к общему каталогу.

Если общий каталог находится на Linux?

Для подключения к публичной папке не требуется вводить логин или пароль, достаточно в адресную строку ввести нужный ip-адрес без ввода дополнительной информации. Для подключения к приватному каталогу введите логин и пароль пользователя в появившееся окно.

Вы научитесь

  • Использовать сервисы NIS, библиотеки PAM и NSS для идентификации пользователей в Linux системах
  • Использовать протокол SSH для SSO идентификации в Linux сетях.
  • Использовать Kerberos сферы для SSO идентификации пользователей в гетерогенных Linux/Windows сетях.
  • Использовать LDAP каталоги для хранения информации о пользователях в сети предприятия.
  • Использовать Microsoft Active Directory в качестве Kerberos сферы и LDAP каталога в гетерогенных Linux/Windows сетях.
  • Использовать сервера Samba в роли файлового сервера и контроллера домена.

Специалисты, обладающие этими знаниями и навыками, в настоящее время крайне востребованы.

Большинство выпускников наших курсов делают успешную карьеру и пользуются уважением работодателей.

Файловый сервер на linux для Windows сетей

  • На главную
  • Рождение сервера
  • Установка
  • Первичная настройка
  • FTP сервер VSFTPD
  • Samba сервер
  • Медиа сервер MiniDLNA
  • Управление сервером
  • Torrent клиент
IP на сайте:
216.244.66.194United States
Seattle
185.191.171.1Moldova, Republic of
185.191.171.8Moldova, Republic of
185.191.171.43Moldova, Republic of
45.134.22.49
Статистика посещений
Сейчас на сайте:5
С начала суток (24.0 h):201
За прошедшие 24 h:201
Уникальные IP:129345
Всего посещений:3203322

Файловый сервер в домашней сети Windows

Задача состоит в том, чтобы организовать доступ с компьютера под управлением Windows
(в частности Windows 8) к файловому хранилищу, расположенному на сервере под управлением Ubuntu Server.

На момент написания статьи имеется Ubuntu Server 13.10, ноутбук с Windows 8.
К серверу по USB подключен внешний HDD 2Tb.
Мне надоело из локальной сети подключаться к серверу по FTP или SSH, а захотелось сделать полноценную сеть с подключенным сетевым диском.

Решает поставленную задачу — Samba

В сети много статей на эту тему. Я решил остановиться на самом простом варианте, поскольку мне нужно просто обмениваться файлами с моим хранилищем без всяких разрешений, паролей, прав доступа и прочей сетевой лабуды.

Установим Samba.
apt-get update
apt-get upgrade
apt-get install samba

Редактируем конфиг
/etc/samba/samba.conf
Я несколько раз ставил и сносил Samba и даже руками удалил папку /etc/samba.
Возможно поэтому у меня она не появилась после последней установки. Я ее создал сам и поместил в нее файл samba.conf следующего содержания:
[global]
#Имя рабочей группы — должно быть такое, как в Windows
#(по умолчанию WORKGROUP)
workgroup = ORION
#Отображаемое имя Samba
server string = Samba Server %v
netbios name = ubuntu
security = user
map to guest = bad user
dns proxy = no
#============= Share Definitions ============
[usershare]
#Директорий, который вы хотите видеть в сети Windows
path = /home/ftp
browsable =yes
writable = yes
guest ok = yes
read only = no

Для проверки можно выполнить команду
testparm
Ответ сервера:
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section «[usershare]»
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

[global]
workgroup = ORION
netbios name = UBUNTU
server string = Samba Server %v
map to guest = Bad User
dns proxy = No
idmap config * : backend = tdb

[usershare]
path = /home/ftp
read only = No
guest ok = Yes

На строчку rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) не обращаем внимания. Это количество одновременно открытых файлов в Linux и Windows. Если это сообщение вас раздражает, то в сети есть способы от него избавиться.

Перегружаем Samba.
service smbd restart
Ответ сервера:
smbd stop/waiting
smbd start/running, process 14782

Все. С этим закончили — идем в Windows.

Загружаем Windows, жмем кнопку «Пуск», «Выполнить», вводим IP адрес нашего сервера.
У меня \192.168.1.3

Windows подключается и мы видим расшаренную папку, которую указали в /etc/samba/smb.conf
в секции
[usershare]
#Директорий, который вы хотите видеть в сети Windows
path = /home/ftp

Жмем правой кнопкой мыши на эту папку и в выпадающем меню выбираем «Подключить сетевой диск».

Я выбираю диск «U». В итоге получили поключенный ресурс Ubuntu Server в Windows

Пакет Samba

Пакет Samba создан для поддержки сети Microsoft и эмулирует работу файлового сервера Windows. Минимально пакет составляют две службы: служба smb (Sever Message Block – блок серверных сообщений) и служба winbind, которая позволяет брать учетные записи с контроллера домена Windows.

Active Directory базируется на протоколе авторизации Kerberos, при котором имя пользователя и пароль не передаются по сети, а используется механизм так называемых билетов, выдаваемых сервером на определенное время. Получив билет, машина, входящая в домен, может авторизоваться на других машинах домена без участия сервера.

Для использования при входе в сеть (с машины под управлением Linux) учетных записей, хранящихся на контроллере домена под управлением Windows 2000 Server, используется протокол Kerberos версии 5. Для Linux разработаны два новых пакета, поддерживающих работу этого протокола. Находятся они на инсталляционном диске №3 Linux-ASP: krb-5 workstation – для клиентской машины Linux, krb-5 server – для сервера Linux, являющегося контроллером домена. При инсталляции Linux они не были установлены.

Инсталляция дополнительных пакетов выполняется командой rpm ivh имя_пакета, где ключ – i означает режим инсталляции, а – vh позволяют отражать на экране вспомогательную информацию (не обязательно).

Команда rpm e имя_пакета позволяет удалить пакет из системы, rpm q a позволяет получить список всех инсталлированных пакетов. Подробная справка о работе с пакетами: man rpm.

Конфигурирование служб smb и winbind

Образец изменений в конфигурационном файле /etc/krb5.conf для домена Ivanov.ibi

(сформировать только указанные строки, а остальные строки из файла удалить или закомментировать символом # или;)

kdc = server — ivanov.ivanov.ibi

Где прописными буквами указывается полное имя домена, а строчными буквами
— имя или IP-адрес KDC (Kerberos Domain Controller), который находиться на контроллере домена.

Изменения в конфигурационном файле /etc/nsswicth.conf

(только дописать в двух строчках параметр winbind)

passwd: files winbind

group: files winbind

Образец обязательных изменений в конфигурационном файле /etc/samba/smb.conf

(проверить, чтобы у откорректированных строк
были сняты символы ремарки # или ;)

18 workgroup = Ivanov

– имя рабочей группы
(как в сетевом окружении
Windows)

21 server string = Linux

– всплывающая надпись возле машины Linux в сети Windows

28 hosts allow = 10.0.13. 127.

– список сетей (через пробел),
из которых разрешен доступ
к машине Linux

53 security = ADS

– идентификация пользователей
выполняется службой Active Directory

55 password server = 10.0.13.1

– IP -адрес контроллера домена

65 encrypt passwords = yes

– шифровать пароли

Дописать следующие строки:

– имя домена (ПРОПИСНЫМИ БУКВАМИ)

unix charset = UTF-8

dos charset = CP866

display charset = CP1251

кодировки кириллицы

winbind uid = 10000-20000

– диапазон номеров локальных пользователей, который будет использован для динамического создания пользователей домена.

winbind gid = 10000-20000

– диапазон номеров локальных групп пользователей, который будет использован для динамического создания групп пользователей домена.

– символ-разделитель, используемый для составления доменных имен пользователей и располагающийся между именем домена и именем пользователя.

winbind cache time = 10

– интервал времени (в секундах) между запросами winbind к PDC в целях синхронизации списков пользователей и групп.

template homedir = /home/%U

– шаблон имени домашних каталогов доменных пользователей, автоматически присваиваемых каждому пользователю.

template shell = /bin/bash

– командный интерпретатор, назначаемый по умолчанию для пользователей, авторизованных через winbind.

– сетевое имя каталога, доступного из сети Windows;

– полное локальное имя каталога, который должен быть создан и иметь права 777

Регистрация файлового сервера Linux в домене Windows

  1. На контроллере домена (под управлением Windows Server) создать учетную запись пользователя adm (с паролем 123) и включить его в группу администраторы домена.
  2. Зарегистрировать машину под управлением Linux в домене командой: net ads join –U adm и проверить наличие ее в домене (Пуск–Программы–Администрирование–Active Directory-пользователи и компьютеры –Computers).
  3. С помощью конфигуратора setup в параметрах загрузки системы (System services) включить (пробелом) службы smb и winbind – теперь эти службы будут автоматически запускаться при перезагрузках системы.
  4. Запустить службы командами service smb start и service winbind start или перезагрузить систему командой reboot.
  5. Проверить в сети Windows наличие машины с именем linux и доступность ее общих ресурсов пользователям домена (с сервера и с виртуальной машины Windows).

В Active Directory авторизация производится не по имени и паролю, а c помощью билетов протокола Kerberos. Билеты Kerberos даются на определенное время (обычно на сутки, но это зависит от настроек сервера). Поэтому их нужно периодически обновлять с помощью команды kinit: kinit username@REALM, где username – имя пользователя в Actiev Directory домена REALM.

Читать еще:  Как установить оперативную память в ноутбук?

Так что, если клиент службы smb (smbclient) вдруг перестает подключаться к доменным ресурсам, попробуйте обновить билет – скорее всего, дело именно в этом.

При работе с виртуальными машинами возможно расхождение системного времени с контроллером домена. Синхронизацию времени с windows-сервером можно выполнить при помощи команды net time.

Организация доступа Linux к ресурсам домена Windows

Для работы из ОС Linux с компьютерами, зарегистрированными в Active Directory, не требуется указывать имя пользователя и пароль.

Выполните следующую команду:

smbclient -k -L

Вы должны получить список доступных ресурсов, при этом smbclient не должен запрашивать имя пользователя и пароль.

Монтирование сетевых ресурсов на машине под управлением Linux:

mount –t smbfs –o,

username=имя_пользователя,password=пароль,iocharset=cp1251,

codepage=cp866,rw //сетевой_ресурс /mnt/точка_монтирования.

Подмонтировать сетевые папки, размещенные на сервере и на клиентской машине Windows, результат предъявить преподавателю.

Задание на самостоятельную работу

Исследовать возможности управления службой smb в графическом режиме работы ОС Linux (рис. 18.1).

Рис. 18.1. Графический конфигуратор службы smb в среде Gnom

При помощи графического конфигуратора создать новый ресурс на файловом сервере Linux и проверить его доступность в сети Windows.

Преимущества файлового сервера на FreeBSD

Большинство файловых хранилищ в настоящее время ориентированы на использование в Windows-сетях по протоколу SMB/CIFS. Это связано с большим распространением не только серверов Windows, но с количеством рабочих станций на этой операционной системе от компании Microsoft. Конечно же существуют и другие протоколы передачи данных, такие как FTP, NFS. В своем решении мы постарались включить поддержку как можно большего количества протоколов для того, чтобы каждый пользователь мог выбрать наиболее удобный способ обращения к своим данным. Так, например Windows-пользователи будут видеть свои данные в привычном виде – папки в сетевом окружении или сетевого диска, Linux-сервера — использовать привычный для них прокол NFS, а через FTP могут осуществлять обмен данными удаленные пользователи или осуществляться резервное копирование.

Немаловажную роль в таком решении, как файловый сервер, является распределение прав доступа, т.е. разграничение уровней доступа для отдельных пользователей и групп. Вы можете самостоятельно определить политику хранения и доступа к различным ресурсам для каждой категории пользователей, аналогично Windows-серверам и/или через веб-интерфейс. Помимо этого, при желании можно использовать систему дисковых квот, для контроля занимаемых ресурсов каждым пользователем.

Антивирусная защита – основа безопасности Windows-сети при работе с файловым сервером. Мы настоятельно рекомендуем использовать серверный антивирус и можем установить, как свободно распространяемое антивирусное программное обеспечение, так и коммерческие решения, например от Лаборатории Касперского. Вне зависимости от решения заказчика, стоит отметить тот факт, что файловый сервер на FreeBSD не подвержен вирусному заражению вирусов, написанных для Windows, а следовательно обеспечит бесперебойную работу, даже в случае вирусной эпидемии.

Дополнительно к вышесказанному, можем отметить тот факт, что дополнительно мы осуществляем криптографическую защиту данных, которая обеспечит конфиденциальность хранимой на файловом сервере информации. А при отсутсвия крипто-ключа, находящегося, например, на flash-накопителе, доступ к данным будет невозможен.

Почему стоит установить файловый сервер?

Преимущества файлового сервера:

  • Централизованное хранение информации в надежном месте, а не на компьютерах пользователей.
  • Гарантия сохранности важных данных даже при выходе оборудования из строя.
  • Возможность освободить место на компьютерах пользователей и обеспечить комфортную работу с файлами больших объемов.
  • Полная конфиденциальность важных данных.

Настройка файлового сервера, а именно — подбор комплектующих, установка программного обеспечения, организация удаленной работы — сложные технические процедуры, которые лучше доверить специалисту. Это даст достоверную гарантию сохранности Ваших данных и исключит возможные технические и программные ошибки.

Закажите создание файлового сервера у специалистов аутсорсинговой компании «Lan-Star» по разумной цене. Мы предлагаем настройку быстрого файлового хранилища с удаленным доступом к информации с гарантией сохранности и конфиденциальности важных данных. Чтобы получить дополнительную информацию, свяжитесь с нами по телефону (посмотреть) или закажите обратный звонок.

Как настроить Samba для обмена файлами между компьютерами Ubuntu и Windows

Сегодня поговорим о том, как настроить Samba. Итак, Samba — бесплатное, с открытым исходным кодом и популярное программное обеспечение для обмена файлами и службами между Unix-подобными системами, включая Linux и узлами Windows в той же сети.

В этой статье мы покажем, как настроить Samba для базового совместного использования файлов между системами Ubuntu и машинами Windows. Мы рассмотрим два возможных сценария: анонимный (небезопасный), а также безопасный обмен файлами. Обратите внимание, что начиная с версии 4.0 Samba может использоваться как контроллер домена Active Directory (AD).

Установка и настройка Samba в Ubuntu

Сервер Samba доступен для установки из репозиториев Ubuntu, используйте инструмент apt package manager, как показан ниже.

Как только сервер samba установлен, настало время настроить его для незащищенного анонимного и безопасного общего доступа к файлам.

Для этого нам нужно отредактировать основной файл конфигурации Samba/etc/samba/smb.conf.

Сначала создайте резервную копию исходного файла конфигурации samba следующим образом.

Теперь мы перейдем к непосредственной настройке samba для анонимных и безопасных служб обмена файлами, как описано ниже.

Важно: Прежде чем двигаться дальше, убедитесь, что компьютер с ОС Windows находится в той же рабочей группе, которая будет настроена на сервере Ubuntu.

Проверьте настройки рабочей группы Windows

Войдите в свою машину Windows, щелкните правой кнопкой мыши на «Мой компьютер»«Свойства»«Дополнительные системные настройки»«Имя компьютера», чтобы проверить рабочую группу.

Кроме того, откройте командную строку и выполнив приведенную ниже команду найдите «домен рабочей станции».

Как только вы узнаете свою рабочую группу Windows, перейдем к дальнейшей настройке сервера samba для совместного использования файлов.

Анонимный доступ к файлам Samba

Сначала создайте общий каталог samba, в котором будут храниться файлы.

Затем установите соответствующие разрешения для каталога.

Откройте файл конфигурации.

Затем отредактируйте или измените настройки директивы, как описано ниже.

Теперь проверьте текущие настройки samba, выполнив приведенную ниже команду.

Затем перезапустите службы Samba, чтобы применить указанные выше изменения.

Тестирование анонимного обмена файлами Samba

Перейдите на компьютер Windows и откройте «Сеть» из окна проводника Windows. Нажмите на узел Ubuntu или попробуйте получить доступ к серверу samba с использованием его IP-адреса.

Примечание. Используйте команду ifconfig для получения вашего IP-адреса сервера Ubuntu.

Затем откройте анонимный каталог и попробуйте добавить туда файлы, чтобы поделиться ими с другими пользователями.

Безопасный обмен файлами Samba

Чтобы защитить samba паролем, вам необходимо создать группу «smbgrp» и установить пароль для каждого пользователя. В этом примере мы используем aaronkilik как имя пользователя, как пароль мы используем «sedicomm».

Примечание. Режим безопасности samba: security = user требует, чтобы пользователи вводили своё имя пользователя и пароль для подключения к общим ресурсам.

Учетные записи пользователя Samba отделены от системных учетных записей, однако вы можете установить пакет libpam-winbind, который используется для синхронизации пользователей системы и паролей с пользовательской базой samba.

Затем создайте безопасный каталог, в котором будут храниться общие файлы.

Затем установите соответствующие разрешения для каталога.

Откройте файл конфигурации.

Затем отредактируйте или измените настройки директивы, как описано ниже.

Как и раньше, запустите эту команду, чтобы просмотреть текущие настройки samba.

После того, как вы закончите с вышеуказанными конфигурациями, перезапустите службы Samba, чтобы применить изменения.

Тестирование безопасного обмена файлами Samba

Откройте в проводнике машине Windows «Сеть». Нажмите на узел Ubuntu. Вы можете получить ошибку как на скриншоте ниже, если не выполнить следующий шаг.

Попробуйте получить доступ к серверу, используя его IP-адрес (\192.168.43.168). Затем введите учетные данные (имя пользователя и пароль) для пользователя aaronkilik и нажмите «ОК».

Теперь вы видите «Анонимные» и «Защищенные» каталоги. Давайте зайдем в «Защищенные» каталоги.

Вы можете безопасно обмениваться файлами с другими разрешенными пользователями сети в этом каталоге.

Включаем Samba в брандмауэре UFW в Ubuntu

Если в вашей системе включен брандмауэр UFW, вы должны добавить правила, позволяющие Samba не конфликтовать с брандмауэром.

Чтобы проверить их, мы использовали сеть 192.168.43.0. Запустите приведенные ниже команды, указав сетевой адрес.

На этом все! В этой статье мы показали вам, как настроить Samba для анонимного и безопасного обмена файлами между компьютерами Ubuntu и Windows.

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Если вы смогли настроить Samba, то подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University.

Проблемы получения доступа к сетевым ресурсам

1. Выполните следующие действия:

    • Пропинговать STB со стороны ПК (убедиться, что оба устройства могут взаимодействовать по сети). При необходимости восстановить сетевое взаимодействие;
    • Убедиться, что на сервере (ПК, с которого настраивается доступ) включена поддержка протокола SMB версии 1.
    • На компьютере проверить Настройку параметров общего доступа для различных профилей Windows.
    • На компьютере проверить Открытие доступа к папке.

2. Если при открытии сетевой папки на STB предлагается выполнить авторизацию, но для папки доступ по паролю не назначался:

    • На сетевом компьютере проверить, чтобы в свойствах папки был открыт доступ для пользователя «Все»;
    • Если доступ не возобновился, перезагрузить STB.

3. Если при открытии папки на STB предлагается выполнить авторизацию (ввести логин, пароль), но значение пароля не задано (пустой пароль):

    • Установить определенное значение пароля пользователя компьютера;
    • Если доступ не возобновился, перезагрузить STB.

4. Если файл не открывается:

    • проверить, проигрывается ли файл локально на ПК;
    • попытаться запустить с STB другие файлы с той же сетевой папки, с других сетевых папок;
    • попытаться проиграть файл другого формата (желательно, проверить файл, который на STB ранее воспроизводился, например, с USB-носителя). Возможно, данный формат файла не поддерживается плеером STB.
Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector