Chapitre 21. Serveurs de fichiers et d'impression Red Hat Enterprise Linux 6 – Bien choisir son serveur d impression
Samba est la suite standard de programmes d'interopérabilité Windows open source pour Linux. Il met en œuvre le bloc de message du serveur (PME
) protocole. Les versions modernes de ce protocole sont également connues sous le nom de système de fichiers Internet commun (CIFS
) protocole. Il permet la mise en réseau de Microsoft les fenêtres®, Linux, UNIX et d’autres systèmes d’exploitation, permettant d’accéder aux partages de fichiers et d’imprimantes basés sur Windows. L'utilisation de Samba de PME
lui permet d'apparaître comme un serveur Windows pour les clients Windows.
Pour utiliser Samba, assurez-vous d'abord samba Ce package est installé sur votre système en exécutant la commande suivante en tant que racine
:
~]# miam installer samba
Sommaire
21.1.1. Introduction à la samba
Samba est un composant important pour l'intégration transparente de serveurs et de postes de travail Linux dans les environnements Active Directory (AD). Il peut fonctionner à la fois en tant que contrôleur de domaine (style NT4) ou en tant que membre de domaine normal (style AD ou NT4).
Ce que Samba peut faire:
-
Servir des arborescences de répertoires et des imprimantes aux clients Linux, UNIX et Windows
-
Aide à la navigation sur le réseau (avec NetBIOS)
-
Authentifier les connexions au domaine Windows
-
Fournir Service de noms Internet Windows (
GAGNE
) résolution du serveur de noms -
Agir comme un Windows NT® style Contrôleur de domaine primaire (PDC)
-
Agir comme Contrôleur de domaine de sauvegarde (BDC) pour un PDC basé sur Samba
-
Agir en tant que serveur membre du domaine Active Directory
-
Rejoindre un PDC Windows NT / 2000/2003/2008
Ce que Samba ne peut pas faire:
21.1.2. Démons de Samba et services connexes
Samba est composé de trois démons (smbd
, nmbd
, et Winbindd
). Trois services (smb
, nmb
, et Winbind
) contrôle le mode de démarrage et d'arrêt des démons, ainsi que d'autres fonctionnalités liées aux services. Ces services agissent comme des scripts d'initialisation différents. Chaque démon est répertorié en détail ci-dessous, ainsi que le service spécifique qui en a le contrôle.
smbd
le smbd
Le démon serveur fournit des services de partage de fichiers et d'impression aux clients Windows. En outre, il est responsable de l’authentification des utilisateurs, du verrouillage des ressources et du partage des données via le PME
protocole. Les ports par défaut sur lesquels le serveur écoute PME
le trafic sont TCP
les ports 139
et 445
.
le smbd
le démon est contrôlé par le smb
un service.
nmbd
le nmbd
Le démon serveur comprend et répond aux demandes de service de noms NetBIOS telles que celles produites par SMB / CIFS dans les systèmes Windows. Ces systèmes comprennent les clients Windows 95/98 / ME, Windows NT, Windows 2000, Windows XP et LanManager. Il participe également aux protocoles de navigation qui composent Windows. Quartier du réseau vue. Le port par défaut que le serveur écoute pour NMB
le trafic est UDP
Port 137
.
le nmbd
le démon est contrôlé par le nmb
un service.
Winbindd
le Winbind
Le service résout les informations sur les utilisateurs et les groupes reçus d'un serveur exécutant Windows NT, 2000, 2003, Windows Server 2008 ou Windows Server 2012. Cela rend les informations sur les utilisateurs et les groupes de Windows compréhensibles par les plateformes UNIX. Ceci est réalisé en utilisant les appels Microsoft RPC, Modules d'authentification enfichables (PAM), et le Commutateur de service de nom (NSS). Cela permet aux utilisateurs de domaine Windows NT et Active Directory d'apparaître et de fonctionner en tant qu'utilisateurs UNIX sur un ordinateur UNIX. Bien que fourni avec la distribution Samba, le Winbind
le service est contrôlé séparément du smb
un service.
le Winbind
le démon est contrôlé par le Winbind
service et ne nécessite pas la smb
service à démarrer pour pouvoir fonctionner. Winbind
est également utilisé lorsque Samba est un membre Active Directory et peut également être utilisé sur un contrôleur de domaine Samba (pour implémenter des groupes imbriqués et une approbation interdomaine). Parce que Winbind
est un service côté client utilisé pour se connecter aux serveurs Windows NT, une discussion plus approfondie de Winbind
dépasse le cadre de ce chapitre.
21.1.4. Configuration d'un serveur Samba
Le fichier de configuration par défaut (/etc/samba/smb.conf
) permet aux utilisateurs de voir leurs répertoires personnels sous forme de partage Samba. Il partage également toutes les imprimantes configurées pour le système en tant qu'imprimantes partagées Samba. Vous pouvez connecter une imprimante au système et y imprimer à partir des machines Windows de votre réseau.
21.1.4.1. Configuration graphique
Pour configurer Samba à l'aide d'une interface graphique, utilisez l'une des interfaces utilisateur graphiques Samba disponibles. Vous trouverez une liste des interfaces graphiques disponibles à l’adresse http://www.samba.org/samba/GUI/.
21.1.4.2. Configuration en ligne de commande
Samba utilise /etc/samba/smb.conf
comme son fichier de configuration. Si vous modifiez ce fichier de configuration, les modifications ne prendront effet que si vous redémarrez le démon Samba avec la commande suivante: racine
:
~]# service smb redémarrer
Pour spécifier le groupe de travail Windows et une brève description du serveur Samba, modifiez les lignes suivantes dans votre /etc/samba/smb.conf
fichier:
groupe de travail = NOM DU GROUPE DE TRAVAIL chaîne du serveur = BREF COMMENTAIRE SUR SERVEUR
Remplacer NOM DU GROUPE DE TRAVAIL avec le nom du groupe de travail Windows auquel cette machine devrait appartenir. le BREF COMMENTAIRE SUR SERVEUR est facultatif et est utilisé comme commentaire Windows sur le système Samba.
Pour créer un répertoire de partage Samba sur votre système Linux, ajoutez la section suivante à votre /etc/samba/smb.conf
fichier (après l'avoir modifié pour refléter vos besoins et votre système):
Exemple 21.1. Un exemple de configuration d'un serveur Samba
[[nom de partage]comment = Insérer un commentaire ici chemin = / home / share / utilisateurs valides = tfox carole inscriptible = oui créer un masque = 0765
L'exemple ci-dessus permet aux utilisateurs tfox
et Carole
lire et écrire dans le répertoire / home / share /
, sur le serveur Samba, à partir d’un client Samba.
21.1.4.3. Mots de passe cryptés
Les mots de passe cryptés sont activés par défaut car leur utilisation est plus sécurisée. Pour créer un utilisateur avec un mot de passe crypté, utilisez le smbpasswd
utilitaire:
smbpasswd -a Nom d'utilisateur
21.1.5. Démarrer et arrêter Samba
Pour démarrer un serveur Samba, tapez la commande suivante dans une invite du shell, en tant que racine
:
~]# service smb start
Pour configurer un serveur membre du domaine, vous devez d’abord rejoindre le domaine ou Active Directory à l’aide du rejoindre net
commander avant à partir du smb
un service. En outre, il est recommandé d'exécuter Winbind
avant smbd
.
Pour arrêter le serveur, tapez la commande suivante dans une invite du shell, en tant que racine
:
~]# service smb arrêt
le redémarrer
L’option est un moyen rapide d’arrêter puis de démarrer Samba. C'est le moyen le plus fiable pour que les modifications de configuration prennent effet après la modification du fichier de configuration pour Samba. Notez que l'option de redémarrage démarre le démon même s'il ne fonctionnait pas à l'origine.
Pour redémarrer le serveur, tapez la commande suivante dans une invite du shell, en tant que racine
:
~]# service smb redémarrer
le condrestart
(redémarrage conditionnel) option commence seulement smb
à condition qu'il soit en cours d'exécution. Cette option est utile pour les scripts car elle ne lance pas le démon s'il n'est pas en cours d'exécution.
Quand le /etc/samba/smb.conf
fichier est modifié, Samba le recharge automatiquement au bout de quelques minutes. Publication d'un manuel redémarrer
ou recharger
est tout aussi efficace.
Pour redémarrer le serveur de manière conditionnelle, entrez la commande suivante: racine
:
~]# service smb condrestart
Un rechargement manuel du /etc/samba/smb.conf
Ce fichier peut être utile en cas d'échec du rechargement automatique par le smb
un service. Pour vous assurer que le fichier de configuration du serveur Samba est rechargé sans redémarrer le service, tapez la commande suivante, comme suit: racine
:
~]# service smb reload
Par défaut, le smb
le service ne ne pas démarrer automatiquement au démarrage. Pour configurer Samba afin qu’il démarre au démarrage, utilisez un utilitaire initscript, tel que / sbin / chkconfig
, / usr / sbin / ntsysv
, ou la Outil de configuration des services programme. Voir le chapitre 12, Services et démons pour plus d'informations concernant ces outils.
21.1.6. Types de serveur Samba et le smb.conf
Fichier
La configuration de Samba est simple. Toutes les modifications de Samba sont effectuées dans le /etc/samba/smb.conf
fichier de configuration. Bien que le défaut smb.conf
fichier est bien documenté, il ne traite pas de sujets complexes tels que LDAP, Active Directory et les nombreuses implémentations de contrôleurs de domaine.
Les sections suivantes décrivent les différentes manières de configurer un serveur Samba. Gardez à l’esprit vos besoins et les changements nécessaires au /etc/samba/smb.conf
fichier pour une configuration réussie.
21.1.6.1. Serveur autonome
Un serveur autonome peut être un serveur de groupe de travail ou un membre d'un environnement de groupe de travail. Un serveur autonome n'est pas un contrôleur de domaine et ne fait pas partie d'un domaine. Les exemples suivants incluent plusieurs configurations de sécurité au niveau utilisateur. Pour plus d'informations sur les modes de sécurité, reportez-vous à la Section 21.1.7, «Modes de sécurité Samba».
Anonyme en lecture seule
Le suivant /etc/samba/smb.conf
fichier montre un exemple de configuration nécessaire pour implémenter le partage de fichier anonyme en lecture seule. Deux directives sont utilisées pour configurer l’accès anonyme – map to guest = utilisateur incorrect
et compte invité = personne
.
Exemple 21.2. Exemple de configuration d'un serveur Samba anonyme en lecture seule
[global] groupe de travail = DOCS netbios name = DOCS_SRV sécurité = utilisateur compte invité = personne # valeur par défaut map to guest = utilisateur incorrect [data] comment = Documentation Samba Server chemin = / export lecture seule = oui invité ok = oui
Anonyme Lecture / Ecriture
Le suivant /etc/samba/smb.conf
fichier montre un exemple de configuration nécessaire pour implémenter le partage de fichier anonyme en lecture / écriture. Pour activer le partage de fichiers anonyme en lecture / écriture, définissez le paramètre lecture seulement
directive à non
. le utilisateur de la Force
et groupe de force
des directives sont également ajoutées pour imposer la propriété des fichiers nouvellement placés spécifiés dans le partage.
Bien qu'il soit possible d'avoir un serveur de lecture / écriture anonyme, cela n'est pas recommandé. Tous les fichiers placés dans l'espace de partage, quel que soit l'utilisateur, se voient attribuer la combinaison utilisateur / groupe spécifiée par un utilisateur générique (utilisateur de la Force
) et groupe (groupe de force
) dans le /etc/samba/smb.conf
fichier.
Exemple 21.3. Exemple de configuration d'un serveur Samba anonyme en lecture / écriture
[global] groupe de travail = DOCS sécurité = utilisateur compte invité = personne # valeur par défaut map to guest = utilisateur incorrect [data] comment = Data chemin = / export invité ok = oui inscriptible = oui forcer utilisateur = utilisateur groupe de force = groupe
Serveur d'impression anonyme
Le suivant /etc/samba/smb.conf
Le fichier montre un exemple de configuration nécessaire pour implémenter un serveur d'impression anonyme. Réglage consultable
à non
comme indiqué ne répertorie pas l'imprimante dans Windows Quartier du réseau. Bien qu’il soit interdit de naviguer, la configuration explicite de l’imprimante est possible. En se connectant à DOCS_SRV
En utilisant NetBIOS, le client peut avoir accès à l’imprimante si le client fait également partie du DOCS
groupe de travail. Il est également supposé que le bon pilote d’imprimante local est installé sur le client, car le utiliser le pilote client
la directive est définie sur Oui
. Dans ce cas, le serveur Samba n’est pas responsable du partage des pilotes d’imprimante avec le client.
Exemple 21.4. Exemple de configuration d'un serveur Samba à impression anonyme
[global] groupe de travail = DOCS netbios name = DOCS_SRV sécurité = utilisateur map to guest = utilisateur incorrect impression = tasses [printers] comment = toutes les imprimantes chemin = / var / spool / samba invité ok = oui imprimable = oui utiliser le pilote client = oui consultable = oui
Fichier de lecture / écriture sécurisé et serveur d'impression
Le suivant /etc/samba/smb.conf
fichier montre un exemple de configuration nécessaire pour implémenter un fichier en lecture / écriture sécurisé et un serveur d'impression. Réglage du Sécurité
directive à utilisateur
oblige Samba à authentifier les connexions client. Remarquez le [homes]
part n'a pas de utilisateur de la Force
ou groupe de force
directive comme [public]
partage fait. le [homes]
Le partage utilise les détails de l'utilisateur authentifié pour tous les fichiers créés, par opposition au fichier. utilisateur de la Force
et groupe de force
dans [public]
.
Exemple 21.5. Exemple de configuration d'un fichier sécurisé en lecture / écriture et d'un serveur Samba d'impression
[global] groupe de travail = DOCS netbios name = DOCS_SRV sécurité = utilisateur nom printcap = tasses désactiver les spools = yes affichez l'assistant d'imprimante = non impression = tasses [homes] comment = Répertoires personnels utilisateurs valides =% S lecture seule = non navigable = non [public] comment = Data chemin = / export forcer l'utilisateur = docsbot groupe de force = utilisateurs invité ok = oui [printers] comment = toutes les imprimantes chemin = / var / spool / samba imprimante admin = john, ed, @admins créer un masque = 0600 invité ok = oui imprimable = oui utiliser le pilote client = oui consultable = oui
21.1.6.2. Domain Member Server
Un membre de domaine, similaire à un serveur autonome, est connecté à un contrôleur de domaine (Windows ou Samba) et est soumis aux règles de sécurité du domaine. Un exemple de serveur membre d'un domaine serait un serveur départemental exécutant Samba et disposant d'un compte d'ordinateur sur le contrôleur de domaine principal (PDC). Tous les clients du service s'authentifient toujours avec le PDC, les profils de bureau et tous les fichiers de stratégie réseau sont inclus. La différence est que le serveur du ministère est capable de contrôler les partages d'imprimante et de réseau.
Serveur membre du domaine Active Directory
Pour implémenter un serveur membre du domaine Active Directory, suivez la procédure ci-dessous:
Procédure 21.3. Ajout d'un serveur membre à un domaine Active Directory
-
Créer le
/etc/samba/smb.conf
fichier de configuration sur un serveur membre à ajouter au domaine Active Directory. Ajoutez les lignes suivantes au fichier de configuration:[global] royaume = EXAMPLE.COM sécurité = ADS chiffrer les mots de passe = oui # Optionnel. Utilisez-le uniquement si Samba ne peut pas déterminer automatiquement le serveur Kerberos. mot de passe serveur = kerberos.exemple.com
Avec la configuration ci-dessus, Samba authentifie les utilisateurs pour les services exécutés localement, mais est également un client de Active Directory. Assurez-vous que vos kerberos
domaine
paramètre est affiché en majuscule (par exempleroyaume = EXAMPLE.COM
). Windows 2000/2003/2008 nécessitant l’authentification Kerberos pour Active Directory, ledomaine
directive est nécessaire. Si Active Directory et Kerberos s'exécutent sur des serveurs différents, leserveur de mot de passe
directive est nécessaire pour aider la distinction. -
Configurez Kerberos sur le serveur membre. Créer le
/etc/krb5.conf
fichier de configuration avec le contenu suivant:[logging] default = FILE: /var/log/krb5libs.log [libdefaults] default_realm = AD.EXAMPLE.COM dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d rdns = false forwardable = false [realms] # Définir uniquement si les recherches DNS ne fonctionnent pas # AD.EXAMPLE.COM = # kdc = server.ad.example.com # admin_server = server.ad.example.com # master_kdc = server.ad.example.com # [domain_realm] # Définir uniquement si les recherches DNS ne fonctionnent pas # .ad.example.com = AD.EXAMPLE.COM # ad.example.com = AD.EXAMPLE.COM
Ne commentez pas le
[realms]
et[domain_realm]
sections si les recherches DNS ne fonctionnent pas. -
Pour rejoindre un serveur Active Directory, tapez la commande suivante en tant que
racine
sur le serveur membre:~]#
annonces nettes rejoindre -U administrateur%mot de passe
le
net
commande authentifie commeAdministrateur
utilisant le protocole NT LAN Manager (NTLM) et crée le compte d'ordinateur. ensuitenet
utilise les informations d'identification du compte d'ordinateur pour s'authentifier auprès de Kerberos.Puisque
sécurité = annonces
et passécurité = utilisateur
est utilisé, un mot de passe local tel quesmbpasswd
n'est pas nécessaire. Les clients plus âgés qui ne prennent pas en chargesécurité = annonces
sont authentifiés comme sisécurité = domaine
avait été mis. Cette modification n'affecte pas les fonctionnalités et permet aux utilisateurs locaux qui ne se trouvaient pas auparavant dans le domaine.
Serveur membre de domaine basé sur Windows NT4
Le suivant /etc/samba/smb.conf
Le fichier montre un exemple de configuration nécessaire pour implémenter un serveur de membre de domaine basé sur Windows NT4. Devenir un serveur membre d'un domaine basé sur NT4 revient à se connecter à un annuaire Active Directory. La différence principale réside dans le fait que les domaines basés sur NT4 n’utilisent pas Kerberos dans leur méthode d’authentification. /etc/samba/smb.conf
fichier plus simple. Dans ce cas, le serveur membre Samba fonctionne comme un accès direct au serveur de domaine basé sur NT4.
Exemple 21.6. Exemple de configuration du serveur membre du domaine basé sur Samba Windows NT4
[global] groupe de travail = DOCS netbios name = DOCS_SRV sécurité = domaine [homes] comment = Répertoires personnels utilisateurs valides =% S lecture seule = non navigable = non [public] comment = Data chemin = / export forcer l'utilisateur = docsbot groupe de force = utilisateurs invité ok = oui
Avoir Samba en tant que serveur membre du domaine peut être utile dans de nombreuses situations. Il arrive que le serveur Samba puisse avoir d'autres utilisations que le partage de fichiers et d'imprimantes. Il peut être avantageux de faire de Samba un serveur membre du domaine dans les cas où des applications exclusivement Linux sont requises pour une utilisation dans l'environnement du domaine. Les administrateurs apprécient de garder une trace de toutes les machines du domaine, même si elles ne sont pas basées sur Windows. Dans le cas où le matériel du serveur Windows est obsolète, il est assez facile de modifier le /etc/samba/smb.conf
fichier pour convertir le serveur en PDC basé sur Samba. Si les serveurs Windows NT sont mis à niveau vers Windows 2000/2003/2008, le /etc/samba/smb.conf
Le fichier est facilement modifiable pour intégrer la modification d'infrastructure à Active Directory si nécessaire.
Après avoir configuré le /etc/samba/smb.conf
fichier, rejoindre le domaine avant démarrer Samba en tapant la commande suivante comme racine
:
~]# net rpc join -U administrateur% mot de passe
Notez que le -S
L'option, qui spécifie le nom d'hôte du serveur de domaine, n'a pas besoin d'être indiquée dans le champ net rpc rejoindre
commander. Samba utilise le nom d’hôte spécifié par le groupe de travail
directive dans le /etc/samba/smb.conf
fichier au lieu d'être explicitement indiqué.
21.1.6.3. Contrôleur de domaine
Sur le plan fonctionnel, un contrôleur de domaine sous Windows NT est similaire à un serveur NIS (Network Information Service) dans un environnement Linux. Les contrôleurs de domaine et les serveurs NIS hébergent des bases de données d'informations sur les utilisateurs et les groupes, ainsi que les services associés. Les contrôleurs de domaine sont principalement utilisés pour la sécurité, notamment pour l'authentification des utilisateurs accédant aux ressources du domaine. Le service qui maintient l’intégrité de la base de données des utilisateurs et des groupes est appelé le Gestionnaire de compte de sécurité (SAM). La base de données SAM est stockée différemment entre les systèmes Windows et Linux basé sur Samba. Par conséquent, la réplication SAM ne peut pas être réalisée et les plates-formes ne peuvent pas être mélangées dans un environnement PDC / BDC.
Dans un environnement Samba, il ne peut y avoir qu'un seul PDC et aucun ou plusieurs BDC.
Samba ne peut pas exister dans un environnement de contrôleur de domaine mixte Samba / Windows (Samba ne peut pas être un BDC d'un PDC Windows ou vice versa). Alternativement, les PDC et les BDC Samba pouvez coexister.
Contrôleur de domaine principal (PDC) utilisant tdbsam
L’implémentation la plus simple et la plus courante d’un PDC Samba utilise la nouvelle méthode par défaut. tdbsam
base de données mot de passe back-end. Remplacer le vieillissement smbpasswd
back end, tdbsam
présente de nombreuses améliorations qui sont expliquées plus en détail à la Section 21.1.8, «Bases de données des informations de compte Samba». le passdb backend
directive contrôle quel back-end doit être utilisé pour le PDC.
Le suivant /etc/samba/smb.conf
fichier montre un exemple de configuration nécessaire pour mettre en œuvre un tdbsam
base de données mot de passe back-end.
Exemple 21.7. Exemple de configuration du contrôleur de domaine principal (PDC) à l’aide de tdbsam
[global] groupe de travail = DOCS netbios name = DOCS_SRV passdb backend = tdbsam sécurité = utilisateur ajouter un script utilisateur = / usr / sbin / useradd -m "% u" supprimer le script utilisateur = / usr / sbin / userdel -r "% u" add script de groupe = / usr / sbin / groupadd "% g" supprimer le script de groupe = / usr / sbin / groupdel "% g" ajouter un utilisateur au groupe script = / usr / sbin / usermod -G "% g" "% u" add machine script = / usr / sbin / useradd -s / bin / false -d / dev / null -g machines "% u" # Ce qui suit spécifie le script d'ouverture de session par défaut # Les scripts de connexion par utilisateur peuvent être spécifiés dans l'utilisateur # compte utilisant le script de connexion pdbedit = logon.bat # Ceci définit le chemin du profil par défaut. # Définir les chemins par utilisateur avec pdbedit lecteur de connexion = H: logons de domaine = yes niveau os = 35 maître préféré = oui maître de domaine = oui [homes] comment = Répertoires personnels utilisateurs valides =% S lecture seule = non [netlogon] comment = service de connexion réseau chemin = / var / lib / samba / netlogon / scripts navigable = non lecture seule = non # Pour que les profils fonctionnent, créez un répertoire utilisateur sous le répertoire. # chemin montré. # mkdir -p / var / lib / samba / profiles / john [Profiles] comment = Partager le profil itinérant chemin = / var / lib / samba / profiles lecture seule = non navigable = non invité ok = oui profil acls = yes # Autres ressources partagées ... ...
Fournir un système PDC fonctionnel qui utilise tdbsam
Suivez ces étapes:
-
Ajouter le
racine
utilisateur à la base de données de mots de passe Samba. Vous serez invité à fournir un nouveau mot de passe Samba pour leracine
utilisateur:~]#
smbpasswd -a root
Nouveau mot de passe SMB: -
Commencer le
smb
un service:~]#
service smb start
-
Assurez-vous que tous les répertoires profile, user et netlogon sont créés.
-
Ajouter des groupes dont les utilisateurs peuvent être membres:
~]#
groupadd -f utilisateurs
~]#groupadd -f personne
~]#groupadd -f ntadmins
-
Associez les groupes UNIX à leurs groupes Windows respectifs.
~]#
net groupmap add ntgroup = "Utilisateurs du domaine" unixgroup = users
~]#net groupmap add ntgroup = "Invités du domaine" unixgroup = personne
~]#net groupmap add ntgroup = "Admins du domaine" unixgroup = ntadmins
-
Accordez des droits d'accès à un utilisateur ou à un groupe. Par exemple, pour accorder le droit d'ajouter des ordinateurs clients au domaine sur un contrôleur de domaine Samba, aux membres du groupe Admins du domaine, exécutez la commande suivante:
~]#
attribution de droits net rpc SetMachineAccountPrivilege -S PDC -U root de 'DOCS Domain Admins'
N'oubliez pas que les systèmes Windows préfèrent avoir un groupe principal mappé sur un groupe de domaine tel que les utilisateurs de domaine.
Les groupes et les utilisateurs Windows utilisent le même espace de noms, ce qui ne permet pas l'existence d'un groupe et d'un utilisateur portant le même nom, comme sous UNIX.
Si vous avez besoin de plus d’un contrôleur de domaine ou si vous avez plus de 250 utilisateurs, ne ne pas Utilisez le tdbsam
authentification back-end. LDAP est recommandé dans ces cas.
Contrôleur de domaine principal (PDC) avec Active Directory
Bien qu'il soit possible que Samba soit membre d'un Active Directory, Samba ne peut pas fonctionner en tant que contrôleur de domaine Active Directory.
21.1.7. Modes de sécurité Samba
Il n'y a que deux types de modes de sécurité pour Samba, niveau de partage et niveau de l'utilisateur, qui sont collectivement connus comme niveaux de sécurité. La sécurité au niveau des partages est obsolète et Red Hat recommande d'utiliser plutôt la sécurité au niveau utilisateur. La sécurité au niveau utilisateur peut être mise en œuvre de trois manières différentes. Les différentes manières de mettre en œuvre un niveau de sécurité sont appelées modes de sécurité.
21.1.7.1. Sécurité au niveau de l'utilisateur
La sécurité au niveau de l'utilisateur est le paramètre par défaut et recommandé pour Samba. Même si le sécurité = utilisateur
directive ne figure pas dans la /etc/samba/smb.conf
fichier, il est utilisé par Samba. Si le serveur accepte le nom d'utilisateur et le mot de passe du client, il peut alors monter plusieurs partages sans spécifier de mot de passe pour chaque instance. Samba peut également accepter des demandes de nom d'utilisateur et de mot de passe basées sur une session. Le client maintient plusieurs contextes d'authentification en utilisant un UID unique pour chaque ouverture de session.
dans le /etc/samba/smb.conf
fichier, le sécurité = utilisateur
La directive qui définit la sécurité au niveau utilisateur est:
[GLOBAL] ... sécurité = utilisateur ...
Samba Guest Shares
Comme mentionné ci-dessus, le mode de sécurité au niveau du partage est obsolète et il est fortement recommandé de ne pas l'utiliser. Pour configurer un partage d’invité Samba sans utiliser le sécurité = partage
paramètre, suivez la procédure ci-dessous:
Procédure 21.4. Configuration des partages d'invité Samba
-
Créez un fichier de mappe de nom d'utilisateur, dans cet exemple
/ etc / samba / smbusers
et ajoutez la ligne suivante:personne = invité
-
Ajoutez les directives suivantes à la section principale de la
/etc/samba/smb.conf
fichier. De plus, n'utilisez pas leutilisateurs valides
directif:[GLOBAL] ... sécurité = utilisateur map to guest = Utilisateur incorrect nom d'utilisateur map = / etc / samba / smbusers ...
le
nom d'utilisateur carte
directive fournit un chemin d'accès au fichier de mappage de nom d'utilisateur spécifié à l'étape précédente. -
Ajoutez la directive suivante à la section de partage de la
/ect/samba/smb.conf
fichier. Ne pas utiliser leutilisateurs valides
directif.[SHARE] ... invité ok = oui ...
Les sections suivantes décrivent d'autres implémentations de la sécurité au niveau utilisateur.
Mode de sécurité du domaine (sécurité au niveau de l'utilisateur)
En mode de sécurité de domaine, le serveur Samba dispose d'un compte d'ordinateur (compte d'approbation de sécurité de domaine) et transmet toutes les demandes d'authentification aux contrôleurs de domaine. Le serveur Samba est transformé en serveur membre du domaine à l’aide des directives suivantes de la /etc/samba/smb.conf
fichier:
[GLOBAL] ... sécurité = domaine groupe de travail = MARKETING ...
Mode de sécurité Active Directory (sécurité au niveau de l'utilisateur)
Si vous avez un environnement Active Directory, il est possible de rejoindre le domaine en tant que membre Active Directory natif. Même si une politique de sécurité restreint l'utilisation de protocoles d'authentification compatibles avec NT, le serveur Samba peut rejoindre un ADS à l'aide de Kerberos. Samba en mode membre Active Directory peut accepter les tickets Kerberos.
dans le /etc/samba/smb.conf
fichier, les directives suivantes font de Samba un serveur membre Active Directory:
[GLOBAL] ... sécurité = ADS royaume = EXAMPLE.COM mot de passe serveur = kerberos.exemple.com ...
21.1.8. Bases de données d'informations de compte Samba
Vous trouverez ci-dessous une liste de différents arrières que vous pouvez utiliser avec Samba. Dos autres non énumérés ici peuvent également être disponibles.
- Texte brut
-
Le texte brut au verso n'est rien de plus que la
/ etc / passwd
tapez retour se termine. Avec un back-end en texte brut, tous les noms d'utilisateur et mots de passe sont envoyés non chiffrés entre le client et le serveur Samba. Cette méthode est très peu sûre et son utilisation n’est pas recommandée. Il est possible que différents clients Windows se connectant au serveur Samba avec des mots de passe en texte brut ne puissent pas prendre en charge une telle méthode d'authentification. smbpasswd
-
le
smbpasswd
Le back-end utilise une structure de texte ASCII simple qui inclut les comptes MS Windows LanMan et NT, ainsi que des informations de mot de passe chiffrées. lesmbpasswd
Le système dorsal manque du stockage des contrôles étendus SAM Windows NT / 2000/2003. lesmbpasswd
Le back-end n'est pas recommandé car il ne s'adapte pas correctement ni ne contient aucune information Windows, telle que les RID pour les groupes basés sur NT. letdbsam
Le système dorsal résout ces problèmes pour une utilisation dans une base de données plus petite (250 utilisateurs), mais n’est toujours pas une solution de classe entreprise. ldapsam_compat
-
le
ldapsam_compat
back-end permet de continuer à supporter OpenLDAP pour une utilisation avec les versions mises à niveau de Samba. tdbsam
-
Le défaut
tdbsam
back-end de mot de passe fournit un back-end de base de données pour les serveurs locaux, les serveurs ne nécessitant pas de réplication de base de données intégrée et les serveurs ne nécessitant pas l'évolutivité ou la complexité de LDAP. letdbsam
back end comprend tous lessmbpasswd
informations de base de données ainsi que les informations SAM précédemment exclues. L'inclusion des données SAM étendues permet à Samba d'implémenter les mêmes contrôles de compte et d'accès au système que sur les systèmes Windows NT / 2000/2003/2008.le
tdbsam
Le back-end est recommandé pour 250 utilisateurs au maximum. Les grandes entreprises devraient nécessiter une intégration Active Directory ou LDAP en raison de leur évolutivité et des problèmes possibles d’infrastructure réseau. ldapsam
-
le
ldapsam
back-end fournit une méthode optimale d’installation de comptes distribués pour Samba. LDAP est optimal en raison de sa capacité à répliquer sa base de données sur un nombre quelconque de serveurs tels que le serveur. Serveur d'annuaire Red Hat ou un Serveur OpenLDAP. Les bases de données LDAP sont légères et évolutives. Elles sont donc préférées par les grandes entreprises. L'installation et la configuration des serveurs d'annuaire vont au-delà de la portée de ce chapitre. Pour plus d'informations sur le Serveur d'annuaire Red Hat, voir le Guide de déploiement de Red Hat Directory Server 9.0. Pour plus d'informations sur LDAP, reportez-vous à la Section 20.1, «OpenLDAP».Si vous mettez à niveau une version précédente de Samba vers la version 3.0, notez que le fichier de schéma OpenLDAP (
/ usr / share / doc / samba-version/LDAP/samba.schema
) et le fichier de schéma Red Hat Directory Server (/ usr / share / doc / samba-version/LDAP/samba-schema-FDS.ldif
) ont changé. Ces fichiers contiennent les définitions de syntaxe d'attribut et définitions objectclass que leldapsam
les besoins principaux pour fonctionner correctement.En tant que tel, si vous utilisez le
ldapsam
back-end pour votre serveur Samba, vous devrez configurerclaqué
d'inclure l'un de ces fichiers de schéma. Voir Section 20.1.3.3, «Extension du schéma» pour des instructions sur la procédure à suivre.Vous devez avoir le serveurs openldap package installé si vous souhaitez utiliser le
ldapsam
back end. Pour vous assurer que le package est installé, exécutez la commande suivante en tant queles racines
:~]#
miam installer openldap-servers
21.1.9. Navigation sur le réseau Samba
Navigation sur le réseau permet à Windows et aux serveurs Samba d'apparaître dans Windows Quartier du réseau. À l'intérieur de Quartier du réseau, les icônes sont représentées en tant que serveurs et, si elles sont ouvertes, les partages du serveur et les imprimantes disponibles sont affichés.
Les fonctionnalités de navigation réseau nécessitent NetBIOS sur TCP
/IP
. La mise en réseau basée sur NetBIOS utilise la diffusion (UDP
) messagerie pour accomplir la gestion de la liste de navigation. Sans NetBIOS et WINS comme méthode principale pour TCP
/IP
résolution de nom d’hôte, d’autres méthodes telles que les fichiers statiques (/ etc / hosts
) ou DNS
, doit être utilisé.
Un navigateur maître de domaine rassemble les listes de navigation des navigateurs principaux locaux sur tous les sous-réseaux afin que la navigation puisse se faire entre groupes de travail et sous-réseaux. Also, the domain master browser should preferably be the local master browser for its own subnet.
21.1.9.1. Domain Browsing
By default, a Windows server PDC for a domain is also the domain master browser for that domain. A Samba server must ne pas be set up as a domain master server in this type of situation.
For subnets that do not include the Windows server PDC, a Samba server can be implemented as a local master browser. Configuring the /etc/samba/smb.conf
file for a local master browser (or no browsing at all) in a domain controller environment is the same as workgroup configuration (see Section 21.1.4, “Configuring a Samba Server”).
21.1.9.2. WINS (Windows Internet Name Server)
Either a Samba server or a Windows NT server can function as a WINS server. When a WINS server is used with NetBIOS enabled, UDP unicasts can be routed which allows name resolution across networks. Without a WINS server, the UDP broadcast is limited to the local subnet and therefore cannot be routed to other subnets, workgroups, or domains. If WINS replication is necessary, do not use Samba as your primary WINS server, as Samba does not currently support WINS replication.
In a mixed NT/2000/2003/2008 server and Samba environment, it is recommended that you use the Microsoft WINS capabilities. In a Samba-only environment, it is recommended that you use only one Samba server for WINS.
The following is an example of the /etc/samba/smb.conf
file in which the Samba server is serving as a WINS server:
Example 21.8. An Example Configuration of WINS Server
[global] wins support = yes
All servers (including Samba) should connect to a WINS server to resolve NetBIOS names. Without WINS, browsing only occurs on the local subnet. Furthermore, even if a domain-wide list is somehow obtained, hosts cannot be resolved for the client without WINS.
21.1.10. Samba with CUPS Printing Support
Samba allows client machines to share printers connected to the Samba server. In addition, Samba also allows client machines to send documents built in Linux to Windows printer shares. Although there are other printing systems that function with Red Hat Enterprise Linux, CUPS (Common UNIX Print System) is the recommended printing system due to its close integration with Samba.
21.1.10.1. Simple smb.conf
Paramètres
The following example shows a very basic /etc/samba/smb.conf
configuration for CUPS support:
Example 21.9. An Example Configuration of Samba with CUPS Support
[global] load printers = yes printing = cups printcap name = cups [printers] comment = All Printers path = /var/spool/samba browseable = no guest ok = yes writable = no printable = yes printer admin = @ntadmins [print$] comment = Printer Drivers Share path = /var/lib/samba/drivers write list = ed, john printer admin = ed, john
Other printing configurations are also possible. To add additional security and privacy for printing confidential documents, users can have their own print spooler not located in a public path. If a job fails, other users would not have access to the file.
le print$
directive contains printer drivers for clients to access if not available locally. le print$
directive is optional and may not be required depending on the organization.
Setting browseable
à Oui
enables the printer to be viewed in the Windows Network Neighborhood, provided the Samba server is set up correctly in the domain or workgroup.
21.1.11. Samba Distribution Programs
findsmb
findsmb
le findsmb
program is a Perl script which reports information about SMB
-aware systems on a specific subnet. If no subnet is specified the local subnet is used. Items displayed include IP
address, NetBIOS name, workgroup or domain name, operating system, and version. le findsmb
command is used in the following format:
The following example shows the output of executing findsmb
as any valid user on a system:
~]$ findsmb
IP ADDR NETBIOS NAME WORKGROUP/OS/VERSION
------------------------------------------------------------------
10.1.59.25 VERVE [MYGROUP] [Unix] [Samba 3.0.0-15]
10.1.59.26 STATION22 [MYGROUP] [Unix] [Samba 3.0.2-7.FC1]
10.1.56.45 TREK +[WORKGROUP] [Windows 5.0] [Windows 2000 LAN Manager]
10.1.57.94 PIXEL [MYGROUP] [Unix] [Samba 3.0.0-15]
10.1.57.137 MOBILE001 [WORKGROUP] [Windows 5.0] [Windows 2000 LAN Manager]
10.1.57.141 JAWS +[KWIKIMART] [Unix] [Samba 2.2.7a-security-rollup-fix]
10.1.56.159 FRED +[MYGROUP] [Unix] [Samba 3.0.0-14.3E]
10.1.59.192 LEGION *[MYGROUP] [Unix] [Samba 2.2.7-security-rollup-fix]
10.1.56.205 NANCYN +[MYGROUP] [Unix] [Samba 2.2.7a-security-rollup-fix]
net
net
le net
utility is similar to the net
utility used for Windows and MS-DOS. The first argument is used to specify the protocol to use when executing a command. le protocole
option can be les publicités
, rap
, ou rpc
for specifying the type of server connection. Active Directory uses les publicités
, Win9x/NT3 uses rap
, and Windows NT4/2000/2003/2008 uses rpc
. If the protocol is omitted, net
automatically tries to determine it.
The following example displays a list of the available shares for a host named wakko
:
~]$ net -l share -S wakko
Mot de passe:
Enumerating shared resources (exports) on remote server:
Share name Type Description
---------- ---- -----------
data Disk Wakko data share
tmp Disk Wakko tmp share
IPC$ IPC IPC Service (Samba Server)
ADMIN$ IPC IPC Service (Samba Server)
The following example displays a list of Samba users for a host named wakko
:
~]$ net -l user -S wakko
root password:
User name Comment
-----------------------------
andriusb Documentation
joe Marketing
lisa Sales
nmblookup
nmblookup
le nmblookup
program resolves NetBIOS names into IP
addresses. The program broadcasts its query on the local subnet until the target machine replies.
The following example displays the IP
address of the NetBIOS name trek
:
~]$ nmblookup trek
querying trek on 10.1.59.255
10.1.56.45 trek<00>
pdbedit
pdbedit
le pdbedit
program manages accounts located in the SAM database. All back ends are supported including smbpasswd
, LDAP, and the tdb database library.
The following are examples of adding, deleting, and listing users:
~]$pdbedit -a kristin
new password: retype new password: Unix username: kristin NT username: Account Flags: [U ] User SID: S-1-5-21-1210235352-3804200048-1474496110-2012 Primary Group SID: S-1-5-21-1210235352-3804200048-1474496110-2077 Full Name: Home Directory: \wakkokristin HomeDir Drive: Logon Script: Profile Path: \wakkokristinprofile Domain: WAKKO Account desc: Workstations: Munged dial: Logon time: 0 Logoff time: Mon, 18 Jan 2038 22:14:07 GMT Kickoff time: Mon, 18 Jan 2038 22:14:07 GMT Password last set: Thu, 29 Jan 2004 08:29:28 GMT Password can change: Thu, 29 Jan 2004 08:29:28 GMT Password must change: Mon, 18 Jan 2038 22:14:07 GMT ~]$pdbedit -v -L kristin
Unix username: kristin NT username: Account Flags: [U ] User SID: S-1-5-21-1210235352-3804200048-1474496110-2012 Primary Group SID: S-1-5-21-1210235352-3804200048-1474496110-2077 Full Name: Home Directory: \wakkokristin HomeDir Drive: Logon Script: Profile Path: \wakkokristinprofile Domain: WAKKO Account desc: Workstations: Munged dial: Logon time: 0 Logoff time: Mon, 18 Jan 2038 22:14:07 GMT Kickoff time: Mon, 18 Jan 2038 22:14:07 GMT Password last set: Thu, 29 Jan 2004 08:29:28 GMT Password can change: Thu, 29 Jan 2004 08:29:28 GMT Password must change: Mon, 18 Jan 2038 22:14:07 GMT ~]$pdbedit -L
andriusb:505: joe:503: lisa:504: kristin:506: ~]$pdbedit -x joe
~]$pdbedit -L
andriusb:505: lisa:504: kristin:506:
rpcclient
rpcclient
le rpcclient
program issues administrative commands using Microsoft RPCs, which provide access to the Windows administration graphical user interfaces (GUIs) for systems management. This is most often used by advanced users that understand the full complexity of Microsoft RPCs.
smbcacls
smbcacls /server/share>
le smbcacls
program modifies Windows ACLs on files and directories shared by a Samba server or a Windows server.
smbclient
smbclient /server/share>
le smbclient
program is a versatile UNIX client which provides functionality similar to the ftp
utility.
smbcontrol
smbcontrol -i
smbcontrol
le smbcontrol
program sends control messages to running smbd
, nmbd
, ou winbindd
daemons. Executing smbcontrol -i
runs commands interactively until a blank line or a 'q'
is entered.
smbpasswd
smbpasswd
le smbpasswd
program manages encrypted passwords. This program can be run by a superuser to change any user's password and also by an ordinary user to change their own Samba password.
smbspool
smbspool
le smbspool
program is a CUPS-compatible printing interface to Samba. Although designed for use with CUPS printers, smbspool
can work with non-CUPS printers as well.
smbstatus
smbstatus
le smbstatus
program displays the status of current connections to a Samba server.
smbtar
smbtar
le smbtar
program performs backup and restores of Windows-based share files and directories to a local tape archive. Though similar to the tar
utility, the two are not compatible.
testparm
testparm
le testparm
program checks the syntax of the /etc/samba/smb.conf
file. Si votre smb.conf
file is in the default location (/etc/samba/smb.conf
) you do not need to specify the location. Specifying the host name and IP
address to the testparm
program verifies that the hosts.allow
et host.deny
files are configured correctly. le testparm
program also displays a summary of your smb.conf
file and the server's role (stand-alone, domain, etc.) after testing. This is convenient when debugging as it excludes comments and concisely presents information for experienced administrators to read. Par exemple:
~]$testparm
Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[tmp]" Processing section "[html]" Loaded services file OK. Server role: ROLE_STANDALONE Press enter to see a dump of your service definitions# Global parameters [global] workgroup = MYGROUP server string = Samba Server security = SHARE log file = /var/log/samba/%m.log max log size = 50 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 dns proxy = no [homes] comment = Home Directories read only = no browseable = no [printers] comment = All Printers path = /var/spool/samba printable = yes browseable = no [tmp] comment = Wakko tmp path = /tmp guest only = yes [html] comment = Wakko www path = /var/www/html force user = andriusb force group = users read only = no guest only = yes
wbinfo
wbinfo
le wbinfo
program displays information from the winbindd
daemon. le winbindd
daemon must be running for wbinfo
to work.
21.1.12. Additional Resources
The following sections give you the means to explore Samba in greater detail.
Installed Documentation
-
/usr/share/doc/samba-<version-number>/
— All additional files included with the Samba distribution. This includes all helper scripts, sample configuration files, and documentation. -
See the following man pages for detailed information specific Samba features:
-
smb.conf(5)
-
samba(sept)
-
smbd(8)
-
nmbd(8)
-
winbindd(8)
-
Related Books
-
The Official Samba-3 HOWTO-Collection by John H. Terpstra and Jelmer R. Vernooij; Prentice Hall — The official Samba-3 documentation as issued by the Samba development team. This is more of a reference guide than a step-by-step guide.
-
Samba-3 by Example by John H. Terpstra; Prentice Hall — This is another official release issued by the Samba development team which discusses detailed examples of OpenLDAP, DNS, DHCP, and printing configuration files. This has step-by-step related information that helps in real-world implementations.
-
Using Samba, 2nd Edition by Jay Ts, Robert Eckstein, and David Collier-Brown; O'Reilly — A good resource for novice to advanced users, which includes comprehensive reference material.
Useful Websites
-
http://www.samba.org/ — Homepage for the Samba distribution and all official documentation created by the Samba development team. Many resources are available in HTML and PDF formats, while others are only available for purchase. Although many of these links are not Red Hat Enterprise Linux specific, some concepts may apply.
-
Samba newsgroups — Samba threaded newsgroups, such as www.gmane.org, that use the
NNTP
protocol are also available. This an alternative to receiving mailing list emails.
Commentaires
Laisser un commentaire