| SUSE Linux Enterprise Desktop dokumentáció 36. fejezet - Samba / 36.3. Samba-kiszolgáló beállítása | ||||
|---|---|---|---|---|
 | 36.2. Samba indítása és leállítása | 36.4. Kliensek beállítása |  | |
| SUSE Linux Enterprise Desktop dokumentáció 36. fejezet - Samba / 36.3. Samba-kiszolgáló beállítása | ||||
|---|---|---|---|---|
| 36.2. Samba indítása és leállítása | 36.4. Kliensek beállítása | | |
A Samba-kiszolgáló SUSE Linux Enterprise® rendszeren kétféleképp állítható be: a YaST segítségével és kézzel. A kézi beállítás részletesebb lehet, de a YaST GUI használata jóval kényelmesebb.
A Samba-kiszolgáló beállításához indítsa el a YaST programot és válassza ki a + menüpontot. A modul első indítása alkalmával megjelenik a párbeszédablak, amelyben néhány alapvető döntést meg kell hoznia a kiszolgáló adminisztrációjával kapcsolatban, majd a beállítás végén meg kell adni a Samba root felhasználói jelszavát. A többi indítás esetén a jelenik meg.
A párbeszédablak két részből áll:
A legördölő menüből válasszon ki egy meglévő munkacsoportot/tartományt vagy adjon meg egy újat, és kattintson a gombra.
A következő lépésben adja meg, hogy a kiszolgálónak kell-e PDC-ként (elsődleges tartományvezérlőként) viselkednie, majd kattintson a gombra.
Később a menüben lévő összes beállítás módosítható a párbeszédablak lapján.
A Samba-kiszolgáló modul első indításakor a párbeszédablak után közvetlenül megjelenik a párbeszédablak. Ennek segítségével adhatók meg a Samba-kiszolgáló beállításai.
A beállítás módosítása után az ablak bezárásához kattintson a menüpontra.
Az lapon állítsa be a Samba-kiszolgáló indítási lehetőségeit. Ha a szolgáltatást minden rendszerindításkor el kívánja indítani, akkor válassza a lehetőséget. A manuális indítás aktiválásához válassza a lehetőséget. A Samba-kiszolgáló indításával kapcsolatos további információ: 36.2. szakasz - Samba indítása és leállítása.
Ezen a lapon a tűzfal portjait is megnyithatja. Ehhez válassza ki a menüpontot. Ha több hálózati csatolóval rendelkezik, akkor a Samba-szolgáltatásokhoz tartozó kiválasztásához kattintson a menüpontra, válassza ki a kívánt csatolót, majd kattintson az gombra.
A lapon adja meg az aktiválandó Samba-megosztásokat. Léteznek előre meghatározott megosztások, mint például a saját könyvtárak és a nyomtatók. Az menüpont segítségével válthat az és állapot között. Kattintson a lehetőségre új megosztások felvételéhez, illetve a lehetőségre a kiválasztott megosztás törléséhez.
A SWAT (Samba Web Administration Tool) a Samba-kiszolgáló adminisztrációjára szolgáló alternatív eszköz. Ez egyszerű webes felületet biztosít a Samba-kiszolgáló beállításához. A SWAT használatához nyissa meg a http://localhost:901 címet a webböngészőben, és jelentkezzen be root felhasználóként. Ha nincs speciális Samba root fiókja, akkor használja a rendszer root fiókot.
![[Note]](admon/note.png) | A SWAT aktiválása |
|---|---|
A Samba-kiszolgáló telepítése után a SWAT még nincs aktiválva. Az aktiválásához nyissa ki a YaST + menüpontját, engedélyezze a hálózati szolgáltatások beállítását, válassza ki a táblázat pontját és kattintson az (be vagy ki) menüpontra. | |
Ha a Sambát kiszolgálóként kívánja használni, akkor telepítse a samba csomagot. A Samba fő konfigurációs fájlja az /etc/samba/smb.conf. Ez a fájl két fő logikai részre oszlik. A[global] rész a központi és általános beállításokat tartalmazza. A [share] rész pedig az egyedi fájl- és nyomtatómegosztásokat írja le. E megközelítés segítségével a megosztások jellemzői megadhatók megosztásonként eltérően, vagy a [global] részben egységesen. Ez javítja a konfigurációs fájl strukturális áttekinthetőségét.
A [global] rész alábbi paramétereit a saját hálózati beállításokhoz kell igazítani, hogy a gépek SMB-n keresztül hozzá tudjanak férni a Samba-kiszolgálóhoz Windows környezetben.
Ez a sor a Samba-kiszolgálót egy munkacsoporthoz rendeli. A TUX-NET helyére a hálózati környezet megfelelő munkacsoportját kell írni. A Samba-kiszolgáló a DNS-neve alatt jelenik meg, hacsak ez a név nem lett hozzárendelve a hálózat valamelyik másik gépéhez. Ha a DNS-név már foglalt, akkor a netbiosname=EZANEVEM sorhoz hasonló módon adja meg a kiszolgáló nevét. A paraméterrel kapcsolatos részletek a mansmb.conf paranccsal hívhatók elő.
Ez a paraméter azt szabályozza, hogy a Samba-kiszolgáló megpróbáljon-e LMB-vé (local master browser, helyi master böngésző) válni a munkacsoportban. Nagyon alacsony értéket válasszon ide, hogy megkímélje a meglévő Windows-hálózatot a rosszul beállított Samba-kiszolgáló okozta zavaroktól. E fontos témakörről további információ a csomagdokumentáció textdocs alkönyvtárában, a BROWSING.txt és BROWSING-Config.txt fájlokban olvasható.
Ha nincs más SMB-kiszolgáló jelen a hálózatban (például egy Windows NT vagy 2000 kiszolgáló) és azt kívánja, hogy a Samba-kiszolgáló tárolja a helyi környezetben jelen lévő összes rendszer listáját, akkor állítsa az os level értékét nagyobbra ( például 65-re). A Samba-kiszolgáló ezután LMB-ként kiválasztásra kerül a helyi hálózathoz.
A beállítás módosításakor gondosan mérlegelje a változásnak a meglévő windowsos hálózati környezetre gyakarolt hatását. Először próbálja ki a módosításokat egy elszigetelt hálózatban vagy a nap nem kritikus időszakában.
Ha a Samba-kiszolgálót aktív WINS-kiszolgálót működtető Windows-hálózatba kívánja integrálni, akkor használja a wins server beállítást és az értéke legyen a WINS-kiszolgáló IP-címe.
Ha a windowsos gépek külön alhálózatokhoz csatlakoznak, de tudniuk kell egymásról, akkor van szükség WINS-kiszolgálóra. A Samba-kiszolgáló is képes ellátni a WINS-kiszolgáló feladatait. Ehhez használja a wins support = Yes beállítást. Ügyeljen rá, hogy a hálózat csak egyetlen Samba-kiszolgálóján legyen engedélyezve ez a beállítás. A wins server és a wins support beállítás egyszerre nem használható az smb.conf fájlban.
Az alábbi példák bemutatják, hogyan tehető elérhetővé a CD-ROM meghajtó és a felhasználói saját könyvtárak (homes) az SMB-kliensek számára.
A CD-ROM véletlen megosztását az alábbi sorok megjegyzésekké tételével (ebben az esetben pontosvesszők beírásával) lehet letiltani. A CD-ROM Sambán keresztüli megosztásához törölje az első oszlopban lévő pontosvesszőket.
36.1. példa - CD-ROM megosztása
;[cdrom] ; comment = Linux CD-ROM ; path = /media/cdrom ; locking = No
[cdrom] és commentA [cdrom] bejegyzés a megosztás neve, amelyet az SMB-kliensek látnak a hálózaton. A megosztás további leírásához azonban megadható egy további megjegyzés (comment).
path = /media/cdromA path exportálja a /media/cdrom könyvtárat.
Egy nagyon megszorító alapértelmezett konfiguráció miatt ez a megosztás csak a rendszeren jelen lévő felhasználók számára elérhető. Ha ezt a megosztást mindenki számára elérhetővé kell tenni, akkor a konfigurációhoz adja hozzá a guest ok = yes sort. Ez a beállítás olvasás jogosultságot biztosít mindenkinek a hálózaton. Ezt a paramétert körültekintően kell kezelni. Ez különösen érvényes, ha a paramétert a [global] részben használjuk.
[homes]A [home] megosztásnak különös jelentősége van itt. Ha a felhasználó egy érvényes azonosítóval és jelszóval rendelkezik a Linux-fájlkiszolgálóhoz és a saját könyvtárához, akkor csatlakozni tud hozzá.
36.2. példa - homes megosztás
[homes] comment = Home Directories valid users = %S browseable = No read only = No create mask = 0640 directory mask = 0750
Ha nincs másik megosztás, amely az SMB-kiszolgálóhoz csatlakozó felhasználó megosztás nevét használná, akkor a megosztás a [homes] megosztási utasítások segítségével dinamikusan létrehozásra kerül. A megosztás eredményül kapott neve a felhasználónév.
valid users = %SA %S helyére a megosztás konkrét neve kerül, amint a kapcsolat sikeresen létrejött. A [homes] megosztás esetén ez mindig a felhasználó neve. Ennek következményeképp a felhasználó megosztását csak a felhasználó érheti el.
browseable = NoEz a beállítás láthatatlanná teszi a megosztást a hálózati környezetben.
read only = NoA Samba alapértelmezés szerint a read only = Yes paraméterrel letiltja az exportált megosztás írási hozzáférését. Egy megosztás írhatóvá tételéhez a read only = No értéket kell beállítani, amelynek hatása egyébként megegyezik a writable = Yes paraméterével.
create mask = 0640A nem MS Windows NT-re épülő rendszerek nem foglalkoznak a UNIX-jogosultságokkal, így egy fájl létrehozásakor nem rendelnek hozzá jogosultságokat. A create mask paraméter ezért meghatározza az újonnan létrehozott fájlok hozzáférési jogosultságait. Ez természetesen csak az írható megosztásokra érvényes. A gyakorlatban ez a jogosultságérték azt jelentené, hogy a tulajdonos olvasási és írási, a tulajdonos elsődleges csoportjának tagjai pedig olvasási jogosultsággal rendelkeznek. A valid users = %S paraméter azonban letiltja a csoport olvasási hozzáférését, hiába rendelkezik a csoport olvasási jogosultsággal. Ahhoz, hogy a csoport rendelkezzen olvasási vagy írási hozzáféréssel, kapcsolja ki a valid users = %S sort.
A biztonság növelése érdekében minden megosztási hozzáférés védhető jelszóval. Az SMB háromféle jogosultságellenőrzést tesz lehetővé:
A megosztáshoz szigorúan hozzátartozik egy jelszó. Csak a jelszót ismerő személyek férhetnek hozzá a megosztáshoz.
A változat kapcsán először foglalkozunk a felhasználó fogalmával az SMB-n belül. Minden felhasználónak saját jelszóval kell bejelentkeznie a kiszolgálóhoz. Regisztráció után a kiszolgáló az egyes megosztásokhoz a felhasználói névtől függően biztosít hozzáférést.
A kliensek felé a Samba úgy működik, mintha felhasználói szintű módban futna. A valóságban azonban az összes jelszólekérdezést átadja egy másik felhasználói szintű kiszolgálónak, amely a hitelesítést végzi. Ehhez a beállításhoz még egy paramétert meg kell adni (password server).
A megosztási, felhasználói és kiszolgálószintű biztonság közötti különbség, hogy az utóbbi a teljes kiszolgálóra érvényes. A kiszolgáló egyedi megosztásai már nem védhetők külön megosztásonkénti vagy felhasználói szintű biztonsággal. Megteheti azonban, hogy a rendszer minden beállított IP-címéhez külön Samba-kiszolgálót futtat.
A tárggyal kapcsolatos további információt a Samba HOWTO-gyűjtemény tartalmaz. Ha egy rendszeren több kiszolgáló van, akkor az interfaces és bind interfaces only beállításra is figyeljen.
