Szukaj
Close this search box.
Samba – serwer plików i drukarek, kontroler domeny

Samba – usługa do udostępniania plików, katalogów, dysków sieciowych itp. Działa na użytkownikach i grupach Linuxowych. Posiada swoją bazę haseł dla użytkowników linuxowych

# Instalacja
pakiety: samba, samba-common, samba-client

# Usługa
smb
nmb (usługa do używania nazwy netbiosowej w Windowsie)

# Użytkownicy
dodanie grupy Linuxowej, użytkownik i następnie dorzucenie użytkownika do tej grupy

Ustawienie hasła wykorzystywanego przez Sambe dla użytkownika:
smbpasswd -a user_name

# Konfiguracja i dodawanie nowego udziału
Plik konfiguracyjny usługi: /etc/samba/smb.conf (warto zrobić backup oryginalnego pliku).
Utworzenie katalogu: /srv/samba/shared
Uprawnienia (-R): nobody:nobody, 0755 (full access dla gości)
root:grupa, 0770 – dostęp do udziału tylko konkretna grupa

Chcon – zmiana kontekstu bezpieczeństwa pliku
chcon -t samba_share_t /srv/samba/shared

[global]
workgroup – grupa lokalna, taka sama jak na klientach
server string = opis servera
netbios name = nazwa_serwera
map to guest = bad user (użytkownicy bez konta w sambie mają dostęp do udziału)

Dodanie nowego udziału:
[nazwa_udzialu]
path = sciezka_do_katalogu
writable = yes (możliwość zapisu)
guest ok = yes (możliwość podglądu udziału przez gości)
read only = no (tylko opcja RO)

[udzial]
path = /
valid users = @nazwa_grupy
valid users = nazwa_usera
guest ok = no
writable = yes
browseable = yes (widoczność zasobu po wejściu na serwer)
read only = no

# Przetestowanie konfiguracji Samby
testparm

# Odblokowanie na firewallu
usługa: samba

# Klient Samby na Linuxie
smbclient //IP/udzial -U nazwa_usera
Helpem możemy podejrzeć dostępne komendy – podobne do Linuxowych
Aby wyjść z klienta wystarczy ^C.

# Utrzymanie
/var/lib/samba/ – bazy danych używane przez Sambę, w tym użytkowników i haseł używaną przez smbpasswd.

smbstatus – wyświetla status usługi
– kto jest podłączony, z jakiego IP, do jakiego udziału
– jakie pliki są zablokowane

 

Samba jako kontroler domeny

Kerberos – protokół uwierzytelniania użytkowników wykorzystywany w Sambie
1. Skonfiguruj hostname
hostnamectl set-hostname dc-master
2. Dodaj do pliku /etc/hosts następującą konfigurację:
adres_IP dc-master dc-master.domena.pl
3. Zainstaluj odpowiednie pakiety
samba smbclient winbind libpam-winbind libnss-winbind krb5-kdc libpam-krb5
* podczas instalacji Kerberosa trzeba będzie podać REALM, należy to pominąć
4. Wykonaj kopię zapasową plików /etc/samba/smb.conf oraz /etc/krb5.conf kasując je przy okazji – mv.
5. Rozpocznij konfigurację domeny:
samba-tool domain provision –use-rfc2307 –interactive
Zaciągnie od domyślny realm i domenę z /etc/hosts, więc zostawiamy domyślne. Akceptujemy również domyślne wartości dla Server Role i DNS Backend. DNS Forwarder możemy wpisać dowolny serwer DNS.
6. Po zakończeniu poprzedniego kroku należy skopiować plik /var/lib/samba/private/krb5.conf do katalogu /etc.
7. Uruchomienie Samby:
systemctl mask smbd nmbd winbind
systemctl disable smbd nmbd winbind
systemctl stop smbd nmbd winbind
systemctl unmask samba-ad-dc
systemctl start samba-ad-dc
systemctl enable samba-ad-dc

* Disable i enable definiuje zachowanie usługi podczas startu systemu. Nawet gdy zrobimy disable to możemy później ją włączyć. Aby zablokować możliwość uruchomienia w inny sposób należy zamaskować daną usługę (od strony technicznej, tworzy dla niej symlink do /dev/null).

8. Reboot.
9. Wyłączenie systemd-resolved.
systemctl disable –now systemd-resolved
unlink /etc/resolv.conf
nano /etc/resolv.conf
nameserver dc-master_IP
search REALM
10. Reboot.
11. Testowanie:
samba
host -t SRV _ldap._tcp.domena (powinno zwrócić jakiś rekord SRV)
kinit Administrator (w odpowiedzi powinna być informacja kiedy hasło wygasa)

# Dodawanie nowych użytkowników:
samba-tool user create user4 –profile-path=’\\dc-master\profiles\user4′ (katalog sobie samo automatycznie utworzy)

# Profile mobilne
– Utworzenie udziału
[profiles]
path = /profiles
browseable = No
read only = No
– Utworzenie katalogu i nadanie odpowiednich uprawnień
mkdir /profiles
* Z poziomu Windowsa należy nadać uprawnienia dla udziału profiles dla grupy „Domain Users”
– Dodanie do sekcji global w pliku smb.conf
logon path = \\%L\profiles\%U
– Przeładowanie usługi
smbcontrol all reload-config

W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies, które będą zamieszczane w Państwa urządzeniu (komputerze, laptopie, smartfonie). W każdym momencie mogą Państwo dokonać zmiany ustawień Państwa przeglądarki internetowej i wyłączyć opcję zapisu plików cookies. View more
Zaakceptuj