Назад
Глава 1. Простой Samba-сервер
Часть I. Примеры сетевых конфигураций
Дальше

Глава 1. Простой Samba-сервер


1.1. Введение
1.2. Условия задачи
1.3. Вопросы и ответы

Это начало настоящего путешествия навстречу успешному развертыванию Samba. Для кого-то этот раздел конец дороги, потому что их потребности будут удовлетворены. Для других этот раздел будет началом большого пути, который даст им хорошее понимание содержимого этой книги. Эта книга предлагает примеры конфигураций, по большей части законченных сетевых решений. Цель этой книги помочь вам получить рабочую среду Samba с наименьшим количеством затрат.

1.1. Введение

Эта глава заложит фундамент понимания основ операций с Samba. Вместо легких технических вопросов, каждый принцип демонстрирует реальный сценарий для каждого рабочего решения и подробно описан.

Практическое применение будет рассмотрено на примере проектного чертежного бюро, благотворительного административного офиса и бухгалтерского отдела. Вам решать, применять какое-то одно из представленных решений, либо все в вашей конкретной среде.

Каждый из этих случаев может быть внедрен более творчески, но помните, что решения, которые вы создаете и проектируете, демонстрируют частные решения. По опыту скажу, что вы можете найти более совершенное решение по сравнению с теми, что представлены здесь. К тому времени, когда вы освоите эту книгу, вы станете экспертом Samba, поэтому попытайтесь найти более качественные решения и проверьте их в работе.
(к началу страницы)

1.2. Условия задачи

Каждый случай рассматривает наиболее характерные отличия и аспекты сети Windows, в которой могут быть внедрены базирующиеся на Samba решения. Каждое из этих небольших отличий было взято из реальной жизни. В каждом случае дан краткий обзор характеристик мест, на которые следует обратить внимание. Инструкции базируются на предположении, что был установлен оригинальный rpm-пакет от команды Samba.

В этой части имеются три задачи, построенные вокруг фиктивных компаний:

  • Проектное бюро;
  • Благотворительный административный офис;
  • Бухгалтерский отдел.
Начнем.
(к началу страницы)

1.2.1. Проектное бюро

Наша фиктивная компания называется Abmas Design, Inc. Это бизнес трех человек, занимающихся Системами Автоматизированного Проектирования, САПР (computer-aided design - CAD), и в котором работы чаще больше, чем могут выполнить. Владелец бизнеса по контракту нанял проектировщиков, которых нашел, где смог. Они принесли в офис для работы собственные ноутбуки. Здесь четыре стационарных проектных машины. Abmas имеет сборники планов более чем за 10 лет, которые должны быть доступны всем проектировщикам для справки или сверки. Abmas нанял для обслуживания раз в месяц опытного сетевого инженера для обновления планов, которые хранятся на центральном сервере. Она знает, как загрузить планы на каждую машину. Эти файлы, доступные на сервере, должны быть доступны только для чтения. Любой должен иметь доступ к планам в любое время без барьеров и сложностей.

Мистер Bob Jordan попросил вас установить новый сервер настолько экономичный, насколько это возможно. Центральный сервер это Pentium-IV 1.6GHz CPU, 768MB RAM, системный диск 20GB IDE, и 160GB второй диск для хранения планов, а также 100 мегабитная сетевая карта. У вас уже есть установленный Red Hat Fedora CoreX, и Samba обновленная до версии 3.0.20, установленная из rpm-пакета, полученная с FTP проекта (http://www.samba.org).

Четыре стационарных проектных машины (рабочие станции Microsoft Windows) имеют присоединенные принтеры, плоттеры, которые находятся в общем доступе в одноранговой сети и доступны всем пользователям сети. Имеется замысел и дальше предоставлять общий доступ к принтерам по такому принципу. Три постоянных штатных работника вместе со всеми наемными работниками по контракту хранят всю новую работу на одном компьютере. Ежедневно делается копия работы на другой компьютер для резервирования. Когда прибывает сетевой консультант, недельная копия работы копируется на центральный сервер и удаляется с той машины, на которой хранилась в течение недели. Работа в офисе протекает в таком порядке и никому не хочется что-либо менять. Старые привычки слишком сильны.
(к началу страницы)

1.2.1.1. Анализ и обсуждение

Установка такого сервера очень проста. Все, что требуется, это файл-сервер с правом доступа к файлам только на чтение анонимным пользователям. Сетевой консультант настроит загрузку всех файлов с «недельного» хранилища на сервер. Это развертывание сфокусируется лишь на критических аспектах установки.

Не обязательно иметь специальных пользователей на таком сервере. У сайта есть способ для хранения всех планов. Каждый план хранится в директории, которая именуется по такому принципу YYYYWW (этот пример показывает, как можно структурировать хранение данных по дате, но вы совсем не обязательно должны делать также), где YYYY – это год, а WW – это неделя года. Это условие позволяет работе резервироваться каждую неделю, чтобы сохранить метод архивирования, привычный для сайта. Также есть каталог пользователя, который может быть просмотрен в алфавитном порядке. В его корне 26 директорий (A-Z). Во втором уровне каталога добавлены буквы имени (A-Z). Внутри каждого каталога имя пользователя. Внутри каждого каталога символическая ссылка на каждый проектируемый чертеж или план. Такой путь хранения файлов данных пользователей позволяет всем планам быть найденными по имени пользователя и по дате выполнения работы, без требования к дисковому пространству, которое потребовалось бы, если сохранялись файлы-дубликаты. Общий ресурс содержит планы и называется plans.
(к началу страницы)

1.2.1.2. Внедрение

Предполагается, что сервер настроен и готов к установке и конфигурации Samba 3.0.20. Все TCP/IP адреса статические. В нашем случае IP адрес Samba-сервера 192.168.1.1, маска 255.255.255.0, имя сервера server.

1. Загрузите rpm-пакет Samba-3 для Red Hat Fedora Core2 с FTP Samba.

2. Установите пакет посредством GUI инструментов или используя rpm:

root# rpm -Uvh samba-3.0.20-1.i386.rpm

3. Создайте точку монтирования файловой системы, которая будет использоваться для хранения всех файлов данных. Вы можете создать каталог /plans:

root# mkdir /plans
root# chmod 755 /plans

Разрешения 755 для этого каталога (точки монтирования) позволит владельцу каталога читать, записывать и выполнять, а группе и остальным только читать и выполнять. Используйте инструменты вашего дистрибутива для форматирования винчестера в подходящую файловую систему. Ext3 вполне подойдет. Сконфигурируйте этот жесткий диск для автоматического монтирования.

4. Скопируйте в каталог /etc/samba/ файл smb.conf с таким содержимым:

Пример 1.2.1. Файл smb.conf проектного бюро

#Global Parameters
[global]
workgroup = MIDEARTH
security = SHARE
[Plans]
path = /plans
read only = Yes
guest ok = Yes

5. Перезапустите Samba способом, применяемым в вашей системе, например:

root# chkconfig smb on
root# /etc/rc.d/init.d/smb restart

Конфигурация клиентов Windows:

1. Убедитесь, что всем клиентам установлены сетевые адреса из того же диапазона, что и сервер. Например, один из клиентов должен иметь адрес наподобие этого 192.168.1.10.

2. Удостоверьтесь, что у всех клиентов маска сети установлена такая же, как у сервера, то есть 255.255.255.0.

3. Установите для клиентов имя рабочей группы MIDEARTH.

4. Проверьте, что каждая клиентская машина видит в сетевом окружении компьютер SERVER, что виден общий ресурс plans и что в него можно зайти.

1.2.1.3. Проверка

В первую очередь следует проверить, что новая конфигурация Samba отвечает на внутреннем (петлевом) интерфейсе (loop-back). Затем нужно проверить, что Samba корректно отвечает на имя владельца. И последнее, проверьте, что клиент может присоединиться к серверу Samba.

1. Проверьте возможность доступа к демону smbd, проделайте следующее:

root# smbclient -L localhost -U%
Sharename Type Comment
--------- ---- -------
Plans 	Disk
IPC$ 	IPC 	IPC Service (Samba 3.0.20)
ADMIN$ 	IPC 	IPC Service (Samba 3.0.20)
Server 	Comment
--------- -------
SERVER 	Samba 3.0.20
Workgroup Master
--------- --------
MIDEARTH SERVER

Это говорит о том, что Samba способна отвечать на внутреннем интерфейсе по нулевому соединению (дословно: to respond on the loopback interface to a NULL connection). –U% это способ отправить пустое имя_пользователя и пароль. Эта команда может быть повторена после того, как Samba запущена в течение 15 минут.

2. Теперь проверьте, что Samba корректно обрабатывает запросы имени пользователя и пароля, проделайте следующее:

root# smbclient -L server -Uroot%password

Вы должны получить вывод, аналогичный предыдущему. Samba была сконфигурирована, чтобы игнорировать все имена пользователей; взамен будет использоваться guest account для всех соединений.
(к началу страницы)

1.2.2. Благотворительный административный офис

Наша фиктивная благотворительная организация называется Abmas Vision NL. В этом офисе в сети пять компьютеров. Штат состоит из волонтеров и часто изменяется. Мисс Amy May, директор по управлению, хотела бы иметь простую сеть. Чтобы любой мог использовать любой компьютер. Используются только два Windows приложения: внутренняя бухгалтерская программа и приложение для резервирования, которое сохраняет все файлы на центральный сервер, а также Microsoft Word. Офис готовит к отправке по почте письма, приглашения и благодарственнее открытки. Все файлы должны храниться вечно. Внутренняя бухгалтерская программа и приложение для резервирования (дословно: custom funds tracking and management (FTM) software) сконфигурированы для использования сервера с именем SERVER, общий ресурс называется FTMFILES, и очередь печати, называемая PRINTQ, которая использует бумагу с предварительно напечатанной информацией, таким образом, требуется специальный принтер. Этот принтер не должен быть настроен как локальный принтер на рабочих станциях.

Приложение FTM находится в использовании со времен Windows 3.11. Приложение было сконфигурировано продавцом, который больше этим не занимается. Идентичность файлового сервера и принтера жестко запрограммировано в конфигурационном файле, который был создан с использованием установочной программы, которую продавец не оставил. Компания, которая написала установочную программу, больше не существует (в общем, все плохо..., прим.перев.). Во избежание возможных рисков несовместимости, имя общего ресурса и целевой очереди печати должно быть установлено таким же, как и ожидает это приложение. Фактически, имя общего ресурса и имя очереди печати должны обрабатываться независимо от регистра (то есть регистр не имеет значения). Но в Abmas Vision подозревают, что если имя общего ресурса будет не в нижнем регистре, то приложение не сможет найти общий ресурс.

В результате принтер, управляемый Samba, находится в серьезном замешательстве. Samba предоставляет клиентам MS Windows только очередь печати. Процесс Samba smbd для задания печати выступает посредником между клиентом Windows и родной системой печати UNIX. Родная система печати UNIX (spooler) помещает задание в очередь печати, через которую доставляется на принтер. В этой книге сетевые диаграммы посылают на принтер по имени очереди печати, которая обслуживает принтер. Не имеет значение, какое полное условное имя (или имя хоста) в сети печатает его. Спулер UNIX сконфигурирован так, чтобы корректно доставить все задания на принтер.

В этой организации есть политика, запрещающая использование личных компьютеров, как мера предотвращения утечки конфиденциальной информации. Только пять компьютеров, принадлежащих Abmas Vision NL, используются в этой сети.

Центральный сервер был выделен как локальное хранилище. Это двухпроцессорный Pentium-III, 1 Gb оперативной памяти, raid-контроллер с четырьмя дисками по 200Gb, а также 100 мегабитная сетевая карта. Все это соединяется с центральным хабом. Все оборудование новое. На всех пяти компьютерах установлена ОС Windows Me. Финансирование ограничено, поэтому сервер не имеет операционной системы. Вы одобрили установку Samba под Linux, это будет работать без каких-либо проблем. Имеются два принтера HP LaserJet 5 PS, подключенные по сети. Второй принтер будет использоваться в главном офисе для печати писем. Были одобрены ваши рекомендации о том, чтобы позволять печатать непосредственно на принтеры только с Linux-сервера. Вы установили ОС SUSE Enterprise Linux Server 9 и обновили Samba до версии 3.0.20.
(к началу страницы)

1.2.2.1. Анализ и обсуждение

Такая настройка требует простоты. Частая смена штатных волонтеров говорит о том, что построение сети, в которой пользователям требуется авторизоваться, может иметь проблемы. Это наводит на мысль, что лучшим решением в таком офисе будет такое, где пользователь может войти на любой компьютер с любым именем_пользователя и любым паролем. Samba может быть приспособлена для подобного офиса при использовании параметра force user в описании параметров общего ресурса и принтера. Использование параметра force user гарантирует вам, что все файлы будут принадлежать одному и тому же идентификатору пользователя (user identifier UID) и здесь никогда не будет проблем с доступом к файлам. В дополнение вы выбираете использование параметра nt acl support = No, чтобы удостовериться, что лист контроля доступа acl (тип Posix) не может быть применен ни к какому файлу или каталогу. Это предотвращает от неумышленной смены ACL актуальных файловых разрешений.

Эта организация прямой кандидат для модели безопасности Share. Параметр force user позволяет всем файлам принадлежать одному пользователю и группе. В дополнение это не мешает установить SUID и SGID на каталоги, находящиеся в общем доступе. Это способствует тому, что все новые файлы, которые создаются, независимо от того, кто их создал, принадлежат владельцу или группе директории, в которой они были созданы. Для дополнительной информации по этому вопросу обратитесь к Главе 15, «Сборник полезных советов», раздел 15.8.

Все клиентские рабочие станции печатают через очередь печати на сервере. Это гарантирует, что задания печати продолжат печататься в случае, если пользователь выключит компьютер непосредственно после отправки задания на печать. Сегодня и Red Hat Linux и SUSE Linux используют для печати CUPS. Старые системы linux предлагали выбрать между системами печати LPRng и CUPS. Однако очевидно, что CUPS начал лидировать в технологиях печати UNIX.

Очереди печати устанавливаются как RAW-устройства, посредством которых CUPS не будет особо интеллектуально обрабатывать процесс печати, поэтому локально на клиентах Windows должны быть установлены драйвера от поставщика принтера.

Гипотетическое приложение FTM представляет из себя самосборную программу, которая прямо использует интерфейс NetBIOS. Большинство таких программ порождено в дни MS/PC DOS. NetBIOS именование использует ВЕРХНИЙ РЕГИСТР (и функционально зависимо от регистра). Так, некоторые старые приложения позволяют вводить имена только в верхнем регистре. Некоторые такие приложения были позже портированы в MS Windows, но сохранили в себе требования по сетевому именованию в верхнем регистре, просто потому, что пользователи так привыкли. Мы приняли решение именовать общие ресурсы и очереди печати в верхнем регистре для этого приложения по той же самой причине. Ничего не будет страшного, если мы будем использовать нижний регистр в именах, но такое решение может создать потребность в переобучении персонала – того, чего мы постараемся избежать на этот раз.

Сеть NetBIOS не печатает прямо на принтер. Вместо этого вся печать основана на очереди печати. Печатная спулинговая система ответственна за связь с физическим принтером. В этом примере, по этой самой причине, источник, называемый RPINTQ, на самом деле является очередью печати. Имя очереди печати это образец устройства, через которое спулер принтера доставляет задания печати.
(к началу страницы)

1.2.2.2. Внедрение

Допустим, что сервер полностью настроен и готов для конфигурирования Samba 3.0.20. Все TCP/IP адреса статические. В нашем случае адрес сервера 192.168.1.1, маска 255.255.255.0. Имя сервера server. Топология сети благотворительного административного офиса представлена на рисунке 1.1.

Рисунок 1.1. Топология сети благотворительного административного офиса

Топология сети  благотворительного административного офиса

1. Создайте группу для хранилища офисных файлов:

root# groupadd office

2. Создайте учетную запись пользователя для хранилища офисных файлов:

root# useradd -m abmas
root# passwd abmas
Changing password for abmas.
New password: XXXXXXXX
Re-enter new password: XXXXXXXX
Password changed
where XXXXXXXX is a secret password.

3. Посредством утилит, идущих с raid-контроллером, создайте raid-массив пятого уровня, с возможностью горячей замены. В результате ваш массив будет иметь приблизительно 500Gb полезного пространства.

4. Создайте точку монтирования для файловой системы, которая будет использоваться для хранения всех данных. Создайте каталог /data:

root# mkdir /data
root# chmod 755 /data

Разрешения 755 для этого каталога (точки монтирования) позволит владельцу каталога читать, записывать и выполнять, а группе и остальным только читать и выполнять.

5. Используйте инструменты вашего дистрибутива для форматирования раздела в подходящую файловую систему. reiserfs вполне подойдет. Сконфигурируйте этот раздел для автоматического монтирования в каталог /data.

6. Создайте в каталоге /data два каталога ftmfiles и officefiles. Установите владельца и разрешения:

root# mkdir -p /data/{ftmfiles,officefiles/{letters,invitations,misc}}
root# chown -R abmas:office /data
root# chmod -R ug+rwxs,o-w,o+rx /data

Здесь показан комбинированный путь, создание всех каталогов одной командой mkdir

/data/fmtfiles
/data/officefiles
/data/officefiles/letters
/data/officefiles/invitations
/data/officefiles/misc

Команда chown назначает владельцем пользователя abmas и группу office для всех каталогов, которые были только что созданы. Команда рекурсивно задала разрешения таким образом, что владелец и группа имеют право (им задан SUID/SGID) на чтение, запись и выполнение, а остальные только на чтение и выполнение. Это способствует тому, что любые новые файлы и каталоги будут иметь того же владельца, группу и разрешения, как у каталога, в котором они созданы. Это будет исключать все проблемы доступа к файлам, которые основаны на разрешениях. Больше информации по этому вопросу вы можете найти в The Official Samba-3 HOWTO and Reference Guide, Chapter 15, File, Directory and Share Access Controls, или прочтите man chmod и man chown.

7. Создайте файл smb.conf такого содержания, как показано в Примере 1.2.2. в папке /etc/samba/. Мы будем использовать режим безопасности user (новый стиль), как более подходящий режим управления Samba-3, чем старый режим безопасности share, который был показан в первой редакции книги (старый стиль, см. пример 1.2.3).

Пример 1.2.2. Файл smb.conf благотворительного административного офиса, новый стиль

#Global Parameters - Newer Configuration

[global]
Workgroup = MIDEARTH
printing = CUPS
printcap name = CUPS
map to guest = Bad User
show add printer wizard = No
wins support = yes

[FTMFILES]
comment = Funds Tracking & Management Files
path = /data/ftmfiles
read only = No
force user = abmas
force group = office
guest ok = Yes
nt acl support = No

[office]
comment = General Office Files
path = /data/officefiles
read only = No
force user = abmas
force group = office
guest ok = Yes
nt acl support = No

[printers]
comment = Print Temporary Spool Configuration
path = /var/spool/samba
printable = Yes
guest ok = Yes
use client driver = Yes
browseable = No

Пример 1.2.3. Файл smb.conf благотворительного административного офиса, старый стиль

# Global Parameters - Older Style Configuration

[global]
workgroup = MIDEARTH
security = SHARE
printing = CUPS
printcap name = CUPS
disable spoolss = Yes
show add printer wizard = No
wins support = yes

[FTMFILES]
comment = Funds Tracking & Management Files
path = /data/ftmfiles
read only = No
force user = abmas
force group = office
guest ok = Yes
nt acl support = No

[office]
comment = General Office Files
path = /data/officefiles
read only = No
force user = abmas
force group = office
guest ok = Yes
nt acl support = No

[printers]
comment = Print Temporary Spool Configuration
path = /var/spool/samba
printable = Yes
guest ok = Yes
use client driver = Yes
browseable = No

8. Мы должны убедиться, что демон smbd может корректно разрешать имя Samba-сервера и его IP. Проверьте, что файл /etc/hosts включает следующую запись:

192.168.1.1 server

9. Назначьте вашим принтерам IP адреса, как показано на рисунке 1.1. Следуйте инструкциям руководства завода-изготовителя, чтобы разрешить печатать через порт 9100, так, чтобы спулер CUPS мог печатать используя протоколы raw-режима.

10. Сконфигурируйте очереди печати CUPS:

root#  lpadmin -p PRINTQ -v socket://192.168.1.20:9100 -E
root#  lpadmin -p hplj5 -v socket://192.168.1.30:9100 -E

Так будут созданы необходимые очереди печати без установления фильтра печати.

11. Отредактируйте файл /etc/cups/mime.convs раскомментировав строки:

application/octet-stream     application/vnd.cups-raw      0     -

12. Отредактируйте файл /etc/cups/mime.types раскомментировав строки:

application/octet-stream

13. Установите, чтобы Samba и CUPS запускались при запуске системы и перезапустите Samba и CUPS теми способами, которые применяются в вашей системе, например:

root#  chkconfig smb on
root#  chkconfig cups on
root#  /etc/rc.d/init.d/smb restart
root#  /etc/rc.d/init.d/cups restart

Конфигурация клиентов Windows:

1. Сконфигурируйте сетевые настройки, как показано на рисунке 1.1.;

2. Убедитесь, что маски клиентских компьютеров совпадают с маской, установленной на сервере Sambа – 255.255.255.0;

3. Всем клиентским компьютерам укажите в качестве WINS-сервера IP сервера Samba - 192.168.1.1;

4. Установите на всех windows-клиентах имя рабочей группы MIDEARTH;

5. Установите «Клиент для сетей Microsoft». Удостоверьтесь, что в свойствах установлена только опция «Подключаться и восстанавливать сетевые подключения» (Logon and restore network connections). (Данная рекомендация актуальна для Windows 9x, например, смотрите здесь, прим. перев.).

6. Кликните OK, когда будет предложено перезагрузить компьютер. После перезагрузки войдите в систему. 7. Проверьте, что каждый клиентский компьютер видит в сетевом окружении сервер SERVER. Удостоверьтесь, что виден общий ресурс office и что возможно в него войти и увидеть содержимое. 8. Запретите кэширование пароля на всех компьютерах с Windows 9x/Me, для этого внесите в реестр некоторые изменения, проще всего создать файл, например, ME-dpwc.reg, его содержание представлено в Примере 1.2.4., и выполнить команду из командной строки:

C:\WINDOWS: regedit ME-dpwc.reg

Также удалите все файлы с расширением .pwl из директории C:\WINDOWS.

Пример 1.2.4. Содержимое файла ME-dpwc.reg

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\Network]
"DisablePwdCaching"=dword:00000001

9. Проинструктируйте пользователей войти на их компьютеры с их именем_пользователя и паролем. Samba-сервер был сконфигурирован на игнорирование имени_пользователя и пароля.

10. На каждой рабочей станции с Windows Me сконфигурируйте подключение сетевого диска G:, который будет указывать на безусловное имя ресурса (UNC) \\server\office:

    а) Сетевое окружение -> Подключить сетевой диск;
    б) Укажите букву диска G:;
    в) Укажите путь \\server\office;
    г) Поставьте флажок «Подключаться при входе в систему».

11. На каждой рабочей станции установите приложение FTM:

    а) Во время установки укажите в качестве сервера Windows 98 имя SERVER;
    б) Укажите имя общего ресурса с данными FTMFILES;
    в) Укажите имя очереди печати, это будет \\SERVER\PRINTQ.

12. Установите где нужно Microsoft Office или OpenOffice.

13. Установите принтер на каждом компьютере:

    а) Пуск-Настройка-Принтеры-Установка принтера. Выберите установку локального принтера, а не сетевого;
    б) Щелкните Дальше, выберите HP, найдите принтер HP LaserJet 5/5M Postscript;
    в) Выберите «Использовать порт: FILE (Печать в файл)», затем установите имя принтера по умолчанию. На вопрос «Желаете ли вы распечатать пробную страницу?» ответьте «Нет». Нажмите «Готово»;
    г) Вам может быть задан вопрос об имени файла печати. В этом случае Щелкните на принтере правой клавишей, вызовите меню Свойства-Вкладка_Дополнительно-Добавить_порт;
    д) Введите имя очереди печати на Samba-сервере \\SERVER\hplj5. Щелкните OK+OK для завершения установки;
    е) Неплохой идеей будет протестировать окончание установки перед введением новых сетевых настроек в эксплуатацию для продуктивного использования в Благотворительном Административном офисе.
(к началу страницы)

1.2.2.3. Проверка

Для проверки используйте те же методы, которые были представлены в подразделе 1.2.1.3.
(к началу страницы)

1.2.3. Бухгалтерский отдел

Бухгалтерское дело Abmas’а это семейный бизнес, которому уже 40 лет. Для его технического обеспечения привлечены девять постоянных пользователей. Их компьютеры были обновлены два года назад и используют Windows 2000 Professional. В этом году сервер будет заменен с Windows NT Server (актуальный для обслуживания рабочих станций под управлением Windows NT, который прекрасно работал, для менее, чем десяти пользователей), запущенный в автономном режиме объединяя компьютеры в рабочую группу, на сервер под управлением Linux с запущенной на нем Samba-сервером.

В офисе не хотят иметь для управления сетью домен. Мистер Alan Meany желает сохранить компьютеры на Windows 2000, входящие в состав рабочей группы так, что любой штатный сотрудник может взять компьютер домой и продолжать работать. До сих пор это успешно применялось, и ваша задача сменить сервер. Все пользователи имеют учетную запись на своем компьютере (вы завели ее, когда устанавливали ОС на компьютер). Мистер Meany желает видеть те же условия управления, что и на старом Windows NT сервере – пользователи не могут получить доступ к файлам других пользователей, но он может получить доступ к файлам любого из них. Рабочие файлы каждого сотрудника находятся на сервере в выделенной для них папке. Пользователи заходят на свою рабочую станцию под их учетной записью, вводя свой пароль. Им не требуется вводить имя пользователя и пароль, когда они желают получить доступ к их файлам на сервере.

Новый сервер будет запущен под управлением Red Hat Fedora Core2. Вы должны установить Samba 3.0.20 и скопировать все файлы со старой системы на новую. Существующий Windows NT Server имеет на параллельном порту принтер HP LaserJet 4, находящийся в общем доступе. Драйверы принтера установлены на каждую рабочую станцию. Вы не должны ничего изменять на рабочих станциях. Мистер Meany дал инструкцию заменить сервер, «но ничего больше не трогайте, чтобы не тревожить сотрудников».

Вы постарались обучить мистера Meany и увидели, что у него нет большого желания разбираться с работой сети. Он верит, что Windows for Workgroup 3.11 был «лучшим сервером, который когда-либо продавал Microsoft», и что Windows NT и 2000 «слишком зубастая система».
(к началу страницы)

1.2.3.1. Анализ и обсуждение

Требования, предъявляемые к этим настройкам сети не редки. Сотруднику не интересны детали функционирования сети. Пароли никогда не меняются. В решении этого примера мы покажем использования модели безопасности user в простом контексте. Каталогам должен быть назначен SGID, чтобы быть уверенным в том, что члены общей группы могут иметь доступ к содержимому. Каждый пользователь имеет его или ее выделенную папку, для которой является владельцем. Выделенная папка мистера Meany будет родительской папкой для выделенных папок сотрудников. Мистер Meany член той же группы, что его штат, и может получить доступ к их рабочим файлам. Использующийся HP LaserJet 4 доступен как сервис, называемый hplj.

Вы окончили конфигурирование нового оборудования и завершили установку Red Hat Fedora Core2. Засучите рукава и принимайтесь за работу.
(к началу страницы)

1.2.3.2. Внедрение

Рабочие станции имеют статические IP адреса. Старый сервер был запущен в составе рабочей группы, таким образом, он не мог исполнять роль WINS-сервера. Будет лучше, если новый вариант сохранит старую конфигурацию. Офис не использует доступ в Интернет, поэтому вопросы безопасности не стоят остро.

Основная информация относительно пользователей, их паролей, выделенных папок и имен этих папок представлена в Таблице 1.1. Полная топология сети показана на рисунке 1.2. Все компьютеры сконфигурированы, как указано, до начала конфигурирования Samba. Теперь можно делать дальнейшие шаги.

Рисунок 1.2. Топология сети бухгалтерского отдела

Топология сети бухгалтерского отдела

Таблица 1.1. Информация о сети бухгалтерского офиса

Пользователь Имя учетной записи
(Login ID)
Пароль Имя личной папки Каталог Рабочая станция
Alan Meany alan alm1961 alan /data PC1
James Meany james jimm1962 james /data/james PC2
Jeannie Meany jeannie jema1965 jeannie /data/jeannie PC3
Suzy Millicent suzy suzy1967 suzy /data/suzy PC4
Ursula Jenning ujen ujen1974 ursula /data/ursula PC5
Peter Pan peter pete1984 peter /data/peter PC6
Dale Roland dale dale1986 dale /data/dale PC7
Bertrand E Paoletti eric eric1993 eric /data/eric PC8
Russell Lewis russ russ2000 russell /data/russell PC9

Миграция с Windows NT4 Workstation на Samba-3:

1. Переименуйте старый сервер с CACHPOOL на STABLE. Перегрузите компьютер, когда будет предложено.

2. Назовите новый сервер CACHPOOL, используя стандартный конфигурационный способ. Перезагрузите компьютер.

3. Установите последнюю версию Samba-3, загрузив пакет с FTP.

4. Добавьте группу для использования в офисе. Выполните следующее:

root# groupadd accts

5. Создайте файл smb.conf, показанный в примере 1.2.5. (Этот пример использует файл smbpasswd простейшим путем, поскольку использование passdb backend не было указано в файле smb.conf. Это означает, что вы зависите от корректных настроек по умолчанию).

Пример 1.2.5. Файл smb.conf для сети бухгалтерского офиса, старый стиль

# Global parameters

[global]
workgroup = BILLMORE
printcap name = CUPS
disable spoolss = Yes
show add printer wizard = No
printing = cups

[files]
comment = Work area files
path = /data/%U
read only = No

[master]
comment = Master work area files
path = /data
valid users = alan
read only = No

[printers]
comment = Print Temporary Spool Configuration
path = /var/spool/samba
printable = Yes
guest ok = Yes
use client driver = Yes
browseable = No

6. Добавьте каждого пользователя, который будет пользоваться системой (см. таблицу 1.1.), выполнив следующее:

root# useradd -m -G accts -c "Имя_пользователя" "Его_LoginID"
root# passwd "LoginID"
Changing password for user "LoginID"
New Password: XXXXXXXXX <-- пароль из таблицы
Retype new password: XXXXXXXXX
root# smbpasswd -a "LoginID"
New SMB password: XXXXXXXXX <-- пароль из таблицы
Retype new SMB password: XXXXXXXXX
Added user "LoginID"

7. Следующим образом создайте структуру каталогов для выделенных папок:

root# mkdir -p /data
root# chown alan /data
root# for i in james suzy ujen peter dale eric jeannie russ
> do
> mkdir -p /data/$i
> chown $i /data/$i
> done
root# chgrp -R accts /data
root# chmod -R ug+rwxs,o-r+x /data

Теперь структура хранения данных готова для использования.

8. Сконфигурируйте очереди печати CUPS:

root# lpadmin -p hplj -v parallel:/dev/lp0 -E

Эта команда создаст требуемые очереди печати без установления фильтра печати.

9. Отредактируйте файл /etc/cups/mime.convs раскомментировав строки:

application/octet-stream     application/vnd.cups-raw      0     -

10. Отредактируйте файл /etc/cups/mime.types раскомментировав строки:

application/octet-stream

11. Установите, чтобы Samba и CUPS запускались при запуске системы и перезапустите Samba и CUPS теми способами, которые применяются в вашей системе, например

root#  chkconfig smb on
root#  chkconfig cups on
root# /etc/rc.d/init.d/smb restart
root# /etc/rc.d/init.d/cups restart

12. С рабочей станции Алана (Alan), используя Windows Explorer, перенесите файлы со старого сервера на новый. Новый сервер будет виден в сетевом окружении под именем старого сервера (CASHPOOL):

    а) войдите на рабочую станцию Алана под учетной записью alan;
    б) запустите Windows Explorer и пройдите в общую папку files на старом сервере STABLE;
    в) выделите все файлы и папки (Ctrl+A) и скопируйте их (Ctrl+C);
    г) пройдите в общую папку files на новом сервере CASHPOOL и вставьте все скопированные файлы и папки (Ctrl+V).
13. Проверьте, что все файлы корректно скопировались со старого сервера Windows NT4 на новый сервер Samba-3. Это лучше сделать на сервере Samba-3. Сверьте содержимое дерева каталога /data, используя следующую команду:

root# ls –aR /data

Сделайте проверку владельцев и разрешений на все файлы, если вы сомневаетесь, произведите следующее:

root# chown alan /data
root# for i in james suzy ujen peter dale eric jeannie russ
> do
> chown $i /data/$i
> done
root# chgrp -R accts /data
root# chmod -R ug+rwxs,o-r+x /data

В то время, пока перемещаются все данные, проверьте установки. Перед тем, как пользователи начнут работать в новой сети, вы должны удостовериться, что все приложения, в том числе и печать, работают.
(к началу страницы)

1.3. Вопросы и ответы

Следующие вопросы и ответы вытекают из примеров этой главы. Много проектных решений заключены в представленных конфигурациях. Сейчас речь пойдет о некоторых скрытых, неочевидных возможностях.

1. Что делает анонимный Samba-сервер более простым, чем неанонимный?
2. Чем отличается действие параметра force user от настройки SIUD корневой общей папки?
3. В каком бы случае вы использовали обе настройки, и параметр force user, и установку SUID корневой общей папке?
4. Чем система печати CUPS лучше системы печати LPRng?
5. В каких случаях используется статический адрес на клиентских компьютерах Windows?
6. В каких случаях лучше использовать DHCP-сервер?
7. Для чего предназначен параметр guest ok в конфигурации общего ресурса?
8. В каких случаях устанавливается параметр disable spoolss?
9. В каких случаях нужно отключить кэширование пароля для клиентов Windows 9x/Me?
10. В примере с бухгалтерским отделом применяется режим безопасности user. Как в этом случае предоставляется анонимный доступ?

1. Что делает анонимный Samba-сервер более простым, чем неанонимный?

- В анонимном сервере в качестве учетной записи используется учетная запись гостя guest. В той конфигурации, когда сервер является неанонимным, требуется добавить реальную учетную запись, причем как в UNIX-систему, так и в конфигурацию Samba. Неанонимные серверы требуют дополнительного администрирования.

2. Чем отличается действие параметра force user от настройки SIUD корневой общей папки?

- Параметр force user служит для того, чтобы заставить все операции, производимые на общем ресурсе присваивать UID «подчиненного» пользователя (дословно: forced user). Новым GID по умолчанию, который применяется, является основной GID «подчиненного» пользователя.

Когда каталогу устанавливается SUID, операционная система принуждает все файлы, которые записаны и находятся внутри этого каталога, принадлежать владельцу каталога. Пока это происходит, пользователь, который использует общий ресурс имеет только тот уровень привилегий, который ему или ей был установлен в пределах контекста операционной системы.

Параметр force user имеет особенности безопасности, которые находятся выше фактического корневого каталога общего ресурса. Будьте аккуратны при использовании этого параметра.

3. В каком бы случае вы использовали обе настройки, и параметр force user, и установку SUID корневой общей папке?

- Используйте обе настройки, когда необходима гарантия того, что все операции по манипулированию с общим ресурсом управляются «подчиненным» пользователем, в то время как все создание файлов и каталогов сделано от имени владельца каталога, для которого установлен SGID.

4. Чем система печати CUPS лучше системы печати LPRng?

- CUPS это печатная спулинговая (т.е. с возможностью постановки в очередь) система (print spooling system), которая имеет встроенную функцию удаленного управления, предоставляющая полностью автоматический процесс/предпроцесс печати, и может быть сконфигурирована на автоматическое применение фильтров предпечатной обработки, чтобы гарантировать, что имеющиеся задания печати корректно переданы конечному принтеру. CUPS включает файл изображения RIP, который поддерживает процесс печати файлов изображений для не-PostScript принтеров. CUPS имеет множество «украшений» и больше похож на навороченный (извините за слэнг, прим.перев.) диспетчер очереди печати MS Windows NT/200x. Его сложность может быть уменьшена либо наоборот увеличена настолько, насколько хватит воображения.

LPRng это улучшенная, дополненная и портативная реализация LPR печатного спулера Беркли (Berkeley LPR print spooler). Он предоставляет тот же интерфейс и удовлетворяет требованиям RFC1179. LPRng может быть сконфигурирован чтобы действовать, как CUPS, но вообще это замена старого спулера lpr/lpd Беркли.

Какая из этих систем печати лучше, вопрос вкуса. Это зависит от того, что вы хотите сделать и как вы хотите это сделать, а также, как управлять этим. Большинство современных Linux-систем поставляются с CUPS, как системой печати по умолчанию.

5. В каких случаях используется статический адрес на клиентских компьютерах Windows?

- Если вы имеете небольшое число клиентских компьютеров, не имеете пользователей мобильных компьютеров и пользователи не склонны вмешиваться в сетевые настройки, в этом случае удобно пользоваться статическими IP адресами. Учитывая, что возможно ввести ограничение в использовании компьютера, а так же исключить возможность пользователя по управлению сетевыми настройками, при использовании статических адресов нет нужды использовать DHCP-сервер. Это понижает стоимость технического обслуживания и уменьшает количество потенциальных сбоев в сети.

6. В каких случаях лучше использовать DHCP-сервер?

- В сети, где присутствуют пользователи мобильных компьютеров, или где клиентские компьютеры часто перемещаются (в частности между офисами или подсетями), в этом случае имеет смысл управлять сетевыми настройками клиентов Windows посредством DHCP-сервера. Плюс ко всему, если пользователи небрежно обращаются с настройками сети своих компьютеров, DHCP-сервер способен упорядочить клиентские настройки.

Одно недооцениваемое преимущество использования DHCP-сервера состоит в том, что всем клиентским сетевым устройствам назначаются все настройки TCP/IP, что делает процесс изменения каких-либо настроек безболезненным и достаточно простым, как-то получение новых сетевых адресов или добавление дополнительных возможностей сетевым устройствам, предоставляемых сетевыми сервисами.

Еще один эффект от использования DHCP-сервера заключается в способности обновлять динамически выделенные адреса с DNS-сервером. Значительный эффект от применения динамического DNS (DDNS) ощущается в больших Windows-сетях.

7. Для чего предназначен параметр guest ok в конфигурации общего ресурса?

- Если значение этого параметра yes, то не требуется вводить пароль при присоединении к сервису. В этом случае действуют привилегии гостевой учетной записи.

8. В каких случаях устанавливается параметр disable spoolss?

- Значение этого параметра yes отключает в Samba поддержку установки SPOOLSS установки MS-RPC (Remote Procedure Call) и предоставляет режим, идентичный Samba 2.0.х. Клиенты Windows NT/2000 могут понизить уровень использования команд печати LanMan стиля.

Windows 9x/Me не чувствительны к этому параметру. Тем не менее, это отключает возможность загрузить драйверы принтера на сервер Samba посредством Мастера Добавления Принтера Windows NT/200х или используя NT диалог свойств принтера. Это также отключает способность клиентов Windows NT/200x загрузить драйверы принтера с компьютера, где установлен Samba. Будьте чрезвычайно аккуратны с этим параметром.

Альтернативный параметр use client driver применяется только на клиентах Windows NT/200x. Он не имеет силы на клиентах с Windows 95/98/Me. В этом случае для использования принтера требуется установка драйверов принтера локально на клиентский компьютер. И с этого момента клиентский компьютер работает с сетевым принтером как с локальным. Происходит тоже самое, что и при установке параметра disable spoolss = yes.

В нормальных условиях клиент NT/200x пытается получить доступ к сетевому принтеру используя MS-RPC. Так как клиент думает, что принтер локальный, он пытается осуществить вызов OpenPrinterEx(), требующий прав доступа, связанных с зарегистрированным пользователем. Если пользователь имеет права локального администратора, но не имеет привилегий root на сервере Samba (что бывает очень часто), вызов OpenPrinterEx() завершается ошибкой. В результате пользователь видит в окне очереди печати принтера сообщение «Доступ запрещен, соединение прервано» (“Access Denied; Unable to connect”) (хотя при этом задание может быть напечатано). Этот параметр НЕ ДОЛЖЕН быть установлен для общего принтера, который имеет действительный драйвер принтера, установленный на сервере Samba.

9. В каких случаях нужно отключить кэширование пароля для клиентов Windows 9x/Me?

- Рабочие станции Windows 9x/Me по умолчанию (кэширование пароля включено) хранят имя пользователя и пароль в файлах, находящихся в корневой директории Windows. Такие файлы могут быть перехвачены и расшифрованы, таким образом открывая доступ пользователя ко всем системам, пользователь может стать незащищенным. Наиболее небезопасно это применять к любым клиентам Windows 9x/Me при операциях, в которых разрешено кэширование пароля.

10. В примере с бухгалтерским отделом применяется режим безопасности user. Как в этом случае предоставляется анонимный доступ?

- Этот пример не использовал предоставление анонимного доступа. Все клиентские компьютеры имеют Windows 2000, а пользователи регистрируются на компьютерах под своей учетной записью, согласно настройкам, клиент присоединяется к удаленному серверу, используя учетную запись, под которой в настоящий момент зарегистрирован пользователь. Гарантируя, что учетная запись пользователя и пароль тот же самый, что установлен на сервере Samba, доступ является прозрачным и не требует отдельной аутентификации. Но он не анонимный (прим.перев.).
(к началу страницы)

Назад
Часть I. Примеры сетевых конфигураций
Содержание
Дальше
Глава 2. Небольшая офисная сеть
 
порно видео нарезка сперма на лицо . На публике