Глава 3. Безопасная офисная сеть

3.1.1. Условия задачи

3.2.1. Технические аспекты

3.2.1.1. Требования к аппаратному обеспечению

3.2.2. Политические аспекты

3.3.1. Базовое конфигурирование системы
3.3.2. Конфигурирование Samba
3.3.3. Конфигурирование серверов DHCP и DNS
3.3.4. Конфигурирование системы печати
3.3.5. Настройка запуска системы
3.3.6. Проверка
3.3.7. Конфигурирование сервера приложений

3.3.7.1. Комментарии, относительно условий использования ПО

3.3.8. Конфигурирование клиентов Windows
3.3.9. Основные моменты изученного

Поздравляем, ваши навыки работы с сетью на Samba постоянной развиваются. Вы начали с трех простых примеров в Главе 1 «Простой Samba-сервер» и затем в Главе 2 «Небольшая офисная сеть» вы спроектировали и построили сеть, которая предоставляет высокий уровень гибкости, целостности и надежности. Этого было достаточно для базовых потребностей. В этой главе вы ознакомитесь с установками для удовлетворения более обширных потребностей. Решения, которые вы рассмотрите, представят вам основные особенности, которыми располагает Samba-3.

Вы заметите, что работающие и безопасные решения могут быть реализованы с использованием Samba-2.2.x. В представленных здесь примерах вы постепенно ознакомитесь со многими основными особенности Samba-3. Давайте займемся дальнейшим изучением.

3.1. Введение

Мистер Meany оставляет компанию, но не оставляет работу. Он рассматривает возможность развития бухгалтерского бизнеса Abmas в более крупную солидную компанию. Он говорит, что у него заняло много лет, чтобы узнать, что нет будущего лишь в этом бизнесе. Теперь он понимает, что есть большое личное удовольствие в том, чтобы создать возможность карьерного роста для людей из локального объединения. Он хочет сделать больше для других, как он сделал для вас. Сегодня он потратит много времени для того, чтобы рассказать о его грандиозных планах развития, с которыми вы столкнетесь в последующих главах. За прошедший год были превышены планы развития. Появилась нужда в расширении сети до 130 пользователей. Параллельно с расширением также развилась потребность в усовершенствовании обслуживания и улучшении функциональности. Вы собираетесь провести промежуточную модернизацию и затем передать функции по технической поддержке и эксплуатации сети Кристине. У Кристины есть профессиональная сертификация Microsoft Windows, так же как и Linux. Она усердный работник и весьма привлекательна (эх, американцы... девушка, админ, сертификация, привлекательна... по-моему это Анджелина Джоли из "Хакеров" или Сандра Баллок из "Сети", к сожалению, к концу книги до свадьбы так и не дошло :), прим.перев. ). Кристина не хочет управлять отделом (хотя она бы справилась с этим хорошо). Она получает удовлетворение от работы, когда можно разбираться в проблемах. Время от времени она хочет работать с вами над интересными задачами. Когда вы сказали ей о вашем переводе, она чуть не уволилась, несмотря на то, что ее заверили, что новый менеджер будет принят для работы с информациоными технологиями, и она будет ответственна только за операции.
(к началу страницы)

3.1.1. Условия задачи

Обслуживаемая вами сеть в настоящий момент имеет 130 пользователей. В предстоящий год Abmas приобретет еще одну компанию. Мистер Meany утверждает, что в течение двух ближайших лет сеть вырастет до 500 пользователей. Вы приобрели целостную картину возможности расширения. Вы купили новый сервер и будете разворачивать новую сетевую инфраструктуру. Вы решили не избавляться от старого сетевого оборудования. Единственное, было предложено поменять ноутбуки. Вы предложили штатным сотрудникам новые ноутбуки, но ни один сотрудник не захотел менять ноутбук, так как пришлось бы много настраивать в новом ноутбуке (удивительно, но факт, прим.перев). Тогда вы решили установить каждому, даже пользователям ноутбуков, стационарный компьютер.

Для предоставления Интернет вы подключили DSL соединение, 1,5Мб/с (двунаправленное) и сетевая карта со скоростью 10Мб/с. Вы зарегистрировали домен abmas.us и интернет провайдер (Internet Service Provider (ISP)) предоставил вам вторичный DNS. Вся информация, полученная у вашего провайдера находится в Таблице 3.1.

Таблица 3.1. Информация от провайдера для сайта abmas.us

Параметр	Значение
IP адрес сервера (Server IP Address)	123.45.67.66
IP адрес устройства DSL (DSL Device IP Address)	123.45.67.65
Адрес сети (Network Address)	123.45.67.64/30
Адрес шлюза (Gateway Address)	123.45.54.65
Первичный DNS сервер (Primary DNS Server)	123.45.54.65
Вторичный DNS сервер (Secondary DNS Server)	123.45.54.32
DNS сервер пересылки (Forwarding DNS Server)	123.45.12.23

Основное преимущество в том, что сервер Samba не будет предлагать сервис по доступу в Интернет. Вы заплатили провайдеру за дополнительные услуги, в том числе защиту вашей сети от внешнего мира посредством файрвола. Будут доступны только сервисы на следующих портах: http/https (порты 80 и 443), email (порт 25), DNS (порт 53). Весь трафик будет предоставляться посредством NAT (network address translation). Запрещен доступ любым внутренним IP адресам через фильтр NAT, так как должен быть обеспечена комплексная защита внутренней сети.

Кристина порекомендовала, что настольные системы будут установлены путем клонирования одной мастер-системы, на которой установлен минимальный набор программ, а все остальное программное обеспечение будет загружаться с центрального сервера приложений. Преимуществом центрального сервера приложений, который предоставляет одну точку обслуживания всех бизнес-приложений является более эффективный способ управления программным обеспечением. Далее она порекомендовала установить антивирусные программы на рабочие станции, а так же на сервер Samba. Кристина знает опасность потенциальных вирусных вторжений и настаивает на всестороннем подходе к обнаружению и устранению вирусных атак.

Существенное беспокойство вызывает проблема управления развитием компании. В последнее время число пользователей, имеющих общий компьютер (в ожидании нового персонального) возрастает. Это представляет некоторые проблемы с настольными компьютерами и установкой программного обеспечения в профили новых пользователей настольных компьютеров.

Рисунок 3.1. Схема сети организации Abmas, в которой 130 пользователей

(к началу страницы)

3.2. Обсуждение и анализ

3.2.1. Технические аспекты

Предложенный проект сети использует один сервер, использующийся для подключения к Интернет, получения электронной почты, удаленного доступа посредством SSH, хранения файлов и подключения общих принтеров. Такой проект сети часто выбирается в местах, которые не могут себе позволить или оправдать расходы или стоимость обслуживания отдельных серверов. Должно приниматься во внимание, что если безопасность такого типа серверов нарушается, то целая сеть и все данные подвергаются риску. Во многих местах продолжают использовать это решение, по этой причине эта глава представляет детальный обзор ключевых моментов его внедрения.

Samba будет сконфигурирована, чтобы не управлять специально сетевым интерфейсом, который подключен к Интернет.

Вы знаете, что ваш интернет-провайдер предоставляет комплексный сервис по защите сети (firewall), но вы не можете надеяться, что это так. Всегда имейте ввиду возможность человеческих ошибок и приготовьтесь к использованию файрвола на Linux iptables в качестве NAT.

Блокируйте весь входящий трафик кроме разрешенного на известных портах. Также вы должны позволить исходящим пакетам устанавливать соединения (из сети). Вы должны разрешить все внутренние исходящие запросы.

Обсуждение конфигурирования web-сервиса, web рrоху сервиса, электронной почты, антивирусных инструментов выходит за рамки повествования этой книги и поэтому не рассматривается подробно, а лишь в той мере, когда это касается настроек Samba-3.

Ноутбуки сконфигурированы на использование сетевой (доменной) учетной записи при подключении к сети, и локальной учетной записи при нахождении вне офиса. Пользователи хранят всю работу, сделанную вне офиса, используя локальный ресурс для рабочих файлов. Стандартные процедуры предписывают, что по окончанию работы с необходимыми «мобильными» файлами, все файлы переносятся в безопасное хранилище офисного сервера. Штатные сотрудники проинструктированы не носить на своих ноутбуках в какие-либо другие компании какие-либо файлы кроме тех, которые безусловно необходимы для работы. Это превентивная мера для защиты клиентской информации, а также внутренних документов компании.

Все приложения хранятся на центральном сервере в общем ресурсе под названием apps. Microsoft Office XP Professional и OpenOffice будут установлены с использованием сетевой (или административной) установки.

Программное обеспечение бухгалтеров и финансового отдела также может быть запущено только с центрального сервера приложений. Ноутбуки предоставляются с локально установленными приложениями в которых присутствуют только базовые функции.

Применение поддержки перемещаемых профилей является средством, благодаря которому пользователи могут перемещаться от компьютера к компьютеру без ограничений к доступу к их личным данным. Можно сказать, данные следуют за пользователем.

В данном примере применение сервера DNS должно быть обращено и к внутренней и к внешней сети, если это необходимо. Ваш DNS-форвардер просматривает сервер, предоставленный вашим Интернет-провайдером, так же как abmas.us это внешний вторичный сервер DNS.

По сравнению с настройкой сервера DHCP в Главе 2, «Небольшая офисная сеть», пример 2.3.2., конфигурация этого примера имеет дело с присутствием Интернет соединения. В этом случае следует убедиться, что никакие внешние соединения не будут влиять на наши сервисы DHCP. Все принтеры сконфигурированы как клиенты DHCP так, что сервер DHCP назначает принтерам фиксированный IP адрес в соответствии с их mac-адресом. Дополнительной возможностью в настройке этого сервера DHCP является применение динамического DNS (DDNS).

Это первое решение, которое зависит от корректной настройки сервера DNS. Поэтому здесь представлены всеобъемлющие шаги по конфигурированию полнофункционального сервера DNS с применением DDNS. В этом случае клиенты DHCP будут автоматически регистрироваться на сервере DNS.

Вы воспользуетесь удобным случаем для ручной установки NetBIOS имени сервера Samba кроме того имени, которое будет разрешаться автоматически. Вы сделаете это, чтобы убедиться, что компьютер имеет тоже самое NetBIOS имя в обоих сегментах сети.

Как в предыдущей сетевой конфигурации , в этой также для печати используется прямая необработанная (raw) печать (то есть не слишком интеллектуальная и без автоматической загрузки драйверов принтера на Windows клиенты). Драйверы принтера устанавливаются на Windows клиенты в ручную. Это не является проблемой, так как Кристина установила и настроила одну рабочую станцию, а затем клонировала ее на все рабочие станции, используя Norton Ghost. Все компьютеры идентичны, поэтому это не вызовет сложностей.
(к началу страницы)

3.2.1.1. Требования к аппаратному обеспечению

Пример 3.2.1. Оценка требований к оперативной памяти

Приложение	Объем на одного пользователя (Мб)	130 пользователей (Мб)	500 пользователей (Мб)
DHCP	2.5	3	3
DNS	16	16	16
Samba (nmbd)	16	16	16
Samba (winbind)	16	16	16
Samba (smbd)	4	520	2000
Apache	10.0 (20 пользователей)	200	200
CUPS	3.5	16	32
OS	256	256	256
Итого		1043	2539

Для резерва вы должны добавить по крайней мере 50% от этой цифры. Минимальный объем системной памяти для начальной загрузки системы 1 Гб, но в системе, которая будет масштабирована до обслуживания 500 пользователей имеет смысл снабдить ее 4 Гб. Оснащение начальной конфигурации только 1 Гб памяти привело бы к преждевременным жалобам на производительность, так как нагрузка растет. Учитывая, что сейчас оперативная память относительно дешева, не стоит искать компромиссов в этой области.

Суммарная нагрузка ввода/вывода должна быть рассмотрена для оценки полосы пропускания сети и дисковых систем. Для вычисления полосы пропускания сети обычно исходят из величины 0.1Мбит/с на одного пользователя. Это позволяет предположить, что скорость 100-Base-T (приблизительно 10 Мбит/c) не предоставит необходимые возможности для обеспечения начальной пользовательской нагрузки. По этой причине лучше начать с 1-Гбитной сетевой карты для двух внутренних подсетей, каждая из которых будет направлена в 1-Гбитный порт роутера, остальные порты которого будут 10-Мбитными (идущие к рабочим станциям).

Рассматривая возможность выбора 1-Гбитных сетевых интерфейсов для двух локальных сегментов сети, общая сетевая возможность ввода/вывода будет 2100Мбит/сек (около 230Мбайт/сек), с учетом необходимости ввода/вывода, которая потребуется для возможностей ввода/вывода быстрого дискового хранилища. Пиковая дисковая пропусканая способность ограничена выбранным дисковым хранилищем. Желательно предоставить максимально возможную полосу пропускания ввода/вывода. Если выбрано решение из низшего ценового диапазона, хорошим выбором будет 3Ware IDE RAID Controller. Эти контроллеры могут применяться для 64-битных приложений, содержать 66-Мегагерцовый PCI-X слот. Они определяются в системе как высокоскоростные SCSI-контроллеры, которые могут управлять пиковой полосой пропускания PCI-X приблизительно до 450 Мбайт/сек. Также могут быть рассмотрены альтернативные аппаратные SCSI RAID-контроллеры. В частности имеет смысл купить оборудование хорошо известной марки, которое имеет соответствующую производительность. Как минимум, попытайтесь раздобыть дисковую подсистему, которая обеспечит полосу пропускания ввода/вывода в диапазоне по крайней мере 100Мбайт/сек.

Пример 3.2.2. Оценка требований к дисковому хранилищу

Корпоративные данные:   100 Мбайт/пользователь в год
Хранилище почты:        500 Мбайт/пользователь в год
Приложения:             5000 Мбайт
Резервный буфер:        По крайней мере 50%

На 500 пользователей в ближайшие два года:
-------------------------------------------------------
Корпоративные данные:   2*100*500 = 100000 Мбайт = 100 Гбайт
Почтовое хранилище:     2*500*500 = 500000 Мбайт = 500 Гбайт
Приложения:                           5000 Мбайт =   5 Гбайт
-------------------------------------------------------
Всего:                                              605 Гбайт
Плюс 50% на буфер                                   303 Гбайт
Рекомендуемый объем хранилица:                      908 Гбайт

Таким образом, предпочтительный размер дискового пространства сервера должен быть около 1Тбайта. Если использовать RAID-5 с двумя дисками горячего извлечения, то потребуется массив из 8 винчестеров по 200 Гбайт.
(к началу страницы)

3.2.2. Политические аспекты

Отдельно от возможности более эффективного управления бизнес-приложениями посредством использования сервера приложений, ваша главная причина использовать его состоит в том, что это даст вам полный контроль над лицензированием ПО.

Вы прекрасно осознаете, что в результате применения данной конфигурации возникают некоторые проблемы с производительностью, так как увеличивается размер каждого перемещаемого профиля. Разрешив пользователям применять Microsoft Outlook Express, вы знаете что хранение файлов .pst это кое-что, к чему нужно обратиться позднее.
(к началу страницы)

3.3. Внедрение

Информация, представленная ниже предполагает, что вы уже хорошо знакомы со многими базовыми шагами. На этом основании далее будут приводиться только те подробности настройки Samba, которые необходимы для этого примера. Этот ход является умышленным, и сделан для того, чтобы не были пропущены ключевые моменты успешной установки Samba. Это последний случай, когда документируются окончательное конфигурирование серверов DNS и DHCP. По темам, которые не затронуты здесь непосредственно, существует много справочной литературы.

Файл smb.conf включает следующие настройки:

• NetBIOS имя сервера Samba – DIAMOND.

• Имя домена — PROMISES.

• Сетевой интерфейс eth0 "смотрит" в Интернет и виден снаружи. Этот интерфейс не доступен Samba для использования явно. Samba прослушивает этот интерфейс на предмет широковещательных сообщений (broadcast), но не транслирует какую-либо информацию на eth0. Также с него не принимаются какие-либо сообщения. Это достигнуто путем использования параметра interfaces со значением bind interfaces only.

• Параметр passdb backend определяет создание и использование бэкенда паролей tdbsam. Это двоичная база данных, которая прекрасно масштабируется для записи большого числа учетных записей пользователей.

• Позволим использование WINS установкой wins support = Yes, а также разрешение имен посредством записи name resolve order = wins bcast hosts.

• Сервер Samba сконфигурирован быть сервером времени для клиентов Windows.

• Samba сконфигурирована так, чтобы непосредственно связываться с CUPS через прямой внутренний интерфейс, который предоставляют библиотеки CUPS, путем записей printing = CUPS и printcap name = CUPS.

• Представленные сценарии внешнего интерфейса позволяют Samba беспрепятственно связывать необходимые функции операционной системы по управлению пользователями и группами. Это важно для возможности включения рабочих станций в домен, а также это важно для возможности использования менеджера пользователей домена Windows NT4 (Windows NT4 Domain User Manager), также как и менеджера сервера домена (Domain Server Manager). Эти утилиты входят в набор инструментов SRVTOOLS.EXE, который может быть получен с ftp Microsoft ftp://ftp.microsoft.com/Softlib/MSLFILES/SRVTOOLS.EXE.

• В smb.conf определено, что по умолчанию сервер Samba будет работать в режиме безопасности security = user, это необходимо для того, чтобы Samba могла функционировать как контроллер домена (PDC).

• Определены параметры входа в домен (Domain logon services), а так же сценарии входа в домен (Domain logon script). Сценарий входа будет использовать дополнительную надежность в общей сетевой настройке.

• Позволены перемещаемые профили путем определения параметра logon path = \\%L\profiles\%U, где
  %L — имя сервера Samba для клиента (в данном случае DIAMOND);
  %U — имя пользователя в контексте соединения с общим ресурсом профиля.

  Обязанностью администратора является удостовериться, что существует каталог в корне общего ресурса профиля для каждого пользователя. Также этот каталог должен принадлежать этому пользователю.

• Предупредительный запрет введен для отдельных имен файлов Windows, которые были связаны с вирусной активностью. В дополнение файлы Microsoft Office защищены от случайных блокировок. Это поможет предотвратить проблемы блокирования доступа к содержимому файлов.

• Каждый пользователь имеет личный домашний каталог на сервере. Он присоединен как сетевой диск, имя которого одинаково для всех пользователей.

1. Базовое конфигурирование системы;

2. Конфигурирование Samba;

3. Конфигурирование серверов DHCP и DNS;

4. Конфигурирование принтера;

5. Конфигурирование параметров загрузки;

6. Проверка;

7. Конфигурирование общего доступа к приложениям;

8. Конфигурирование клиентов Windows.

Следующие разделы раскроют каждый шаг в более подробно.
(к началу страницы)

3.3.1. Базовое конфигурирование системы

Шаги по конфигурированию сервера:

1. Используя инструменты UNIX/Linux дайте вашему серверу имя server.abmas.us. Проверьте, что имя хоста корректно выполнив команду:

root# uname -n server

Альтернативный метод это команда hostname:

root# hostname -f server.abmas.us

2. Отредактируйте файл /etc/hosts, поместив в него основные имена и адреса сетевых интерфейсов, которые есть на вашем сервере. Это необходимо для того, чтобы в течение загрузки система могла разрешить все ее собственные имена к IP адресам прежде, чем запустится сервер DNS. Пример записей, которые могут быть в файле /etc/hosts:

127.0.0.1 localhost 192.168.1.1 sleeth1.abmas.biz sleeth1 diamond 192.168.2.1 sleeth2.abmas.biz sleeth2 123.45.67.66 server.abmas.us server

Вы должны проверить порядок загрузки вашей системы. Если сервер печати CUPS загрузится перед сервером DNS (named), вы также должны добавить запись о принтерах в файл /etc/hosts, как ниже:

192.168.1.20 qmsa.abmas.biz qmsa 192.168.1.30 hplj6a.abmas.biz hplj6a 192.168.2.20 qmsf.abmas.biz qmsf 192.168.2.30 hplj6f.abmas.biz hplj6f

Записи о принтерах не являются необходимыми если named загружается раньше демона CUPS cupsd.

3. Наш сервер будет работать в режиме роутера между двумя сегментами сети, а также для доступа в Интернет. Для этого необходимо включить пересылку (ретрансляцию) (forwarding). Это можно сделать добавив такую запись:

echo 1 > /proc/sys/net/ipv4/ip_forward

Удостоверьтесь, что ядро вашего сервера поддерживает функцию пересылки IP. Так же эту команду вы можете выполнить вручную. Эта настройка позволит системе Linux работать как роутер.

4. Необходимо установить базовый файрвол и возможность NAT. Следующий скрипт может быть помещен в каталог /usr/local/sbin. В этом случае он будет выполнятся из стартового скрипта /etc/rc.d/boot.local. В вашем случае скрипт называется abmas-netfw.sh. Его содержимое представлено в примере 3.3.1.

Пример 3.3.1. Скрипт файрвола для NAT

#!/bin/sh echo -e "\n\nLoading NAT firewall.\n" IPTABLES=/usr/sbin/iptables EXTIF="eth0" INTIFA="eth1" INTIFB="eth2" /sbin/depmod -a /sbin/modprobe ip_tables /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp $IPTABLES -P INPUT DROP $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD DROP $IPTABLES -F FORWARD $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A INPUT -i $INTIFA -j ACCEPT $IPTABLES -A INPUT -i $INTIFB -j ACCEPT $IPTABLES -A INPUT -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT # Enable incoming traffic for: SSH, SMTP, DNS(tcp), HTTP, HTTPS for i in 22 25 53 80 443 do $IPTABLES -A INPUT -i $EXTIF -p tcp --dport $i -j ACCEPT done # Allow DNS(udp) $IPTABLES -A INPUT -i $EXTIF -p udp --dport 53 -j ACCEPT echo "Allow all connections OUT and only existing and specified ones IN" $IPTABLES -A FORWARD -i $EXTIF -o $INTIFA -m state \ --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $EXTIF -o $INTIFB -m state \ --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -i $INTIFA -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -i $INTIFB -o $EXTIF -j ACCEPT $IPTABLES -A FORWARD -j LOG echo " Enabling SNAT (MASQUERADE) functionality on $EXTIF" $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo "1" > /proc/sys/net/ipv4/ip_forward echo -e "\nNAT firewall done.\n"

5. Сделайте этот скрипт исполняемым:

root# chmod 755 /usr/local/sbin/abmas-natfw.sh

Теперь вы должны внести изменения в стартовый скрипт /etc/rc.d/boot.local добавив в него запись запуска скрипта /etc/rc.d/boot.local:

#! /bin/sh # # Copyright (c) 2002 SUSE Linux AG Nuernberg, Germany. # All rights reserved. # # Author: Werner Fink, 1996 # Burchard Steinbild, 1996 # # /etc/init.d/boot.local # # script with local commands to be executed from init on system startup # # Here you should add things that should happen directly after booting # before we’re going to the first run level. # /usr/local/sbin/abmas-natfw.sh

Теперь сервер готов к конфигурированию Samba. Во время этапа проверки удалите запись для сервера Samba diamond из файла /etc/hosts. Это делают после того, как есть уверенность, что разрешение имен, основанное на функционировании DNS осуществляется корректно.
(к началу страницы)

3.3.2. Конфигурирование Samba

Этапы конфигурирования Samba:

1. Установите rpm-пакет Samba-3, полученный с FTP Samba-Team, например, таким способом:

root# rpm -Uvh samba-3.0.20-1.i386.rpm

Эта операция должна быть выполнена от имени пользователя root. Успешность операции безусловно будет обозначена. Если по какой-либо причине во время установки произойдет ошибка, обратитесь за помощью к документации вашей операционной системы.

2. Приведите файл smb.conf к виду, который показан в примерах 3.3.2, 3.3.3 и 3.3.4. Объедините эти три примера в один файл. Полный путь к этому файлу будет /etc/samba/smb.conf.

Пример 3.3.2. Сеть на 130 пользователей, секция [globals] файла smb.conf, используется бэкенд tdbsam.

# Global parameters [global] workgroup = PROMISES netbios name = DIAMOND interfaces = eth1, eth2, lo bind interfaces only = Yes passdb backend = tdbsam pam password change = Yes passwd program = /usr/bin/passwd %u passwd chat = *New*Password* %n\n *Re-enter*new*password*%n\n *Password*changed* username map = /etc/samba/smbusers unix password sync = Yes log level = 1 syslog = 0 log file = /var/log/samba/%m max log size = 50 smb ports = 139 name resolve order = wins bcast hosts time server = Yes printcap name = CUPS show add printer wizard = No add user script = /usr/sbin/useradd -m '%u' delete user script = /usr/sbin/userdel -r '%u' add group script = /usr/sbin/groupadd '%g' delete group script = /usr/sbin/groupdel '%g' add user to group script = /usr/sbin/usermod -G '%g' '%u' add machine script = /usr/sbin/useradd -s /bin/false -d /tmp '%u' shutdown script = /var/lib/samba/scripts/shutdown.sh abort shutdown script = /sbin/shutdown -c logon script = scripts\logon.bat logon path = \\%L\profiles\%U logon drive = X: logon home = \\%L\%U domain logons = Yes preferred master = Yes wins support = Yes utmp = Yes map acl inherit = Yes printing = cups cups options = Raw veto files = /*.eml/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/

Пример 3.3.3. Сеть на 130 пользователей, служебные секции файла smb.conf, часть А, используется бэкенд tdbsam.

[homes] comment = Home Directories valid users = %S read only = No browseable = No [printers] comment = SMB Print Spool path = /var/spool/samba guest ok = Yes printable = Yes use client driver = Yes default devmode = Yes browseable = No [netlogon] comment = Network Logon Service path = /var/lib/samba/netlogon guest ok = Yes locking = No [profiles] comment = Profile Share path = /var/lib/samba/profiles read only = No profile acls = Yes [accounts] comment = Accounting Files path = /data/accounts read only = No

Пример 3.3.4. Сеть на 130 пользователей, служебные секции файла smb.conf, часть Б, используется бэкенд tdbsam.

[service] comment = Financial Services Files path = /data/service read only = No [pidata] comment = Property Insurance Files path = /data/pidata read only = No [apps] comment = Application Files path = /apps read only = Yes admin users = bjordan

3. Добавьте пользователя root в бэкенд паролей, как показано ниже:

root# smbpasswd -a root New SMB password: XXXXXXXX Retype new SMB password: XXXXXXXX root#

Учетная запись root в UNIX аналогична администратору домена Windows. Учетная запись необходима для нормального поддержания вашего сервера Samba. Никогда не удаляйте ее. Если по какой-либо причине эта учетная запись будет удалена, вы не сможете ее воссоздать без значительных трудностей.

4. Создайте файл соответствия пользователей, позволяющий учетной записи root обозначаться как эквивалент учетной записи Administrator в сетевой среде Windows. Для этого создайте файл /etc/samba/smbusers такого содержания:

#### # User mapping file #### # File Format # ----------- # Unix_ID = Windows_ID # # Examples: # root = Administrator # janes = "Jane Smith" # jimbo = Jim Bones # # Note: If the name contains a space it must be double quoted. # In the example above the name ’jimbo’ will be mapped to Windows # user names ’Jim’ and ’Bones’ because the space was not quoted. ####################################################################### root = Administrator #### # End of File ####

5. Создайте соответствие (map) группам домена Windows группам UNIX. Для этого создайте скрипт (мы назовем его /etc/samba/initGrps.sh), его содержимое показано в примере 3.3.5..

Пример 3.3.5. Скрипт для присоединения групп UNIX и Windows.

#!/bin/bash # # initGrps.sh # # Create UNIX groups groupadd acctsdep groupadd finsrvcs # Map Windows Domain Groups to UNIX groups net groupmap add ntgroup="Domain Admins" unixgroup=root type=d net groupmap add ntgroup="Domain Users" unixgroup=users type=d net groupmap add ntgroup="Domain Guests" unixgroup=nobody type=d # Add Functional Domain Groups net groupmap add ntgroup="Accounts Dept" unixgroup=acctsdep type=d net groupmap add ntgroup="Financial Services" unixgroup=finsrvcs type=d net groupmap add ntgroup="Insurance Group" unixgroup=piops type=d # Map Windows NT machine local groups to local UNIX groups # Mapping of local groups is not necessary and not functional # for this installation.

Cделайте его исполняемым и запустите, ниже дан вывод после работы этого скрипта:

root# chmod 755 initGrps.sh root# /etc/samba # ./initGrps.sh Updated mapping entry for Domain Admins Updated mapping entry for Domain Users Updated mapping entry for Domain Guests No rid or sid specified, choosing algorithmic mapping Successfully added group Accounts Dept to the mapping db No rid or sid specified, choosing algorithmic mapping Successfully added group Domain Guests to the mapping db

Проверяем соответствие (присоединение) групп:

root# /etc/samba # net groupmap list | sort Account Operators (S-1-5-32-548) -> -1 Accounts Dept (S-1-5-21-179504-2437109-488451-2003) -> acctsdep Administrators (S-1-5-32-544) -> -1 Backup Operators (S-1-5-32-551) -> -1 Domain Admins (S-1-5-21-179504-2437109-488451-512) -> root Domain Guests (S-1-5-21-179504-2437109-488451-514) -> nobody Domain Users (S-1-5-21-179504-2437109-488451-513) -> users Financial Services (S-1-5-21-179504-2437109-488451-2005) -> finsrvcs Guests (S-1-5-32-546) -> -1 Power Users (S-1-5-32-547) -> -1 Print Operators (S-1-5-32-550) -> -1 Replicators (S-1-5-32-552) -> -1 System Operators (S-1-5-32-549) -> -1 Users (S-1-5-32-545) -> -1

(обратите внимание, это вероятно, ошибка автора книги: в скрипте нет команды для создания группы piops, но команда присоединения (map) этой группы к группе "Insurance Group" есть, также в ходе проверки (net groupmap list) мы не видим, чтобы эта группа была сассоциирована, прим.перев.)

6. Теперь об одном подготовительном шаге, без которого вы не получите работающую сетевую среду Samba. Вы должны добавить учетную запись каждого пользователя сети. Каждому пользователю, которому это требуется, вы должны дать учетную запись в домене Windows, внесите запись в файл /etc/passwd, а также в бэкенд паролей Samba. Для создания учетных записей пользователей воспользуйтесь инструментами вашей системы, затем воспользуйтесь утилитой smbpasswd для создания учетных записей домена.

В числе инструментов для управления пользователями под UNIX такие как useradd и adduser, а также обилие сторонних утилит. Также стоит создать домашний каталог для каждого пользователя. Все это вы можете сделать, выполняя следующие шаги для каждого пользователя:

root# useradd -m username root# passwd username Changing password for username. New password: XXXXXXXX Re-enter new password: XXXXXXXX Password changed root# smbpasswd -a username New SMB password: XXXXXXXX Retype new SMB password: XXXXXXXX Added user username.

Разумеется, вместо username вы будете подставлять требующиеся реальные имена пользователей.

7. Используя предпочтительные для этого инструменты UNIX, добавьте каждого пользователя в предварительно созданную, если необходимо, группу UNIX. Контроль доступа к файлам системы будет основан на членстве в группах UNIX.

8. Создайте каталог, который будет точкой монтирования для дисковой системы хранения данных компании. В данном примере такая точка монтирования будет обозначена в smb.conf как каталог /data. Отформатируйте ваш диск в требуемую файловую систему и примонтируйте, используя инструменты вашей системы.

9. Создайте корневую папку хранилища файлов данных и приложений как показано ниже:

root# mkdir -p /data/{accounts,finsrvcs} root# mkdir -p /apps root# chown -R root:root /data root# chown -R root:root /apps root# chown -R bjordan:acctsdep /data/accounts root# chown -R bjordan:finsrvcs /data/finsrvcs root# chmod -R ug+rwxs,o-rwx /data root# chmod -R ug+rwx,o+rx-w /apps

Каждый отдел отвечает за создание структуры папок внутри общего ресурса этого отдела. Корневая папки отдела accounts это общий ресурс /data/accounts, корневая папки отдела finsvcs это общий ресурс /data/finsvcs. Каталог /apps это общий ресурс apps, который будет являться частью инфраструктуры сервера приложений.

10. Файл smb.conf определяет инфраструктуру поддержки перемещаемых профилей и возможностей сетевого входа. Теперь вы можете создать структуру файлов с целью размещения на диске требуемых сервисов для этих возможностей. Следует провести соответствующее планирование, так как впоследствии профили сотрудников могут увеличиться до весьма больший размеров. Учтем при планировании, что для хранения пользовательского профиля потребуется как минимум 200 мегабайт. Следующие команды помогут вам создать требующуюся структуру каталогов:

root# mkdir -p /var/spool/samba root# mkdir -p /var/lib/samba/{netlogon/scripts,profiles} root# chown -R root:root /var/spool/samba root# chown -R root:root /var/lib/samba root# chmod a+rwxt /var/spool/samba root# chmod 2775 /var/lib/samba/profiles root# chgrp users /var/lib/samba/profiles

Для каждой учетной записи пользователя, созданной в системе, нужно выполнить следующие действия:

root# mkdir /var/lib/samba/profiles/"username" root# chown "username":users /var/lib/samba/profiles/"username" root# chmod ug+wrx,o+rx,-w /var/lib/samba/profiles/"username"

11. Создайте сценарий входа (logon script). Проследите, чтобы конец каждой строки был корректно завершен (речь идет о проблеме несоответствия конца строк кодировке DOS). Для этого используйте утилиты unix2dos и dos2unix (которые имеет смысл установить). Сначала создайте файл /var/lib/samba/netlogon/scripts/logon.bat.unix следующего содержания:

net time \\diamond /set /yes net use h: /home net use p: \\diamond\apps

Затем конвертируйте unix-файл в dos-файл используя unix2dos:

root# unix2dos < /var/lib/samba/netlogon/scripts/logon.bat.unix \ > /var/lib/samba/netlogon/scripts/logon.bat

(к началу страницы)

3.3.3. Конфигурирование серверов DHCP и DNS

Этапы конфигурирования серверов DHCP и DNS:

1. Создайте файл /etc/dhcpd.conf с содержимым, представленным в примере 3.3.6..

Пример 3.3.6. Содержимое файла /etc/dhcpd.conf для сервера DHCP.

# Abmas Accounting Inc. default-lease-time 86400; max-lease-time 172800; option ntp-servers 192.168.1.1; option domain-name "abmas.biz"; option domain-name-servers 192.168.1.1, 192.168.2.1; option netbios-name-servers 192.168.1.1, 192.168.2.1; option netbios-node-type 8; ### Node type = Hybrid ### ddns-updates on; ### Dynamic DNS enabled ### ddns-update-style interim; subnet 192.168.1.0 netmask 255.255.255.0 { range dynamic-bootp 192.168.1.128 192.168.1.254; option subnet-mask 255.255.255.0; option routers 192.168.1.1; allow unknown-clients; host qmsa { hardware ethernet 08:00:46:7a:35:e4; fixed-address 192.168.1.20; } host hplj6a { hardware ethernet 00:03:47:cb:81:e0; fixed-address 192.168.1.30; } } subnet 192.168.2.0 netmask 255.255.255.0 { range dynamic-bootp 192.168.2.128 192.168.2.254; option subnet-mask 255.255.255.0; option routers 192.168.2.1; allow unknown-clients; host qmsf { hardware ethernet 01:04:31:db:e1:c0; fixed-address 192.168.1.20; } host hplj6f { hardware ethernet 00:03:47:cf:83:e2; fixed-address 192.168.2.30; } } subnet 127.0.0.0 netmask 255.0.0.0 { } subnet 123.45.67.64 netmask 255.255.255.252 { }

2. Создайте файл /etc/named.conf с содержимым, которое представлено в примерах 3.3.7., 3.3.8. и 3.3.9.. Объедините эти примеры в один файл.

Пример 3.3.7. Конфигурационный файл /etc/named.conf первичного DNS, раздел Master.

### # Abmas Biz DNS Control File ### # Date: November 15, 2003 ### options { directory "/var/lib/named"; forwarders { 123.45.12.23; }; forward first; listen-on { mynet; }; auth-nxdomain yes; multiple-cnames yes; notify no; }; zone "." in { type hint; file "root.hint"; }; zone "localhost" in { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" in { type master; file "127.0.0.zone"; }; acl mynet { 192.168.1.0/24; 192.168.2.0/24; 127.0.0.1; }; acl seconddns { 123.45.54.32; };

Пример 3.3.8. Конфигурационный файл /etc/named.conf первичного DNS, раздел настройки зоны прямого просмотра (Forward Lookup Definition Section).

zone "abmas.biz" { type master; file "/var/lib/named/master/abmas.biz.hosts"; allow-query { mynet; }; allow-transfer { mynet; }; allow-update { mynet; }; }; zone "abmas.us" { type master; file "/var/lib/named/master/abmas.us.hosts"; allow-query { any; }; allow-transfer { seconddns; }; };

Пример 3.3.9. Конфигурационный файл /etc/named.conf первичного DNS, раздел настройки зоны обратного просмотра (Reverse Lookup Definition Section).

zone "1.168.192.in-addr.arpa" { type master; file "/var/lib/named/master/192.168.1.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; allow-update { mynet; }; }; zone "2.168.192.in-addr.arpa" { type master; file "/var/lib/named/master/192.168.2.0.rev"; allow-query { mynet; }; allow-transfer { mynet; }; allow-update { mynet; }; };

3. Создайте следующие файлы и поместите их соответственно таблице 3.2.

Таблица 3.2. Файлы, требующиеся для функционирования DNS (named)

№ примера	Размещение файла
Пример 15.4.1.	/var/lib/named/master/localhost.zone
Пример 15.4.2.	/var/lib/named/master/127.0.0.zone
Пример 15.4.3.	/var/lib/named/root.hint
Пример 3.3.12.	/var/lib/named/master/abmas.biz.hosts
Пример 3.3.13.	/var/lib/named/master/abmas.us.hosts
Пример 3.3.10.	/var/lib/named/master/192.168.1.0.rev
Пример 3.3.11.	/var/lib/named/master/192.168.2.0.rev

Пример 3.3.10. Файл DNS зоны обратного просмотра 192.168.1

$ORIGIN . $TTL 38400 ; 10 hours 40 minutes 1.168.192.in-addr.arpa IN SOA sleeth1.abmas.biz. root.abmas.biz. ( 2003021825 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS sleeth1.abmas.biz. $ORIGIN 1.168.192.in-addr.arpa. 1 PTR sleeth1.abmas.biz. 20 PTR qmsa.abmas.biz. 30 PTR hplj6a.abmas.biz.

Пример 3.3.11. Файл DNS зоны обратного просмотра 192.168.2

$ORIGIN . $TTL 38400 ; 10 hours 40 minutes 2.168.192.in-addr.arpa IN SOA sleeth2.abmas.biz. root.abmas.biz. ( 2003021825 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS sleeth2.abmas.biz. $ORIGIN 2.168.192.in-addr.arpa. 1 PTR sleeth2.abmas.biz. 20 PTR qmsf.abmas.biz. 30 PTR hplj6f.abmas.biz.

Пример 3.3.12. Файл DNS зоны прямого просмотра abmas.biz

$ORIGIN . $TTL 38400 ; 10 hours 40 minutes abmas.biz IN SOA sleeth1.abmas.biz. root.abmas.biz. ( 2003021833 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS dns.abmas.biz. MX 10 mail.abmas.biz. $ORIGIN abmas.biz. sleeth1 A 192.168.1.1 sleeth2 A 192.168.2.1 qmsa A 192.168.1.20 hplj6a A 192.168.1.30 qmsf A 192.168.2.20 hplj6f A 192.168.2.30 dns CNAME sleeth1 diamond CNAME sleeth1 mail CNAME sleeth1

Пример 3.3.13. Файл DNS зоны прямого просмотра abmas.us

$ORIGIN . $TTL 38400 ; 10 hours 40 minutes abmas.us IN SOA server.abmas.us. root.abmas.us. ( 2003021833 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 604800 ; expire (1 week) 38400 ; minimum (10 hours 40 minutes) ) NS dns.abmas.us. NS dns2.abmas.us. MX 10 mail.abmas.us. $ORIGIN abmas.us. server A 123.45.67.66 dns2 A 123.45.54.32 gw A 123.45.67.65 www CNAME server mail CNAME server dns CNAME server

4. Все разрешение имен DNS должно проводиться локально. Удостоверьтесь, что сервер корректно настроен для осуществления этой операции, внесите изменения в файл /etc/resolv.conf:

search abmas.us abmas.biz nameserver 127.0.0.1 nameserver 123.45.54.23

В случае верной настройки это укажет функции разрешения имен при обращении к DNS-серверу, который запущен локально, разрешать имена в адреса. В случае, когда локальный сервер имен не доступен, будет опрошен сервер имен провайдера. В последнем случае, разумеется, не будут правильно разрешаться локальные имена к IP адресам.

5. Последним шагом будет редактирование файла /etc/nsswitch.conf. Этот файл контролирует операции различных преобразующих библиотек (имеется ввиду способствующих преобразованию имен), которые являются частью библиотек Glibs. Исправьте этот файл следующим образом:

hosts: files dns wins

Базовые сервисы DHCP и DNS теперь готовы к проверке. Перед тем, как вы сможете продолжать, следует указать еще на несколько шагов вдоль этой дороги. Во-первых, настройте систему печати. Затем вы сможете настроить сервер так, что все сервисы будут стартовать автоматически после перезагрузки. Также вы должны вручную запустить все сервисы перед началом тестирования.
(к началу страницы)

3.3.4. Конфигурирование системы печати

Этапы конфигурирования системы печати:

1. Укажите каждому принтеру быть клиентом DHCP (т.е. получать настройки сети автоматически), для этого внимательно изучите документацию к принтеру.

2. Согласно той же документации разрешите использование для печати порта 9100. Если в документации принтера указано, что для raw-режима следует использовать другой порт, тогда используйте его. Настройте порт как это необходимо по нижеприведенному примеру команд. Это позволит спулеру CUPS печатать, используя протокол raw-режима.

3. Настройте очереди печати CUPS:

root# lpadmin -p qmsa -v socket://qmsa.abmas.biz:9100 -E root# lpadmin -p hplj6a -v socket://hplj6a.abmas.biz:9100 lpadmin -p qmsf -v socket://qmsf.abmas.biz:9100 -E root# lpadmin -p hplj6f -v socket://hplj6f.abmas.biz:9100 -E

Эти команды создадут необходимые очереди печати без использования фильтра принтера.

4. Возможно, очереди печати не будут задействованы во время создания. Используйте команду lpc stat для проверки статуса очередей печати и, если необходимо, удостоверьтесь, что очереди, которые вы только что создали, запущены:

root# /usr/bin/enable qmsa root# /usr/bin/enable hplj6a root# /usr/bin/enable qmsf root# /usr/bin/enable hplj6f

5. Хотя ваши очереди печати могут быть запущены, все еще есть вероятность, что они не будут воспринимать задания печати. Сервисы очереди печати начинают печатать только когда осуществлена их настройка. Проверьте, указано ли вашим очередям печати принимать задания для выполнения печати посредством следующих команд:

root# /usr/sbin/accept qmsa root# /usr/sbin/accept hplj6a root# /usr/sbin/accept qmsf root# /usr/sbin/accept hplj6f

6. Исправьте файл /etc/cups/mime.convs, раскомментировав строку:

application/octet-stream application/vnd.cups-raw 0 -

7. Исправьте файл /etc/cups/mime.types, раскомментировав строку:

application/octet-stream

8. Установите драйверы принтера на каждую рабочую станцию сети.
Примечание: если в файле smb.conf есть параметр cups options = raw, последние два шага могут быть пропущены для CUPS версий 1.1.18 или более поздних.

Очереди печати были настроены и готовы для проверки.
(к началу страницы)

3.3.5. Настройка запуска системы

В случае, когда сервис запускается не как демон, а с помощью межсетевого супер-демона (inetd или xinetd), тогда chkconfig делает необходимые записи в каталоге /etc/xinetd.d и посылает сигнал отказа (hang-up, HUP) супер-демону, и это вынуждает его перечитать свои управляющие файлы.

В итоге, каждый сервис должен быть запущен чтобы позволить системе продолжать работу.

Следующие примеры подходят для Red Hat систем, пожалуйста, адаптируйте их под свою платформу:

1. Используйте встроенные инструменты вашей системы для настройки автоматического запуска сервисов при перезагрузке системы, например так:

root# chkconfig dhpcd on root# chkconfig named on root# chkconfig cups on root# chkconfig smb on

2. Теперь запустите каждый сервис, чтобы система заработала как нужно. Выполните для каждого сервиса команду:

root# /etc/rc.d/init.d/dhcpd restart root# /etc/rc.d/init.d/named restart root# /etc/rc.d/init.d/cups restart root# /etc/rc.d/init.d/smb restart

(к началу страницы)

3.3.6. Проверка

Этапы проверки сервера:

1. Один из главных аспектов конфигурирования Samba состоит в том, чтобы убедиться, что корректно работает функция разрешения имен. Вы можете проверить разрешение имен несколькими простыми тестами. Основное разрешение имен представлено в файле /etc/hosts. Для теста внесите такие временные изменения в файл /etc/nsswitch.conf:

hosts: files

После сохранения изменений выполните команду:

root# ping diamond PING sleeth1.abmas.biz (192.168.1.1) 56(84) bytes of data. 64 bytes from sleeth1 (192.168.1.1): icmp_seq=1 ttl=64 time=0.131 ms 64 bytes from sleeth1 (192.168.1.1): icmp_seq=2 ttl=64 time=0.179 ms 64 bytes from sleeth1 (192.168.1.1): icmp_seq=3 ttl=64 time=0.192 ms 64 bytes from sleeth1 (192.168.1.1): icmp_seq=4 ttl=64 time=0.191 ms --- sleeth1.abmas.biz ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3016ms rtt min/avg/max/mdev = 0.131/0.173/0.192/0.026 ms

Это говорит о том, что разрешение имен посредством файла /etc/hosts работает.

2. Пока ваша инсталляция ведет себя очень хорошо. Следующим шагом мы проверим способность разрешать имена нашего сервера DNS. Теперь исправьте файл /etc/nsswitch.conf таким образом:

hosts: dns

3. Перед тестированием DNS будет хорошей идеей проверить, что сервер DNS запущен, выполнив следующее:

root# ps ax | grep named 437 ? S 0:00 /sbin/syslogd -a /var/lib/named/dev/log 524 ? S 0:00 /usr/sbin/named -t /var/lib/named -u named 525 ? S 0:00 /usr/sbin/named -t /var/lib/named -u named 526 ? S 0:00 /usr/sbin/named -t /var/lib/named -u named 529 ? S 0:00 /usr/sbin/named -t /var/lib/named -u named 540 ? S 0:00 /usr/sbin/named -t /var/lib/named -u named 2552 pts/2 S 0:00 grep named

Теперь мы готовы для проверки DNS. Выполните команду:

root# ping diamond PING sleeth1.abmas.biz (192.168.1.1) 56(84) bytes of data. 64 bytes from sleeth1 (192.168.1.1): icmp_seq=1 ttl=64 time=0.156 ms 64 bytes from sleeth1 (192.168.1.1): icmp_seq=2 ttl=64 time=0.183 ms --- sleeth1.abmas.biz ping statistics --- 2 packets transmitted, 2 received, 0% packet loss, time 999ms rtt min/avg/max/mdev = 0.156/0.169/0.183/0.018 ms

Теперь сделайте еще несколько шагов по проверке работоспособности сервера DNS:

root# host -f diamond.abmas.biz sleeth1.abmas.biz has address 192.168.1.1

Теперь вы можете удалить запись diamond из файла /etc/hosts. Ничего страшного, если вы решите оставить эту запись, но ее удаление уменьшает количество шагов по администрированию этого имени.

4. WINS это отличный способ разрешать NetBIOS имена по их IP адресам. Вы можете проверить работу WINS запустив nmbd (вручную, или способом, показанным в разделе 3.3.5.. Исправьте файл /etc/nsswitch.conf таким образом:

hosts: wins

Далее убедитесь, что Samba запущена, выполнив

ps ax | grep mbd.

Демон nmbd предоставляет сервис разрешения имен WINS, когда в файле smb.conf указан параметр wins support = yes. Теперь проверьте работоспособность Samba:

root# ping diamond PING diamond (192.168.1.1) 56(84) bytes of data. 64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.094 ms 64 bytes from 192.168.1.1: icmp_seq=2 ttl=64 time=0.479 ms

Теперь, когда все три наиболее важные формы разрешения имен в IP адреса работают, вы можете немного расслабиться. Снова отредактируйте файл /etc/nsswitch.conf следующим образом:

hosts: files dns wins

Теперь наша система выглядит хорошо, двигаемся дальше.

5. На душе у вас было бы спокойнее, если бы вы знали, что сервер DHCP запущен и доступен для обслуживания. Первое вы можете проверить следующим образом:

root# ps ax | grep dhcp 2618 ? S 0:00 /usr/sbin/dhcpd ... 8180 pts/2 S 0:00 grep dhcp

Это показывает, что сервер запущен. Доказательство его работы будет тогда, когда вы попытаетесь добавить первого клиента DHCP в сеть.

6. Настал подходящий момент для того, чтобы проверить сам сервер Samba. Вы добились того, что разрешение имен задействовано для нуждающихся в этом базовых операций TCP/IP. Продолжаем двигаться дальше. Если ваш файл smb.conf имеет недействительные или ошибочные параметры, ваш сервер Samba может отказаться запускаться. Поэтому первым шагом всегда является проверка содержимого этого файла, выполните команду:

root# testparm -s Load smb config files from smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[netlogon]" Processing section "[profiles]" Processing section "[accounts]" Processing section "[service]" Processing section "[apps]" Loaded services file OK. # Global parameters [global] workgroup = PROMISES netbios name = DIAMOND interfaces = eth1, eth2, lo bind interfaces only = Yes passdb backend = tdbsam pam password change = Yes passwd program = /usr/bin/passwd '%u' passwd chat = *New*Password* %n\n \ *Re-enter*new*password* %n\n *Password*changed* username map = /etc/samba/smbusers unix password sync = Yes log level = 1 syslog = 0 log file = /var/log/samba/%m max log size = 50 smb ports = 139 name resolve order = wins bcast hosts time server = Yes printcap name = CUPS show add printer wizard = No add user script = /usr/sbin/useradd -m '%u' delete user script = /usr/sbin/userdel -r '%u' add group script = /usr/sbin/groupadd '%g' delete group script = /usr/sbin/groupdel '%g' add user to group script = /usr/sbin/usermod -G '%g' '%u' add machine script = /usr/sbin/useradd \ -s /bin/false -d /dev/null '%u' shutdown script = /var/lib/samba/scripts/shutdown.sh abort shutdown script = /sbin/shutdown -c logon script = scripts\logon.bat logon path = \\%L\profiles\%U logon drive = X: logon home = \\%L\%U domain logons = Yes preferred master = Yes wins support = Yes utmp = Yes winbind use default domain = Yes map acl inherit = Yes cups options = Raw veto files = /*.eml/*.nws/*.{*}/ veto oplock files = /*.doc/*.xls/*.mdb/ [homes] comment = Home Directories valid users = %S read only = No browseable = No ... ### Remainder cut to save space ###

Устраните все ошибки, прежде чем продолжать.

7. Проверьте, что сервер Samba запущен:

root# ps ax | grep mbd 14244 ? S 0:00 /usr/sbin/nmbd -D 14245 ? S 0:00 /usr/sbin/nmbd -D 14290 ? S 0:00 /usr/sbin/smbd -D $rootprompt; ps ax | grep winbind 14293 ? S 0:00 /usr/sbin/winbindd -D 14295 ? S 0:00 /usr/sbin/winbindd -D

Демон winbindd запущен в «разделенном » (split) режиме (и это нормально), здесь мы видим два его экземпляра (Для демона smbd нормален один запущенных экземпляр. Один дополнительный вторичный smbd процесс порождается каждым SMB/CIFS соединением клиента).

8. Проверьте, что могут быть сделаны анонимные подключения к серверу Samba:

root# smbclient -L localhost -U% Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Samba 3.0.20) netlogon Disk Network Logon Service profiles Disk Profile Share accounts Disk Accounting Files service Disk Financial Services Files apps Disk Application Files ADMIN$ IPC IPC Service (Samba 3.0.20) hplj6a Printer hplj6a hplj6f Printer hplj6f qmsa Printer qmsa qmsf Printer qmsf Server Comment --------- ------- DIAMOND Samba 3.0.20 Workgroup Master --------- ------- PROMISES DIAMOND

Это показывает, что анонимно может быть получен список общих ресурсов. Это аналог обзора общих ресурсов сервера из сетевого окружения клиента Windows. Аргумент -U% дает возможность послать нулевое имя пользователя (NULL) и нулевой пароль (NULL).

9. Проверьте, что каждый принтер имеет тот IP адрес, который указан для него в конфигурационном файле DHCP. Простейший способ для этого послать ping на имя принтера. Сразу после отклика, выполните команду arp -a чтобы определить mac-адрес откликнувшегося принтера. Теперь вы можете сравнить IP и mac-адреса принтера с конфигурационной информацией в файле /etc/dhcpd.conf. Разумеется, она будет совпадать. Например:

root# ping hplj6 PING hplj6a (192.168.1.30) 56(84) bytes of data. 64 bytes from hplj6a (192.168.1.30): icmp_seq=1 ttl=64 time=0.113 ms root# arp -a hplj6a (192.168.1.30) at 00:03:47:CB:81:E0 [ether] on eth0

Mac-адрес 00:03:47:CB:81:E0 совпадает с заданным IP адресом, который имеет откликнувшийся принтер, и эта запись есть в файле /etc/dhcpd.conf. Повторите эту процедуру для каждого принтера.

10. Сделайте авторизованное подключение к серверу, используя утилиту smbclient:

root# smbclient //diamond/accounts -U gholmes Password: XXXXXXX smb: \> dir . D 0 Thu Nov 27 15:07:09 2003 .. D 0 Sat Nov 15 17:40:50 2003 zakadmin.exe 161424 Thu Nov 27 15:06:52 2003 zak.exe 6066384 Thu Nov 27 15:06:52 2003 dhcpd.conf 1256 Thu Nov 27 15:06:52 2003 smb.conf 2131 Thu Nov 27 15:06:52 2003 initGrps.sh A 1089 Thu Nov 27 15:06:52 2003 POLICY.EXE 86542 Thu Nov 27 15:06:52 2003 55974 blocks of size 65536. 33968 blocks available smb: \> q

11. Ваш новый сервер присоединен к Интернет. Перед запуском вашего файрвола, вы должны запустить сканер портов вашей системы. И затем повторить после запуска файрвола. Это поможет вам понять степень уязвимости сервера от внешних атак. Одним из способов сделать это, является применение внешнего сервиса, например инструмента DSL Reports (http://www.dslreports.com/scan). Плюс к этому, если вы можете получить доступ на уровне суперпользователя root к удаленной системе UNIX/Linux, на которой есть инструмент nmap, то сделайте следующее:

root# nmap -v -sT server.abmas.us Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Host server.abmas.us (123.45.67.66) appears to be up ... good. Initiating Connect() Scan against server.abmas.us (123.45.67.66) Adding open port 6000/tcp Adding open port 873/tcp Adding open port 445/tcp Adding open port 10000/tcp Adding open port 901/tcp Adding open port 631/tcp Adding open port 25/tcp Adding open port 111/tcp Adding open port 32770/tcp Adding open port 3128/tcp Adding open port 53/tcp Adding open port 80/tcp Adding open port 443/tcp Adding open port 139/tcp Adding open port 22/tcp The Connect() Scan took 0 seconds to scan 1601 ports. Interesting ports on server.abmas.us (123.45.67.66): (The 1587 ports scanned but not shown below are in state: closed) Port State Service 22/tcp open ssh 25/tcp open smtp 53/tcp open domain 80/tcp open http 111/tcp open sunrpc 139/tcp open netbios-ssn 443/tcp open https 445/tcp open microsoft-ds 631/tcp open ipp 873/tcp open rsync 901/tcp open samba-swat 3128/tcp open squid-http 6000/tcp open X11 10000/tcp open snet-sensor-mgmt 32770/tcp open sometimes-rpc3 Nmap run completed -- 1 IP address (1 host up) scanned in 1 second

Было запущено сканирование перед тем, как внешний интерфейс был заблокирован применением созданного выше NAT-файрвол скрипта. Следующие результаты были получены после применения правил файрвола:

root# nmap -v -sT server.abmas.us Starting nmap V. 3.00 ( www.insecure.org/nmap/ ) Host server.abmas.us (123.45.67.66) appears to be up ... good. Initiating Connect() Scan against server.abmas.us (123.45.67.66) Adding open port 53/tcp Adding open port 22/tcp The Connect() Scan took 168 seconds to scan 1601 ports. Interesting ports on server.abmas.us (123.45.67.66): (The 1593 ports scanned but not shown below are in state: filtered) Port State Service 22/tcp open ssh 25/tcp closed smtp 53/tcp open domain 80/tcp closed http 443/tcp closed https Nmap run completed -- 1 IP address (1 host up) scanned in 168 seconds

(к началу страницы)

3.3.7. Конфигурирование сервера приложений

Некоторое программное обеспечение Windows будет запускаться только локально с рабочих станций. Такие программы обычно не содержат средств для административной установки. Административно-устанавливаемое программное обеспечение позволяет один или более вариантов установки, таких как:

• Полная установка ПО на рабочую станцию с хранением файлов данных на этой же рабочей станции;

• Полная установка ПО на рабочую станцию с хранением файлов данных централизованно в сетевом хранилище;

• Установка ПО с запуском приложения с центрального сервера приложений и хранением файлов данных локально на рабочей станции. Часто это называется минимальной установкой, или сетевой клиентской установкой;

• Установка ПО с запуском приложения с центрального сервера приложений и хранением файлов данных централизованно в сетевом хранилище. Этот вид установки часто препятствует хранению рабочих файлов локально на рабочей станции.

Когда Microsoft Office XP Professional будет установлен в административный общий сетевой ресурс, продукт может быть установлен на рабочие станции с использованием обычной программы установки. В этом случае будет предложено сделать минимальную установку либо произвести полную локальную инсталляцию пакета. Полная локальная установка потребует около 100 мегабайт свободного места, минимальная — около 15 мегабайт. В последнем случае, когда приложение будет использоваться, оно будет загружаться по сети.

Сервис-пак для Microsoft Office может быть установлен в административный общий сетевой ресурс. Это сделает возможным обновление до сервис-пак Microsoft Office для всех пользователей простой установки и обойти необходимость обновления каждого сетевого клиента в отдельности.

Место нахождения файлов данных MS Office XP Professional по умолчанию может быть задано через реестр или через настройки каждого приложения MS Office XP Professional в отдельности.

OpenOffice.Org OpenOffice Version 1.1.0 может быть установлен локально. А также может быть запущен с общего сетевого ресурса. Последнее решение наиболее желательно для сетевых пользователей, связанных с офисной работой, а также для административного штата сотрудников. Это позволяет быстро и легко запускать обновления для всех пользователей с минимальными затратами и максимальной гибкостью.

Процесс установки административного общего ресурса для OpenOffice включает загрузку установочного zip-файла и последующую его распаковку во временную папку. Когда файлы будут полностью извлечены, с использованием выбранного вами архиватора, пройдите в эту папку и выполните команду setup -net. В появившемся окне укажите место, куда будет произведена установка. Это точка административного общего ресурса. Полная административная установка OpenOffice потребует около 150 мегабайт свободного места.
(к началу страницы)

3.3.7.1. Комментарии, относительно условий использования ПО

Пожалуйста, не используйте административную установку программ с коммерческой или проприетарной лицензией чтобы нарушить авторские права держателя лицензии. Все программное обеспечение лицензировано, в частности ПО, которое лицензировано для свободного использования. Все программное обеспечение это собственность правообладателя до тех пор, пока автор и/или владелец авторских прав явно не отречется от владения и не разместит программное обеспечение в свободный доступ.

ПО, распространяемое под лицензией GNU, подобно проприетарному ПО, лицензируется с условиями, ограничивающими использование. Например, если вы модифицируете GPL-ПО и затем распространите бинарную версию вашей модификации, вы также должны будете предоставить исходные коды. Это ограничение предназначено для того, чтобы поддержать быстрое развитие технологии и защитить от сдерживания нововведений.

Коммерческое и проприетарное программное обеспечение обычно ограничивает использование лишь теми, кто приобрел лицензию и соблюдает условия использования лицензии. ПО, выпущенное под лицензией GPL также ограничено условиями. Как бы то ни было, могут иметься определенные условия, и если вы не согласны с ними, пожалуйста, не используйте это программное обеспечение.
(к началу страницы)

3.3.8. Конфигурирование клиентов Windows

Процесс конфигурирования клиентов Windows:

1. Установите MS Windows XP Professional. Во время установки укажите использовать DHCP (получать настройки сети автоматически). DHCP настроит все клиенты Windows использовать адрес WINS-сервера, который будет определен для локальной подсети.

2. Включите рабочую станцию в домен PROMISES. Используйте в качестве администратора домена учетную запись root и пароль, который вы задавали при помощи smbpasswd для этой учетной записи.

Детальная пошаговая инструкция по включению клиентов с Windows 200x/XP Professional домен Windows приведена в Главе 15, «Сборник полезных советов», раздел 15.1.. Перезагрузите компьютер, когда это потребуется и войдите с использованием учетной записи администратора домена (root).

3. Проверьте, что в Сетевом Окружении виден компьютер DIAMOND, что к нему можно подключиться и увидеть общие папки accounts, apps, finsvcs и что в них можно зайти и просмотреть содержимое.

4. Подключите как сетевой диск общий ресурс apps.

5.Выполните административную установку каждого приложения, которое будет использоваться. Выберите опции, которые вы желаете использовать. Конечно, вы можете выбрать запускать приложения по сети, верно?

6. Теперь установите все локальные приложения. Как правило это Adobe Acrobat, драйверы на устройства, такие как сканер и тому подобное. Вероятно наиболее важное приложение для локальной установки это антивирус.

7. Теперь установите все принтеры на эталонную систему. Это принтеры бухгалтерского отдела HP LaserJet 6 и Minolta QMS Magicolor. Вы также должны настроить принтеры, которые находятся в финансовом отделе. Установите принтеры на каждую рабочую станцию следуя шагам, показанным ниже в инструкции.

8. Когда вы убедитесь, что ваша эталонная система готова, выведите рабочую станцию из домена. Перезагрузите компьютер и затем войдите под учетной записью администратора, очистите все временные папки. Сделайте дефрагментацию для оптимизации размещения файлов на диске.

9. Загрузите рабочую станцию с диска или дискеты Norton Ghost.

10. Сейчас вы можете развернуть образ эталонного компьютера используя средства Norton Ghost. Убедитесь, что каждая рабочая станция имеет уникальный идентификатор безопасности Windows (SID). Когда развертывание образа будет выполнено, перезагрузите компьютер.

11. Войдите на компьютер как локальный администратор (это опционально) и включите его в домен, следуя процедуре, описанной в Главе 15, «Сборник полезных советов», раздел 15.1.. Теперь система готова к тому, чтобы вход мог осуществить пользователь, конечно, если вы вы предварительно создали его учетную запись.

12. Проинструктируйте пользователей входить на их рабочие станции под выданным им именем пользователя и паролем.

Инструкция по установке принтера:

1. Щелкните Пуск-Настройка-Принтеры-Установка принтера. Выберите установку локального принтера, а не сетевого.

2. Щелкните Дальше, выберите HP, найдите принтер HP LaserJet 6, щелкните Дальше.

3. Выберите «Использовать порт: FILE (Печать в файл)», затем установите имя принтера по умолчанию. На вопрос «Желаете ли вы распечатать пробную страницу?» ответьте «Нет». Нажмите «Готово».

4. Вам может быть задан вопрос об имени файла печати. В этом случае Щелкните на принтере P LaserJet 6, выберите Свойства-Вкладка_Дополнительно-Добавить_порт.

5. На панели Сеть введите имя очереди печати на Samba-сервере \\DIAMOND\hplj6. Щелкните OK+OK для завершения установки.

6. Повторите эти шаги для обоих принтеров HP LaserJet 6 , а также для лазерного принтера QMS Magicolor.
(к началу страницы)

3.3.9. Основные моменты изученного

• Простой файрвол был сконфигурирован для защиты сервера в том случае, если файрвол провайдера выйдет из строя.

• Конфигурация Samba использует критерии, которые позволяют подключаться к сервисам SMB/CIFS только локальным сетевым пользователям.

• Samba использует возможность нового бэкенда паролей tdbsam. В функциональность Samba была добавлена существенная комплексность.

• Сервер DHCP был настроен на динамическое обновления адресов сервера DNS (DDNS).

• Сервер DNS был настроен так, чтобы позволять динамическое обновление (DDNS) только локальным клиентам сети. Этот сервер также предоставляет сервис первичного DNS для Интернет-присутствия компании.

• Вы ввели в эксплуатацию сервер приложений , а также применили концепцию клонирования клиентов Windows для достижения единообразия рабочих станций и сократили стоимость сетевого управления.

3.4. Вопросы и ответы

1. Какое максимальное число учетных записей может обрабатывать бэкенд паролей tdbsam?

- Структура данных tdb и поддержка системы может управлять большим числом записей, чем число учетных записей, которое возможно в большинстве систем UNIX. Практическое ограничение играет роль в ожидаемой границе производительности. Тем реальным ограничением является природа Windows-сети. Существует немного файлов Windows и серверов печати, которые способны обработать более чем несколько сотен одновременных клиентских подключений. Ключевые ограничивающие факторы, которые влияют на разгрузку сервисов дополнительных серверов это объем оперативной памяти, число процессоров, пропускная способность сети и ограничения I/O дисковых систем. Все эти ресурсы быстро иссякают, как только происходит несколько сотен одновременных подключений активных пользователей. Так одно из узких мест может быть достаточно просто устранено путем разделения сети на сегменты (распределение сетевой нагрузки на несколько сетей).

Так как сеть разрастается, необходимо ввести дополнительные аутентификационные серверы (контроллеры домена). tdbsam ограничен использованием на одном компьютере и не может быть корректно реплицирован. Исходя из этого реальные ограничения структуры сети диктуются точкой, в которой требуется распределенный бэкенд passdb; в нашем случае нет другой альтернативы, кроме ldapsam (LDAP).

Руководство, представленное в Главе 10, разделе 10.1.2, TOSHARG2, ограничивает число учетных записей в бэкенде tdbsam до 250. Это то значение, после которого большинство сетей начинают иметь тенденцию к резервному (вторичному) контроллеру домена (backup domain controller — BDC). Samba-3 не предоставляет механизма для репликации данных tdbsam, в том виде, в котором это может использоваться на BDC. Ограничение бэкенда tdbsam в 250 пользователей говорят о том, что пора задуматься о репликации, но не накладывают ограничения на сами возможности этого бэкенда (другими словами, этот бэкенд может хранить и большее число учетных записей, но без репликации базы данных пользователей это становится рискованным, прим.перев.)

2. Будет ли Samba работать лучше, если установить значение параметра OS level больше, чем 35?

- Нет, рабочие станции и серверы MS Windows не используют значение, выше чем 33. Установка этого значения 35 уже обеспечит приоритет над операционными системами MS Windows в выборах браузера. Нет смысла устанавливать это значение выше (однако во времена windows 7 и windows server 2008 неплохо будет выставить это значение 64, прим.перев.).

3. Почему в этом примере представлено присоединение (mappings) групп UNIX и Windows только для групп домена?

- В этот раз основной задачей Samba является использование присоединения только доменных групп. Возможно, впоследствии данные Samba смогут использовать локальные группы Windows, так же, как Active Directory использует специальные группы. В настоящем требуется, чтобы группы домена были присоединены к группам UNIX.

4. Почему был указан путь для ресурса IPC$?

- Это сделано для того, чтобы в случае программной ошибки разрешить подключение клиента к ресурсу IPC$ с целью получить доступ к файловой системе, указанное расположение ресурса предоставляется менее рискованным. В нормальных условиях этот параметр отдает паранойей, и может не использоваться. Применение этого параметра не является необходимым.

5. Почему в данном примере файл smb.conf имеет запись smb ports?

- По умолчанию, Samba пытается соединяться с клиентами MS Windows по 445 порту. (TCP порт используемый клиентами Windows, когда протокол SMB в меньшей степени использует NetBIOS поверх TCP/IP). Порт TCP 139 основной порт используемый NetBIOS поверх TCP/IP. В этой конфигурации процессы сети Windows используют NetBIOS поверх TCP/IP. Определено использовать только порт 139, с целью снизить безуспешные попытки подключений. Результатом этого является повышение производительности сети. В тех случаях, когда Samba-3 функционирует как член домена Active Directory, эта настройка наиболее предпочтительна и не должна изменяться.

6. В чем разница между принтером и очередью печати?

- Принтер это физическое устройство, которое подключено либо непосредственно к сети, либо к компьютеру по COM-, LPT- или USB-порту, так, что задания печати могут быть выведены на печать в виде бумажных копий. Сетевые принтеры, которые используют TCP/IP, обычно используют один поток данных и блокируют все дополнительные попытки отправить одновременно задания печати на тот же самый принтер. Если много клиентов будут одновременно печатать по TCP/IP на тот же самый принтер, это приведет к большому количеству сетевого трафика на фоне непрерывно терпящих неудачу попыток соединения.

Принт-сервер (такой как CUPS или LPR/LPD) допускает множественные одновременные входящие потоки или очереди печати. Когда поток данных полностью принят, вход потока закрывается, а затем задание выводится последовательно как очередь печати, в которой задание сохраняется до тех пор, пока принтер не будет готов принять задание..

7. Могут ли все приложения MS Windows быть установленными в общий ресурс сервера приложений?

- Старое программное обеспечение Windows не совместимо с установкой и запуском с сервера приложений. Расширенные версии (Enterprise) Microsoft Office XP Professional могут быть установлены на сервер приложений. Розничным покупателям версий Microsoft Office XP Professional не позволена установка на сервер приложений и может быть установлена и использоваться только на/с локального жесткого диска рабочей станции.

8. Для чего использовать динамический DNS (DDNS)?

- В случае, когда записи DDNS обновляются непосредственно с сервера DHCP, разрешение имен возможно для сетевых клиентов, которые не поддерживают NetBIOS, и не могут использовать WINS, чтобы определить Windows клиента через DNS.

9. Почему вы используете WINS наряду с разрешением имен, основанном на DNS?

- WINS относится к NetBIOS именованию, как DNS к полностью определенным именам домена (fully qualified domain names (FQDN)). FQDN это имя подобное myhost.mydomain.tld., где tld .является доменом верхнего уровня. FQDN длинно записывается, но легко запоминается, может быть до 1024 знаков в длину и олицетворяет IP адрес. NetBIOS имя всегда длиной 16 знаков. 16-й знак это указатель типа имени. Специальный тип имени зарегистрирован для каждого типа сервиса, который предоставляется сервером Windows или клиентом и который может быть зарегистрирован там, где используется сервер WINS.

WINS это механизм, благодаря которому клиент может определить IP адрес по NetBIOS имени. Сервер WINS может быть опрошен с целью получения IP адреса для NetBIOS имени, которое включает отдельно зарегистрированный тип NetBIOS имени. DNS не предоставляет механизма, который позволяет обрабатывать информацию о типах NetBIOS имен.

Служба Active Directory Windows 200x требует регистрации в зоне DNS домена, чтобы контролировать записи службы локатора (service locator records), которые клиенты и серверы Windows будут использовать для поиска служб Kerberos и LDAP. Служба AD дакже требует регистрации специальных записей, которые называются записями глобального каталога (global catalog (GC) entries) и записей сайта, по которым могут быть найдены контроллеры домена и другие серверы, необходимые службам AD.

10. В чем основное преимущество использования сервера приложений?

- Использование сервера приложений может значительно упростить сопровождение обновлений приложений. Кроме предоставления централизованного общего ресурса приложений, обновление ПО может применяться только в одном месте для всех основных используемых приложений. Как результат, обновления проходят быстрее и этот процесс проще контролировать.
(к началу страницы)

Назад Глава 2. Небольшая офисная сеть

Содержание

Дальше Глава 4. Офисная сеть на 500 пользователей