Введение

В настоящей статье рассматривается порядок настройки Samba для предоставления доступа к разделяемым сетевым ресурсам, файловые объекты в которых могут иметь ненулевые классификационное метки. При этом настройка выполняется без использования механизмов домена, т.е.:

• аутентификация пользователей выполняется не доменной службой Kerberos, а внутренней системой аутентификации Samba;
• аутентификация выполняется для локальных пользователей (локальных групп) компьютера, на котором расположен ресурс.

Установка пакетов

Для выполнения инструкций данной статьи достаточно установить пакет samba:

Настройка сетевых подключений

Для эксплуатации сервера samba желательно назначить ему постоянный IP-адрес. См. Настройка сетевых подключений в Astra Linux.

Создание каталогов для общего доступа

Для размещения данных с ненулевыми классификационными метками создать на сервере каталоги, которые будут содержать разделяемые файловые ресурсы, и установить желаемые права мандатного и дискреционного доступа, например:

1. Создать группу каталогов для размещения данных с различными классификационными метками:

   Command
   sudo mkdir /srv/macshare sudo mkdir /srv/macshare/zero sudo mkdir /srv/macshare/dsp sudo mkdir /srv/macshare/secret sudo mkdir /srv/macshare/topsecret

   
   

2. Установить желаемые дискреционные атрибуты, например:

   Command
   sudo chmod 777 /srv/macshare -R

   
   

3. Установить классификационные метки на подкаталоги:

   Command
   sudo pdpl-file 3:0:-1:ccnr /srv /srv/macshare/ sudo pdpl-file 1:0:0 /srv/macshare/dsp sudo pdpl-file 2:0:0 /srv/macshare/secret sudo pdpl-file 3:0:0 /srv/macshare/topsecret

   
   

Настройка службы samba

1. Разрешить работу службы samba с ненулевыми классификационным метками, для чего добавить в конфигурационный файл /etc/samba/smb.conf в секцию [global] параметр:

   Блок кода
   use socket MAC label = YES

   
   

2. Добавить в конфигурационный файл /etc/samba/smb.conf секцию с информацией о разделяемом файловом ресурсе, например, секция для ресурса с именем macshare:

   Блок кода
   icon false language bash title /etc/samba/smb.conf
   [macshare] comment = For all doc's path = /srv/macshare read only = no

   Права доступа к ресурсу по умолчанию предоставляются всем пользователям, прошедшим аутентификацию. Дополнительно можно настроить индивидуальные права доступа к ресурсу с помощью параметров valid users (разрешение доступа) и invalid users (запрещение доступа), подробнее см. man smb.conf. Например, добавить группу smbusers:
   

   Command
   sudo groupadd smbusers

   И разрешить доступ к ресурсу только участникам этой группы, добавив в описание ресурса строку:
   

   Блок кода
   valid users = @smbusers

   При этом для тогтого, чтобы пользователь смог получить доступ к ресурсу пользователя надо будет включить этого пользователя в группу smbuser:
   

   Command
   sudo usermod -aG smbusers <имя_пользователя>

   
   
   

3. Проверить корректность конфигурации samba:
   

   Command
   testparm

   
   

4. Перезапустить службу Samba:

   Command
   sudo systemctl restart smbd

   
   

5. Убедиться, что к созданному разделяемому ресурсу запрещен анонимный доступ (доступ без аутентификации):
   

   Command
   Title smbclient -N //localhost/macshare
   tree connect failed: NT_STATUS_ACCESS_DENIED

   
   

6. Зарегистрировать в службе samba локальных пользователей, которым должен предоставляться доступ с аутентификацией. Команда:

   Command
   sudo smbpasswd -a <имя_пользователя>

   При регистрации потребуется указать и подтвердить пароль;
   
   

7. Убедиться, что доступ работает корректно, выполнив подключение от имени пользователя (понадобится ввести пароль пользователя):

   Command
   smbclient -U <имя_пользователя> //localhost/macshare