Справочный центр

Дерево страниц

Сравнение версий

Старая версия 18

changes.mady.by.user Александр Левдонский

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Александр Левдонский

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Оглавление

См. также:


Информация
titleДанная статья применима к:
  • ОС ОН Орёл 2.12;
  • ОС СН Смоленск 1.6;
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
    • Astra Linux Special Edition РУСБ.10015-17
    • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
    • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
    • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
    • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
    • Astra Linux Special Edition РУСБ.10015-16 исп. 1
    • Astra Linux Special Edition РУСБ.10015-16 исп. 2
    • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
    • Astra Linux Common Edition 2.12
    ОС СН Ленинград 8.1.



    Пакет samba (с поддержкой MIT Kerberos) входит в стандартный дистрибутив ОС ОН Орёл 2.12 и ОС СН Смоленск 1.6стандартные дистрибутивы Astra Linux, но по умолчанию не устанавливается.
    Дополнительно, в стандартный дистрибутив входит графический инструмент для настройки samba - fly-admin-samba.
    Вариант samba с поддержкой Heimdal Kerberos доступен по ссылке.

    Быстрая установка

    Установку можно сделать из графического менеджера Графический менеджер пакетов synaptic, или из командной строки.
    Можно сразу установить графический инструмент администрирования fly-admin-samba, пакет samba при этом установится автоматически:

    Command

    sudo apt install fly-admin-samba

    После установки графического инструмента он станет доступен в меню "Пуск" > "Панель управления" > "Сеть" > "Общие папки (Samba)"

    Быстрая настройка и запуск

    Для быстрой настройки сервиса запустите графический инструмент:

    Информация
    "Пуск" > "Панель управления" > "Сеть" > "Общие папки (Samba)"

    С помощью графического инструмента возможно выполнение большинства действий по администрированию разделяемых ресурсов сервиса samba:

    • Задание имени рабочей группы;
    • Запуск/остановка сервиса;
    • Определение разделяемых ресурсов;
    • Определение списка пользователей;
    • Настройка аутентификации пользователей через Керберос;
    При создании директорий, которые будут доступны через samba, следует установить на них права доступа 0775
    • Kerberos;

    Настройка анонимного разделяемого каталога

    Предупреждение

    Приведенные ниже настройки предоставляют полный доступ как на чтение, так и на запись ко всем файловым объектам каталога всем пользователям без аутентификации. 


    Для создания разделяемого ресурса, доступного без аутентификации:

    1. Создать разделяемый каталог, к которому будет предоставлен полный доступ (например, каталог /srv/share):

      Command

      sudo mkdir /srv/share


    2. Установить на созданный каталог права доступа 0775 и сделать владельцем пользователя nobody

    ,

    1. ("никто") и группу nogroup ("никакая"):

      Command

      sudo chown nobody:nogroup /

    samba

    1. srv/share
      sudo chmod 775 /srv/share


    2. В конфигурационный файл /etc/samba/smb.conf внести следующие исправления:

      1. Убедиться, что в секции [global] присутствует параметр map to guest, имеющий значение Bad User, в случае отсутствия - добавить его в секцию:

        Блок кода
        map to guest = Bad User

        Параметр разрешает работу пользователей, не прошедших аутентификацию, в том числе работу с анонимными разделяемым ресурсами;

      2. Добавить секцию вида:

        Блок кода
        [share]
   comment = <Произвольный комментарий>
   guest ok = yes
   force user = nobody
   force group = nogroup
   path = /srv/share
   read only = no


        Предупреждение
        Параметры force user и force group принудительно обеспечивают для всех подключений к ресурсу подключение от имени nobody ("никто") и группы nogroup ("никакая"), что ограничивает возможность несанкционированных действий, однако применение этих параметров имеет нежелательный побочный эффект: все файловые объекты, создаваемые на ресурсе, получают владельца nobody:nogroup независимо от того, кто их создавал.

        Для запрета изменения файловых ресурсов параметр read only привести к виду:

        Блок кода
            read only = yes


    3. Проверить корректность конфигурационного файла:

      Command

      testparm


    4. Перезапустить службу samba, чтобы изменения вступили в силу:

      Command
      sudo systemctl restart smbd


    .

    Тонкая настройка

    Основной файл настройки сервиса samba - /etc/samba/smb.conf - содержит значительное количество комментариев по проведению настройки.

    Примечание

    После изменения имени рабочей группы в файле /etc/samba/smb.conf
    для того, чтобы изменения немедленно стали доступны другим машинам
    нужно перезапустить не только сервис samba (smbd), но и сервис nmbd, обслуживающий запросы имён netbios:

    Command
    sudo systemctl restart smbd nmbdservice smbd restart
    service nmbd restart


    Инструменты командной строки для samba

    • Для того, чтобы проверить разделяемые ресурсы samba, доступные в сети, можно использовать команду

      Command
      smbtree

      Эта команда выводит дерево рабочих групп, и принадлежащих им ресурсов (файлов, принтеров и пр.) всех серверов samba, доступных в сети.

    • Для работы с конкретным ресурсом можно использовать команду smbclient:

      • Список ресурсов конкретного сервера с именем hostname:

        Command
        smbclient -L hostname


      • Работа с разделяемой Анонимная работа с разделяемым ресурсом share предоставляемым сервером hostname файловой системой sharename:

        Command
        smbclient -L N \\\\hostname\\sharenameshare

        После запуска команды в интерактивном режиме доступны команды для просмотра содержимого разделяемых каталогов, создания и удаления поддиректорий и пр.
        Полный список команд доступен по команде help

    Настройка клиентов

    Простой доступ к ресурсам

    Простой доступ к

    разделяемым

    ресурсам

    работает "из коробки", специальных настроек не требует,

    и поддерживается графическим менеджером файлов fly-fm (меню "Пуск" - "Менеджер файлов"). 
    Для просмотра ресурсов в левой панели менеджера выбрать пункт "Сеть" - "Samba",
    и объявленные доступные ресурсы будут обнаружены автоматически.Для доступа к не объявленным ресурсам можно следует использовать пункт "Сеть" - "Создать сетевое место" в верхнем меню файлового менеджера,
    в открывшейся форме ввода указать имя сервиса, и его адрес.

    Примеры форматов задания адресов имеются непосредственно в форме ввода.

    Монтирование ресурсов

    Для монтирования ресурсов на клиентские машины следует установить пакет cifs-utils, который входит в дистрибутивы, но по умолчанию не устанавливается:

    Command
    sudo apt install cifs-utils

    После установки пакета монтирование ресурсов будет доступно командой mount, например:

    Command
    sudo mount -t cifs //10.0.10.201/share /mnt -o users,sec=none

    Где:

    • //10.0.10.201/share - ресурc ресурс "share" на сервере 10.0.10.201
    • /mnt - точка монтирования

    Автоматическое монтирование ресурсов

    Для того, чтобы сетевой ресурс монтировался при загрузке системы, необходимо в конфигурационный файл /etc/fstab добавить строчку вида:

    Информация
    //10.0.10.201/share /mnt cifs credentials=/root/.smbclient,rw,nosharesock,vers=1.0,soft,noperm 0 0

    Комментарий по используемым и возможным опциям:

    ОпцияКомментарий
    autonoautoЗапретить автоматическое монтирование ресурса (при загрузке или по команде mount -a).
    credentials=

    Имя файла, содержащего логин и пароль samba для автоматического монтирования. Формат файла:

    Информация
    username=samba_user_name
    password=samba_user_password
    domain=astra.ru

    Параметр domain можно не указывать, если доменное имя не используется.

    Примечание
    Логин и пароль можно указать непосредственно в файле /etc/fstab (опции username= и password=), однако,
    следует помнить, что файл /etc/fstab обычно открыт на чтение для всех пользователей,
    так что логин и пароль рекомендуется указывать в отдельном файле, с ограниченным доступом.


    noperm

    Клиент не выполняет проверку прав доступа. Это позволяет предоставить доступ к файловым объектам этой точки монтирования другим локальным пользователям клиентской системы.
    Обычно используется, когда сервер поддерживает Unix-расширения CIFS (CIFS Unix Extensions), а идентификаторы пользователей/групп на клиенте и сервере различаются, что не позволяет корректно проверять права доступа.
    Этот параметр не влияет на обычную проверку списков контроля доступа (ACL) на целевой машине, выполняемую на сервере (проверка пользовательских ACL на сервере выполняется при монтировании).

    nosharesockПринудительное создание на сервере нового отдельного сокета (позвлоляет позволяет создать несколько независимых точек монтирования для разных пользователей).
    rwРазрешение на чтение и на запись.
    roРазрешение только на запись.
    softПри отказе сервера программы, работающие с примонтированными ресурсами, не зависают, а возвращают ошибку. Это режим по умолчанию.
    userРазрешение монтировать от имени непривилегированного пользователя.
    vers=Выбор версии протокола SMB. По умолчанию используется версия 1.0.

    Автоматическое монтирование ресурсов по запросу

    Выполняется с помощью пакета autofs