Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Установка пакетов
Для выполнения инструкций данной статьи достаточно установить пакет samba:
Настройка сетевых подключений
Для эксплуатации сервера samba желательно назначить ему постоянный IP-адрес. См. Настройка сетевых подключений в Astra Linux.
Создание каталогов для общего доступа
Для размещения данных с ненулевыми классификационными метками создать на сервере каталоги, которые будут содержать разделяемые файловые ресурсы, и установить желаемые права мандатного и дискреционного доступа, например:
Создать группу каталогов для размещения данных с различными классификационными метками:
sudo mkdir /srv/macshare
sudo mkdir /srv/macshare/zero
sudo mkdir /srv/macshare/dsp
sudo mkdir /srv/macshare/secret
sudo mkdir /srv/macshare/topsecretУстановить желаемые дискреционные атрибуты, например:
sudo chmod 777 /macshare -RУстановить классификационные метки на подкаталоги:
sudo pdpl-file 3:0:-1:ccnr /srv /srv/macshare/
sudo pdpl-file 1:0:0 /srv/macshare/dsp
sudo pdpl-file 2:0:0 /srv/macshare/secret
sudo pdpl-file 3:0:0 /srv/macshare/topsecret
Настройка службы samba
Разрешить работу службы samba с ненулевыми классификационным метками, для чего добавить в конфигурационный файл /etc/samba/smb.conf в секцию [global] параметр:
use socket MAC label = YES
Добавить в конфигурационный файл /etc/samba/smb.conf секцию с информацией о разделяемом файловом ресурсе, например, секция для ресурса с именем macshare:
/etc/samba/smb.conf[macshare] comment = For all doc's path = /srv/macshare read only = no
Права доступа к ресурсу по умолчанию предоставляются всем пользователям, прошедшим аутентификацию. Дополнительно можно настроить индивидуальные права доступа к ресурсу с помощью параметров valid users (разрешение доступа) и invalid users (запрещение доступа), подробнее см. man smb.conf. Например, добавить группу smbusers:
sudo groupadd smbusersИ разрешить доступ к ресурсу только участникам этой группы, добавив в описание ресурса строку:valid users = @smbusers
Проверить корректность конфигурации samba:
testparm
Перезапустить службу Samba:
sudo systemctl restart smbd
Убедиться, что к созданному разделяемому ресурсу запрещен анонимный доступ (доступ без аутентификации):
smbclient -N //localhost/macsharetree connect failed: NT_STATUS_ACCESS_DENIED
Зарегистрировать в службе samba пользователей, которым должен предоставляться доступ с аутентификацией. Команда:
sudo smbpasswd -a <имя_пользователя>При регистрации потребуется указать и подтвердить пароль;Убедиться, что доступ работает корректно (понадобится ввести пароль пользователя):
smbclient -U <имя_пользователя> //localhost/macshare