Родерик Смит - Сетевые средства Linux
Samba позволяет использовать при указании параметров символы как нижнего, так и верхнего регистра, но в большинстве случаев имена параметров содержат только символы нижнего регистра, а значения параметров начинаются с прописной буквы. Некоторые значения, например имена файлов Linux, зависят от регистра символов. Ряд параметров предполагает двоичные значения; в этом случае Yes, True и 1 являются синонимами (точно так же синонимами являются значения No, False и 0).
Идентификация сервера Samba
В сетях NetBIOS используется система имен, не связанная с доменными именами, применяемыми в сетях TCP/IP. Например, компьютеру harding.threeroomco.com может соответствовать имя BILLY, принадлежащее домену USPRES. Для того чтобы удобнее было отличать имена TCP/IP от имен NetBIOS, последние будут представляться в данной главе символами верхнего регистра. В системе NetBIOS предусмотрены два уровня имен: имена компьютеров и имена рабочих групп или доменов. (Домены NetBIOS не имеют никакого отношения к доменам TCP/IP.) В Samba предусмотрены средства поддержки как имен компьютеров, так и имен рабочих групп и доменов.
На заметкуРазличие между рабочей группой и доменом NetBIOS не очень существенны. Рабочая группа — это набор компьютеров с общим именем группы. Домен отличается от рабочей группы тем, что в нем присутствует специальный компьютер, называемый контроллером домена, который обеспечивает централизованную аутентификацию и выполняет некоторые другие функции. Домен может занимать несколько сегментов сети; для рабочей группы реализовать такую конфигурацию затруднительно. При необходимости компьютер, на котором выполняется сервер Samba, может выступать в роли контроллера домена (этот вопрос будет обсуждаться далее в данной главе).
Имя рабочей группы или имя домена задается с помощью параметра workgroup:
workgroup = USPRES
Данный параметр указывает на то, что компьютер принадлежит рабочей группе USPRES. Система может взаимодействовать с членами других рабочих групп, но при выполнении ряда функций, например при просмотре сети средствами Windows, используется имя рабочей группы. Если имя группы будет задано некорректно, сервер Samba станет недоступным для броузеров Network Neighborhood и My Network Places. Эта проблема часто возникает при установке исходной конфигурации Samba.
По умолчанию Samba использует в качестве имени узла NetBIOS первый компонент доменного имени TCP/IP этого компьютера. Например, для компьютера harding.threeroomco.com Samba выберет NetBIOS-имя HARDING. Это значение можно изменить с помощью параметра netbios name. Параметр netbios aliases позволяет присвоить одному компьютеру несколько имен NetBIOS. Например, если в конфигурационном файле будут присутствовать приведенные ниже строки, то к компьютеру можно будет обращаться как по имени BILLY, так и по имени WILLIAM.
netbios name = BILLY
netbios aliases = WILLIAM
СоветВ большинстве случаев рекомендуется, чтобы имя компьютера, входящее в состав домена TCP/IP, и имя NetBIOS, совпадали. Это исключит недоразумения при обращении к узлу сети.
Защита системы
В ранних реализациях SMB/CIFS пароли передавались по сети в незашифрованном виде. Это давало возможность для перехвата их другими узлами локальной сети, а если в обмене данными участвовали маршрутизаторы, то пароль мог быть перехвачен и внешними компьютерами. В последующих реализациях SMB/CIFS были использованы средства шифрования паролей. Однако способы кодирования SMB/CIFS не совместимы со способами, которые используются для поддержки локальных паролей Linux. Закодированный пароль SMB/CIFS невозможно сравнить с записями, хранящимися в локальной базе Linux, поэтому в Samba была реализована собственная база паролей. Эта база называется smbpasswd, а для управления ею используется одноименная утилита.
В системе Windows, начиная с версий Windows 95 OSR2 и Windows NT 4.0 SP3, по умолчанию используются зашифрованные пароли. Если сервер Samba настроен для передачи незакодированных паролей, взаимодействие с Windows будет невозможным. Для того чтобы устранить эту проблему, надо переконфигурировать либо сервер Samba, либо систему Windows. Чтобы изменить конфигурацию Samba, придется затратить меньше усилий, кроме того, такой подход гораздо предпочтительнее с точки зрения безопасности системы.
Обработкой зашифрованных паролей управляет параметр encrypt passwords. Для того чтобы сервер Samba выполнял проверку закодированных паролей в файле smbpasswd, следует задать значение Yes этого параметра. Чтобы включить зашифрованный пароль пользователя в файл smbpasswd, надо выполнить следующую команду:
# smbpasswd -а имя_пользователя
В процессе выполнения утилита smbpasswd запросит пароль (по требованию программы вам придется ввести его дважды). В момент вызова smbpasswd на компьютере должна существовать учетная запись пользователя с указанным именем, иначе программа smbpasswd не включит пароль в базу. При первом запуске утилита smbpasswd отобразит предупреждающее сообщение о том, что файл smbpasswd отсутствует. Однако в ходе дальнейшей работы программа автоматически создаст этот файл, поэтому на предупреждающее сообщение можно не обращать внимание.
Дополнительные меры по защите обеспечивают параметры hosts allow и hosts deny. Они действуют подобно файлам /etc/hosts.allow и /etc/hosts.deny TCPWrappers, которые рассматривались в главе 4. Данные параметры позволяют задавать список узлов, которые имеют право взаимодействовать с сервером, и список узлов, для которых такое взаимодействие запрещено. Например, приведенное ниже выражение разрешает взаимодействие с системой только для узлов 192.168.7.0/24 и algernon.pangaea.edu.
hosts allow = 192.168.7. algernon.pangaea.edu
На заметкуПоследующие разделы посвящены работе Samba в качестве сервера имен NetBIOS, основного броузера и контроллера домена. Читатели, не интересующиеся данными вопросами, могут перейти к разделу "Организация файлового сервера с помощью Samba". Конфигурация, установленная по умолчанию, обеспечит работу Samba во многих сетях.
Samba как сервер имен NetBIOS
В сетях NetBIOS необходимы средства преобразования имен. Преобразование имен NetBIOS и TCP/IP выполняется различными способами; основные из них описаны ниже.
• Имена TCP/IP. Для преобразования можно использовать имена TCP/IP; в Windows 2000, Windows XP и Samba этот способ применяется по умолчанию. Следует заметить, что такое решение не имеет непосредственного отношения к NetBIOS.
• Применение файла lmhosts. Система может хранить информацию о соответствии имен IP-адресам в файле, который обычно называется lmhosts и выполняет те же функции, что и файл /etc/hosts в системе Linux.
• Широковещательная передача. Если компьютеру необходимо определить адрес другого компьютера, он передает запрос в широковещательном режиме. Средства, реализующие данный способ, просты в настройке и хорошо работают в небольших сетях. В сетях большого размера такое преобразование приводит к неоправданному увеличению трафика. Если сеть состоит из нескольких подсетей, объединенных маршрутизаторами, данный способ будет применим только в том случае, когда маршрутизаторы настроены для передачи широковещательных сообщений.
• WINS-сервер. Сервер NBNS (NetBIOS Name Service — служба имен NetBIOS), который также известен под названием WINS (Windows Internet Name Service — сервер Internet-имен для системы Windows), выполняет преобразование имен в IP-адреса.
Чтобы сервер Samba мог работать в качестве WINS-сервера, надо включить в раздел [global] файла smb.conf следующий параметр:
wins support = Yes
WINS-сервер не требует дополнительной настройки (по крайней мере на стороне сервера). Если клиенты и серверы NetBIOS могут обмениваться данными по сети, они регистрируются на WINS-сервере. WINS-сервер должен быть задан для каждого компьютера, подключенного к сети. В системе Windows для этого используется диалоговое окно TCP/IP Properties, показанное на рис. 7.1. Если вы установите флажок опции Use DHCP for WINS Resolution, Windows будет получать необходимую информацию от DHCP-сервера. (Вопросы настройки DHCP-сервера рассматривались в главе 5.)
Рис. 7.1. Диалоговое окно TCP/IP Properties в системе Windows позволяет задавать адрес WINS-сервера
Чтобы сервер Samba использовал для преобразования имен NetBIOS WINS-сервер, вам надо задать в файле smb.conf два параметра: wins server и name resolve order. В качестве значения первого параметра надо указать IP-адрес WINS-сервера. Второй параметр может принимать от одного до четырех значений, каждое из которых задает отдельный способ преобразования имен. Samba будет пытаться применить эти способы в том порядке, в котором они указаны в составе name resolve order. (Значения host и beast определяют соответственно обычный метод преобразования с использованием средств TCP/IP и широковещательную передачу, которая осуществляется для преобразования имен NetBIOS.) Пример использования указанных параметров приведен ниже.
