Родерик Смит - Сетевые средства Linux
encrypt passwords = Yes
domain logons = Yes
Параметр security указывает на то, что запросы на доступ к разделяемым ресурсам должны обрабатываться с использованием имен и паролей Linux. (Такая установка принята по умолчанию для Samba 2.0.0 и более поздних версий данного продукта.) Параметр encrypt passwords управляет шифрованием паролей. Контроллер домена должен передавать все пароли в закодированном виде. Основным параметром, определяющим действия PBC, является domain logons. Если значение domain logons равно Yes, этот параметр указывает Samba на то, что сервер должен принимать запросы на регистрацию в домене и обрабатывать их с учетом содержимого файла smbpasswd. В системе Windows PBC выполняет также функции основного броузера домена и WINS-сервера. Желательно настроить подобным образом и сервер Samba.
На заметкуДля установки доменного имени надо использовать параметр workgroup, включив его в файл smb.conf.
Если в состав сети входят компьютеры под управлением Windows NT, 2000 или XP, вам надо предпринять дополнительные действия по настройке системы. Во-первых, необходимо помнить, что версии Samba, предшествующие 2.2.0, не поддерживают взаимодействие с клиентами Windows NT, версии, выпущенные ранее 2.2.1a, не поддерживают клиентов Windows XP и Windows 2000 Service Pack 2 (SP2). Samba 2.2.0 и более поздние версии поддерживают многие новые возможности, реализованные в клиентах NT/2000 и даже в Windows NT 4.0. Это надо учитывать, выбирая версию Samba. Во-вторых, для использования Samba в качестве контроллера домена для каждого из клиентов NT/2000/XP необходимо создать в системе Linux структуру, которая называется доверительной учетной записью (trust account). Сделать это можно, выполнив следующие команды:
# groupadd -r trust
# useradd -r -g trust -d /dev/null -s /dev/null client$
# smbpasswd -a -m client
Команду groupadd надо задать только один раз; с ее помощью создается специальная группа для доверительной учетной записи. (При необходимости вы можете использовать одну из существующих групп, но это не рекомендуется. Гораздо лучше сформировать для этой цели отдельную группу.) Команда useradd создает специальную учетную запись для компьютера NetBIOS с именем CLIENT. Символ $ после имени пользователя обязателен. Команда smbpasswd добавляет запись client в файл smbpasswd. Эта команда не требует указания символа $. Когда клиент Windows NT/2000/XP попытается обратиться к домену, он будет зарегистрирован с помощью доверительной учетной записи; при этом для аутентификации будет использована база паролей Samba.
Конфигурация домена требует также изменить способ настройки клиента. Это можно сделать с помощью управляющей панели. В Windows 9x/Me для этого надо выбрать в окне Network пункт Microsoft Networks и щелкнуть на кнопке Properties. Система отобразит диалоговое окно Client for Microsoft Networks Properties, показанное на рис. 7.3. Установите флажок опции Log On to Windows NT Domain и введите имя домена. Чтобы сделать то же самое в системе Windows 2000, надо щелкнуть правой кнопкой мыши на пиктограмме My Computer и выбрать пункт Properties, чтобы открыть диалоговое окно System Properties. Затем необходимо выбрать Network Identification и щелкнуть на кнопке Properties. После установки конфигурации домена система запросит пользовательское имя и пароль администратора. В ответ надо, как обычно, ввести имя пользователя и пароль.
Рис. 7.3. Выбор конфигурации домена на клиентской машине под управлением Windows сводится к установке флажка опции и вводу имени домена
Организация файлового сервера с помощью Samba
Настройка файлового сервера для выполнения функций контроллера домена и WINS-сервера часто бывает необходима, но в подавляющем большинстве случаев сервер Samba используется как обыкновенный файловый сервер. Для того чтобы настроить Samba таким образом, надо определить разделяемые файлы, включив эти определения в файл smb.conf после раздела [global]. Для описания разделяемых файлов достаточно нескольких строк, однако не исключено, что вы захотите добавить к ним ряд важных параметров.
Описание разделяемых объектов
Описание разделяемого объекта Samba, обеспечивающего совместный доступ к файлам, выглядит следующим образом:
[sample]
path = /home/samba/shared-dir
browseable = Yes
read only = No
В данном примере определяется разделяемый объект с именем [sample]. В окне броузера Windows (см. рис. 7.2) он будет отображаться как SAMPLE. Разделяемому объекту соответствует каталог /home/samba/shared-dir. Если пользователь захочет просмотреть содержимое объекта SAMPLE, он увидит файлы из этого каталога. Строка browseable = Yes не является необходимой, поскольку именно это значение параметра browseable принято по умолчанию. Значение Yes параметра browseable указывает на то, что объект должен присутствовать в списке просмотра. (Чтобы удалить разделяемый объект из этого списка, надо указать параметр browseable = No, но это не сделает данный объект недоступным. Пользователи, которые знают о наличии такого объекта, могут обратиться к нему, непосредственно указав имя объекта в строке Address броузера.) По умолчанию Samba создает разделяемые объекты, предназначенные только для чтения; клиенты не могут записывать в них данные. Чтобы объект допускал как чтение, так и запись, необходимо включить в состав описания параметр read only = No либо один из его синонимов: writeable = Yes или write ok = Yes. Информация о владельце и правах доступа к файлам, входящим в состав разделяемого объекта, остается такой же, как и в системе Linux. При необходимости Samba позволяет переопределить владельца и права (действия, необходимые для этого, описаны ниже в данной главе).
Во многих сетях серверы Samba применяются для предоставления пользователям дополнительного дискового пространства, которое необходимо им для хранения документов. Для того чтобы упростить обслуживание пользователей, в системе Samba действует специальное соглашение, связанное с использованием разделяемого объекта [homes]. Если вы опишете в конфигурационном файле объект [homes], Samba будет интерпретировать его следующим образом.
• Задавать параметр path нет необходимости. Samba использует рабочий каталог пользователя, обратившегося к разделяемому объекту.
• В списке просмотра разделяемый объект отображается под именем, совпадающим с именем пользователя (например, объект rodsmith, представленный на рис. 7.2). Если вы зададите параметр browseable = No, объект [homes] не будет отображаться в списке просмотра, но будет доступен под именем пользователя.
Во многих дистрибутивных пакетах разделяемый объект [homes] изначально присутствует в файле smb.conf. Поэтому, даже если вы не объявите новые разделяемые
объекты, конфигурация, установленная по умолчанию, позволит вам использовать сервер Samba для решения многих практических задач. (Имя рабочей группы вам придется задать самостоятельно и, вероятнее всего, вам необходимо будет определить политику шифрования паролей.)
Настраивая сервер Samba, вы можете описывать как угодно много разделяемых объектов, но очевидно, что определять несколько объектов [homes] не имеет смысла. Кроме того, если вы обнаружите, что некоторый параметр присутствует в описаниях всех разделяемых объектов, целесообразно перенести его в раздел [global]. Если вы сделаете это, значение параметра будет использоваться по умолчанию для всех объектов.
Поддержка имен файлов Windows
В системах Linux и Windows действуют разные соглашения по именованию файлов. Если в вашей сети, кроме Windows, присутствуют также клиенты DOS, то при настройке Samba следует учесть, что правила именования DOS-файлов отличаются от правил, принятых не только в Windows. Таким образом, при работе в сети с компьютерами Windows и DOS сервер Samba должен решить сложную задачу: представить файловую систему Linux в формате, совместимом с файловыми системами DOS и Windows.
Одно из самых важных отличий файловой системы Linux от системы Windows состоит в том, что имена файлов Linux чувствительны к регистру символов, т.е. имена FILE.TXT, file.txt и File.txt идентифицируют различные файлы; при помещении их в один каталог конфликт не возникает. Это также означает, что при вводе имени файла пользователь должен следить за тем, чтобы были заданы символы требуемого регистра. В отличие от Linux, Windows хранит сведения о регистре, но не учитывает их при сравнении имен файлов, поэтому два файла с именами, отличающимися только регистром символов, не могут существовать в одном и том же каталоге. Файловая система DOS нечувствительна к регистру символов; если даже пользователь задал имя файла буквами нижнего регистра, система преобразует их в прописные буквы.
