Настройка samba

Опубликовано nekit - ср, 23/03/2011 - 17:55
Понадобилось мне сделать домашнее хранилище для музыки, фильмов и всякой разнородной инфы. Итак, на сегодня задача следующая - настроить самбу, сделать шары и авторизацию пользователей. Настройка будет проводиться на ОС FreeBSD :). Версия FreeBSD у меня следующая:
  1. # uname -a
  2. FreeBSD srv-home 6.4-RELEASE-p7 FreeBSD 6.4-RELEASE-p7 #0: Sat Oct  3 20:59:38 YEKST 2009 root@home.ru:/usr/obj/usr/src/sys/HAUNTED  i386
Идем в порты (обновляем их если нужно) и ставим самбу:
  1. # cd /usr/ports/net/samba32
  2. # make install clean
Я выбрал следующие опции:
  • CUPS
  • WINBIND
  • ACL_SUPPORT
  • QUOTAS
  • UTMP
  • POPT
После установки правим конфиг /usr/local/etc/smb.conf. У меня получился такой:
  1. #======================= Global Settings =====================================
  2. [global]
  3.    # Имя рабочей группы
  4.    workgroup = HOME
  5.    # Имя сервера в сети
  6.    server string = Documents
  7.    # NetBIOS имя
  8.    netbios name = srv-home
  9.  
  10.    # Режим работы самбы. Возможные значения - share, user, server, domain и ads.
  11.    # Многим пользователям обычно хватает режима - user
  12.    security = user
  13.    # Подсети, которым разрешен доступ к самбе
  14.    hosts allow = 192.168.7. 127.
  15.    # Загружать принтеры? Мне принтеры не нужны, я выключил эту опцию
  16.    load printers = no
  17.    printing = bsd
  18.    #guest account = nobody
  19.    # Путь к лог файлу. Я все отправляю в /dev/null, так samba работает чуток быстрее. Но для отладки логи нужны.
  20.    #log file = /var/log/samba/log.%m
  21.    log file = /dev/null
  22.    log level = 0
  23.    max log size = 50
  24.    # Шифровать пароли
  25.    encrypt passwords = yes
  26.  
  27.    # Определяем в каком хранилище будут хранится пароли
  28.    passdb backend = tdbsam
  29.  
  30.    include = /usr/local/etc/smb.conf.%m
  31.    
  32.    # Оптимизация работы самбы, чуток добавляет скорости
  33.    max xmit = 65535
  34.    socket options = TCP_NODELAY SO_SNDBUF=32768 SO_RCVBUF=32768 SO_KEEPALIVE
  35.  
  36.    # Интерфейс, на котором будет работать самба
  37.    interfaces = 192.168.7.250/24
  38.  
  39.    local master = yes
  40.    domain master = yes
  41.    preferred master = yes
  42.  
  43.    # Уровень ОС
  44.    os level = 65
  45.  
  46.    # Разрешить netlogons?
  47.    domain logons = no
  48.    # Включить поддержку wins
  49.    wins support = yes
  50.    # Включить сервер времени
  51.    time server = yes
  52.  
  53.    # Кодировка, в которой будут выводиться сообщения самбы в stdout и stderr
  54.    display charset = cp866
  55.    # Системная кодировка
  56.    unix charset = koi8-r
  57.    # Кодировка для DOS клиентов
  58.    dos charset = cp866
  59.  
  60.    # Чувствительность к регистру
  61.    case sensitive = no
  62.  
  63.    # Читать DOS атрибуты первыми?
  64.    #store dos attributes = yes
  65.  
  66.     # Эти скрипты используются контроллером домена для работы с машинами, пользователями и группами
  67.     #add machine script = /usr/local/bin/ldapaddmachine '%u' computers
  68.     #add user script = /usr/local/bin/ldapadduser '%u' people
  69.     #add group script = /usr/local/bin/ldapaddgroup '%g'
  70.     #add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
  71.     #delete user script = /usr/local/bin/ldapdeleteuser '%u'
  72.     #delete group script = /usr/local/bin/ldapdeletegroup '%g'
  73.     #delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
  74.     #set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
  75.     #rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew'
  76.  
  77. #============================ Share Definitions ==============================
  78. [homes]
  79.    comment = Home Directories
  80.    browseable = no
  81.    writable = yes
  82.  
  83. # NOTE: If you have a BSD-style print system there is no need to
  84. # specifically define each individual printer
  85. [printers]
  86.    comment = All Printers
  87.    path = /var/spool/samba
  88.    browseable = no
  89. # Set public = yes to allow user 'guest account' to print
  90.    guest ok = no
  91.    writable = no
  92.    printable = yes
  93.  
  94. [Video]
  95.    comment = Video
  96.    path = /mnt/media/samba/video
  97.    browseable = yes
  98.    public = no
  99.    writable = yes
  100.    force user = smb_user
  101.    force group = smb_read
  102.    valid users = @smb_read, @smb_write
  103.    write list = @smb_write
  104.    read list = @smb_read
  105.  
  106. [Music]
  107.    comment = Music
  108.    path = /mnt/media/samba/music
  109.    browseable = yes
  110.    public = no
  111.    writable = yes
  112.    force user = smb_user
  113.    force group = smb_read
  114.    valid users = @smb_read, @smb_write
  115.    write list = @smb_write
  116.    read list = @smb_read
  117.  
  118. [Distrib]
  119.    comment = Distrib
  120.    path = /mnt/media/samba/distrib
  121.    browseable = yes
  122.    public = no
  123.    writable = yes
  124.    force user = smb_user
  125.    force group = smb_read
  126.    valid users = @smb_read, @smb_write
  127.    write list = @smb_write
  128.    read list = @smb_read
  129.  
  130. [Wallpapers]
  131.    comment = Wallpapers
  132.    path = /mnt/media/samba/wallpapers
  133.    browseable = yes
  134.    public = no
  135.    writable = yes
  136.    force user = smb_user
  137.    force group = smb_read
  138.    valid users = @smb_read, @smb_write
  139.    write list = @smb_write
  140.    read list = @smb_read
Некоторые пояснения к конфигу:
  • force user - это пользователь, под которым samba будет записывать данные в шары
  • force group - тоже самое, только для группы
  • valid users - пользователи и/или группы, которым разрешен доступ
  • write list - пользователи и/или группы, которым разрешена запись в папку
  • read list - пользователи и/или группы, которым разрешено чтение
В строках, где значение параметра начинается с @, это значит, что это правило применяется не к одному пользователю, а к группе. Так же нужно создать сами папки и дать нужные права на них:
  1. # mkdir /mnt/media/samba/video
  2. # mkdir /mnt/media/samba/music
  3. # mkdir /mnt/media/samba/distrib
  4. # mkdir /mnt/media/samba/wallpapers
  5.  
  6. # chown smb_user:smb_write /mnt/media/samba/*
  7. # chmod 750 /mnt/media/samba/*
Когда все готово, то можно добавить самбу в автозагрузку и запустить ее.
  1. # echo 'smbd_enable="YES"' >> /etc/rc.conf
  2. # echo 'nmbd_enable="YES"' >> /etc/rc.conf
  3. # /usr/local/etc/rc.d/samba start
Проверяем работоспособность
  1. # sockstat | grep -E "smbd|nmbd"
В итоге должны получить что-то подобное:
  1. root     smbd       967   20 tcp4   *:445                 *:*
  2. root     smbd       967   21 tcp4   *:139                 *:*
  3. root     nmbd       962   9  udp4   *:137                 *:*
  4. root     nmbd       962   10 udp4   *:138                 *:*
Как видно все работает. Можно пользоваться :)
Обсуждение статьи
ссылка на тему в форуме

пт, 28/08/2020 - 12:07

Да, это я понял.Получается, на все расшаренные папки сначала ставим владельца @smb_write, а потом то, что создается через самбу - имеет владельца @smb_read, так?

Я вот и пытаюсь понять - зачем? Что это дает? Почему не делается Force group - @smb_write ?

Спасибо.

 

PS. Ваша Капча - просто космос. =) 

 

пт, 28/08/2020 - 21:42

Да, это я понял.Получается, на все расшаренные папки сначала ставим владельца @smb_write, а потом то, что создается через самбу - имеет владельца @smb_read, так?

Не совсем так. Раньше идея была в том, чтобы файлы шар на сервере принадлежали отдельному пользователю (думалось, что так безопаснее). То есть все файлы и директории имели владельца smb_user:smb_read. Этот пользователь и группа создавались руками и никак не использовались для авторизации на сервере.. Сейчас я от этого ушел, и везде ставлю root:wheel.
Сами же пользователи - создаются на сервере и включаются в группу smb_read, чтобы они имели право доступа к шаре (задано в директивах - valid users и read list). Если же нужно разрешить пользователю запись, то на сервере этот пользователь включался в группу smb_write (директива - write list).

Я вот и пытаюсь понять - зачем? Что это дает? Почему не делается Force group - @smb_write ?

Такая запись директивы не корректна. Здесь нужно указывать конкретного пользователя, который будет владельцем файлов.
В настоящее время настройки шар у меня выглядят так (может понятнее будет):

[Video]
comment = Video
path = /mnt/media/samba/video
browseable = yes
public = no
writable = yes
force create mode = 0644
force directory mode = 0755
create mask = 0644
directory mask = 0755
force user = root
force group = wheel
valid users = @smb_video_read, @smb_video_write
write list = @smb_video_write
read list = @smb_video_read

[Music]
comment = Music
path = /mnt/media/samba/music
browseable = yes
public = no
writable = yes
force create mode = 0644
force directory mode = 0755
create mask = 0644
directory mask = 0755
force user = root
force group = wheel
valid users = @smb_music_read, @smb_music_write
write list = @smb_music_write
read list = @smb_music_read

В данном случае, чтобы юзер имел доступ к этим шарам, его нужно добавить в группу smb_video_read или smb_music_read, либо в обе для доступа к обоим шарам. Для записи пользователь добавляется в соответствующие группы.

# id vasya
uid=1003(vasya) gid=1003(vasya) groups=1003(vasya),10003(smb_music_read),10005(smb_video_read),10010(smb_video_write)

PS. Ваша Капча - просто космос. =)

Неужели вопросы сложные ))).

Добавить комментарий

О текстовых форматах
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.