Escolar Documentos
Profissional Documentos
Cultura Documentos
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.1 Introduo
O SAMBA um servidor e conjunto de ferramentas que permite que mquinas Linux e Windows se comuniquem entre si, compartilhando servios (arquivos, diretrio, impresso) atravs do protocolo SMB (Server Message Block)/CIFS (Common Internet File System), equivalentes a implementao NetBEUI no Windows. O SAMBA uma das solues em ambiente UNIX capaz de interligar redes heterognea. Na lgica da rede Windows o NetBEUI o protocolo e o NETBIOS define a forma com que os dados so transportados. No correto dizer que o NetBIOS o protocolo, como muitos fazem. Com o SAMBA, possvel construir domnios completos, fazer controle de acesso a nvel de usurio, compartilhamento, montar um servidor WINS, servidor de domnio, impresso, etc. Na maioria dos casos o controle de acesso e exibio de diretrios no samba mais minucioso e personalizvel que no prprio Windows. O guia Foca GNU/Linux documentar como instalar e ter as mquinas Windows de diferentes verses (Win3.11, Win95, Win95OSR/2, Win98, XP, WinNT, W2K) acessando e comunicando-se entre si em uma rede NetBEUI. Estas explicaes lhe podero ser indispensveis para solucionar problemas, at mesmo se voc for um tcnico especialista em redes Windows e no tem ainda planos de implementar um servidor SAMBA em sua rede.
1 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.1.2 Histria
Andrew Tridgell - Desenvolveu o samba porque precisava montar um volume Unix em sua mquina DOS. Inicialmente ele utilizava o NFS, mas um aplicativo precisava de suporte NetBIOS. Andrew ento utilizou um mtodo muito avanado usado por administradores para detectar problemas: escreveu um sniffer de pacotes que atendesse aos requerimentos para ter uma nica funo: analisar e auxilia-lo a interpretar todo o trfego NetBIOS da rede. Ele escreveu o primeiro cdigo que fez o servidor Unix aparecer como um servidor de arquivos Windows para sua mquina DOS que foi publicado mais ou menos em meados de 1992 quando tambm comeou a receber patches. Satisfeito com o funcionamento de seu trabalho, deixou seu trabalho de lado por quase 2 anos. Um dia, ele resolveu testar a mquina Windows de sua esposa com sua mquina Linux, e ficou maravilhado com o funcionamento do programa que criou e veio a descobrir que o protocolo era documentado e resolveu levar este trabalho a fundo melhorando e implementando novas funes. O SAMBA atualmente um servidor fundamental para a migrao de pequenos grupos de trabalho grandes domnios com clientes mixtos. Nenhum servidor de rede NetBEUI conhecido proporciona tanta flexibilidade de acesso a clientes como o SAMBA para compartilhamento de arquivos/impresso em rede. As funes de segurana que foram adicionadas ao SAMBA hoje garantem um controle mais rigoroso que a prpria implementao usada no Windows NT, incluindo o servios de diretrios, mapeamento entre IDs de usurios Windows com Linux, PDC, perfis mveis e uma coisa que inclusive apresenta problemas no Windows: compatibilidade total entre as diferentes implementaes de verses do Windows. Sua configurao pode receber ajustes finos pelo administrador nos soquetes TCP de transmisso, recepo, cache por compartilhamento, configuraes fsicas que afetam a performance de rede. Seu cdigo vem sendo melhorado constantemente por hackers, obtendo excelente performance com hardwares mais obsoletos. O guia tem por objetivo abordar estes temas e permitir que voc configure seu sistema com uma performance batendo a mesma alcanada em um servidor NT dedicado.
3.1.3 Contribuindo
Para contribuir com o desenvolvimento do samba, veja os detalhes na pgina: http://us1.samba.org/samba/devel/ Caso encontre um bug no programa, ele poder ser relatado se inscrevendo na lista de discusso samba-technical-request@lists.samba.org. Aps responder a mensagem de confirmao, envie um relato detalhado do problema encontrado no programa.
3.1.4 Caractersticas
Segue abaixo algumas funcionalidades importantes de aplicaes do samba e seu conjunto de ferramentas:
2 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Compartilhamento de arquivos entre mquinas Windows e Linux ou de mquinas Linux (sendo o servidor SAMBA) com outro SO que tenha um cliente NetBEUI (Macintosh, OS/2, LanManager, etc). Montar um servidor de compartilhamento de impresso no Linux que receber a impresso de outras mquinas Windows da rede. Controle de acesso aos recursos compartilhados no servidor atravs de diversos mtodos (compartilhamento, usurio, domnio, servidor). Controle de acesso leitura/gravao por compartilhamento. Controle de acesso de leitura/gravao por usurio autenticado. Possibilidade de definir contas de "Convidados", que podem se conectar sem fornecer senha. Possibilidade de uso do banco de dados de senha do sistema (/etc/passwd), autenticao usando o arquivo de dados criptografados do samba, LDAP, PAM, etc. Controle de cache e opes de tunning por compartilhamento. Permite ocultar o contedo de determinados diretrios que no quer que sejam exibidos ao usurio de forma fcil. Possui configurao bastante flexvel com relao ao mapeamento de nomes DOS => UNIX e vice versa, pgina de cdigo, acentuao, etc. Permite o uso de aliases na rede para identificar uma mquina com outro nome e simular uma rede NetBIOS virtual. O samba possibilita ajuste fino nas configuraes de transmisso e recepo dos pacotes TCP/IP, como forma de garantir a melhor performance possvel de acordo com suas instalaes. Permite o uso do gerenciador de mensagem do Linux (Linpopup) para a troca de mensagens com estaes Windows via NetBios. Com a flexibilidade do samba possvel at redirecionar a mensagem recebida via e-mail ou pager. Possui suporte completo a servidor WINS (tambm chamado de NBNS - NetBios Name Service) de rede. A configurao bastante fcil. Faz auditoria tanto dos acessos a pesquisa de nomes na rede como acesso a compartilhamentos. Entre os detalhes salvos esto a data de acesso, IP de origem, etc. Suporte completo a controlador de domnio Windows (PDC). Suporte quase completo a backup do controlador de domnio (BDC). At a verso 2.2 do samba, o suporte a BDC parcial. Este cdigo provavelmente estar estvel at a verso 3.0. Permite montar unidades mapeadas de sistemas Windows ou outros servidores Linux como um diretrio no Linux. Permite a configurao de recursos simples atravs de programas de configurao grficos, tanto via sistema, como via web. Permite executar comandos no acesso ao compartilhamento ou quando o acesso ao compartilhamento finalizado. Com um pouco de conhecimento e habilidade de administrao de sistemas Linux, possvel criar ambientes de auditoria e monitorao at monitorao de acesso a compartilhamento em tempo real. Entre outras possibilidades.
3 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
smbclient - Ferramenta para navegao e gerenciamento de arquivos, diretrios e impressoras compartilhados por servidores Windows ou samba. smbfs - Pacote que possui ferramentas para o mapeamento de arquivos e diretrios compartilhados por servidores Windows ou samba em um diretrio
local.
winbind - Daemon que resolve nomes de usurios e grupo atravs de um servidor NT/SAMBA e mapeia os UIDs/GIDs deste servidor como usurios
locais.
3.1.8 Instalao
Digite apt-get install samba smbclient smbfs para instalar o conjunto de aplicativos samba. O pacote samba o servidor samba e os pacotes smbclient e smbfs fazem parte dos aplicativos cliente. Caso deseje apenas mapear compartilhamentos remotos na mquina Linux, instale somente os 2 ltimos pacotes.
4 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Para reiniciar o samba digite killall -HUP nmbd. No necessrio reiniciar o servio smbd, conforme foi explicado acima. daemon Quando opera no modo daemon, ambos os daemons nmbd e smbd so carregados. No caso de um acesso a compartilhamento, criado um processo filho do smbd que finalizado assim que o compartilhamento no for mais usado. Para iniciar o samba em modo daemon digite: /etc/init.d/samba start, para interromper o samba: /etc/init.d/samba stop e para reiniciar: /etc/init.d/samba restart. Se desejar mudar do modo daemon para inetd ou vice versa, edite o arquivo /etc/default/samba e modifique o valor da linha RUN_MODE= para daemons ou inetd. Uma forma de fazer isso automaticamente executando o dpkg-reconfigure samba. OBS: Como praticamente no existe diferena entre os modos de operao inetd e daemon para o SAMBA, aconselhvel que execute sempre que possvel via inetd, pois isto garantir uma disponibilidade maior do servio caso algo acontea com um dos processos.
5 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
A segurana no acesso a arquivos e diretrios na configurao de grupo de trabalho controlada pela prpria mquina, normalmente usando segurana a nvel de compartilhamento. Esta segurana funciona definindo um usurio/senha para acessar cada compartilhamento que a mquina possui. O Lan Manager, Windows for Workgroups, Windows 95, Windows 98, XP Home Edition usam este nvel de acesso por padro. Se deseja configurar uma rede usando o nvel de grupo de trabalho, veja Configurao em Grupo de Trabalho, Seo 3.4 pora detalhes passo a passo e exemplos prticos. Os programas para navegao na rede NetBIOS so mostraods em smbclient, Seo 3.14.2.9.2, nmblookup, Seo 3.14.2.9.3 e Programas de navegao grficos, Seo 3.14.5.
6 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.2.3 Domnio
O funcionamento semelhante ao grupo de trabalho, com a diferena que a segurana controlada pela mquina central (PDC) usando diretivas de acesso e grupos. O PDC (Primary Domain Controller) dever ter todas as contas de acesso que sero utilizadas pelo usurio para acessar os recursos existentes em outras mquinas, script de logon que poder ser executado em cada mquina para fazer ajustes, sincronismo, manuteno ou qualquer outra tarefa programada pelo administrador do sistema. Estas caractersticas para configurao de mquinas em domnio so documentadas passo a passo em Uma breve introduo a um Domnio de rede, Seo 3.7.1.
3.2.4 Compartilhamento
Um compartilhamento um recurso da mquina local que disponibilizado para acesso via rede, que poder ser mapeada (veja Mapeamento, Seo 3.2.5) por outra mquina. O compartilhamento pode ser um diretrio, arquivo, impressora. Alm de permitir o acesso do usurio, o compartilhamento pode ser protegido por senha, e ter controle de acesso de leitura/gravao, monitorao de acessos, diretrios ocultos, autenticao via PDC (domnio) e outras formas para restringir e garantir segurana na disponibilizao dos dados (veja Controle de acesso ao servidor SAMBA, Seo 3.12 para aprender os mtodos de como fazer isto). Um compartilhamento no SAMBA pode ser acessvel publicamente (sem senha) ou estar rigidamente protegido tendo que passar por diversas barreiras para chegar ao seu contedo, como senhas, endereo de origem, interfaces, usurio sautorizados, permisses de visualizao, etc. O guia Foca Linux abordar estes assuntos com detalhes e explicar didaticamente como tornar seguro seu servidor samba e garantir um minucioso controle de acesso a seus compartilhamentos.
3.2.5 Mapeamento
Mapear significa pegar um diretrio/arquivo/impressora compartilhado por alguma mquina da rede para ser acessada pela mquina local. Para mapear algum recurso de rede, necessrio que ele seja compartilhado na outra mquina (veja Compartilhamento, Seo 3.2.4). Por exemplo, o diretrio /usr compartilhado com o nome usr, pode ser mapeado por uma mquina Windows como a unidade F:, ou mapeado por uma mquina Linux no diretrio /mnt/samba. O programa responsvel por mapear unidades compartilhadas no Linux o smbmount e smbclient (veja Linux, Seo 3.14.2.9).
7 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Define configuraes que afetam o servidor samba como um todo, fazendo efeito em todos os compartilhamentos existentes na mquina. Por exemplo, o grupo de trabalho, nome do servidor, pgina de cdigo, restries de acesso por nome, etc. Veja Seo [global], Seo 3.2.8.
[homes]
Especifica opes de acesso a diretrios homes de usurios. O diretrio home disponibilizado somente para seu dono, aps se autenticar no sistema. Veja Seo [homes], Seo 3.2.9.
[printers]
Define opes gerais para controle das impressoras do sistema. Este compartilhamento mapeia os nomes de todas as impressoras encontradas no /etc/printcap. Configuraes especiais podem ser feitas separadamente. Veja Seo [printers], Seo 3.2.10.
[profile]
Define um perfil quando o servidor samba usado como PDC de domnio. Veja Configurando perfis de usurios, Seo 3.7.8. Qualquer outro nome de [seo] no arquivo smb.conf que no sejam as acima, so tratadas como um compartilhamento ou impressora.
8 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Um parmetro definido no formato nome = valor. Para um exemplo prtico, veja um exemplo de arquivo smb.conf em Exemplos de configurao do servidor SAMBA, Seo 3.15. Na configurao de booleanos, a seguinte sintaxe pode ser usada:
0 ou 1 yes ou no true ou false
Todos significam "NO ser o navegador principal de domnio". A escolha fica a gosto do administrador. Durante a configurao, voc notar o poder da flexibilidade oferecida pelo samba na configurao de um servidor SMB :-) Linhas iniciadas por # ou ; so tratadas como comentrio. Quebras de linha pode ser especificadas com uma \ no final da linha.
3.2.8.1 Nomes e grupos de trabalho netbios name = [nome do servidor] Especifica o nome NetBIOS primrio do servidor samba. Caso no seja ajustado, ele usar o hostname de sua mquina como valor padro. Ex.: netbios name = focasamba.
9 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
workgroup = [grupo de trabalho/domnio] Diz qual o nome do grupo de trabalho/domnio que a mquina samba pertencer. Ex.: workgroup = focalinux. netbios aliases = [nomes alternativos ao sistema] Permite o uso de nomes alternativos ao servidor, separados por espaos. Ex.: teste1 teste2. server string = [identificaao] Identificao enviada do servidor samba para o ambiente de rede. A string padro Samba %v (%v substituda pela verso do samba, para maiores detalhes, veja Variveis de substituio, Seo 3.2.13). Ex: server string = Servidor Samba verso %v. name resolve order = [ordem] Define a ordem de pesquisa para a resoluo de nomes no samba. A ordem padro : lmhosts host wins bcast, que a melhor para resoluo rpida e que tente gerar menos trfego broadcast possvel. Veja Resoluo de nomes de mquinas no samba, Seo 3.5 para uma explicao mais detalhada.
3.2.8.2 Caracteres e pgina de cdigo Uma das partes essenciais aps colocar o SAMBA em funcionamento, configurar a pgina de cdigo para que os caracteres sejam gravados e exibidos corretamente no cliente. A primeira coisa que precisa verificar se seu kernel possui o suporte a pgina de cdigo local. Caso no tenha, baixe o fonte do kernel e siga os seguintes passos na configurao: Dentro da opo "File Systems", "Network File Systems" defina como "Default Remote NLS Option" a iso8859-1. Esta opo permite ao smbmount montar os volumes locais usando os caracteres corretos. Entre na opo "File Systems", "Native Language Support". Na opo "Default NLS Option" coloque "iso8859-1". Ative tambm o suporte as pginas de cdigo 437, 850 e 860 e tambm ao conjunto de caracteres iso8859-1 e UTF8. Note que esta ordem pode variar dependendo da verso do seu kernel, basta que as entenda para fazer as modificaes apropriadas. character set = [conjunto_caracteres] Seleciona o conjunto de caracteres dos arquivos exibidos pelo servidor samba. Para os idiomas de lingua latina, sempre utilize iso8859-1.
10 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Ex.: character set = iso8859-1. client code page = [pagina_de_codigo] Seleciona a pgina de cdigo do servidor samba para tratar os caracteres. Para os idiomas de lingua latina, sempre utilize 850. Ex.: client code page = 850. preserve case = Seleciona se arquivos com nomes extensos criados sero criados com os caracteres em maisculas/minsculas definidos pelo cliente (no) ou se ser usado o valor de default case (caso seja especificado yes). short preserve case = Seleciona se os arquivos com nomes curtos (formato 8.3) sero criados com os caracteres mixtos enviados pelo cliente (no) ou se ser usando o valor de default case (caso seja especificado yes). default case = [lower/upper] Define se os arquivos criados tero seus nomes todos em minsculas (lower) ou maisculas (upper). valid chars = [caracteres] Define caracteres vlidos nos nomes de arquivos: valid chars =: : : : : : : : : : : :. Este parmetro DEVER ser sempre especificado depois do client code page, pois caso contrrio, eles sero substitudos por estes.
Define a conta local de usurio que ser mapeada quando um usurio se conectar sem senha (usurio guest). Veja mais detalhes em Descrio de parmetros usados em compartilhamento, Seo 3.3.1.
invalid users
Define uma lista de usurios que no tero acesso aos recursos do servidor ou compartilhamento. seguro restringir o acesso samba a usurios com grande poder no sistema (como o root). Veja mais detalhes em Restringindo o acesso por usurios, Seo 3.12.4.
valid users
Semelhante a opo invalid users mas permite que somente os usurios especificados tenham acesso ao sistema. Veja mais detalhes em Restringindo o acesso por usurios, Seo 3.12.4.
default service = nome
Caso o servio que o usurio deseja se conectar no for encontrado no servidor, o SAMBA mapear o servio especificado nesta diretiva como alternativa. A varivel "%S" e o caracter "_" podem ser interessantes em algumas alternativas de configurao. A opo default um sinnimo para esta opo. Caso utilize esta opo, crie o compartilhamento em modo somente leitura e com acesso pblico, caso contrrio (dependendo do planejamento de parties e segurana do sistema de arquivos) a mquina poder ser derrubada sem dificuldades.
username map = [arquivo]
11 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Especifica um arquivo que faz o mapeamento entre nomes fornecidos por clientes e nomes de contas Unix locais. Veja Mapeamento de nomes de usurios, Seo 3.12.16 para mais detalhes de como configurar este recurso. obey pam restrictions = yes Indica se as restries do usurio nos mdulos PAM tero efeito tambm no SAMBA.
3.2.8.4 Nveis de autenticao (esta seo contm algumas explicaes que dependem do resto do contedo do guia, caso no entenda de imediato a fundo as explicaes, recomendo que a leia novamente mais tarde). Define o nvel de segurana do servidor. Os seguintes valores so vlidos: share - Usada principalmente quando apenas a senha enviada por compartilhamento acessado para o servidor, caso muito tpico em sistemas Lan Manager e Windows for Workgroups. Mesmo assim o samba tenta mapear para um UID de usurio local do sistema usando os seguintes mtodos (retirado da pgina de manual do samba): 1. Se o parmetro guest only usado no compartilhamento junto com o guest ok, o acesso imediatamente permitido, sem verificar inclusive a senha. 2. Caso um nome de usurio seja enviado junto com a senha, ele utilizado para mapear o UID e aplicar as permisses deste usurio (como acontece no nvel de segurana user ). 3. Se ele usou um nome para fazer o logon no Windows este nome ser usado como usurio local do SAMBA. Caso ele seja diferente, voc dever usar o mapeamento de nomes para associar o nome remoto do nome local (veja Mapeamento de nomes de usurios, Seo 3.12.16) 4. O nome do servio tentado como nome de usurio. 5. O nome da mquina NetBios tentada como nome de usurio 6. Os usurios especificados na opo user do compartilhamentos so utilizados (veja Descrio de parmetros usados em compartilhamento, Seo 3.3.1). 7. Caso nenhum destes mtodos acima for satisfeito, o acesso NEGADO. Hoje em dia, o uso do nvel de acesso share raramente usado, porque todos os sistemas a partir do Windows 95 e acima enviam o nome de usurio ao acessar um compartilhamento (caindo na segunda checagem do nvel share), sendo equivalente a usar o nvel user . Entretanto, o nvel de segurana share recomendado para servidores onde TODO o contedo deve ter acesso pblico (seja leitura ou gravao) e o parmetro guest shares tambm funciona nativamente. As senhas criptografadas (encrypt passwords = 1) NO funcionaro no nvel share, lembre-se deste detalhe.
12 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
user - Este o padro. O usurio precisa ter uma conta de usurio no Linux para acessar seus compartilhamentos. A mesma conta de usurio/senha dever ser usada no Windows para acessar seus recursos ou realizado um mapeamento de nomes de usurios (veja Mapeamento
de nomes de usurios, Seo 3.12.16). Este o padro do SAMBA. No nvel de acesso user o usurio precisa ser autenticado de qualquer forma, inclusive se for usado o parmetro guest only ou user. Os seguintes passos so usados para autorizar uma conexo usando o nvel user (retirado da documentao do SAMBA): tentada a validao usando o nome/senha passados pelo cliente. Se tudo estiver OK, a conexo permitida. Caso j tenha se autenticado anteriormente para acessar o recurso e forneceu a senha correta, o acesso permitido. O nome NetBIOS da mquina do cliente e qualquer nome de usurio que foi usado novamente tentado junto com a senha para tentar permitir o acesso ao recurso compartilhado. Caso o cliente tenha validado o nome/senha com o servidor e o cliente enviou novamente o token de validao, este nome de usurio usado. tentada a checagem com o parmetro user no compartilhamento (veja Descrio de parmetros usados em compartilhamento, Seo 3.3.1. verificado se o servio pblico, ento a conexo feita usando o usurio guest account e ignorando a senha (veja Criando um compartilhamento para acesso sem senha, Seo 3.12.7). domain - Neste nvel, o acesso s ser permitido quando a mquina for adicionada ao domnio com o smbpasswd (Linux, Seo 3.14.3.9). Neste nvel de acesso, a conta de usurio ser validada em um servidor PDC (controlador de domnio) e o acesso aos recursos das mquinas que fazem parte do domnio ser feito a partir do PDC. Veja Linux, Seo 3.14.3.9 para detalhes. server - A mquina samba tentara autenticar o usurio em outro servidor NT (ou samba). No caso da autenticao falhar, ser usado o nvel de acesso user na base de usurios local (ser necessrio o arquivo de senhas criptografado do samba para que a autenticao local funcione, veja Ativando o suporte a senhas criptografadas, Seo 3.8). Este nvel bastante usado quando configuramos um servidor de perfis de usurios ou logon separado do PDC.
3.2.8.5 Log de acessos/servios log file= [arquivo] Define a localizao e nome do arquivo de log gerado pelo samba. As variveis de expanso podem ser usadas caso o administrador queira ter um melhor controle dos logs gerados (veja Variveis de substituio, Seo 3.2.13). Ex.: /var/log/samba/samba-log-%m. max log size = [tamanho] Especifica o tamanho mximo em Kb do arquivo de log gerado pelo samba. O valor padro 5000Kb (5MB). debug pid = [valor] Este processo adiciona a pid aos logs gerados pelo processo smbd Isto til para depurao caso existam mltiplos processos rodando. O valor padro no e a opo debug timestamp deve ser yes para esta opo ter efeito.
13 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
debug timestamp = [valor] Ativa ou desativa a gravao de data/hora nos arquivos de log gerados pelo samba. O valor padro yes. debug level = [valor] Aumenta o nvel de depurao dos daemons do SAMBA de 0 a 9. Um nvel de depurao interessante e que produz uma quantidade razovel de dados para configurao de um logrotate s para o SAMBA o 2, produzindo a lista de todos os compartilhamentos acessados, quem acessou, data/hora (dependendo das outras opes de depurao). Isto permite ao administrador saber exatamente o que est sendo acessado e por quem, quais as tentativas de acesso. Assim ter certeza que o contedo no est sendo acessado indevidamente. O nvel de depurao 0 o padro. debug uid = [valor] Este parmetro inclui o euid, egid, uid, gid nos arquivos de log. O valor padro no. lock directory = [diretrio] Define onde sero gravados os arquivos de lock gerados pelo samba.
3.2.8.6 Navegao no servidor/tipo de servidor os level=[num] Especifica o nvel do sistema operacional. Este nmero usado para as eleies netbios para definir o navegador de grupo local e controlador de domnio (veja Nveis de sistema para eleio de rede, Seo 3.2.12 para detalhes). O valor pode ser de 0 a 255, o padro 32. announce as = [sistema] Selecione o nome que o samba (nmbd) se anunciar na lista de pesquisa de rede. Os seguintes nomes podem ser usados: NT Server (ou NT) - Anuncia como Windows NT Server . Este o padro. NT Workstation - Anuncia-se como um NT Workstation. Win95 ou WfW - Anuncia-se na rede como uma estao Windows 9x, Windows for Workgroups, Windows NT Server e Windows NT Workstation de uma s vez. domain master = [valor] Diz se o servidor tentar se tornar o navegador principal de domnio. Os valores que podem ser especificados so: yes, no e auto. O valor padro auto. Veja Domain Master Browser, Seo 3.7.3. local master = [valor] Diz se o servidor participar ou no das eleies para navegador local do grupo de trabalho (workgroup). Os valores que podem ser especificados so: yes, no. O valor padro yes. Para vencer a eleio, o samba precisa ter o valor de os level maior que os demais. Note tambm que o Windows NT no aceita perder as eleies e convoca uma nova eleio caso ele perca. Como esta eleio feita via broadcasting, isso gera um trfego grande na rede. Desta forma, se tiver um computador NT na rede configure este valor para "no". Veja Local Master Browser, Seo 3.7.2. preferred master = [valor] Diz se o servidor samba ter ou no vantagens de ganhar uma eleio local. Se estiver configurado para "yes", o servidor samba pedir uma eleio e
14 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
ter vantagens para ganha-la. O servidor poder se tornar garantidamente o navegador principal do domnio se esta opo for usada em conjunto com domain master = 1. Os valores especificados podem ser yes, no e auto, o padro auto. Antes de ajustar este valor para yes, verifique se existem outros servidores NetBIOS em sua rede que tem preferncia para se tornar o master principal, pois poder ocorrer um trfego alto de broadcasting causado pelas eleies solicitadas pelas outras mquinas.
Inclui um outro arquivo de configurao na poro atual do arquivo de configurao. Voc pode utilizar variveis de substituio, exceto %u, %P e %S (veja Variveis de substituio, Seo 3.2.13).
Voc apenas ter o trabalho extra de criar os diretrios de usurios que faro acesso ao sistema. Isto no ser nenhum problema aps voc programar um shell script simples que verifique os nomes de contas em /etc/passwd e crie os diretrios com as permisses/grupos adequados (isso no ser abordado por este captulo do guia, embora no seja complicado). Se deseja, existem exemplos em Exemplos de configurao do servidor SAMBA, Seo 3.15 sobre a seo [homes] no arquivo de configurao. Os parmetros aceitos em [homes] aqui so os mesmos usados para compartilhamentos normais (veja Descrio de parmetros usados em compartilhamento, Seo 3.3.1). Abaixo segue mais um exemplo de seo [homes]:
15 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
[homes] comment = Diretrio home de usurios writable = yes public = no invalid users = root nobody @adm follow symlinks = no create mode = 0640 directory mode = 0750
A explicao de cada um dos parmetros podem ser encontradas em Descrio de parmetros usados em compartilhamento, Seo 3.3.1. O guia est com os parmetros bem organizados em sees especficas, apenas de uma olhada para entender com o captulo do SAMBA foi organizado e no ter dificuldades de se localizar. OBS1:Caso nenhum caminho de compartilhamento seja utilizado, o diretrio home do usurio ser compartilhado. OBS2:No utilize o parmetro public yes na seo guest, caso contrrio todos os diretrios de usurios sero lidos por todos. Veja Consideraes de segurana com o uso do parmetro "public = yes", Seo 3.12.14 para maiores detalhes.
16 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Para usar o testparm s digitar testparm. Logo aps executa-lo, analise se existem erros nas sees de configurao e te pedir para pressionar <ENTER> para ver um dump do arquivo:
Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[tmp]" Processing section "[cdrom]" Loaded services file OK. Press enter to see a dump of your service definitions
A sada acima indica que est tudo OK com todas as configuraes que foram realizadas no servidor. possvel especificar um outro arquivo de configurao do SAMBA usando testparm /etc/samba/smb2.conf. Tambm permitido simular o nome NetBIOS que far acesso a mquina usando o parmetro -L nome (que ser substitudo na varivel %L).
17 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Windows NT 4.0 Wks Windows NT 3.51 Wks Windows NT 3.51 Server Windows NT 4.0 Server Windows 2000 Server (Domain Controller) SAMBA
17 16 32 33 32 32
O valor padro do OS Level do SAMBA 32, entretanto ele bastante flexvel para permitir sua mudana atravs do parmetro "os level" (veja Navegao no servidor/tipo de servidor, Seo 3.2.8.6), isto garante que o SAMBA sempre vena as eleies da rede sobre qualquer outro sistema operacional. No caso de um servidor que estiver configurado para ser o navegador de rede, assim que for iniciado ele solicitar uma eleio de rede. As regras so as mesmas, vence o que tiver o *maior* nmero. Este nmero pode ser configurado facilmente no SAMBA para que ele sempre vena as eleies de rede, tomando conta da lista de mquinas. Isto especialmente interessante por causa da estabilidade do servidor Linux, quando migramos de servidor NT ou para fornecer mais servios de navegao, como servidor WINS. OBS: Nunca deixe um servidor NT configurado para ser o Local Browser ou Domain Master Browser competir com o SAMBA. Mesmo que o SAMBA ganhe, o NT um pssimo perdedor e convoca uma nova eleio para tentar novamente se eleger, gerando um *extremo* trfego broadcasting em redes grandes.
Cada uma das variveis so descritas em detalhes abaixo: %S O nome do servio atual, se existir. Seu uso interessante, principalmente no uso de diretrios homes. %P O diretrio raz do servio atual, se existir.
18 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
%u O nome de usurio do servio atual, se aplicvel. Esta varivel bastante til para programao de scripts e tambm para criar arquivos de log personalizados, etc. %g O grupo primrio do usurio %u. %U O nome de usurio da seo (o nome de usurio solicitado pelo cliente, no uma regra que ele ser sempre o mesmo que ele recebeu). %G O nome do grupo primrio de %U. %H O diretrio home do usurio, de acordo com %u. %v A verso do Samba. %h O nome DNS da mquina que est executando o Samba. %m O nome NetBIOS da mquina do cliente. Isto muito til para log de conexes personalizados e outras coisas teis. %L O nome NetBIOS do servidor. Como o servidor pode usar mais de um nome no samba (aliases), voc poder saber com qual nome o seu servidor est sendo acessado e possivelmente torna-lo o nome primrio de sua mquina. %M O nome DNS da mquina cliente. %N O nome do seu servidor de diretrios home NIS. Este parmetro obtido de uma entrada no seu arquivo auto.map. Se no tiver compilado o SAMBA com a opo --with-automount ento este valor ser o mesmo de %L. %p O caminho do diretrio home do servio, obtido de uma entrada mapeada no arquivo auto.map do NIS. A entrada NIS do arquivo auto.map
19 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
dividida na forma "%N:%p". %R O nvel de protocolo selecionado aps a negociao. O valor retornado pode ser CORE, COREPLUS, LANMAN1, LANMAN2 ou NT1. %d A identificao de processo do processo atual do servidor. %a A arquitetura da mquina remota. Somente algumas so reconhecidas e a resposta pode no ser totalmente confivel. O samba atualmente reconhece Samba, Windows for Workgroups, Windows 95, Windows NT e Windows 2000. Qualquer outra coisa ser mostrado como "UNKNOWN" (desconhecido). %I O endereo IP da mquina do cliente. %T A data e hora atual. %$(var_ambiente) Retorna o valor da varivel de ambiente especificada.
20 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Indica o diretrio que ser compartilhado. Lembre-se que o usurio ter as permisses de acesso que ele teria caso estivesse logado no sistema como um usurio UNIX normal, exceto se estiver fazendo mapeamento para outros nomes de usurios (veja Mapeamento de nomes de usurios, Seo 3.12.16). Ex: path=/pub - Compartilha o diretrio local /pub. OBS: Quando no definido um path, o diretrio /tmp usado como padro. comment Descrio do compartilhamento que ser mostrada na janela de procura de rede ou no smbclient -L maquina. Ex: comment=Pasta de contedo pblico do sistema. browseable Define se o compartilhamento ser ou no exibido na janela de procura de rede. Mesmo no sendo exibido, o compartilhamento poder ser acessado. Veja Criando um compartilhamento invisvel, Seo 3.12.12 para uma explicao mais detalhada. Ex: browseable=yes - Lista o compartilhamento na janela de pesquisa de servidores. guest account Conta que ser usada para fazer acesso sem senha (convidado) quando o parmetro guest ok ou public forem usados em um compartilhamento. Por padro ela mapeada para o usurio nobody. importante especificar uma nome de usurio guest (convidado), principalmente porque seu UID ser usado para fazer vrias operaes no SAMBA, como exibir os recursos disponveis na mquina para a rede. Por motivos claros, recomendvel que este usurio no tenha acesso login ao sistema. Caso no tenha a inteno de ocultar o SAMBA na lista de mquinas da rede (fazendo apenas acesso direto aos recursos), especifique um valor para esta opo. Ex: guest account = sambausr - Mapeia os usurio se conectando sem senha para o usurio sambausr, desde que o acesso guest seja permitido pela opo public. public Permitem aos usurios usurios se conectarem ao compartilhamento sem fornecer uma senha usando o usurio guest. O UID que o usurio guest ser mapeado especificado pelo parmetro guest account). Veja Criando um compartilhamento para acesso sem senha, Seo 3.12.7. O parmetro guest ok equivalente a public. Ex: public = no - No permite guest only
21 de 78 17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Permite somente conexes guest ao recurso. O UID do usurio mapeado para guest, mesmo que fornea uma senha correta. O valor padro no. Ex: guest only = no. write list Lista de usurios separados por espao ou vrgula que podero ler e gravar no compartilhamento. Caso o nome for iniciado por "@", o nome especificado ser tratado como um grupo UNIX (/etc/group) e todos os usurios daquele grupo tero acesso de gravao. O uso deste parmetro ignora o read only = yes. Veja Excesso de acesso na permisso padro de compartilhamento, Seo 3.12.10 para mais detalhes. Ex: write list = gleydson, @usuarios - Permite acesso gravao somente do usurio gleydson e todos os usurios pertencentes ao grupo @usuarios. OBS: - O significado de "@" nos parmetros "invalid users"/"valid users" diferente das opes write list e read list. read list Lista de usurios separados por espao ou vrgula que podero apenas ler o compartilhamento. O caracter "@" pode ser especificado para fazer referncia a grupos, como no write list. O uso deste parmetro ignora o read only = no. Veja Excesso de acesso na permisso padro de compartilhamento, Seo 3.12.10 para mais detalhes. Ex: read list = nobody, system, operador, @usuarios - Permite acesso de leitura somente do usurio nobody, system, operador e todos os usurios pertencentes ao grupo @usuarios. user Especifica um ou mais nomes de usurios ou grupos (caso o nome seja seguido de "@") para checagem de senha. Quando o cliente somente fornece uma senha (especialmente na rede Lan Manager, Windows for Workgroups e primeira verso do Windows 95) ela ser validada no banco de dados de senhas usando o usurio especificado nesta opo. Ex: user = john @usuariosrede only user Especifica se somente sero permitidas conexes vindas de usurios da diretiva user. O padro no. Caso deseje restringir o acesso a determinados usurios, o certo faze-lo usando valid users e invalid users (veja Restringindo o acesso por usurios, Seo 3.12.4). O uso de only user apropriado quando necessrio um controle especfico de acesso sobre a diretiva user. Ex: only user = no. locking Permite ao SAMBA fazer um lock real de arquivo ou apenas simular. Caso seja especificado como "0", o arquivo no bloqueado para acesso
22 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
exclusivo no servidor mas uma resposta positiva de lock retornada ao cliente. Se definido como "1", um lock real feito. O padro yes. Ex: locking = yes available Faz o SAMBA ignorar o compartilhamento (como se tivesse retirado do servidor). O valor padro "no". follow symlinks Permite o uso de links simblicos no compartilhamento (veja tambm a opo wide links). A desativao desta opo diminui um pouco a performance de acesso aos arquivos. Como restrita a compartilhamento, o impacto de segurana depende dos dados sendo compartilhados. O valor padro desta opo "YES". Ex: follow symlinks = yes wide links Permite apontar para links simblicos para fora do compartilhamento exportada pelo SAMBA. O valor padro esta opo "YES". Ex: wide links = yes. OBS: - A desativao desta opo causa um aumento na performance do servidor SAMBA, evitando a chamada de funes do sistema para resolver os links. Entretanto, diminui a segurana do seu servidor, pois facilita a ocorrncia de ataques usando links simblicos. Lembre-se mais uma vez que a segurana do seu sistema comea pela poltica e uma instalao bem configurada, isso j implica desde a escolha de sua distribuio at o conhecimento de permisses e planejamento na implantao do servidor de arquivos. dont descend No mostra o contedo de diretrios especificados. Ex: dont descend = /root, /proc, /win/windows, "/win/Arquivos de Programas", "/win/program files". printable Especifica se o compartilhamento uma impressora (yes) ou um compartilhamento de arquivo/diretrio (no). O padro "no". read only Especifica se o compartilhamento somente para leitura (yes) ou no (no) para todos os usurios. O parmetro writable um antnimo equivalente a este parmetro, s que utiliza as opes invertidas. Por segurana, o valor padro somente leitura. Veja uma explicao mais detalhada em Criando um compartilhamento com acesso somente leitura, Seo 3.12.8. Ex: read only = yes. create mask
23 de 78 17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Modo padro para criao de arquivos no compartilhamento. O parmetro "create mode" um sinnimo para este. O modo de arquivos deve ser especificado em formato octal. Ex: create mask = 0600. directory mask Modo padro para a criao de diretrios no compartilhamento. O parmetro "directory mode" um sinnimo para este. O modo de diretrio deve ser especificado em formato octal. Ex: directory mask = 0700. getwd cache Permite utilizar um cache para acesso as requisies getwd, diminuindo o nmero de ciclos de processamento para acesso a arquivos/diretrios. O valor padro "Yes". write cache size Tamanho do cache de leitura/gravao do compartilhamento. Este valor especificado em bytes e o padro "0". Veja Melhorando a performance do compartilhamento, Seo 3.13 para detalhes sobre seu uso. Ex: write cache size = 384000. inherit permissions Permite herdar permisses de arquivos/diretrios do diretrio pai quando novos arquivos/diretrios so criados, isto inclui bits SGID (set group ID). O padro NO herdar permisses. O uso desta opo substitui as opes fornecidas por create mask, directory mask, force create mask e force directory mask. Ex: inherit permissions. preexec Executa um comando antes a abertura de um compartilhamento. O parmetro exec um sinnimo para este. Veja Executando comandos antes e aps o acesso ao compartilhamento, Seo 3.12.13. postexec Executa um comando depois da utilizao do compartilhamento. Veja Executando comandos antes e aps o acesso ao compartilhamento, Seo 3.12.13. preexec close Fecha imediatamente o compartilhamento caso o valor do comando executado pela opo preexec seja diferente de 0. O uso desta opo s faz sentido em conjunto com preexec. O valor padro "no". Veja Executando comandos antes e aps o acesso ao compartilhamento, Seo 3.12.13. Exemplo: preexec close = yes.
24 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
volume = nome Retorna o nome de volume especificado quando feito o acesso ao compartilhamento. Isto muito til para instalaes onde o serial do CD, disquete ou HD verificado durante o acesso. Isto acontece com freqncia em produtos de fabricantes proprietrios como forma de evitar a execuo ilegal do programa.
25 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
comment = Diretrio temporrio do sistema read only = yes valid users = gleydson public = no
Agora, verifique se existem erros na configurao com o comando testparm (Buscando problemas na configurao, Seo 3.2.11) e reinicie o SAMBA (Iniciando o servidor/reiniciando/recarregando a configurao, Seo 3.1.9). O nome do grupo de trabalho que a mquina pertencer focalinux (workgroup = focalinux). O nvel de acesso usado neste exemplo de usurio (security = user), para mais detalhes sobre este mtodo, veja Nveis de autenticao, Seo 3.2.8.4. O parmetro local master foi definido para yes para o SAMBA tentar ser o navegador local do grupo de trabalho (veja Local Master Browser, Seo 3.7.2). Para testar se o servidor est funcionando, digite o seguinte comando:
smbclient -L servidor -U usuario
Digite a senha de usurio quando solicitado. O comando dever listar os recuros da mquina, indicando que a configurao est funcionando corretamente. Se voc paranico e est preocupado com a segurana da mquina, recomendo ler a Controle de acesso ao servidor SAMBA, Seo 3.12.
excessivo em uma rede com um considervel nmero de computadores. A ordem que a resoluo de nomes feita pelo samba, pode ser modificada usando o parmetro "name resolve order = [ordem]" no arquivo de configurao do samba (ex. name resolve order = lmhosts host wins bcast).
26 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
entre os dois pontos para resoluo de nomes, para definir mquinas WINS que sero acessados pela internet, etc. Para ter certeza da localizao do arquivo lmhosts em sua mquina, digite smbclient -d 3 -L localhost e veja o diretrio de pesquisa deste arquivo. Veja um exemplo de arquivo lmhosts em Exemplo de lmhosts do UNIX, Seo 3.5.1.1. O uso do arquivo lmhosts evita o excesso de broadcasting na rede, pois a ordem padro usada para a resoluo de nomes do samba, procura primeiro resolver o nome procurando em arquivos lmhosts, depois usando dns, wins e broadcast. Dependendo do projeto de sua rede e como as mquinas resolvem os nomes, ele pode ser uma camada a mais de segurana contra um simples hijacking de servidor atravs de NetBEUI ou WINS (isso evitado com o uso de domnios, veja Configurando um servidor PDC no SAMBA, Seo 3.7.4). OBS: Note que em clientes Windows que estejam em outra subrede, necessrio o arquivo \windows\lmhosts apontando para um servidor PDC mesmo que ele esteja apontando para o servidor WINS, caso contrrio, a mquina no efeturar o logon. O formato do arquivo lmhosts do Windows mais complexo do que o do Linux pois o sistema precisa de mais detalhes para resolver os nomes e tipos de mquinas no domnio. Veja o modelo lmhosts.sam em seu sistema Windows para compreender seu funcionamento.
3.5.1.1 Exemplo de lmhosts do UNIX O exemplo abaixo mapeia o endereo IP das mquinas (primeira coluna) com o respectivo nome de mquina (segunda coluna):
172.16.0.34 servarq 172.16.0.30 serverdom 192.168.5.2 servwins 172.16.0.3 servpdc 172.16.0.1 gateway
3.5.2 WINS
Este um servio de resoluo de nomes que funciona de forma semelhante ao DNS, s que voltado para o NetBIOS. Quando uma mquina cliente NetBIOS entra na rede, o servidor WINS pega seu nome e IP e inclui em uma tabela para futura consulta pelos clientes da rede. Esta tabela consultada toda vez que um cliente NetBIOS solicita um nome de mquina, componentes do grupo de trabalho ou domnio na rede. Uma outra aplicao importante de um servidor WINS permitir a resoluo de nomes em pontos de redes que requerem roteamento, a simplicidade de um protocolo no rotevel como o NetBIOS fica limitada a simplicidade das instalaes de rede. Um servidor WINS pode ser instalado em cada ponta da rede e eles trocarem dados entre si e atualizar suas tabelas de nomes/grupos de trabalhos/IPs. A resoluo de nomes de mquinas ser feita consultando diretamente a mquina WINS ao invs de broadcasting (que geram um trfego alto na rede).
27 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.5.2.1 Configurando o servidor WINS Para ativar o servidor WINS no samba, inclua as seguinte linha na seo [global] do seu arquivo /etc/samba/smb.conf:
[global] wins support = yes wins proxy = no dns proxy = no max wins ttl = 518400
O parmetro wins proxy pode ser necessrio para alguns clientes antigos que tenham problemas no envio de suas requisies WINS. O dns proxy permite que o servidor WINS faa a pesquisa no DNS para localizao de nomes de mquinas caso no exista no cache. Ambas as opes wins support, wins proxy e dns proxy tem como valor padro no. Pronto, seu servidor samba agora suporta WINS. Fcil, prtico e rpido :-) Se estiver configurando uma subrede com masquerade para acesso a um PDC ou um servidor WINS, voc ter que mexer no gateway central para apontar uma rota para o gateway masquerade. O motivo disto porque o masquerade do Linux atua somente nos cabealhos, mas o IP da estao enviada e processada pelo PDC para retornar uma resposta. Da mesma forma, este IP registrado no servidor WINS para uso das estaes de trabalho. Isto s vai ser resolvido quando for escrito um mdulo de conntrack para conexes SAMBA (at o lanamento do kernel 2.4.22, isso ainda no ocorreu). OBS1: NUNCA configure mais de um servidor WINS em uma mesma rede. OBS2: NO especifique o parmetro wins server caso esteja usando o suporte a WINS.
3.5.2.2 Configurando o Cliente WINS Para os clientes da rede (Linux, Windows, OS/2, etc.) fazer uso das vantagens da resoluo de nomes usando o WINS, necessrio configurar para que eles o utilizem para resolver os nomes de mquinas. Isto feito da seguinte forma em cada um dos sistemas operacionais: Linux Adicione a linha wins server = ip_do_servidor_WINS na seo global do arquivo /etc/samba/smb.conf:
[global] wins server = 192.168.1.1
Aps isto, reinicie o servidor samba. Caso esteja executando o servidor via inetd, digite: killall -HUP nmbd. Se estiver rodando atravs de daemons: /etc/init.d/samba restart. No necessrio reiniciar o computador! Windows 9x Clique com o boto direito sobre o cone Ambiente de Rede e selecione propriedades. Na janela de configurao de rede clique na aba Configurao.
28 de 78 17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Na lista que aparece selecione o protocolo TCP/IP equivalente a sua placa de rede local e clique em Propriedades. Na tela de Propriedades TCP/IP clique em Configuraes WINS e marque a opo Ativar resoluo WINS. Digite o endereo do servidor WINS e clique em Adicionar . OBS: Se utilizar um servidor DHCP em sua rede local e o endereo do servidor WINS tambm oferecido atravs dele, voc poder marcar a opo Usar DHCP para resoluo WINS. Note que esta opo somente estar disponvel se escolher a opo Obter um endereo IP automaticamente na tab Endereos IP. Clique em OK at fechar todas as telas e reinicie quando o computador perguntar :-)
Para sincronizar a data/hora das estaes de trabalho usando o servidor samba, veja Sincronizando a data/hora no Cliente, Seo 3.6.2. Caso o seu servidor SAMBA tambm seja o servidor de autenticao PDC da rede, a melhor forma de se fazer isto colocar o comando net time \\servidor_SAMBA /set /yes em um script que ser executado pela estao. OBS recomendvel instalar um cliente ntp para manter o relgio do servidor sempre atualizado, conseqentemente mantendo a data/hora das estaes tambm em sincronismo . .
29 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Um local interessante para colocao deste comando na pasta Iniciar da estao Windows, pois todos os comandos que estejam nesta pasta so executados quando o sistema iniciado. Exemplos:
net time \\linux /set /yes - Sincroniza a hora com o servidor "\\linux" e no pede confirmao (/yes). net time \\linux /WORKGROUP:pinguim /set /yes - Sincroniza a hora com o servidor "\\linux" do grupo de trabalho pinguim
30 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
31 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
; Identificao da mquina e domnio netbios name = gleydson workgroup = focalinux ;nveis de acesso e funes do servidor security = user domain master = yes prefered master = yes local master = yes ; senhas criptografadas encrypt passwords = yes smb passwd file = /etc/samba/smbpasswd.db
PDC (controlador de domnio). workgroup = focalinux - Nome do domnio que est criando. Todas as mquinas que pertencerem a este domnio, tero o nvel de acesso definido pelo PDC. Note que o parmetro workgorup tambm usado ao especificar o nome do grupo de trabalho quando se usado a configurao grupo de trabalho (Configurao em Grupo de Trabalho, Seo 3.4). security = user - Requerido para controle de acesso por domnio, j que utilizado o controle de acesso local usando usurios e grupos locais. domain master = yes - Especifica se est mquina est sendo configurada para ser o PDC da rede. OBS: Por favor, certifique-se que no existe outro PDC no domnio. Veja Domain Master Browser, Seo 3.7.3. prefered master = yes Fora uma eleio com algumas vantagens para seu servidor ser eleito sempre como o controlador de domnio. Isto garante que a mquina SAMBA sempre seja o PDC. Veja Navegao no servidor/tipo de servidor, Seo 3.2.8.6. local master = yes - Define se a mquina ser o controlador principal do grupo de trabalho local que ela pertence. Pronto, agora teste se existem erros em sua configurao executando o comando testparm (Buscando problemas na configurao, Seo 3.2.11) e corrija-os se existir. Resta agora reiniciar o servidor nmbd para que todas as suas alteraes tenham efeito. Para adicionar seus clientes a um domnio, veja Contas de mquinas de domnio, Seo 3.7.5 e Configurando clientes em Domnio, Seo 3.14.3.
32 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Existe uma coisa que precisa sempre ter em mente quando estiver configurando uma conta de mquina de domnio: Quando voc cria uma conta para a mquina, ela entra e altera sua senha no prximo logon usando um "segredo" entre ela e o PDC, este segredo a identifica sempre como dona daquele nome NetBIOS, ou seja, at o primeiro logon no NT, outra mquina com o mesmo nome NetBIOS poder ser a dona do netbios naquele domnio caso faa o logon no domnio. A nica forma de se evitar isto logar imediatamente no domnio NT assim que criar as contas de mquinas. Existem duas formas para criao de contas de mquinas: manual e automtica.
3.7.5.1 Criando contas de mquinas manualmente Para criar uma conta de domnio para a mquina master, siga estes 2 passos: 1. Crie uma conta de mquina no arquivo /etc/passwd:
useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null master$
O comando acima cria uma conta para a mquina master$ e torna ela parte do grupo domainmac. necessrio especificar o caracter $ aps o nome da mquina para criar uma conta de mquina no domnio, caso contrrio o prximo passo ir falhar. Acredito que nas prximas verses do SAMBA seja desnecessrio o uso do arquivo /etc/passwd para a criao de contas de mquina. 2. Crie uma conta de mquina no arquivo /etc/samba/smbpasswd:
smbpasswd -m -a master
Isto cria uma conta de mquina para o computador master no arquivo /etc/samba/smbpasswd. Note que a criao de uma conta de mquina muito semelhante a criao de um usurio apenas precisa adicionar a opo -m. Quando for criar uma conta com o smbpasswd No necessrio especificar $ no final do nome da mquina. O mais importante: Entre IMEDIATAMENTE no domnio aps criar a conta de mquina usando a conta de administrador de domnio criada no SAMBA (veja Criando uma conta de administrador de domnio, Seo 3.7.6)! como a mquina ainda no se autenticou pela primeira vez, qualquer mquina que tenha o mesmo nome e entre no domnio, poder alocar o nome recm criado. A nica forma de resolver este problema, apagando a conta de mquina e criando-a novamente no domnio. Siga os passos de acordo com o sistema operacional em Configurando clientes em Domnio, Seo 3.14.3 para colocar seus clientes em domnio. OBS1: Como segurana, recomendo desativar a conta de mquina no /etc/passwd usando o comando passwd -l conta. Esta conta NUNCA dever ser usada para login, isto deixa nossa configurao um pouco mais restrita. OBS2: A localizao do arquivo de senhas criptografadas do SAMBA pode ser modificado atravs da opo smb passwd file na seo [global] do arquivo smb.conf.
33 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
OBS3: Os que tem experincia com NT e Windows 2000 devem ter notado que este mtodo semelhante ao do Server Manager das ferramentas de gerenciamentos de servidores existentes no Windows.
3.7.5.2 Criando contas de mquinas automaticamente Atravs deste mtodo, as mquinas clientes tero sua conta criada automaticamente assim que seja feita a entrada no domnio usando a conta do administrador de domnio no SAMBA. Este o mtodo recomendvel de colocao de mquinas no domnio por ser mais prtica ao invs do mtodo manual. Para fazer a configurao automtica, coloque a seguinte linha no arquivo smb.conf na seo [global]:
user add script = useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null %u
Assim, a conta de mquina ser automaticamente criada quando o administrador fizer sua configurao no domnio (veja Criando uma conta de administrador de domnio, Seo 3.7.6). No SAMBA 3.0, a opo add machine script dever ser usada no lugar de add user script para adicionar uma mquina no domnio.
Aps isto, o usurio gleydson poder usar sua conta para adicionar/remover mquinas do domnio NT (veja Configurando clientes em Domnio, Seo 3.14.3) entre outras tarefas. Por segurana, recomendo que coloque esta conta no invalid users de cada compartilhamento para que seja utilizada somente para fins de gerenciamento de mquinas no domnio, a menos que deseje ter acesso total aos compartilhamentos do servidor (nesse caso, tenha conscincia do nvel de acesso que esta conta possui e dos problemas que pode causar caso caia em mos erradas). OBS: Tenha SEMPRE bastante cuidado com quem dar poderes de administrador de domnio, pois toda sua rede poder ficar vulnervel caso um de seus
34 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Segue a descrio de cada parmetro com detalhes importantes para a configurao e funcionamento do recurso de logon:
domain logons - Deve ser definido para yes para ativar o recurso de logon scripts do SAMBA. logon drive a unidade de disco que ter o homedir do usurio mapeado. Isto somente usado por mquinas NT/2000/XP. logon script - Define qual o script que ser executado na mquina cliente quando fizer o logon. Ele deve ser gravado no diretrio especificado pela opo path do compartilhamento [netlogon] (/pub/samba/netlogon no exemplo). Os scripts de logon podem ser tanto em formato .bat ou .cmd. Se for programar um script universal, recomendvel o uso do formato .bat por ser compatvel tanto com Win9X e WinNT.
Um detalhe que deve ser lembrado durante a programao do script de logon que ele DEVE seguir o formato DOS, ou seja, ter os caracteres CR+LF como finalizador de linhas. Para utilizar editores do UNIX para escrever este script, ser necessrio executar o programa flip (flip -m -b arquivo) ou unix2dos no arquivo para converte-lo em formato compatvel com o DOS. Segue abaixo um exemplo de script de logon que detecta quando o cliente Windows 95/NT, ajusta a hora com o servidor e mapeia 2 unidades de disco:
@echo off cls rem Logon Script desenvolvido por Gleydson Mazioli rem da Silva como modelo para o guia Foca GNU/Linux
35 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
rem rem Este script pode ser utilizado para fins didticos rem e distribuido livremente de acordo com os termos rem da GPL rem echo "Aguarde enquanto sua mquina efetua" echo "o logon na rede do domnio focalinux." rem if %OS%==Windows_NT goto NT-2000 rem echo "--------------------------------" echo "SO: %OS%" echo "Usurio: %USERNAME%" echo "Grupo de Trabalho: %LANGROUP%" echo "Servidor: %DOMINIO%" echo "--------------------------------" echo "Recuperando compartilhamentos" rem mapeia o compartilhamento publico definido no servidor net use e: \\gleydson\publico echo "Sincronizando data/hora" rem sincroniza a data/hora com o servidor net time \\gleydson /set /yes goto fim rem rem :NT-2000 echo "--------------------------------" echo "SO: %OS%" echo "Usurio: %USERNAME%" echo "Windows: %windir%" echo "Logon de domnio: %LOGONSERVER%" echo "--------------------------------" echo "Recuperando compartilhamentos" net use e: \\gleydson\publico /persistent:yes echo "Sincronizando data/hora" net time \\gleydson /set /yes rem rem goto fim rem :fim
Note no exemplo acima que no podem haver linhas em branco, voc dever utilizar a palavra rem (comentrio em arquivos em lote) em seu lugar. Note que existem diferenas entre o comando net do Windows 9x/ME e do NT, as variveis tambm possuem um significado diferente entre estes 2 sistemas, isto explica a necessidade de se incluir um bloco separado detectando a existncia de qual sistema est sendo efetuado o logon.
36 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
A lista completa de variveis disponveis para cada sistema operacional pode ser obtida colocando-se set >c:\vars.txt que gravar uma lista de variveis disponveis durante o logon no arquivo c:\vars.txt da mquina cliente. ATENO: Lembre-se que copiar e colar pode no funcionar para este script. Leia novamente esta seo do guia se estiver em dvidas.
Segue a descrio dos parmetros de detalhes para seu funcionamento: O parmetro domain logons = yes especifica que o servidor ser usado para fazer logons no domnio. Quando este parmetro definido para yes, a mquina automaticamente tentar ser o PDC. logon path e logon home definem (respectivamente) o diretrio de logon do /pub/profilesNT/usuario (NT) e /pub/profiles/usuario (Win95) respectivamente. Durante o logon, a varivel %N ser substituida pelo nome do servidor (ou servidor de diretrios, se for o caso) e a varivel %u pelo
37 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
nome do usurio. O sistema operacional de origem detectado no momento da conexo. Isto significa que o usurio poder ter 2 profiles diferentes, de acordo com o tipo de sistema operacional cliente que estiver conectando. O diretrio home do usurio ser mapeado para a unidade H: (logon drive = h:). O parmetro logon drive somente usado pelo NT/2000/XP. As opes preserve case, short preserve case e case sensitive permite que os nomes dos arquivos/diretrios tenham as letras maisculas/minsculas mantidas, isto requerido para os profiles. O compartilhamento dos 2 profiles pode ser feito sem tantos traumas, mas isto no ser explicado profundamente no guia pois o procedimento segue o mesmo padro do NT sendo bastante documentado na internet. Note que possvel definir um servidor separado para servir os profiles para um domnio modificando a varivel %N para apontar direto para a mquina. Na mquina que armazenar os profiles, basta definir o nvel de segurana por servidor (security = server) e o endereo IP do servidor de senhas (password server = IP). OBS1: Os perfis s funcionam caso o servidor de profiles contenha a opo security = user e encrypt passwords = yes ou security = server e password server = endereo_IP. Caso tenha problemas, verifique se uma destas alternativas est correta. OBS2: Quando utiliza o SAMBA com o Windows 2000 SP2, necessrio adicionar a opo nt acl support = no no compartilhamento [profiles], caso contrrio, ele retornar um erro de acesso ao compartilhamento.
38 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
No recomendvel desativar o uso de senhas criptografadas, mas se mesmo assim for necessrio veja Senhas criptografadas ou em texto puro?, Seo 3.12.15. Quando usamos senhas criptografadas, elas so armazenadas no arquivo /etc/samba/smbpasswd ao invs do /etc/passwd, isto permite que possamos controlar as permisses de usurios separadamente das do sistema e diferenciar os logins do domnio dos logins do sistema (usurios que possuem shell). Caso tenha um servidor que j possua muitas contas de usurios acessando em texto plano, recomendo ler Migrando de senhas texto plano para criptografadas, Seo 3.8.1 para facilitar o processo de migrao de contas. O utilitrio smbpasswd o programa utilizado para gerenciar este arquivo de senhas e tambm o status de contas de usurios/mquinas do domnio. Siga estes passos para ativar o uso de senhas criptografadas no SAMBA: 1. Edite o arquivo /etc/samba/smb.conf e altere as seguintes linhas na seo [global] para adicionar o suporte a senhas criptografadas:
[global] encrypt passwords = true smb passwd file =/etc/samba/smbpasswd
A linha encrypt passwords = true diz para usar senhas criptografadas e que o arquivo /etc/samba/smbpasswd contm as senhas (smb passwd file =/etc/samba/smbpasswd). Caso sua mquina seja apenas um cliente de rede (e no um PDC), voc pode pular para o passo onde o SAMBA reiniciado (no final dessa lista), no necessria a criao do arquivo de senhas para autenticao pois os usurios sero validados no servidor. 2. Execute o comando mksmbpasswd </etc/passwd >/etc/samba/smbpasswd. Ele pega toda a base de usurios do /etc/passwd e gera um arquivo /etc/samba/smbpasswd contendo as contas destes usurios. Por padro, todas as contas so DESATIVADAS por segurana quando este novo arquivo criado. O novo arquivo ter o seguinte formato:
gleydson:1020:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U geovani:1004:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U
Os campos so separados por ":" e cada campo possui o seguinte significado: 1. 2. 3. 4. O primeiro o nome de usurio UID do usurio no sistema UNIX que a conta ser mapeada. Senha Lan Manager codificada em hex 32 criado usando criptografia DES usada pelo Windows 95/98/ME. Senha hash criada em formato do NT codificada em hex 32. Esta senha criada pegando a senha do usurio, convertendo-a para maisculas, adicionados 5 bytes de caracteres nulos e aplicando o algortmo md4. 5. Opes da conta criada no smbpasswd: U - Especifica que a conta uma conta de usurio normal (veja Adicionando usurios no smbpasswd, Seo 3.8.2) D - Significa que a conta foi desativada com a opo -d (veja Desabilitando uma conta no smbpasswd, Seo 3.8.4).
39 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
W - Especifica que a conta uma conta de mquina criada com a opo -m (veja Contas de mquinas de domnio, Seo 3.7.5). N - A conta no possui senha (veja Definindo acesso sem senha para o usurio, Seo 3.8.7).
Os caracteres "XXXXXXXXXXXXXXX" no campo da senha, indica que a conta foi recm criada, e portanto est desativada. O prximo passo ativar a conta para ser usada pelo SAMBA. ATENO: O mtodo de criptografia usado neste arquivo no totalmente seguro. Recomendo manter o arquivo de senhas smbpasswd em um diretrio com a permisso de leitura somente pelo root. 3. Para ativar a conta do usurio gleydson, usamos o comando:
smbpasswd -U gleydson
Digite a senha do usurio e repita para confirmar. Assim que a senha for definida, a conta do usurio ativada. Voc tambm pode especificar a opo "-s" para entrar com a senha pela entrada padro (muito til em scripts). Apenas tenha cuidado para que esta senha no seja divulgada em seus arquivos/processos. 4. Reinicie o processo do SAMBA (veja Iniciando o servidor/reiniciando/recarregando a configurao, Seo 3.1.9). 5. Verifique se o suporte a senhas criptografadas est funcionando com o comando:
smbclient -L localhost -U gleydson
Substitua localhost pelo IP do servidor e gleydson pelo usurio. Caso obtenha a mensagem session setup failed: NT_STATUS_LOGON_FAILURE significa que a senha informada est incorreta.
na seo [global] do seu arquivo de configurao smb.conf. A senha criptografada definida assim que o usurio se logar usando sua senha em texto plano. No se esquea de desativar esta opo ou remove-la aps o prazo necessrio para que todas as senhas sejam trocadas.
40 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
A adio de um usurio no smbpasswd segue duas etapas: primeiro necessrio adiciona-lo no sistema com o adduser e depois no samba com o smbpasswd. Voc deve estar se perguntando qual a vantagem de se ter um arquivo separado de usurios se ainda preciso criar o login nos dois arquivos; O SAMBA para fazer o controle de acesso aos arquivos utiliza alm dos mecanismos tradicionais do NT, o controle de permisses a nvel UNIX para manter os arquivos ainda mais restritos. Alm disso, ser necessrio usurios e grupos para criao e acesso ao sistema. 1. Adicione um usurio no sistema com o comando:
useradd -g grupo-dominio -c "Usurio de Domnio" -s /bin/false -d /dev/null joao
Este comando adiciona o usurio "joao" no grupo grupo-dominio e no define hem uma shell, diretrio home nem senha para este usurio. Isto mantm o sistema mais seguro e no interfere no funcionamento do SAMBA, pois somente necessrio para fazer o mapeamento de UID/GID de usurios com as permisses do sistema UNIX. interessante padronizar os usurios criados no domnio para um mesmo grupo para pesquisa e outras coisas. 2. Crie o usurio "joao" no SAMBA:
smbpasswd -a joao
Quando a conta de usurio desativada, uma flag "D" adicionada s opes do usurio (junto com as opes "UX"). Veja Habilitando uma conta no
41 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Lhe ser pedida a antiga senha, a nova senha e a confirmao. Caso seja o usurio root, somente a nova senha e a confirmao. Isto mecanismo de proteo para usurios que esquecem a senha ;-) Para alterar a senha de um usurio remoto, utilize:
smbpasswd -r servidor -U usuario
Note que apenas foi adicionada a opo -r servidor comparado com a opo anterior. A diferena que a senha antiga do usurio sempre ser solicitada para troca (pois o root das 2 mquinas pode no ser o mesmo).
Isto completamente desencorajado e necessita que a opo null passwords da seo [global] no arquivo smb.conf esteja ajustada para yes (que NO o padro).
42 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Reinicie o SAMBA (Iniciando o servidor/reiniciando/recarregando a configurao, Seo 3.1.9) e a partir de agora, ele usar o /etc/passwd para autenticao. OBS: Tenha certeza de no estar participando de um domnio ou que sua mquina seja o PDC antes de fazer esta modificao.
43 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.9.1.1 Lan Manager Cliente NetBIOS para DOS. Ele trabalha somente com senhas em texto plano.
3.9.1.2 Windows for Workgroups Este o padro de autenticao do Windows for Workgroups caso no tenha feito nenhuma alterao especfica (mas desconheo algo que faa-o trabalhar com senhas criptografadas).
3.9.1.3 Windows 95 / Windows 95A O Windows 95 at a release "A", utiliza texto plano como padro para autenticao (veja qual a release clicando com o boto direito em Meu Computador e Propriedades.
3.9.1.4 Windows 95B Copie o seguinte contedo para um arquivo chamado win95-textoplano.reg:
REGEDIT4 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP] "EnablePlainTextPassword"=dword:00000001
Aps isto, execute no Windows 95 o seguite comando: regedit win95-textoplano.reg e reinicie o computador para fazer efeito. Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e executa novamente o regedit.
3.9.1.6 Windows ME
44 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.9.1.7 Windows NT Server/Workstation Copie o seguinte contedo para um arquivo chamado winNT-textoplano.reg:
REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters] "EnablePlainTextPassword"=dword:00000001
Aps isto, execute no Windows NT o seguite comando: regedit winNT-textoplano.reg e reinicie o computador para fazer efeito. Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e execute novamente o regedit.
3.9.1.8 Windows 2000 Copie o seguinte contedo para um arquivo chamado win2000-textoplano.reg:
REGEDIT4 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters] "EnablePlainTextPassword"=dword:00000001
Aps isto, execute no Windows 2000 o seguite comando: regedit win2000-textoplano.reg e reinicie o computador para fazer efeito. Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e execute novamente o regedit.
3.9.1.9 Linux Inclua/modifique a linha encrypt passwords = no no arquivo smb.conf e reinicie o SAMBA. Para voltar a utilizar criptografia, veja Ativando o suporte a senhas criptografadas, Seo 3.8.
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
O mapeamento de usurios do servidor remoto com a mquina local usado quando voc deseja controlar o acesso aos arquivos/diretrios a nvel de usurio. No Windows isto permite que cada arquivo/diretrio tenha o acesso leitura/gravao somente para os usurios definidos e autenticados no controlador de domnio. No Linux as permisses de arquivos e diretrios podem ser definidas para o usurio do PDC, garantindo o mesmo nvel de controle de acesso. Esta seo explica como configurar o mapeamento de UID/GID entre o servidor PDC SAMBA e seus clientes NetBIOS Windows e Linux.
Onde
46 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
winbind separator Separador usado para separar o nome dos grupos do nome de domnio. Este parmetro somente tem sentido quando usado em conjunto com um PDC Windows ou quando os mdulos pam_winbind.so e nss_winbind.so esto sendo utilizados. winbind cache time Define a quantidade de tempo em segundos que um nome/grupo permanecer no cache local para no ser feita uma nova consulta no servidor PDC. winbind uid Especifica o intervalo que ser usado para mapear os nomes de usurios remotos como UIDs locais. Voc precisar ter certeza que nenhum UID nesse intervalo usado no sistema, como pelo LDAP, NIS ou usurios normais. Por padro, os IDS de usurios normais na maioria dos sistemas Linux, comeam por 1000. No exemplo sero usados os UIDs de 10000 a 15000 para mapeamento e UIDs dos usurios do domnio para usurios locais. winbind gid Especifica o intervalo de GIDs que ser usado para mapear os nomes de grupos remotos do domnio como GIDs locais. Como no parmetro winbind uid, voc dever ter certeza que esta faixa de GIDs no est sendo usada em seu sistema. OBS: Atualmente SAMBA no possui suporte a grupos globais, apenas para usurios globais, desta forma os grupos da mquina remota no sero trazidos para o sistema. Uma forma de contornar isto, utilizando o LDAP ou o NIS no PDC e nos clientes Linux. winbind enum users Permite enumerar usurios do winbind para retornarem dados quando solicitados. A no ser que possua uma instalao parecida em todas as mquinas (como com o uso de LDAP e NIS) responda "yes" para no ter problemas. winbind enum groups Permite enumerar grupos do winbind para retornarem dados quando solicitados. A no ser que possua uma instalao parecida em todas as mquinas (como com o uso de LDAP e NIS) responda "yes" para no ter problemas. template homedir Quando o sistema cliente for um Windows NT ou baseado, este diretrio ser retornado como diretrio de usurio para o sistema. O parmetro %D ser substitudo pelo nome do domnio e %U pelo nome de usurio durante a conexo. template shell Este ser o shell enviado para mquinas NT ou baseadas nele como shell usado para login. O valor usado foi /bin/false pois desabilita os logons, mas voc poder usar /bin/sh (ou algum outro shell) para efetuar conexes do comando net ou outras ferramentas NetBEUI ao servidor. Reinicie o servidor SAMBA Edite o arquivo /etc/nsswitch.conf alterando a ordem de pesquisa de nomes de usurios e grupos do sistema local para a seguinte:
passwd: group: shadow: files winbind files winbind compat
47 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Agora, inicie o daemon winbind local com o comando: /etc/init.d/winbind restart. Entre no domnio com o comando: smbpasswd -j domnio -r nome_do_PDC -U usuario (veja Linux, Seo 3.14.3.9 para aprender como entrar no domnio em caso de dvidas). Agora faa o teste para obter a listagem dos grupos e usurios do domnio do PDC digitando:
wbinfo wbinfo getent getent -u -g passwd group
Caso isto no acontea, revise suas configuraes e veja os logs procurando por erros quando o winbind tenta obter a lista de usurios/grupos do domnio. Agora voc deve ser capaz de criar diretrios/arquivos locais usando os nomes de usurios/grupos do domnio. Lembre-se de reiniciar sempre o winbind quando reiniciar o SAMBA por alguma modificao for feita (ao mesmo que saiba que no afeta o winbind), assim como entrar novamente no domnio, caso contrrio o mapeamento deixar de funcionar. OBS: Atualmente, o winbind no oferece suporte a restries por data/hora de logon para estaes de trabalho. Isto dever ser implementado em uma futura verso
O compartilhamento acima tornar disponvel a impressora local "lp" as mquinas Windows com o nome "HP DeskJet 690C". Uma impressora alternativa
48 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
pode ser especificada modificando a opo -P da linha de comando do lpr. Note que somente os usurios "winuser" e "winuser2" podero usar esta impressora. Os arquivos de spool (para gerenciar a fila de impresso) sero gravador em /tmp (path = /tmp) e o compartilhamento [hp-printer] ser mostrado como uma impressora (printable = yes). Agora ser necessrio instalar o driver desta impressora no Windows (HP 690C) e escolher impressora instalada via rede e seguir os demais passos de configurao.
permitido usar mais de um endereo IP separando-os por vrgulas ou espaos. A palavra chave EXCEPT pode ser usada para fazer excesso de um ou mais endereos IPs, por exemplo:
49 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Que permite o acesso a toda as mquinas da faixa de rede 192.168.1.0/24 exceto para a 192.168.1.20. O deny hosts possui a mesma sintaxe do allow hosts mas bloqueia o acesso das mquinas especificadas como argumento. Quando o allow hosts e deny hosts so usados juntos, as mquinas em allow hosts tero prioriade (processa primeiro as diretivas em allow hosts e depois em deny hosts). OBS: O endereo de loopback (127.0.0.1) nunca bloqueado pelas diretivas de acesso. Provavelmente deve ter notado porque o endereo de loopback no pode ser bloqueado e as conseqncias disto para o SAMBA. Se voc est executando o SAMBA via inetd, os arquivos hosts.allow e hosts.deny so verificados antes do controle e acesso allow hosts e deny hosts para controle de acesso ao smbd. Caso estiver usando o SAMBA viainetd e deseja restringir o acesso usando TCP Wrappers. OBS: Lembre-se de usar o testparm para verificar a sintaxe do arquivo smb.conf sempre que desconfiar de problemas (veja Buscando problemas na configurao, Seo 3.2.11).
3.12.2.1 Testando a restrio de Acesso por IP/REDEs Um mtodo interessante e til para testar se a nossa configurao vai bloquear o acesso a servios usando o testparm da seguinte forma:
testparm /etc/samba/smb.conf IP/host
Voc precisar dizer para o testparm qual o arquivo de configurao que est usando e o endereo IP/nome de host que far a simulao de acesso. Este mtodo no falsifica o endereo IP para testes, apenas usa os valores em allow hosts e deny hosts para checagem. Por exemplo, para verificar o acesso vindo do IP 192.168.1.50:
testparm /etc/samba/smb.conf 192.168.1.50 Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[tmp]" Processing section "[cdrom]" Loaded services file OK. Allow connection from /etc/samba/smb.conf (focalinux) Allow connection from /etc/samba/smb.conf (focalinux) Allow connection from /etc/samba/smb.conf (focalinux) Allow connection from /etc/samba/smb.conf (focalinux)
to to to to
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Esta restrio de acesso permite que faamos o SAMBA responder requisies somente para a interfaces indicadas. O mtodo de segurana descrito em Restringindo o acesso por IP/rede, Seo 3.12.2 sero analisadas logo aps esta checagem. Para restringir o servio SAMBA a interfaces, primeiro ser necessrio ativar o parmetro bind interfaces only usando 1, yes ou true (o padro desativado). Depois, definir que interfaces sero servidas pelo samba com o parmetro interfaces. Os seguintes formatos de interfaces so permitidos:
eth0, sl0, plip0, etc - Um nome de interface local. permitido o uso de * para fazer o SAMBA monitorar todas as interfaces que iniciam com aquele nome (por exemplo, eth*). 192.168.1.1, 192.168.1.2, etc - Um endereo IP de interface local. 192.168.1.2/24, 192.168.1.2/255.255.255.0 - Um par de endereo/mscara de rede.
Mais de uma interface pode ser usada separando-as com vrgula ou espaos. A escolha do uso de nome da interface ou do IP feita de acordo com a configurao da mquina. Em uma mquina DHCP por exemplo, recomendado o uso do nome da interface. Quando bind interfaces only estiver ativado, o padro esperar conexes em todas as interfaces que permitem broadcast exceto a loopback. Exemplo:
bind interfaces only = 1 interfaces = loopback eth0
Permite o recebimento de requisies de acesso ao SAMBA somente da interface loopback (desnecessrio, pois como notou durante a leitura, sempre permitida a conexo) e eth0.
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Bloqueia o acesso de todos os usurios NIS que pertenam ao grupo semacesso. invalid users = bruno, henrique, +@users, Bloqueia o acesso dos usurios bruno, henrique e de todos os usurios que pertenam ao grupo users. A pesquisa de grupo feita primeiro no /etc/group e em seguida no NIS. invalid users = @semacesso Bloqueia o acesso dos usurios que pertencem ao grupo "semacesso". A pesquisa feita primeiro no NIS e depois no /etc/group (equivalente ao uso de "&+"). O valid users possui a mesma sintaxe de funcionamento do invalid users, mas permite somente o acesso para os usurios/grupos listados. Caso a opo valid users no seja especificada ou a lista esteja vazia, o acesso permitido. Se um mesmo nome de usurio estiver na lista valid users e invalid users, o padro ser mais restritivo, negando o acesso.
valid users = gleydson, michelle, geo
A segurana deste mtodo de acesso depende muito da forma de autenticao dos nomes antes de passar o controle para o SAMBA, pois uma autenticao fraca pe em risco a segurana da sua mquina.
52 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
O parmetro guest account tambm poder ser especificado no compartilhamento, isto til quando no quiser que o usurio que acesse o compartilhamento no seja o mesmo usado na diretiva [global]. Caso seu servidor somente disponibiliza compartilhamentos para acesso pblico, mais recomendado utilizar o nvel security = share pra diminuir a carga mquina, pois o usurio guest ser o primeiro a ser checado pelas regras de acesso (ao contrrio do nvel user , onde o acesso guest o ltimo checado). OBS: Lembre-se que o compartilhamento funciona de modo recursivo, ou seja, todos os arquivos e subdiretrios dentro do diretrio que compartilhou sero disponibilizados, portanto tenha certeza da importncia dos dados que existem no diretrio, verifique se existem links simblicos que apontam para ele, etc. Recomendo dar uma olhada rpida em Consideraes de segurana com o uso do parmetro "public = yes", Seo 3.12.14.
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Esta proteo til quando no desejamos que pessoas alterem o contedo de um compartilhamento. Isto pode ser feito de duas formas: negando o acesso de gravao para todo o compartilhamento ou permitindo leitura somente para algumas pessoas. O parmetro usado para fazer a restrio de acesso somente leitura o read only = yes ou seu antnimo writable = no. Abaixo seguem os dois exemplos comentados:
[teste] comment = Acesso a leitura para todos path = /tmp read only = yes public = yes
No exemplo acima, o diretrio /tmp (path = /tmp) foi compartilhado com o nome teste ([teste] ), de forma pblica (acesso sem senha - public = yes), e todos podem apenas ler seu contedo read only = yes).
[teste] comment = Acesso a gravao para todos com excesses path = /tmp read only = no read list = @users, gleydson invalid users = root
Neste, o mesmo compartilhamento teste ([teste] ) foi definido como acesso leitura/gravao para todos (read only = no), mas os usurios do grupo @users e o usurio gleydson tero sempre acesso leitura (read list = @users, gleydson). Adicionalmente foi colocada uma proteo para que o superusurio no tenha acesso a ele (invalid users = root). Esta forma de restrio explicada melhor em Excesso de acesso na permisso padro de compartilhamento, Seo 3.12.10).
No exemplo acima, o diretrio /tmp (path = /tmp) foi compartilhado com o nome teste ([teste]), de forma pblica (acesso sem senha - public = yes) e todos podem ler/gravar dentro dele (writable = yes).
54 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
[teste] comment = Acesso a leitura para todos com excesses path = /tmp writable = no write list = @users, gleydson
Neste, o mesmo compartilhamento teste ([teste] ) foi definido como acesso de leitura para todos (writable = no), mas os usurios do grupo @users e o usurio gleydson sero os nicos que tero tambm acesso a gravao (write list = @users, gleydson). Esta forma de restrio explicada melhor em Excesso de acesso na permisso padro de compartilhamento, Seo 3.12.10).
Neste exemplo, disponibilizamos o diretrio /tmp (path = /tmp) como compartilhamento de nome temporario ([temporario] ), seu acesso padro leitura/gravao para todos (writable = yes), exceto para os usurios root e gleydson (read list = root, gleydson). Em adio, tornamos o compartilhamento invisvel (veja Criando um compartilhamento invisvel, Seo 3.12.12) no "Ambiente de Rede" do Windows (browseable = no) e ele ser lido e disponibilizado pelo SAMBA (available = yes).
[temporario] comment = Diretrio temporrio path = /tmp writable = no write list = gleydson, @operadores browseable = yes
Neste exemplo, disponibilizamos o diretrio /tmp (path = /tmp) como compartilhamento de nome temporario ([temporario] ), seu acesso padro apenas leitura para todos (writable = no), exceto para o usurio gleydson e usurios do grupo Unix operadores, que tem acesso a leitura/gravao (write list = gleydson, @operadores). Tornamos o compartilhamento visvel no "Ambiente de Rede" do Windows (browseable = no - que o padro).
55 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
O exemplo acima permite que os servios IPC$ e ADMIN$ sejam acessados de qualquer mquina na faixa de rede 192.168.1.0/24. OBS: Mesmo que estejam restritos, os servios IPC$ e ADMIN$ sempre podero ser acessados de 127.0.0.1, ou teramos problemas com o funcionamento do SAMBA. Assim no necessrio colocar 127.0.0.1 na lista de IPs autorizados.
Neste exemplo, o diretrio /tmp (path = /tmp) foi compartilhado atravs de teste ([teste]) com acesso somente leitura (read only = yes) e ele no ser mostrado na listagem de compartilhamentos do ambiente de rede do Windows (browseable = no). Note que o compartilhamento continua disponvel, porm ele poder ser acessado da estao Windows, especificando a \\maquina\compartilhamento. Para acessar o compartilhamento do exemplo acima:
# Clique em Iniciar/Executar e digite: \\nome_do_servidor_samba\teste
Ao contrrio das mquinas Windows onde necessrio adicionar um "$" do nome de compartilhamento para criar um compartilhamento oculto (como teste$) o SAMBA cria um compartilhamento realmente oculto, no aparecendo mesmo na listagem do smbclient.
56 de 78 17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Na configurao acima, o CD-ROM ser compartilhado como cdrom ([cdrom] ), somente leitura (red only = yes), quando o usurio acessar o compartilhamento ele "fechar" a gaveta do CD (preexec = /bin/mount /cdrom) e desmontar o drive de CD assim que o compartilhamento for fechado (postexec = /bin/umount /cdrom). Adicionalmente, caso o comando mount da opo preexec tenha retornado um valor diferente de 0, a conexo do compartilhamento fechada (preexec close = yes). A UID do processo do preexec e postexec ser o mesmo do usurio que est acessando o compartilhamento, por este motivo ele dever ter permisses para montar/desmontar o CD-ROM no sistema. Caso precise executar comandos como usurio root, utilize a variante root preexec e root postexec. Apenas tenha conscincia que os programas sendo executados so seguros o bastante para no comprometer o seu sistema. Usando a mesma tcnica, possvel que o sistema lhe envie e-mails alertando sobre acesso a compartilhamentos que em conjunto com um debug level 2 e logs configurados independentes por mquina, voc possa ver o que a mquina tentou acessar (e foi negado) e o que ela conseguiu acesso. Como bom administrador, voc poder criar scripts que faam uma checagem de segurana no compartilhamento e encerre automaticamente a conexo caso seja necessrio, montar um "honney pot" para trojans, etc. Como deve estar notando, as possibilidades do SAMBA se extendem alm do simples compartilhamento de arquivos, se integrando com o potencial dos recursos do sistema UNIX.
57 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Recomendo utilizar o parmetro public = yes somente em compartilhamentos onde realmente necessrio, como o [netlogon] ou outras reas de acesso pblico onde as permisses do sistema de arquivos local estejam devidamente restritas. Outra medida no utilizar a opo follow symlinks, que poder lhe causar problemas com usurios mal intencionados que tenham acesso shell. OBS: Tenha em mente todas as consideraes de segurana abordadas neste captulo, bem como as permisses de acesso ao sistema Unix e como elas funcionam. A disponibilidade de arquivos em uma rede simples, simples tambm pode ser o acesso indevido a eles caso no saiba o que est fazendo.
58 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
usurio enviado pela mquina no confere com NENHUMA conta local do sistema (um exemplo quando o login do usurio no Windows diferente de seu Login no Linux). Outro vantagem de seu uso permitir que uma categoria de usurios utilizem um mesmo nvel de acesso no sistema. Seu formato o seguinte: username map = arquivo. As seguintes regras so usadas para construir o arquivo de mapeamento de nomes: Um arquivo de mltiplas linhas onde o sinal de "=" separa os dois parmetros principais. O arquivo processado linha por linha da forma tradicional, a diferena o que o processamento do arquivo continua mesmo que uma condio confira. Para que o processamento do resto do arquivo seja interrompido quando um mapeamento confira, coloque o sinal "!" na frente do nome local. O parmetro da esquerda a conta Unix local que ser usada para fazer acesso ao compartilhamento. Somente uma conta Unix poder ser utilizada. O parmetro da direita do sinal de "=" pode conter um ou mais nomes de usurios separados por espaos que sero mapeados para a conta Unix local. O parmetro "@grupo" permite que usurios pertencentes ao grupo Unix local sejam mapeados para a conta de usurio do lado esquerdo. Outro caracter especial o "*" e indica que qualquer usurio ser mapeado. Voc pode utilizar comentrios na mesma forma que no arquivo de configurao smb.conf. Alguns exemplos:
# Mapeia o usurio "gleydson mazioli" com o usurio local gleydson gleydson = gleydson mazioli # Mapeia o usurio root e adm para o usurio nobody nobody = root adm # Mapeia qualquer nome de usurio que pertena ao grupo smb-users para o usurio # samba. samba = @smb-users # Utiliza todos os exemplos anteriores, se nenhum usurio conferir, ele ser # mapeado para o usurio nobody (como o usurio root e adm j so mapeados # para "nobody", este exemplo ter o mesmo efeito). !gleydson = gleydson mazioli !samba = @smb-users nobody = *
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
de compartilhamentos). Exemplo:
[publico] path = /pub comment = Diretrio de acesso pblico read only = yes public = yes write cache size = 384000
Compartilha o diretrio /pub (path = /pub) como compartilhamento de nome publico ([publico] ), seu acesso ser feito como somente leitura (read only = yes) e o tamanho do cache de leitura/gravao reservado de 384Kb (write cache size = 384000). Deixar a opo para seguir links simblicos ativada (follow symlinks) garante mais performance de acesso a arquivos no compartilhamento. A desativao da opo wide links em conjunto com o uso de cache nas chamadas getwd (getwd cache) permite aumentar a segurana e tem um impacto perceptvel na performance dos dados. A desativao da opo global nt smb support tambm melhora a performance de acesso dos copmartilhamentos. Esta uma opo til para detectar problemas de negociao de protocolo e por padro, ela ativada.
60 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
para tentar combinaes de maisculas/minsculas usando o parmetro mangle case e default case na seo global do smb.conf.
3.14.2.1 Windows 9X Estas configuraes so vlidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das sries) aconselhvel atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua mquina vulnervel na verso que acompanha o WinSock do Windows 95. Para tornar uma mquina parte do grupo de trabalho, siga os seguintes passos: Entre nas propriedades de rede no Painel de Controle Instale o Cliente para redes Microsoft (caso no esteja instalado). Instale o Protocolo TCP/IP. Voc tambm pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que o usado pelo SAMBA alm de ter um melhor desempenho, permitir integrao com servidores WINS, etc. Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opo "Desejo ativar o NetBIOS atravs do TCP/IP". Caso esta caixa esteja em cinza, ento est tudo certo tambm. Clique na tab "Identificao" e coloque l o nome que identificar o computador (at 15 caracteres) e o nome do grupo de trabalho que ele far parte(por exemplo "workgroup", "suporte", etc) . No campo "Descrio do Computador", coloque algo que identifique a mquina na rede (por exemplo, "Computador da rea de suporte").
61 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nvel de compartilhamento" (a no ser que tenha configurado um servidor que mantenha um controle de nvel de usurio na rede para as mquinas fora do domnio). Clique em OK at reiniciar o computador. A mquina cliente agora faz parte do grupo de trabalho! Tente acessar um outro computador da rede e navegar atravs do ambiente de rede. Caso a lista de mquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"
3.14.2.2 Windows XP Home Edition Siga as instrues de Windows XP Professional Edition, Seo 3.14.2.3.
3.14.2.3 Windows XP Professional Edition Logue como administrador do sistemas local. Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema ser aberta. No campo Descrio do Computador , coloque algo que descreva a mquina (opcional). Clique na TAB Nome do Computador e no boto Alterar na parte de baixo da janela. No campo nome do computador , coloque um nome de no mximo 15 caracteres para identificar a mquina na rede. Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de dilogo. Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Ser necessrio reiniciar a mquina.
3.14.2.4 Windows XP Server Edition Siga as instrues de Windows XP Professional Edition, Seo 3.14.2.3.
62 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Clique no item Rede do painel de controle. Na tab Servios, confira se os servios Estao de trabalho, Interface de NetBIOS e Servios TCP/IP simples esto instalados. Caso no estejam, faa sua instalao usando o boto Adicionar nesta mesma janela. Na tab Protocolos, verifique se os protocolos NetBEUI e TCP/IP esto instalados. Caso no estejam, faa sua instalao clicando no boto Adicionar nesta mesma janela. Na tab identificao, clique no boto Alterar Na janela que se abrir, coloque o nome do computador no campo Nome do Computador Clique em Grupo de trabalho e escreva o nome do grupo de trabalho em frente. Clique em OK at voltar. Pronto, seu computador agora faz parte do grupo de trabalho.
3.14.2.7 Windows 2000 Professional Logue como administrador do sistemas local. Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema ser aberta. Clique em "Computador" e ento no boto "Propriedades". No campo nome do computador , coloque um nome de no mximo 15 caracteres para identificar a mquina na rede. Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de dilogo. Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Ser necessrio reiniciar a mquina.
3.14.2.8 Windows 2000 Server Logue como administrador do sistemas local. Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema ser aberta. Clique em "Descrio de rede" e ento no boto "Propriedades". No campo nome do computador , coloque um nome de no mximo 15 caracteres para identificar a mquina na rede. Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de dilogo. Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Ser necessrio reiniciar a mquina.
3.14.2.9 Linux Os aplicativos smbclient e smbmount so usados para navegao e montagem dos discos e impressoras compartilhadas em mquinas Linux. Se voc procura programas de navegao grficos, como o Ambiente de Rede do Windows ou mais poderosos, veja Programas de navegao grficos, Seo 3.14.5.
63 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Como complemento, tambm explicado o programa nmblookup para resoluo de endereos NetBIOS em IP e vice-versa e a forma que as funes de mquinas so definidas em uma rede NetBEUI.
3.14.2.9.1 smbmount
O smbmount uma ferramenta que permite a montagem de um disco compartilhado por uma mquina NetBEUI remota como uma partio. Veja alguns exemplos: smbmount //servidor/discoc /mnt/discoc Monta o compartilhamento de //servidor/discoc em /mnt/discoc usando o nome de usurio atual. Ser pedido uma senha para acessar o contedo do compartilhamento, caso ele seja pblico, voc pode digitar qualquer senha ou simplesmente pressionar enter. smbmount //servidor/discoc /mnt/discoc -N Semelhante ao comando cima, com a diferena que o parmetro -N no pergunta por uma senha. Isto ideal para acessar compartilhamentos annimos. smbmount //servidor/discoc /mnt/discoc -o username=gleydson,workgroup=teste Semelhante aos anteriores, mas acessa o compartilhamento usando gleydson como nome de usurio e teste como grupo de trabalho. Este mtodo ideal para redes que tem o nvel de acesso por usurio ou para acessar recursos compartilhados em um domnio.
3.14.2.9.2 smbclient
O smbclient uma ferramenta de navegao em servidores SAMBA. Ao invs dela montar o compartilhamento como um disco local, voc poder navegar na estrutura do servidor de forma semelhante a um cliente FTP e executar comandos como ls, get, put para fazer a transferncia de arquivos entre a mquina remota e a mquina local. Tambm atravs dele que feita a intereface com impressoras compartilhadas remotamente. Veja exemplos do uso do smbclient: smbclient -L samba1 Lista todos os compartilhamentos existentes (-L) no servidor samba1. smbclient //samba1/discoc Acessa o contedo do compartilhamento discoc no servidor samba1. smbclient //samba1/discoc -N Idntico ao acima, mas no utiliza senha (ideal para compartilhamentos com acesso annimo). smbclient //samba1/discoc -I 192.168.1.2 Se conecta ao compartilhamento usando o endereo IP 192.168.1.2 ao invs da resoluo de nomes. smbclient //samba1/discoc -U gleydson -W teste Se conecta ao compartilhamento como usurio gleydson usando o grupo de trabalho teste.
64 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
smbclient //samba1/discoc -U gleydson%teste1 -W teste Idntico ao acima, mas tambm envia a senha teste1 para fazer a conexo diretamente. Caso receba a mensagem NT Status Access Denied, isto quer dizer que no possui direitos de acesso adequados para listas ou acessar os compartilhamentos da mquina. Nesse caso, utilize as opes -U usurio e -W grupo/domnio para fazer acesso com uma conta vlida de usurio existente na mquina. OBS:Note que a ordem das opes faz diferena no smbmount.
3.14.2.9.3 nmblookup
Esta uma ferramenta usada para procurar nomes de cliente usando o endereo IP, procurar um IP usando o nome e listar as caractersticas de cada cliente. Veja alguns exemplos: nmblookup -A 127.0.0.1 Lista o nome e as opoes usadas pelo servidor 127.0.0.1 nmblookup servidor Resolve o endereo IP da mquina servidor. A listagem exibida pela procura de IP do nmblookup possui cdigos hexadecimais e cada um deles possui um significado especial no protocolo NetBEUI. Segue a explicao de cada um: Identificao da mquina COMPUTADOR<00>= O servio NetBEUI est sendo executado na mquina. COMPUTADOR<03> = Nome genrico da mquina (nome NetBIOS). COMPUTADOR<20> = Servio LanManager est sendo executado na mquina. Identificao de grupos/domnio GRUPO_TRABALHO<1d> - <GRUPO> = Navegador Local de Domnio/Grupo. GRUPO_TRABALHO<1b> = Navegador Principal de Domnio. GRUPO_TRABALHO<03> - <GRUPO> = Nome Genrico registrado por todos os membros do grupo de trabalho. GRUPO_TRABALHO<1c> - <GRUPO> = Controladores de Domnio / Servidores de logon na rede. GRUPO_TRABALHO<1e> - <GRUPO> = Resolvedores de Nomes Internet (WINS). Estes cdigos podem lhe ser teis para localizar problemas mais complicados que possam ocorrer durante a configurao de um servidor.
65 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.14.3.1 Windows 9X Estas configuraes so vlidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das sries) aconselhvel atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua mquina vulnervel na verso que acompanha o WinSock do Windows 95. Para tornar uma mquina parte do domnio, siga os seguintes passos: Entre nas propriedades de rede no Painel de Controle Instale o Cliente para redes Microsoft (caso no esteja instalado). Instale o Protocolo TCP/IP. Voc tambm pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que o usado pelo
66 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
SAMBA alm de ter um melhor desempenho, permitir integrao com servidores WINS, etc.
Clique em "Cliente para redes Microsoft", marque a opo "Efetuar logon no domnio do Windows NT". Coloque o nome do domnio que ir configurar o cliente para fazer parte na caixa "Domnio do Windows NT" (por exemplo, "suporte"). Na parte de baixo da caixa de dilogo, voc poder escolher como ser o mtodo para restaurar as conexes de rede. Inicialmente, recomendo que utilize a "Efetuar logon e restaurar as conexes de rede" que mais til para depurar problemas (possveis erros sero mostrados logo que fizer o logon no domnio). Adeque esta configurao as suas necessidades quando estiver funcionando :) Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opo "Desejo ativar o NetBIOS atravs do TCP/IP". Caso esta caixa esteja em cinza, ento est tudo certo tambm. Clique na tab "Identificao" e coloque l o nome que identificar o computador (at 15 caracteres). Digite o nome de um grupo de trabalho que a mquina far parte no campo "Grupo de Trabalho" (por exemplo "workgroup", "suporte", etc). Este campo somente ser usado caso o logon no domnio NT no seja feito com sucesso. No campo "Descrio do Computador", coloque algo que identifique a mquina na rede (por exemplo, "Computador da rea de suporte"). Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nvel de usurio e especifique o nome da mquina que serve a lista de usurios, que normalmente a mesma do PDC. Clique em OK at reiniciar o computador. Quando for mostrada a tela pedindo o nome/senha, preencha com os dados da conta de usurio que criou no servidor. No campo domnio, coloque o domnio que esta conta de usurio pertence e tecle <Enter>. Voc ver o script de logon em ao (caso esteja configurado) e a mquina cliente agora faz parte do domnio! Tente acessar um outro computador da rede e navegar atravs do ambiente de rede. Caso a lista de mquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"
3.14.3.2 Windows XP Home Edition No possvel fazer o Windows XP Home Edition ser parte de um domnio, por causa de limitaes desta verso.
3.14.3.3 Windows XP Professional Edition Primeiro, siga todos os passos para ingressar a mquina em um grupo de trabalho como documentado em Windows XP Professional Edition, Seo 3.14.2.3. Atualize o registro para permitir a entrada no domnio: 1. Copie o seguinte contedo para o arquivo WinXP-Dom.reg:
REGEDIT4
67 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters "RequireSignOrSeal"=dword:00000000
2. Execute o comando regedit WinXP-Dom.reg no cliente XP. Reinicie a mquina. Aps reiniciar a mquina, volte na tela de alterao de identificao de mquina na rede. Clique com o mouse em "Domnio" e digite o nome do domnio na caixa de dilogo. Na tela seguinte, ser lhe pedido o nome de usurio e senha com poderes administrativos que podem inserir/remover mquinas do domnio. Clique em OK e aguarde a mensagem confirmando sua entrada no domnio. Ser necessrio reiniciar a mquina aps concluir este passo.
3.14.3.4 Windows XP Server Edition Siga os procedimentos documentados em Windows XP Professional Edition, Seo 3.14.3.3
3.14.3.6 Windows NT Server Clique no item Rede do painel de controle. Na tab Servios, confira se os servios Estao de trabalho, Interface de NetBIOS e Servios TCP/IP simples esto instalados. Caso no estejam, faa sua instalao usando o boto Adicionar nesta mesma janela. Na tab Protocolos, verifique se os protocolos NetBEUI e TCP/IP esto instalados. Caso no estejam, faa sua instalao clicando no boto Adicionar nesta mesma janela. Na tab identificao, clique no boto Alterar Na janela que se abrir, coloque o nome do computador no campo Nome do Computador Clique em Dominio e escreva o nome do domnio que deseja entrar. Para criar uma conta de mquina no domnio, clique em criar uma conta de computador no domnio e coloque na parte de baixo o nome do usurio sua senha. O usurio dever ter poderes para adicionar mquinas no domnio. Caso a conta de mquina no seja criada, o Windows NT ser como um Windows 95/98 na rede, sem a segurana que seu nome NetBIOS no seja usado por outros (veja Contas de mquinas de domnio, Seo 3.7.5). Clique em OK at voltar. Pronto, seu computador agora faz parte do domnio.
68 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.14.3.7 Windows 2000 Professional Siga os passos descritos em Windows 2000 Server, Seo 3.14.3.8.
3.14.3.8 Windows 2000 Server Primeiro, siga todos os passos para ingressar a mquina em um grupo de trabalho como documentado em Windows 2000 Server, Seo 3.14.2.8. Aps reiniciar a mquina, volte na tela de alterao de identificao de mquina na rede. Clique com o mouse em "Domnio" e digite o nome do domnio na caixa de dilogo. Na tela seguinte, ser lhe pedido o nome de usurio e senha com poderes administrativos que podem inserir/remover mquinas do domnio. Clique em OK e aguarde a mensagem confirmando sua entrada no domnio. Ser necessrio reiniciar a mquina aps concluir este passo.
3.14.3.9 Linux Entre no sistema como usurio root. Instale o SAMBA caso no esteja ainda instalado. Edite o arquivo de configurao do samba /etc/samba/smb.conf, ser necessrio modificar as seguintes linhas na seo [global]:
[global] workgroup = nome_domnio security = domain password server = nome_pdc nome_bdc encrypt passwords = true
Onde:
workgroup - Nome do domnio que deseja fazer parte. security - Nvel de segurana. Nesta configurao, utilize "domain". password server - Nome da mquina PDC, BDC. Tambm poder ser usado *, assim o SAMBA tentar descobrir o servidor PDC e BDC automaticamente, da mesma forma usada pelo Windows. encrypt passwords - Diz se as senhas sero encriptadas ou no. Sempre utilize senhas criptografadas para colocar uma mquina em um
69 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Execute o comando: smbpasswd -j domnio -r PDC/BDC -U usuario_admin. Onde: domnio - Domnio que deseja fazer o logon PDC/BDC - Nome da mquina PDC/BDC do domnio. Em alguns casos, pode ser omitido. usuario_admin - Usurio com poderes administrativos para ingressara a mquina no domnio. Se tudo der certo, aps executar este comando, voc ver a mensagem:
Joined domain "domnio".
Se sua configurao no funcionou, revise com ateno todos os tens acima. Verifique se a conta de mquina foi criada no servidor e se o SAMBA na mquina cliente foi reiniciado. De tambm uma olhada em Erros conhecidos durante o logon do cliente, Seo 3.14.4. OBS:O SAMBA envia primeiramente um usurio/senha falso para verificar se o servidor rejeita o acesso antes de enviar o par de nome/senha corretos. Por este motivo, seu usurio pode ser bloqueado aps um determinado nmero de tentativas em alguns servidores mais restritivos. Para acessar os recursos compartilhados, veja Linux, Seo 3.14.2.9. Note que no obrigatrio realizar as configuraes acima para acessar os recursos de uma mquina em domnio, basta apenas que autentique com seu nome de usurio/senha no domnio e que ela seja autorizada pelo PDC.
utilizada no tem permisses para ingressar uma mquina no domnio (veja Criando uma conta de administrador de domnio, Seo 3.7.6). Caso esteja usando um cliente SAMBA, verifique se o parmetro encrypt passwords est ativado. A senha informada no est correta ou o acesso ao seu servidor de logon foi negado - Verifique primeiro os logs de acessos do sistema. Caso o SAMBA esteja sendo executado via inetd, verifique se a configurao padro restritiva e se o acesso est sendo negado pelos arquivos do tcp wrappers hosts.allow e hosts.deny. no existem servidores de logon no domnio - Verifique se o parmetro domain logons = yes foi usado para permitir o logon em domnio.
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
3.14.5.1 linneighborhood Cliente SAMBA baseado em GTK, muito leve e possibilita a navegao entre os grupos mquinas em forma de rvore. Ele tambm permite a montagem de compartilhamentos remotos. Caso precise de recursos mais complexos e autenticao, recomendo o TkSmb, Seo 3.14.5.2.
3.14.5.2 TkSmb Cliente SAMBA baseado em TCL/TK. Seu ponto forte a navegao nos recursos da mquina ao invs da rede completa, possibilitando autenticao em domnio/grupo de trabalho, montagem de recuros, etc.
3.14.6.1 gnosamba Ferramenta de configurao grfica usando o GNOME. Com ele possvel definir configuraes localmente. Ele ocupa pouco espao em disco, e se voc gosta de GTK, este o recomendado. As opes do SAMBA so divididas em categorias facilitando sua localizao e uso.
3.14.6.2 swat Ferramenta de admnistrao via web do samba. Este um daemon que opera na porta 901 da mquina onde o servidor samba foi instalado. A configurao feita atravs de qualquer navegador acessando http://ip_do_servidor:901 e logando-se como usurio root (o nico com poderes para escrever no arquivo de configurao).
71 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
Esta ferramenta vem evoluindo bastante ao decorrer dos meses e a recomendada para a configurao do servidor SAMBA remotamente. Seu modo de operao divide-se em bsico e avanado. No modo bsico, voc ter disponvel as opes mais comuns e necessrias para compartilhar recursos na rede. O modo avanado apresenta praticamente todos os parmetros aceitos pelo servidor samba (restries, controle de acesso, otimizaes, etc.).
[global] # nome da mquina na rede netbios name = teste # nome do grupo de trabalho que a mquina pertencer workgroup = focalinux # nvel de segurana share permite que clientes antigos mantenham a compatibilidade # enviando somente a senha para acesso ao recurso, determinando o nome de usurio # de outras formas security = share # O recurso de senhas criptografadas no funciona quando usamos o nvel share # de segurana. O motivo disto porque automaticamente assumido que voc # est selecionando este nvel por manter compatibilidade com sistemas antigos # ou para disponibilizar compartilhamentos pblicos, onde encrypt passwords = false # Conta que ser mapeada para o usurio guest guest account = nobody
72 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
# Como todos os compartilhamentos desta configurao so de acesso pblico # coloquei este parmetro na seao [global], assim esta opo afetar todos # os compartilhamentos. guest ok = 1 # Conjunto de caracteres utilizados para acessar os compartilhamentos. O padro # para o Brasil e paises de lingua latina o ISO 8859-1 character set = ISO8859-1 # Compartilha o diretrio /tmp (path = /tmp) com o nome "temporario" ([temporario]), # adicionada a descrio "Diretrio temporrio" com acesso leitura/gravao # (read only = no) e exibido na janela de navegao da rede (browseable = yes). [temporario] path = /tmp comment = Diretrio temporrio read only = no browseable = yes # Compartilha o diretrio /pub (path = /pub) com o nome "publico" ([publico]). # A descrio "Diretrio de acesso pblico" associada ao compartilhamento # com acesso somente leitura (read only = yes) e exibido na janela de navegao # da rede (browseable = yes). [publico] path =/pub comment = Diretrio de acesso pblico read only = yes browseable = yes # Compartilha todas as impressoras encontradas no /etc/printcap do sistema # Uma descrio melhor do tipo especial de compartilhamento "[printers]" # explicado no inicio do guia Foca Linux [printers] comment = All Printers path = /tmp create mask = 0700 printable = Yes browseable = No
73 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
# # # # # # # #
Arquivo de configurao do SAMBA criado por Gleydson Mazioli da Silva >gleydson@debian.org> para o guia Foca GNU/Linux Avanado - Captulo SAMBA Este script pode ser copiado e distribuido livremente de acordo com os termos da GPL. Ele no tem a inteno de atender uma determinada finalidade, sendo usado apenas para fins didticos, portanto fica a inteira responsabilidade do usurio sua utilizao.
[global] # nome da mquina na rede netbios name = teste # nome do grupo de trabalho que a mquina pertencer workgroup = focalinux # nvel de segurana user somente aceita usurios autenticados aps o envio # de login/senha security = user # utilizada senhas em texto claro nesta configurao encrypt passwords = false # Conta que ser mapeada para o usurio guest guest account = nobody # Permite restringir quais interfaces o SAMBA responder bind interfaces only = yes # Faz o samba s responder requisies vindo de eth0 interfaces = eth0 # Supondo que nossa interface eth0 receba conexes roteadas de diversas # outras redes, permite somente as conexes vindas da rede 192.168.1.0/24 hosts allow = 192.168.1.0/24 # A mquina 192.168.1.57 possui gateway para acesso interno, como medida # de segurana, bloqueamos o acesso desta mquina. hosts deny = 192.168.1.57/32 # Conjunto de caracteres utilizados para acessar os compartilhamentos. O padro # para o Brasil e paises de lingua latina o ISO 8859-1 character set = ISO8859-1 # As restries do PAM tero efeito sobre os usurios e recursos usados do SAMBA obey pam restriction = yes # Mapeia o diretrio home do usurio autenticado. Este compartilhamento especial # descrito em mais detalhes no inicio do captulo sobre o SAMBA no Foca Linux. [homes] comment = Diretrio do Usurio create mask = 0700 directory mask = 0700 browseable = No
74 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
# Compartilha o diretrio win (path = /win) com o nome "win" ([win]). # A descrio associada ao compartilhamento ser "Disco do Windows", # o nome de volume precisa ser especificado pois usamos programas # que a proteo anti cpia o serial. Ainda fazemos uma proteo # onde qualquer usurio existente no grupo @adm automaticamente # rejeitado e o usurio "baduser" somente possui permisso de leitura # (read list = baduser). # [win] path = /win comment = Disco do Windows volume = 3CF434C invalid users = @adm browseable = yes read list = baduser # Compartilha o diretrio /pub (path = /pub) com o nome "publico" ([publico]). # A descrio "Diretrio de acesso pblico" associada ao compartilhamento # com acesso somente leitura (read only = yes) e exibido na janela de navegao # da rede (browseable = yes). O parmetro public = yes permite que este # compartilhamento seja acessado usando o usurio "nobody" sem o fornecimento # de senha. [publico] path =/pub comment = Diretrio de acesso pblico read only = yes browseable = yes public = yes
3.15.3 Domnio
# # # # # # # # Arquivo de configurao do SAMBA criado por Gleydson Mazioli da Silva <gleydson@debian.org> para o guia Foca GNU/Linux Avanado - Captulo SAMBA Este script pode ser copiado e distribuido livremente de acordo com os termos da GPL. Ele no tem a inteno de atender uma determinada finalidade, sendo usado apenas para fins didticos, portanto fica a inteira responsabilidade do usurio sua utilizao.
[global] # nome da mquina na rede netbios name = teste # nome do grupo de trabalho que a mquina pertencer workgroup = focalinux
75 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
# String que ser mostrada junto com a descrio do servidor server string = servidor PDC principal de testes # nvel de segurana user somente aceita usurios autenticados aps o envio # de login/senha security = user # Utilizamos senhas criptografadas nesta configurao encrypt passwords = true smb passwd file = /etc/samba/smbpasswd # Conta que ser mapeada para o usurio guest guest account = nobody # Permite restringir quais interfaces o SAMBA responder bind interfaces only = yes # Faz o samba s responder requisies vindo de eth0 interfaces = eth0 # como estamos planejando ter um grande nmero de usurios na rede, dividimos # os arquivos de log do servidor por mquina. log file = /var/log/samba/samba-%m-%I # O tamanho de CADA arquivo de log criado dever ser 1MB (1024Kb). max log size = 1000 # Escolhemos um nvel de OS com uma boa folga para vencer as eleies de # controlador de domnio local os level = 80 # Dizemos que queremos ser o Domain Master Browse (o padro auto) domain master = yes # Damos algumas vantagens para o servidor ganhar a eleio caso # acontea desempate por critrios preferred master = yes # Tambm queremos ser o local master browser para nosso segmento de rede local master = yes # Este servidor suportar logon de usurios domain logons = yes # Usurios que possuem poderes para adicionar/remover mquinas no domnio # (tero seu nvel de acesso igual a root) admin users = gleydson # Unidade que ser mapeada para o usurio local durante o logon (apenas # sistemas baseados no NT). logon drive = m: # Nome do script que ser executado pelas mquinas clientes logon script = logon.bat # Ao que ser tomada durante o recebimento de mensagens do # Winpopup. message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' & # Conjunto de caracteres utilizados para acessar os compartilhamentos. O padro # para o Brasil e paises de lingua latina o ISO 8859-1
76 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
character set = ISO8859-1 # As restries do PAM tero efeito sobre os usurios e recursos usados do SAMBA obey pam restriction = yes # Mapeia o diretrio home do usurio autenticado. Este compartilhamento especial # descrito em mais detalhes no inicio do captulo sobre o SAMBA no Foca Linux. [homes] comment = Diretrio do Usurio create mask = 0700 directory mask = 0700 browseable = No # Compartilha o diretrio win (path = /win) com o nome "win" ([win]). # A descrio associada ao compartilhamento ser "Disco do Windows", # o nome de volume precisa ser especificado pois usamos programas # que a proteo anti cpia o serial. Ainda fazemos uma proteo # onde qualquer usurio existente no grupo @adm automaticamente # rejeitado e o usurio "baduser" somente possui permisso de leitura # (read list = baduser). # [win] path = /win comment = Disco do Windows volume = 3CF434C invalid users = @adm browseable = yes read list = baduser # Compartilha o diretrio /pub (path = /pub) com o nome "publico" ([publico]). # A descrio "Diretrio de acesso pblico" associada ao compartilhamento # com acesso somente leitura (read only = yes) e exibido na janela de navegao # da rede (browseable = yes). O parmetro public = yes permite que este # compartilhamento seja acessado usando o usurio "nobody" sem o fornecimento # de senha. [publico] path =/pub comment = Diretrio de acesso pblico read only = yes browseable = yes public = yes # Compartilhamento especial utilizado para o logon de mquinas na rede [netlogon] path=/pub/samba/netlogon/logon.bat read only = yes
77 de 78
17/06/2013 16:39
http://www.dimap.ufrn.br/~aguiar/Foca_Samba/ch-s-samba.html
[ anterior ] [ Contedo ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ prximo ] Guia Foca GNU/Linux Verso 6.22 - domingo, 10 de agosto de 2003 Gleydson Mazioli da Silva gleydson@cipsga.org.br
78 de 78
17/06/2013 16:39