UD 4.2 GNU/Linux: Administracin y seguridad. SAMBA Y NFS.

ndice de contenido
1. SAMBA........................................................................................ 2 1.1. INSTALACIN DEL SERVICIO............................................................................3 1.2. FICHERO DE CONFIGURACIN......................................................................4 1.2.1. Continuacin de lnea................................................................................6 1.2.2. Comentarios..............................................................................................6 1.2.3. Variables...................................................................................................6 1.2.4. Opciones de archivo de configuracin........................................................8 1.2.5. Otras secciones especiales.........................................................................8 1.3. CONFIGURACIN DEL SERVIDOR....................................................................9 1.4. CREAR UN USUARIO SAMBA..........................................................................10 1.5. CONFIGURACIN DE LA COMPARTICIN DE DISCO...................................10 1.6. OPCIONES DE RED CON SAMBA...................................................................12 1.7. USUARIOS Y GRUPOS....................................................................................14 1.7.1. El recurso compartido [homes].................................................................15 1.8. CONTROLANDO EL ACCESO A LOS RECURSOS COMPARTIDOS...................17 1.9. ACCEDER A UNA CARPETA COMPARTIDA WINDOWS....................................19 1.10. HERRAMIENTAS GRFICAS...........................................................................19 1.11. VERIFICAR EL FICHERO DE smb.conf.............................................................19 1.12. SELinux.........................................................................................................19 2. NFS........................................................................................... 21 2.1. INSTALACIN DEL SERVICIO..........................................................................22 2.2. COMPARTIR EN EL SERVIDOR.........................................................................22 2.2.1. El archivo de configuracin /etc/exports...................................................22 2.2.2. El comando exportfs................................................................................24 2.3. CONECTAR CON DIRECTORIOS EN EL CLIENTE............................................25 2.4. SEGURIDAD...................................................................................................25 2.5. HERRAMIENTAS GRFICAS.............................................................................26 2.6. PROBLEMAS CON EL CORTAFUEGOS Y FEDORA...........................................26 2.7. WINDOWS COMO CLIENTE NFS...................................................................27 3. BIBLIOGRAFA............................................................................ 28

Pgina 1/28

1. SAMBA
Samba es una implementacin libre del protocolo de archivos compartidos de Microsoft Windows (antiguamente llamado SMB, renombrado recientemente a CIFS) para sistemas de tipo UNIX. De esta forma, es posible que ordenadores con GNU/Linux, Mac OS X o Unix en general se vean como servidores o acten como clientes en redes de Windows. Samba tambin permite validar usuarios haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e incluso como un dominio Active Directory para redes basadas en Windows; aparte de ser capaz de servir colas de impresin, directorios compartidos y autentificar con su propio archivo de usuarios. Entre los sistemas tipo Unix en los que se puede ejecutar Samba, estn las distribuciones GNU/Linux, Solaris y las diferentes variantes BSD entre las que podemos encontrar el Mac OS X Server de Apple. Samba fue desarrollado originalmente para Unix por Andrew Tridgell utilizando un sniffer o capturador de trfico para entender el protocolo usando ingeniera inversa. El nombre viene de insertar dos vocales al protocolo estndar que Microsoft usa para sus redes, el SMB o Server Message Block. En un principio Samba tom el nombre de smbserver pero tuvieron que cambiarlo por problemas con una marca registrada. Tridgell busc en el diccionario de su mquina Unix alguna palabra que incluyera las letras. Samba es una implementacin de una docena de servicios y una docena de protocolos, entre los que estn:

NetBIOS sobre TCP/IP (NetBT) SMB (tambin conocido como CIFS) DCE/RPC o ms concretamente, MSRPC, el servidor WINS tambin conocido como el servidor de nombres NetBIOS (NBNS) la suite de protocolos del dominio NT, con su Logon de entrada a dominio la base de datos del gestor de cuentas seguras (SAM) el servicio Local Security Authority (LSA) o autoridad de seguridad local el servicio de impresoras de NT recientemente el Logon de entrada de Active Directory, que incluye una versin modificada de Kerberos y una versin modificada de LDAP.

Todos estos servicios y protocolos son frecuentemente referidos de un modo incorrecto como NetBIOS o SMB. Samba configura directorios Unix y GNU/Linux (incluyendo sus subdirectorios) como recursos para compartir a travs de la red. Para los usuarios de Microsoft Windows,
Pgina 2/28

estos recursos aparecen como carpetas normales de red. Los usuarios de GNU/Linux pueden montar en sus sistemas de archivos estas unidades de red como si fueran dispositivos locales, o utilizar la orden smbclient para conectarse a ellas muy al estilo del cliente de la lnea de rdenes ftp. Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones del sistema de archivos que se est usando en GNU/Linux. Por ejemplo, las carpetas home pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno acceda a sus propios archivos; sin embargo, deberemos cambiar los permisos de los archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de escritura en el recurso no ser suficiente. La configuracin de Samba se logra editando un solo archivo, accesible en /etc/smb.conf o en /etc/samba/smb.conf. La ltima versin estable de Samba al realizar estos apuntes es la 3.5.6 (8 de octubre de 2010).

1.1. INSTALACIN DEL SERVICIO

Samba es un programa de cdigo abierto que permite compartir archivos e impresoras desde una computadora Linux hacia una computadora con MS Windows, como si fuera una ms de ella, lo cual es muy til ya que podemos tener un servidor de archivos y de impresin basado en Linux ubicado en una red donde se conectan PCs con Windows. Lo primero que vamos a hacer es instalar Samba en nuestra computadora con Fedora, para esto debes tener privilegios de root, ejecutamos el siguiente comando en el shell:
# yum install samba

Si queremos que el servicio est disponible a travs de la red hemos de abrir el cortafuegos los puertos 137/udp, 138/udp, 139/tcp y 445/tcp. Para ello podemos utilizar la herramienta grfica system-config-firewall.

Para iniciar el servicio:

# chkconfig smb on # chkconfig nmb on # service smb start # service nmb start

Pgina 3/28

1.2. FICHERO DE CONFIGURACIN

El archivo de configuracin de Samba lo podemos encontrar en /etc/samba/smb.cof, vamos a realizar una copia de respaldo de este archivo:
# cp -p /etc/samba/smb.conf /etc/samba/smb_FECHA_copia.conf

Siempre es bueno realizar una copia de seguridad de los archivos de configuracin para que en caso de que cometamos algn error podamos volver a lo que tenamos. El archivo de configuracin utiliza el mismo formato que los archivos de Windows ini. Los nombres dentro de los corchetes representan secciones nicas del archivo smb.conf; el nombre de la seccin se corresponde al nombre de cada recurso compartido (o servicio) tal y como se ve por los clientes CIFS. Todas las secciones definidas, a excepcin de la seccin [global], estn disponibles como un archivo o impresora compartidos a los clientes que se conectan al servidor Samba. Estas secciones agrupan las configuraciones y definen el alcance de un parmetro. Existen dos tipos de alcance de parmetro:

Global: Las opciones globales deben aparecer en seccin [global] y en ninguna otra parte. Estas opciones se aplican al comportamiento del servidor Samba y no a sus recursos compartidos. Share o Service: Las opciones de Share pueden aparecer en las definiciones de los recursos compartidos, en la seccin [global], o en ambos. Si aparecen en la seccin [global], definen un comportamiento predeterminado para todos los servicios, a no ser que en un recurso compartido especfico sobrescriba la opcin con un valor propio.

Un alcance especfico de una opcin contina hasta que se encuentra con una seccin nueva o hasta que se llega al final del archivo. Debido a que los parmetros se analizan de arriba a abajo, si se configura la misma opcin ms de una vez en la misma seccin se aplica el ltimo valor especificado. Cada una de las opciones de configuracin se adapta a un formato sencillo:
opcin = valor

En el archivo smb.conf las opciones se definen al asignarles un valor. Algunos de los nombres de las opciones son evidentes, otros debern consultarse. Por ejemplo, read only (slo lectura), es evidente, y es tpico en muchas opciones recientes de Samba. En la mayora de los casos, las configuraciones comunes so fciles de entender. Los valores de los parmetros en smb.conf se clasifican en cinco categoras:

Booleanos: S/No (Yes/No), Verdadero/Falso (True/False), 1/0. Entero: El valor mximo del entero depende del uso del parmetro. Algunas opciones aceptan un rango de enteros vlidos como un uid mximo o mnimo. Algunos valores, como el 0, tienen un significado especial (en este caso, no aplicar la opcin).

Pgina 4/28

Cadena o lista de caracteres: Adems de booleanos, ste es el tipo de parmetro ms corriente. Las cadenas son normalmente de cualquier tipo, como campos de comentarios, listas de usuarios y grupo o rutas de acceso a directorios. Tipos enumerados: Algunos parmetros aceptan un valor de una lista discreta de posibilidades. La opcin ms comn de este tipo es el parmetro de seguridad, el cual acepta valores de recursos compartidos, usuarios, servidor, dominio o aadidos. Todo lo que no sean valores en esta lista se registrarn como errores sintcticos y el parmetro revierte a su valor predeterminado. Complementos: stos son nuevos en Samba 3.0. Varias configuraciones de smb.conf aceptan el nombre de un mdulo interno o externo.

Los nombres de los parmetros no se ven afectados por los espacios en blanco y las maysculas o minsculas. Hay que tener un poco de cuidado con las cadenas, sobre todo si hacen referencia a rutas de directorios. Cuando se utiliza una cadena en Samba o como un valor transmitido a los clientes Windows, normalmente se mantienen las maysculas y minsculas establecidas aunque el sistema no haga distinciones. La opcin comment de un recurso compartido es un ejemplo:
comment = For testing only, please

Si una opcin acepta varias cadenas como una lista de nombres de usuario o grupos, hay que tener en cuenta los delimitadores estndar en smb.conf:

Espacios en blanco. Coma (,). Punto y coma (;). Lnea nueva (\n). Retorno de carro (\r).

Por ejemplo, para seleccionar una lista de usuarios, todo los siguientes elementos son idnticos desde un punto de vista semntico:
rose, smitty, foo rose smitty, foo rose; smitty foo

Si el nombre de usuario tuviera espacios habra que utilizar comillas:

Alex Rose, smitty foo

Pgina 5/28

1.2.1. Continuacin de lnea Si una lnea es demasiado larga y queremos continuar en la lnea siguiente hemos de utilizar el carcter barra inclinada (\).
comment = La primera carpeta que tiene las copias de seguridad de \ las aplicaciones en desarrollo de nuestra empresa.

En este caso la segunda lnea se empieza a contar en el primer carcter que no sea espacio, es decir, en la l de las. 1.2.2. Comentarios Para comentar una lnea utilizaremos los caracteres # o ; 1.2.3. Variables Samba incluye un completo juego de variables para determinar las caractersticas del servidor Samba y de los clientes a los cuales conecta. Cada una de estas variables comienza con un smbolo de porcentaje (%), seguido por un nico carcter minscula o mayscula, y puede ser usada slo en la parte del valor de una opcin de configuracin (p.ej., despus del signo igual):
[pub] path = /home/ftp/pub/%a

Pgina 6/28

Variable

Definicin Relativas a Clientes

%a %i %I %m %M

Arquitectura de Cliente (p.ej., Samba, WfWg, WinNT, Win95, o UNKNOWN) Direccin IP de la interfaz en el servidor al que se conecta el cliente Direccin IP del cliente Nombre NetBIOS de Cliente Nombre DNS de Cliente Relativas a Usuarios

%g %G %H %u %U

Grupo Primario de %u Grupo Primario de %U Directorio "home" de %u Actual nombre usuario Unix (requiere una conexin al recurso compartido) Nombre de usuario transmitido por el cliente en la solicitud de autenticacin inicial Relativas a Recursos Compartidos

%S %P %p

Nombre del recurso compartido actual Directorio raz del recurso compartido actual Ruta de acceso al directorio raz de un recurso compartido, si es diferente a %P Relativas a Servidor

%d %h %L %N %v

Actual PID de servidor nombre DNS de mquina del servidor Samba Nombre NetBIOS del servidor Samba Directorio "home" del servidor, desde el mapa automount Versin de Samba Variables miscelneas

%R %T

Nivel de protocolo SMB que se ha negociado Fecha y hora actual

%$(var) El valor de la variable de entorno var

Tabla 1: Variables de Samba

Pgina 7/28

1.2.4. Opciones de archivo de configuracin Existen dos opciones smb.conf que permiten reemplazar o extender la configuracin actual en tiempo de ejecucin:

include cadena:

Especifica una ruta de acceso absoluta a un archivo que debe leerse en el archivo de configuracin actual. Ejemplo:
[global] include = /usr/local/samba/lib/smb.conf.%m

copy cadena:

Permite clonar las opciones de configuracin de otro recurso compartido en el recurso actual. Ejemplo:
[template] writable = yes browsable = yes valid users = andy, dave, peter [data] path = /usr/local/samba copy = template

1.2.5. Otras secciones especiales La Seccin [homes] Si un cliente intenta conectar a un recurso que no aparece en el fichero smb.conf, Samba buscar un recurso [homes] en el fichero de configuracin. Si existe alguno, el recurso no identificado es asumido como nombre de usuario Unix, el cual es interrogado en la B.D. de contraseas del servidor Samba. Si el usuario aparece registrado, Samba asume que el cliente es un usuario Unix intentando conectar a su cuenta " home" en el servidor Unix. Por ejemplo, supongamos que una mquina cliente se conecta al servidor Samba hydra por primera vez, e intenta conectar a un recurso denominado [alice]. Resulta que no existe ningn recurso [alice] definido en el fichero smb.conf, pero s existe [homes], as que Samba busca en el fichero de contraseas y encuentra a una cuenta de usuario llamada alice presente en el sistema. Samba entonces comprueba la contrasea proporcionada por el cliente contra la contrasea de usuario Unix de alice. Si las contraseas coinciden, entonces Samba lo reconoce como sigue: el usuario alice est intentando conectar con su directorio "home". Samba crear un recurso llamado [alice] para l. La Seccin [printers]. La tercera seccin especial se denomina [printers] y es similar a [homes]. Si un cliente intenta conectar a un recurso que no existe en el fichero smb.conf, y su nombre no puede ser encontrado en el fichero de contraseas, Samba comprobar si el recurso solicitado es una impresora. Samba lo hace leyendo el fichero de capacidades de impresora (normalmente /etc/printcap) para ver si el nombre del recurso aparece ah. Si existe, Samba crea el recurso.

Pgina 8/28

Como [homes], esto significa que no tienes por qu mantener un recurso para cada una de tus impresoras en el fichero smb.conf. En su lugar, Samba comprueba el registro de impresoras de Unix, y proporciona acceso a las impresoras registradas a las mquinas clientes. Sin embargo, existe una limitacin obvia: si tienes una cuenta llamada fred y una impresora llamada tambin fred, Samba siempre encontrar la cuenta de usuario primero, aunque el cliente necesite realmente acceder a la impresora.

1.3. CONFIGURACIN DEL SERVIDOR

Ahora es el momento de configurar tu servidor Samba. Introduciremos tres opciones de configuracin bsicas que pueden aparecer en la seccin [global] de tu smb.conf:
[global] # Parmetros de configuuracin del servidor. netbios name = HYDRA server string = Samba %v corriendo en %L workgroup = SIMPLE

Este fichero de configuracin es muy simple, configura el servidor Samba sobre una red NBT bajo el nombre NetBIOS de hydra. Adems, la mquina pertenece al grupo de trabajo SIMPLE y muestra un literal descriptivo a los clientes que incluye el nmero de versin de Samba, as como el nombre NetBIOS del servidor Samba. Si tenas que introducir la opcin encrypt passwords=yes en tus anteriores ficheros de configuracin, hazlo en este tambin.
Opcin Parmetros Funcin Defecto Ambito Global

netbios name string

Establece el nombre Nombre de NetBIOS primario para el mquina del servidor Samba. servidor DNS Establece un literal descriptivo para el Samba %v servidor Samba. Establece el nombre Definido NetBIOS de grupo de las tiempo mquinas al que compilacin pertenece el servidor. en de

server string

string

Global

workgroup

string

Global

Tabla 2: Opciones de Configuracin del Servidor

Pgina 9/28

1.4. CREAR UN USUARIO SAMBA

Los usuarios que queremos que tengan acceso al servidor Samba deben estar creados como usuarios en nuestro servidor linux, podemos crear un grupo samba y agregar a ese grupo todos los usuarios que tendrn acceso al servidor samba: Supongamos que tenemos un usuarios ya creado llamado jose y que lo queremos agregar a los usuarios de Samba, para esto ejecutamos el siguiente comando:
# smbpasswd -a jose New SMB password: Retype new SMB password: Added user jose.

Colocamos la clave que queremos que tenga ese usuario para ingresar al servidor Samba, la clave puede ser distinta a la clave que tiene el usuario para ingresar a Linux. Vamos a crear un nuevo archivo donde estarn todos los usuarios autorizados para conectarse al Servidor de Samba, para esto ejecutamos:
# vi /etc/samba/smbusers

En el nuevo archivo copiamos la siguiente lnea:

nombre_enlinux = "Nombre en Windows"

Donde nombre_enlinux es el nombre del usuario que tenemos en linux en este caso jose y Nombre en Windows es el nombre del usuario de red en Windows. Tenemos que agregar una nueva lnea por cada usuario que creemos para Samba.

Para editar un usuario ejecutamos:

# smbpasswd nombre_usuario

Si un usuario desea cambiarse la contrasea de acceso a la red no tiene ms que ejecutar este comando sin ningn parmetro.

Para borrar un usuario ejecutamos:

# smbpasswd -x nombre_usuario

1.5. CONFIGURACIN DE LA COMPARTICIN DE DISCO

Vamos a ver con un ejemplo cmo compartir una carpeta a travs de la red. Vamos a crear una carpeta compartida vaca llamada [data]. Esto es lo que debemos incorporar:
[global] netbios name = HYDRA server string = Samba %v on (%L) workgroup = SIMPLE [data] path = /export/samba/data comment = Data Drive writeable = yes

Pgina 10/28

El recurso [data] es el tpico en una comparticin de disco con Samba. El recurso mapea a un directorio del servidor Samba: /export/samba/data. Tambin proporcionamos una lnea de comentario que describe al recurso como Data Drive, as como un nombre de unidad para el recurso en s. El recurso es configurado como grabable para que los usuarios puedan escribir datos en l; por defecto, Samba crea recursos de slo lectura. Como resultado, esta opcin necesita ser explcitamente incluida en cada recurso de disco que queramos hacer escribible.

Sigamos con las adiciones a nuestro fichero de configuracin. Crearemos el directorio /export/samba/data como root en nuestra mquina Samba con los siguientes comandos:
# mkdir /export/samba/data # chmod 777 /export/samba/data

Ahora, si conectas de nuevo al servidor hydra (puedes hacerlo mediante un click sobre su icono en el Entorno de Red de Windows), deberas ver un nico recurso listado, llamado data. Este recurso debera tener permisos de lectura/escritura. Intenta crear o copiar un fichero sobre el recurso. O, si te sientes aventurero, podras crear una unidad de red que apunte al recurso.
opcin Parmetros Funcin Defecto mbito

Path (directory)

Establece el directorio Unix que se string (nombre proporcionar para un completamente recurso de disco o se /tmp cualificado) usar para la cola de una impresora compartida Si se establece a yes, la autentificacin no es no necesaria para acceder al recurso Establece el comentario que aparecer junto al Ninguno recurso Si es yes, permite acceso yes de slo lectura al recurso Si es no, permite acceso no de slo lectura al recurso

Recurso

guest ok (public)

booleano

Recurso

comment

string

Recurso

read only Writeable (write ok)

booleano

Recurso

booleano

Recurso

Tabla 3: Opciones de Configuracin Bsicas para un Recurso

Pgina 11/28

Las opciones read only y writeable (o write ok ) son realmente dos formas de decir lo mismo, pero aproximndose desde polos opuestos. Por ejemplo, puedes establecer cualquiera de estas opciones en la seccin [global] o en la de un recurso determinado:
read only = yes writeable = no

Si las defines como las de arriba, los datos podrn ser ledos desde el recurso, pero no se podr escribir en l. Podras pensar que slo necesitars esta opcin cuando quieras crear un recurso de slo lectura. Sin embargo, advierte que la opcin slo-lectura es la opcin por defecto para los recursos; si quieres habilitar la escritura sobre un recurso, debes indicarlo explcitamente especificando una de las siguientes opciones en el fichero de configuracin para cada recurso:
read only = no writeable = yes

Ten en cuenta que si especificas ms de una ocurrencia de la misma opcin, Samba usar el ltimo valor que encuentre para el recurso.

1.6. OPCIONES DE RED CON SAMBA

Si ests ejecutando Samba sobre una mquina que pertenece a varias subredes, o si quieres implementar una poltica de seguridad sobre tu propia subred, deberas echar un vistazo a las opciones de configuracin de red: Para los propsitos de este ejemplo, asumiremos que nuestro servidor Samba est conectado a una red con ms de una subred. Concretamente, la mquina puede acceder a las subredes 192.168.220.* y 134.213.233.*. Aqu tienes unas adiciones para el fichero de configuracin:
[global] netbios name = HYDRA server string = Samba %v on (%L) workgroup = SIMPLE # Networking configuration options hosts allow = 192.168.220. 134.213.233. localhost hosts deny = 192.168.220.102 interfaces = 192.168.220.100/255.255.255.0 \ 134.213.233.110/255.255.255.0 bind interfaces only = yes [data] path = /home/samba/data guest ok = yes comment = Data Drive volume = Sample-Data-Drive writeable = yes

Hablaremos primero de las opciones hosts allow y hosts deny. Si te suenan familiares, estars pensando probablemente en los ficheros hosts.allow y hosts.deny que se
Pgina 12/28

encuentran en los directorios /etc de muchos sistemas Unix. El propsito de estas opciones es idntico al de dichos ficheros; proporcionan una medida de seguridad permitiendo o denegando las conexiones de otras mquinas en base a sus direcciones IP. Y por qu no usamos entonces los archivos hosts.allow y hosts.deny? Porque pueden existir otros servicios en el servidor que s quieras ofrecer a esas IPs, pero que no tengan acceso a los recursos que ofrece Samba. Con la opcin hosts allow, hemos especificado un rango de IPs: 192.168.220. (fijate en el punto al final de 220; slo hemos obviado el cuarto nmero). Esto equivale a decir: "Todas las mquinas en la red 192.168.220". Sin embargo, tambin hemos, explcitamente, denegado el acceso a una IP determinada, 192.168.220.102. Esta no podr acceder. El resto s. Te preguntars Por qu se denegar el acceso a 192.168.220.102 si est en la subred que autoriza la opcin hosts allow? Veamos cmo Samba interpreta las reglas especificadas por hosts allow y hosts deny : 1. Si no hay opciones allow o deny definidas en smb.conf, Samba permitir conexiones desde cualquier mquina que el propio sistema admita. 2. Si existen opciones hosts allow o hosts deny definidas en la seccin [global] del smb.conf, la aplicar a todos los recursos, excepto si los recursos tienen sus propias definiciones establecidas. 3. Si slo existe definida hosts allow para un recurso, slo las mquinas listadas tendrn acceso al recurso. Las dems sern denegadas. 4. Si slo hay una opcin hosts deny definida para un recurso, cualquier mquina que no est en la lista tendr acceso al recurso. 5. Si ambas opciones hosts allow y hosts deny estn definidas, una mquina deber aparecer en la lista de aceptadas y no aparecer en la lista de denegadas. De lo contrario, se le negar el acceso.

ADVERTENCIA: cuidado con dar acceso a una mquina a un recurso, y luego denegar acceso a toda su subred.

Veamos otro ejemplo. Considera las siguientes opciones:

hosts allow = 111.222. hosts deny = 111.222.333.

En este caso, slo las mquinas que pertenezcan a la subred 111.222.*.* tendrn acceso a los recursos de Samba. sin embargo, si un cliente pertenece a la subred 111.222.333.*, le ser denegado el acceso, aunque pertenezca al rango de las aceptadas por hosts allow. El cliente debe aparecer en la lista de hosts allow y no debe aparecer en la lista de hosts deny para que pueda tener acceso a un recurso de Samba. Si una mquina intenta acceder a un recurso para el cual no se le permite el acceso, recibir un mensaje de error.

Pgina 13/28

Las otras dos opciones que podemos especificar son interfaces y bind interface only. Veamos la opcin interfaces primero. Samba, por defecto, enva datos slo desde el interfaz de red primario, el cual en nuestro ejemplo es la subred 192.168.220.100. Si queremos enviar datos a travs de ms de una interfaz, necesitamos especificar la lista completa con la opcin interfaces. En el ejemplo anterior, hemos configurado Samba para que sirva a ambas subredes (192.168.220 y 134.213.233), y para la segunda est actuando a travs de la interfaz de red 134.213.233.100. Si tienes ms de una interfaz de red en tu computadora, deberas siempre establecer sta opcin, ya que no hay garantas de que que el primer interfaz de red que Samba seleccione sea el correcto. Finalmente, la opcin bind interfaces only instruye al proceso nmbd para que no acepte mensajes de difusin (broadcast) que no sean los de aquellas subredes especificadas con la opcin interfaces. Advierte que es diferente a las opciones hosts allow y hosts deny, las cuales previenen sobre las mquinas que pueden conectar a servicios, pero no controlan la recepcin de mensajes de difusin. Usar la opcin bind interfaces only es la forma de cortar datagramas de subredes extraas hacia el servidor Samba. Adems, esta opcin instruye al proceso smbd para que enlace slo con los interfaces listados en la opcin interfaces. Esto restringe las redes a las que Samba servir.

1.7. USUARIOS Y GRUPOS

Vamos a empezar con un solo usuario. La forma ms fcil de configurar un cliente es crear una cuenta Unix (y su directorio personal correspondiente) para es cliente en el servidor, y notificar a Samba la existencia de ese usuario. Posteriormente en el fichero de configuracin de Samba se creara un recurso de disco compartido que apunte al directorio personal del usuario y restringiremos su acceso a travs de la opcin valid users. Por ejemplo:
[dave] path = /home/dave comment = Dave's Home Directory writeable = yes valid users = dave

La opcin valid users especifica qu usuarios pueden tener acceso al recurso compartido. En este caso slo el usuario dave es autorizado a acceder a l. En los puntos anteriores, especificamos que cualquier usuario poda acceder a un recurso compartido de disco. Podemos dar ambos derechos de acceso, el de usuarios autenticados e invitados a un recurso especfico si as lo deseamos. La diferencia entre ambos radica en los derechos de acceso para cada uno de los ficheros. Recuerda que puedes referirte al directorio personal del usuario usando la variable %H. Adems, tambin puedes utilizar las variables de nombre de usuario Unix %u y de nombre de usuario cliente %U en las opciones. Por ejemplo:
[dave] comment= directorio del usuario %U writeable = yes valid users = Dave path = %H

Pgina 14/28

Este ejemplo funciona mientras el usuario Unix que Samba utiliza para referirse al cliente tiene derechos de lectura/escritura sobre el directorio referenciado por la opcin path. En otras palabras, un cliente debe, primero, pasar los mecanismos de seguridad de Samba (por ejemplo, las contraseas encriptadas, la opcin valid users, etc...) as como los permisos sobre ficheros y directorios normales de Unix en el lado Unix de su usuario, antes de que pueda tener acceso de lectura/escritura a un recurso compartido. Con un solo usuario accediendo a su directorio personal, nos ocupamos de los permisos de acceso cuando el sistema operativo crea la cuenta de usuario. En cualquier caso, si ests creando un directorio compartido para acceso de grupo, hay varios pasos adicionales que has de realizar. Vamos a echar un vistazo a un recurso compartido para el departamento de Contabilidad en el fichero smb.conf:
[accounting] comment = Accounting Department Directory writeable = yes valid users = @account path = /home/samba/accounting

La primera cosa que notars que hemos hecho de distinta forma es especificar @account como el usuario vlido en lugar de uno o ms nombres de usuario individuales. Este es un atajo para decir que los usuarios vlidos estn representados por el grupo Unix account. Estos usuarios necesitan ser aadidos al grupo account en el fichero de grupos del sistema (/etc/group o equivalente) para ser reconocidos como parte del grupo. Una vez que lo son, Samba los reconocer como usuarios vlidos para el recurso compartido. Adems, necesitars crear un directorio compartido para que los miembros del grupo tengan acceso, que ser mapeado a travs de la opcin de configuracin path. Estos son los comandos Unix que crearn el directorio compartido para el departamento de Contabilidad (suponemos que /home/samba ya existen).
# mkdir /home/samba/accounting # chgrp account /home/samba/accounting # chmod 770 /home/samba/accounting

1.7.1. El recurso compartido [homes] Vamos a volver a los recursos compartidos de usuario por un momento. Si tenemos varios usuarios a los que dar acceso compartido a sus directorios personales, probablemente queramos utilizar el recurso compartido especial [homes] del que hablamos antes. Con este recurso todo lo que necesitas decir es:
[homes] browseable = no writable = yes

El recurso compartido especial [homes] es una seccin especial del fichero de configuracin de Samba. Si un usuario intenta conectar a un recurso compartido ordinario que no aparece en el fichero smb.conf (como especificndolo con un UNC en Windows Explorer), Samba va a buscar el recurso compartido [homes]. Si no existe, el nombre del recurso compartido enviado a Samba se asume como un nombre de usuario y se busca como tal su contrasea en la base de datos (/etc/passwd o equivalente) del
Pgina 15/28

servidor Samba. Si aparece, Samba asume que el cliente es un usuario Unix intentando conectar a su directorio personal. A modo de ejemplo, supongamos que sofia esta intentando conectar a un recurso compartido llamado [sofia] en el servidor Samba. No hay un recurso compartido con ese nombre en el fichero de configuracin, pero si existe un recurso compartido [homes] y el usuario sofia est presente en la base de datos de contraseas, por lo que Samba sigue los pasos siguientes:

1. Samba crea un nuevo recurso compartido llamado [sofia] con el path especificado en la seccin [homes]. Si no hay una opcin path especificada en la seccin [homes], Samba la inicializa a su directorio personal. 2. Samba inicializa las opciones del nuevo recurso a partir de las opciones por defecto de la seccin [globals], y cualquier opcin superior en [homes] con la excepcin de browseable. 3. Samba conecta al cliente sofia a este nuevo recurso.

El recurso [homes] es una forma rpida y limpia de crear recursos compartidos para tu comunidad de usuarios sin tener que duplicar la informacin de la base de datos de contraseas en el fichero smb.conf. Pero hay varios detalles que hemos de tener en cuenta:

La seccin [homes] puede representar cualquier cuenta en la mquina, lo que no es siempre deseable. Por ejemplo, podra crear un recurso compartido para root, bin, sys, uucp y similares. (Puedes establecer una opcin invalid users para protegerte frente a esto). El significado de la opcin browseable es diferente de los otros recursos; indica slo que la seccin [homes] no aparecer en la lista local de exploracin, pero no que el recurso [alice] no lo har. Cuando se crea la seccin [alice] (despus de la conexin inicial), usara el valor browseable de la seccin [globals] para ese recurso y no el de la seccin [homes].

Como mencionamos, no hay necesidad de una opcin path en [homes] si los usuarios tienen directorios personales Unix en el fichero /etc/passwd del servidor. Has de asegurarte de que exista un directorio personal vlido, de todas formas, Samba no crear automticamente un directorio personal para un usuario, y rechazar una conexin si el directorio personal del usuario no existe o no es accesible.

Pgina 16/28

1.8. CONTROLANDO EL ACCESO A LOS RECURSOS COMPARTIDOS

Con frecuencia, por razones de seguridad, necesitars restringir los usuarios que pueden acceder a un determinado recurso compartido. Esto es muy fcil de hacer con Samba, dado que contiene gran cantidad de opciones para crear prcticamente cualquier configuracin de seguridad. Vamos a estudiar una serie de configuraciones que te pueden interesar para crear la tuya propia.

Hemos visto qu ocurre cuando especificas usuarios vlidos. Sin embargo, tambin puedes establecer una lista de usuarios no vlidos -usuarios a los que nunca les ser permitido acceder a Samba o a sus recursos. Esto se hace con la opcin invalid users. Anteriormente hemos apuntado a un uso frecuente que se le da a esta opcin: Un valor por defecto relacionado con la seccin [homes] para asegurar que determinados usuarios y superusuarios del sistema no pueden ser manipulados o alterados para conseguir acceso a ste. Por ejemplo:
[global] invalid users = root bin daemon adm sync shutdown \ halt mail news uucp operator gopher [homes] browsable = no writeable = yes

La opcin invalid users, como la valid users, puede utilizar tanto nombres de grupo como nombres de usuario. En el caso de que un usuario o grupo apareciese en ambas listas, la opcin invalid users tendra preferencia por lo que a ese usuario o grupo se le denegara el acceso al recurso.

En el otro extremo, puedes especificar, de forma explcita, a qu usuarios se les va a conceder acceso de superusuario (root) a un recurso, a travs de la opcin admin users. Por ejemplo:
[sales] path = /home/sales comment = Fiction Corp Sales Data writeable = yes valid users = tom dick harry admin users = mike

Esta opcin admite tambin nombres de grupo y de usuario. Adems puedes especificar grupos NIS precedindolos con un smbolo @; si este grupo no se encuentra, Samba asumir que te refieres a un grupo estndar de Unix.

Pgina 17/28

S cuidadoso al asignar a un grupo privilegios administrativos sobre un recurso. El equipo desarrollador de Samba recomienda encarecidamente evitar el uso de esta opcin, porque en esencia lo que hace es dar derechos de superusuario sobre ese recurso a los usuarios o grupos especificados. Si deseas forzar derechos de slo lectura o slo escritura a los usuarios que acceden a un recurso, puedes hacerlo con las opciones read list y write list, respectivamente. Estas opciones pueden ser usadas para restringir el acceso a un recurso que tenga derechos de escritura, o para dar derechos de escritura a determinados usuarios sobre un recurso creado como de slo lectura, respectivamente. Por ejemplo:
[sales] path = /home/sales comment = Fiction Corp Sales Data read only = yes write list = tom dick

La opcin write list no prevalece sobre los permisos de Unix. Es decir, si t creaste el recurso sin dar a los usuarios de la lista write list permisos de escritura sobre el sistema Unix, les ser denegado ese derecho independientemente del valor de la opcin write list.
Opcin admin users Parmetros Funcin Defecto mbito Recurso

Cadena (lista Indica la lista de usuarios que pueden de nombres Ninguno efectuar operaciones como "root". de usuario). Cadena (lista Indica la lista de usuarios que pueden de nombres Ninguno conectarse a un recurso. de usuario). Cadena (lista Indica la lista de usuarios que NO de nombres Ninguno tendrn acceso a un recurso. de usuario). Cadena (lista Indica la lista de usuarios que tendrn de nombres nicamente derecho de solo-lectura Ninguno de usuario). sobre un recurso modificable. Cadena (lista Indica la lista de usuarios que tendrn de nombres derecho de lectura-escritura sobre un Ninguno de usuario). recurso de solo-lectura. Valor numrico. Indica el mximo nmero de conexiones permitidas para un recurso 0 en un momento dado.

valid users

Recurso

invalid users

Recurso

read list

Recurso

write list

Recurso

max connections guest only (only guest) guest account

Recurso

Valor lgico Indica si ese recurso permite solo no (Si/No). acceso de invitado. Cadena Indica la cuenta que se utilizar para (nombre de nobody el acceso de invitado. una cuenta).

Recurso

Recurso

Tabla 4: Control de Acceso a los Recursos

Pgina 18/28

1.9. ACCEDER A UNA CARPETA COMPARTIDA WINDOWS

Mediante dolphin: smb:/maquina/recurso

1.10. HERRAMIENTAS GRFICAS

system-config-samba swat

(Fedora)

(web, pero CUIDADO, crea un fichero smb.conf propio)

Instalar el paquete samba-swat Abrir el cortafuegos puerto 901/tcp

# chkconfig smb on # chkconfig nmb on # chkconfig swat on

Reiniciar la mquina. Para acceder utilizar un navegador http://127.0.0.1:901 usuario/contrasea de root del sistema.

smb4k:

Recursos compartidos con KDE.

Instalar kdenetwork para que funcione compartir carpetas con dolphin.

1.11. VERIFICAR EL FICHERO DE smb.conf

Utilizaremos el comando testparm.

1.12. SELinux
SELinux (del ingls Security-Enhanced Linux, Seguridad Mejorada de Linux) es una caracterstica de seguridad de Linux que provee una variedad de polticas de seguridad, incluyendo el estilo de acceso a los controles del Departamento de Defensa de Estados Unidos (http://www.nsa.gov/research/selinux/index.shtml), a travs del uso de mdulos de Seguridad en el ncleo Linux. No es una distribucin de Linux, sino un conjunto de modificaciones que pueden ser aplicadas a un sistema tipo Unix como Linux y BSD.

Si se quiere compartir un directorio se han de llevar a cabo las siguientes modificaciones de seguridad: Compartir ficheros pblicos Para compartir ficheros en modo de slo lectura:
# setsebool -P samba_export_all_ro on

Para compartir ficheros en modo lectura/escritura:

# setsebool -P samba_export_all_rw on Pgina 19/28

SELinux requires files to have an extended attribute to define the file type. Policy governs the access daemons have to these files. If you want to share files other than home directories, those files must be labeled samba_share_t. So if you created a special directory /var/eng, you would need to label the directory with the chcon tool.
# chcon -R -t samba_share_t /var/eng

If you want to make this permanent, i.e. survive a relabel, you must add
# emanage fcontext -a -t samba_share_t "/var/eng(/.*)?"

Use ls -ldZ /path to see which context a directory has. Esto se debe aplicar a cualquier nuevo directorio que se cree que no est dentro de uno ya creado.

Compartiendo los directorios HOME By default SELinux policy turns off SELinux sharing of home directories. If you are setting up this machine as a Samba server and wish to share the home directories, you need to set the samba_enable_home_dirs boolean.
# setsebool -P samba_enable_home_dirs 1

If you want to share home directories via samba please run:

# setsebool -P samba_enable_home_dirs on

Existe un comando para realizar estas tareas de forma grfica:

# system-config-selinux

Si se desea consultar el manual en lnea:

# man samba_selinux

Pgina 20/28

2. NFS
El Network File System (Sistema de archivos de red), o NFS, es un protocolo de nivel de aplicacin, segn el Modelo OSI. Es utilizado para sistemas de archivos distribuidos en un entorno de red de computadoras de rea local. Posibilita que distintos sistemas conectados a una misma red accedan a ficheros remotos como si se tratara de locales. Originalmente fue desarrollado en 1984 por Sun Microsystems, con el objetivo de que sea independiente de la mquina, el sistema operativo y el protocolo de transporte, esto fue posible gracias a que est implementado sobre los protocolos XDR (presentacin) y ONC RPC (sesin) . El protocolo NFS est incluido por defecto en los Sistemas Operativos UNIX y la mayora de distribuciones Linux.

Caractersticas

El sistema NFS est dividido al menos en dos partes principales: un servidor y uno o ms clientes. Los clientes acceden de forma remota a los datos que se encuentran almacenados en el servidor. Las estaciones de trabajo locales utilizan menos espacio de disco debido a que los datos se encuentran centralizados en un nico lugar pero pueden ser accedidos y modificados por varios usuarios, de tal forma que no es necesario replicar la informacin. Los usuarios no necesitan disponer de un directorio home en cada una de las mquinas de la organizacin. Los directorios home pueden crearse en el servidor de NFS para posteriormente poder acceder a ellos desde cualquier mquina a travs de la infraestructura de red. Tambin se pueden compartir a travs de la red dispositivos de almacenamiento como disqueteras, CD-ROM y unidades ZIP. Esto puede reducir la inversin en dichos dispositivos y mejorar el aprovechamiento del hardware existente en la organizacin.

Todas las operaciones sobre ficheros son sncronas. Esto significa que la operacin slo retorna cuando el servidor ha completado todo el trabajo asociado para esa operacin. En caso de una solicitud de escritura, el servidor escribir fsicamente los datos en el disco, y si es necesario, actualizar la estructura de directorios, antes de devolver una respuesta al cliente. Esto garantiza la integridad de los ficheros.

Versiones Hay tres versiones de NFS actualmente en uso.

La versin 2 de NFS (NFSv2), es la ms antigua y est ampliamente soportada por muchos sistemas operativos.
Pgina 21/28

La versin 3 de NFS (NFSv3) tiene ms caractersticas, incluyendo manejo de archivos de tamao variable y mejores facilidades de informes de errores, pero no es completamente compatible con los clientes NFSv2. NFS versin 4 (NFSv4) incluye seguridad Kerberos, trabaja con cortafuegos, permite ACLs y utiliza operaciones con descripcin del estado.

2.1. INSTALACIN DEL SERVICIO

NFS ya viene instalado por defecto en multitud de servidores Linux. Para instalar el servicio ejecutaremos:
# yum install nfs-utils nfs-utils-lib

Hemos de abrir los puertos NFS4: 2049 tcp/udp y los puertos: 111 tcp/udp

2.2. COMPARTIR EN EL SERVIDOR

Existen tres formas de configurar un servidor NFS bajo Fedora Linux: usando la Herramienta de configuracin del servidor NFS ( system-config-nfs), modificando manualmente su archivo de configuracin (/etc/exports), o utilizando el comando /usr/sbin/exportfs. 2.2.1. El archivo de configuracin /etc/exports El archivo /etc/exports controla qu sistemas de archivos son exportados a las mquinas remotas y especifica opciones. Las lneas en blanco son ignoradas, se pueden comentar lneas con el smbolo # y las lneas largas pueden ser divididas con una barra invertida (\). Cada sistema de archivos exportado debe tener su propia lnea y cualquier lista de hosts autorizadas colocada despus de un sistema de archivos exportado, debe estar separada por un espacio. Las opciones para cada uno de los hosts deben ser colocadas entre parntesis directamente detrs del identificador del host, sin ningn espacio de separacin entre el host y el primer parntesis.

Una lnea para un sistema de archivos exportado tiene la estructura siguiente:

<dir_export1> <host1>(<options>) ... <dir_exportN> <hostN>(<options>)

En esta estructura, reemplace <export> con el directorio a exportar, reemplace <host1> con el host o la red a la cual va a compartir el directorio y reemplace <options> por las opciones para ese host o red. Los hosts adicionales se pueden especificar en una lista separada por espacios.

Pgina 22/28

Se pueden usar los mtodos siguientes para especificar nombres de host:

host nico Cuando una mquina en particular es especificada con nombre completo de dominio, nombre de mquina o direccin IP. comodines Usamos un carcter * o ? para referirnos a un grupo de nombres completos de dominio o direcciones IP o que coincidan con una cadena particular de letras. Los comodines no se deberan utilizar con direcciones IP; sin embargo, es posible para estos funcionar accidentalmente si fallan las bsquedas de DNS inversas. Tenga cuidado cuando especifique comodines con nombres de dominio completos, pues tienden a ser ms exactos de lo que usted cree. Por ejemplo, el uso de *.ejemplo.com como comodn, permitir a ventas.ejemplo.com acceder al sistema de archivos exportado, pero no a bob.ventas.ejemplo.com. Para coincidir ambas posibilidades, debera usar *.ejemplo.com y tambin *.*.ejemplo.com

redes IP Permite la coincidencia de hosts basados en sus direcciones IP dentro de una red ms grande. Por ejemplo, 192.168.0.0/28 permite al acceso a las primeras 16 direcciones IP, desde la 192.168.0.0 a la 192.168.0.15, acceder al sistema de archivos exportado, pero no a la 192.168.0.16 y superiores.

En su forma ms sencilla, el archivo /etc/exports slo especifica el directorio a exportar y los hosts que pueden usarlo, como en el ejemplo siguiente:
/exported/directory bob.example.com

En el ejemplo, bob.example.com puede montar /exported/directory/. Como no se especifica ninguna opcin en este ejemplo, tomarn efecto las siguientes opciones predeterminadas de NFS:

ro Se montan los sistemas de archivos como de slo lectura (read-only). Los host remotos no pueden hacer cambios a los datos compartidos en el sistema de archivos. Para permitir que los hosts puedan hacer cambios, debe especificar la opcin rw (lectura-escritura, read-write). wdelay Provoca que el servidor NFS retrase el escribir a disco si sospecha que otra peticin de escritura es inminente. Esto puede mejorar el rendimiento reduciendo las veces que se debe acceder al disco por comandos de escritura separados. Use no_wdelay para desactivar esta opcin, la cual slo funciona si est usando la opcin sync. root_squash Previene a los usuarios root conectados remotamente de tener privilegios como root asignndoles el id del usuario de nobody. Esto reconvierte el poder del usuario root remoto al de usuario local ms bajo, previniendo la alteracin desautorizada de archivos en el servidor remoto. Alternativamente, la opcin no_root_squash lo desactiva. Para reconvertir a todos los usuarios, incluyendo a root, use la opcin all_squash. Para especificar los ID de usuario y grupo para usar con usuarios remotos desde un host particular, utilice las opciones anonuid y anongid, respectivamente. De esta manera, puede crear una
Pgina 23/28

cuenta de usuario especial para que los usuarios NFS remotos compartan y especificar (anonuid=<uid-value>,anongid=<gid-value>), donde <uid-value> es el nmero de ID del usuario y <gid-value> es el nmero de ID del grupo.

Ejemplos:
/tmp 192.168.0.10(ro) /usr/local 192.168.0.0/255.255.255.0(rw) /export *

2.2.2. El comando exportfs Cada sistema de archivos que se exporta a usuarios remotos a travs de NFS, as como los niveles de acceso relativos a ellos, son listados en el archivo /etc/exports. Cuando comienza el servicio nfs, se lanza el comando /usr/sbin/exportfs y lee este archivo. Cuando se ejecuta manualmente, el comando exportfs permite al superusuario exportar o no de forma selectiva, directorios concretos sin reiniciar los servicios NFS. Cuando se le pasan las opciones apropiadas, el comando exportfs escribe los sistemas de archivos exportados a /var/lib/nfs/xtab. Los cambios en la lista de sistemas de archivos exportados toman efecto inmediatamente.

Lo siguiente es una lista de las opciones ms comunes disponibles para exportfs:

-r Provoca que todos los directorios listados en /etc/exports sean exportados construyendo una nueva lista de exportacin en /etc/lib/nfs/xtab. Esta opcin refresca la lista de exportacin con cualquier cambio que hubiramos realizado en /etc/exports. -a Provoca que todos los directorios sean exportados o no, dependiendo de qu otras opciones hemos pasado a /usr/sbin/exportfs. Si no se pasan otras opciones, exportfs exporta todos los sistemas de archivos especificados en /etc/exports. -o sistema-de-archivos Permite especificar directorios a exportar que no estn listados en /etc/exports. Reemplace sistema-de-archivos con los sistemas de archivos adicionales a exportar. Estos sistemas de archivos deben tener el mismo formato en que fueron especificados en /etc/exports. Esta opcin se utiliza a menudo para probar un sistema de archivos antes de aadirlo de forma permanente a la lista de sistemas a exportar. -u No exporta todos los directorios compartidos. El comando exportfs -ua suspende la comparticin de archivos NFS mientras que mantiene todos los demonios NFS activos. Para reactivar NFS, teclee exportfs -r. -v Operacin descriptiva, donde los sistemas de archivos exportados o dejados de exportar son mostrados en gran detalle al ejecutarse el comando exportfs.
Pgina 24/28

Si no se pasan opciones al comando exportfs, mostrar una lista de los sistemas de archivos actualmente exportados. Una vez que se haya modificado el fichero /etc/exports se lo indicamos mediante:
# exportfs -ra

2.3. CONECTAR CON DIRECTORIOS EN EL CLIENTE

Si deseamos ver qu carpetas estn compartidas en una mquina servidora NFS, desde la maquina cliente ejecutar este comando:
#showmount -e ipdelservidor

nos dar como resultado un listado de las carpetas compartidas. Por ejemplo:
# showmount -e 192.168.4.66 Export list for 192.168.4.66: /home/nfs/tools 192.168.4.0/24

Si es as procedemos a montar el directorio en nuestra maquina cliente:

Creamos en directorio (si no existe ya) donde lo queremos montar:

# mkdir /mnt/nfs_mount/

Y montamos:
# mount -t nfs ipdelservidor:/home/nfs/tools/ /mnt/nfs_mount/

Y listo, ahora bien si queremos que se monte automticamente cuando iniciemos nuestro equipo podemos agregarlo en nuestro archivo /etc/fstab:
ipdelservidor:/home/nfs/tools/ /mnt/nfs_mount/ nfs user,exec,dev,nosuid,rw,auto 0 0

2.4. SEGURIDAD
La prudencia nos aconseja editar los ficheros /etc/hosts.allow y /etc/hosts.deny para acabar de especificar qu ordenadores de la red pueden usar los servicios del servidor. La documentacin del NFS recomienda las siguientes entradas

/etc/hosts.deny portmap:ALL lockd:ALL mountd:ALL rquotad:ALL statd:ALL

Pgina 25/28

/etc/hosts.allow portmap:192.168.0.0/255.255.255.0 lockd:192.168.0.0/255.255.255.0 mountd:192.168.0.0/255.255.255.0 rquotad:192.168.0.0/255.255.255.0 statd:192.168.0.0/255.255.255.0

Para una red privada esto puede ser suficiente. De todos modos podramos hacer una configuracin mucho ms fina especificando para cada servicio las direcciones IP que tendrn acceso a l.

2.5. HERRAMIENTAS GRFICAS

Para el modo grfico necesitaremos instalar la herramienta de configuracin:
# yum install system-config-nfs

Para ejecutar la herramienta nos vamos a Sistema > Administracin > NFS

2.6. PROBLEMAS CON EL CORTAFUEGOS Y FEDORA

Con Fedora existe un problema con el servidor NFS. Asigna direcciones IP variables a varios servicios RPC necesarios. Se puede apreciar con el siguiente comando:
# rpcinfo -p localhost

La solucin est en utilizar la herramienta grfica, system-config-nfs y fijar los puertos del servidor de forma esttica como, por ejemplo, los que se muestran a continuacin. Despus se abrirn los puertos en el cortafuegos tanto tcp como udp.

rpc.lockd 4001 rpc.mountd 4002 rpc.statd 4000 rpc.rquotad 4003

Pgina 26/28

2.7. WINDOWS COMO CLIENTE NFS

Windows, utilizando herramientas propias, nos permite conectar a servidores NFS. Hay que tener en cuenta que tiene varios inconvenientes, y si queremos una red de equipos con distintos sistemas operativos, se recomienda encarecidamente utilizar Samba. Descargamos el software Servicios de Windows para UNIX 3.5 desde http://www.microsoft.com/downloads/details.aspx?familyid=896C9688-601B-44F181A4-02878FF11778&displaylang=en

Lanzamos el asistente de instalacin, aceptamos la licencia y elegimos Custom Instalation

Desactivamos todas las entradas excepto Client for NFS y Authentication tools for NFS

Continuamos, finalizamos y reiniciamos el equipo

Pgina 27/28

En cualquier explorador de Windows, elegimos Herramientas -> Conectar a unidad de red. Elegimos letra de unidad y en carpeta, introducimos los datos de acceso con la siguiente estructura:
servidor:/ruta_al/recurso_compartido/

Finalizamos y nos saldr una confirmacin con el usuario por el cual se est conectando al servidor nfs. Si es correcto, aceptamos y todo perfecto. Si no es correcto el usuario (el caso ms normal) y aceptamos, seguramente se monte correctamente, pero tengamos acceso de slo lectura.

3. BIBLIOGRAFA

http://www.samba.org/ http://www.arrakis.es/~pfabrega/t1.html Samba, Editorial Anaya-Multimedia OReilly. Gerarld Carter, Jay Ts y Robert Eckstein.

http://www.fedoraguide.info/index.php?title=Main_Page http://www.linux-cd.com.ar/manuales/usando-samba/node1.html

RFC 1094 Especificacin del protocolo versin 2. (en ingls) RFC 1813 Especificacin del protocolo versin 3. (en ingls) RFC 3530 Especificacin del protocolo versin 4. (en ingls) http://web.mit.edu/rhel-doc/4/RH-DOCS/rhel-rg-es-4/ch-nfs.html

Pgina 28/28