23/3/2014

Configurao definitiva do Samba [Artigo]

Configurao definitiva do Samba

Autor: Celso Alexandre <cjunior47 at hotmail.com> Data: 12/03/2014 Introduo Para o compartilhamento de diretrios via rede, com a possibilidade de configurar permisses de controle de acesso, o Samba sobressai-se sobre os concorrentes. Alm de que, o mesmo tambm capaz de compartilhar diretrios de um sistema de arquivos Linux (ext, JFS...) atravs da rede, possibilitando o acesso ao mesmo, utilizando o protocolo cliente smb, para distribuies GNU/Linux, e o prprio Windows Explorer (explorador de diretrios), para sistemas operacionais Microsoft Windows.

Vantagens
Em relao ao seu concorrente proprietrio ($$), o sistema operacional Microsoft Windows Server, o Samba muitssimo mais completo, apresenta menos erros (conhecidos tambm como bugs), alm do que, como o software Samba deve ser instalado em um servidor GNU/Linux, a possibilidade de ter o servidor infectado por malware (vrus, cavalos de troia, worms, etc), MNIMA. E, por fim, a configurao de permisso de acesso de diretrios feita INTEIRAMENTE utilizando ferramentas da distribuio GNU/Linux, o que torna muitas das tcnicas hacking ineficazes.

Desvantagem
Ento, qual o principal motivo de o mercado utilizar, principalmente, Windows Server para tal servio, voc se pergunta? Simples: em sistemas Windows, configurar o sistema para compartilhar diretrios brincadeira de criana, j em sistemas Linux, o arquivo de configuraes do Samba assustador para quem nasceu no mundo do "mas onde que clica?". Porm, ao trmino da configurao, o sistema durar por muitos anos (se no, eternamente), se tudo depender do sistema operacional, pois no h agentes "feitos para destruir o sistema", como em outros sistemas operacionais proprietrios.

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

1/11

23/3/2014

Configurao definitiva do Samba [Artigo]

Concluso
No mundo Windows, a configurao simples e rpida, porm, a mesma precisar ser refeita de tempos em tempos, pois, todo tipo de Malware est preparado para destruir o sistema, alm disso, erros de sistema sero frequentes, confundindo o usurio e o setor de TI da empresa. Utilizando um servidor GNU/Linux, por vias normais, a configurao mais lenta, porm, uma vez terminada a configurao do mesmo, a equipe de TI apenas necessitar pensar em "como agregar funes a mais". Chega de enxaquecas e gastos desnecessrios com manuteno!

Etapa 1

Instalando o Samba e criando os diretrios a serem compartilhados

Vamos botar a mo na massa! A configurao ser feita em um servidor Debian 7 (Wheezy), porm, pode ser adaptada facilmente para CentOS, Red Hat e outras distribuies GNU/Linux. Utilizaremos um terminal modo texto.

Instalao
Instale o pacote samba em seu servidor Debian: # aptitude install samba Ou: # apt-get install samba Aps a instalao, ser criado o arquivo de configuraes do servidor Samba. Localizao do arquivo: /etc/samba/smb.conf

Configurao: Parte 1 - Criando os diretrios

Antes de comear a criar os diretrios que, posteriormente, estaro disponveis via rede, planeje no papel quantos departamentos (grupos de pessoas/usurios) sua empresa possui.
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650 2/11

23/3/2014

Configurao definitiva do Samba [Artigo]

Crie um diretrio no caminho de sua preferncia, em seu sistema de arquivos: # mkdir /samba Em seguida, crie um subdiretrio para cada departamento de sua empresa: # mkdir /samba/marketing # mkdir /samba/"departamento pessoal" # mkdir /samba/direo Obs.: a forma mais simples de criar um diretrio que contm nome espaado em GNU/Linux, digitando-se apenas o nome espaado entre aspas (ex.: "diretrio com nome espaado"). Depois de criado os subdiretrios, a etapa 1 estar terminada.

Etapa 2

Configurao: Parte 2 - Arquivo de configurao do Samba

O Samba, assim como muitos outros servidores GNU/Linux, deve ser configurado alterando-se os parmetros presentes em um arquivo de configurao, e estes parmetros alterados, sero ento, futuramente, carregados nas variveis do software servidor, durante sua inicializao. O arquivo de configurao do Samba encontra-se em: /etc/samba/smb.conf recomendvel renomear o arquivo, pois, iniciaremos a configurao de nosso servidor a partir do zero! # mv /etc/samba/smb.conf /etc/samba/smb.conf.original Aqui, utilizaremos o editor de textos Nano, por ser o editor de textos padro do GNU/Linux, isto , o mesmo encontra-se por padro, em qualquer distribuio GNU/Linux, ao contrrio do Vim/Vi, entre outros: # nano /etc/samba/smb.conf Em seu terminal, neste momento, voc deve estar visualizando um arquivo novo, recm-criado por voc, utilizando o editor de textos Nano. O arquivo de configuraes Samba est dividido em sees, e cada seo representada da seguinte forma: "[nome da seo 1]" "[nome da seo 2]"... Para configurar o Samba, iniciaremos pela seo global.

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

3/11

23/3/2014

Configurao definitiva do Samba [Artigo]

# A seo global contm parmetros de configuraes globais, os quais sero aplicados a todo o #servidor, e a todo compartilhamento. [global] server string = nomedoserver #Nome DNS netbios name = nomedoserver #Nome NetBIOS workgroup = WORKGROUP #Grupo de trabalho das mquinas Windows #Opes para security: # none - Nada de senhas! # user - Requer uma senha Unix, mesmo antes mesmo de escolher o compartilhamento ao qual #pretende acessar. # share - Requere uma senha Unix, apenas se ao acessar o compartilhamento voc no tiver #permisses para acess-lo. security = share #No arquivo de log, sero armazenadas informaes sobre cada conexo realizada ao servidor. #'%m' uma varivel que corresponde ao nome da mquina que acessar o servidor Samba. log file = /var/logs/samba/samba.log #para um log centralizado #log file = /var/logs/samba/%m.log #para um log por mquina conectada Depois de terminada a configurao global, deve-se configurar os compartilhamentos: #Compartilhando #[nome do compartilhamento] [Publicidade e Marketing] comment = Acesso Restrito ao setor de Marketing path = /samba/marketing public = yes #Acesso sem senha, pblico (yes ou no) writable = yes #Permitir alteraes no diretrio? (yes ou no) #valid users = deixe para mais tarde #Mais tarde! J possvel testar nossas configuraes. Vamos, para isso reiniciar o servio do Samba: # /etc/init.d/samba restart Ou: # /etc/init.d/samba stop # /etc/init.d/samba start Ou: # service samba restart Ou ainda: # service samba stop # service samba start
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650 4/11

23/3/2014

Configurao definitiva do Samba [Artigo]

Vamos testar nossa configurao! Em um computador Windows, presente na mesma rede e configurado no mesmo grupo de trabalho do Samba, chame o dilogo Executar, e ento, digite: \\[server string] E aperte: OK

Caso tenha escolhido o valor none ou share para o parmetro security, nenhum prompt de senha ser apresentado. Caso tenha escolhido o valor user para security, terminaremos a configurao na seo "Configurao - Parte 3 (Configurando Permisses)". Voc, provavelmente, ter acesso com permisses de somente leitura ao diretrio "Publicidade e Marketing". Configuraremos isso mais tarde.

Curiosidade
Sabe por que no se deve convidar usurios ao servidor, com frases do gnero: "Bem-Vindo ao compartilhamento..."? Certa vez, um hacker invadiu um dos servidores de uma certa empresa, e ao ter acesso ao shell da empresa, recebeu a seguinte mensagem "Bem-Vindo empresa y". Mais tarde, o mesmo foi descoberto, e julgado em tribunal. Porm, o mesmo alegou ter sido "bem recebido" na empresa, e ganhou a causa, sem sofrer penalidades. Agora, lhe pergunto: Voc convidaria um hacker ao seu servidor?

Etapa 3
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650 5/11

23/3/2014

Configurao definitiva do Samba [Artigo]

Configurando permisses - Usurios e Grupos

Agora, vamos sair um pouco do arquivo de configuraes do Samba e criarmos os usurios que realizaro login via rede atravs do Samba. Os usurios do Samba, assim como citado anteriormente, so usurios comuns do GNU/Linux. Vamos cri-los. # useradd joana_dark # useradd diego_hipolito # useradd maradonna Os trs usurios acima, sero usurios do Samba, pertencentes ao grupo marketing. Porm, para cada um deles, foi criado um diretrio /home. Abaixo, segue os mesmos comandos, porm, com parmetros que impossibilitaro o uso do login e senha para login local no servidor, e negaro a criao de uma pasta pessoal (/home/[usurio]): # useradd --disabled-login --no-create-home joana_dark # useradd --disabled-login --no-create-home diego_hipolito # useradd --disabled-login --no-create-home maradonna Os usurios acima, foram criados sem qualquer tipo de senha, pois, os usurios do Samba no necessitam de uma senha de logon no GNU/Linux, portanto, configurar uma senha opcional. Vamos adicionar estes usurios para serem utilizados no Samba: # smbpasswd -a joana_dark # smbpasswd -a diego_hipolito # smbpasswd -a maradonna J se pode testar o login destes usurios em seu servidor Samba, utilizando um cliente Microsoft Windows. * Aviso: logar no quer dizer "acesso garantido aos diretrios", isso ainda estamos ao passo de configurar. Para facilitar a administrao e ter compartilhamentos Samba extremamente seguros, devemos organizar os usurios em grupos. Em uma empresa, muito simples: o nome dos grupos de usurios devero ser os mesmos de cada departamento da empresa. Vamos criar o(s) grupo(s): # addgroup marketing # addgroup departamento_pessoal # addgroup direcao Neste exemplo, apesar de criarmos trs grupos, apenas o grupo marketing ser configurado.
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650 6/11

23/3/2014

Configurao definitiva do Samba [Artigo]

Agora, vamos agrupar os funcionrios da empresa nos grupos correspondentes, de acordo com o seu departamento. Em nosso caso, os trs funcionrios pertencero ao mesmo grupo (departamento) marketing: # adduser joana_dark marketing # adduser diego_hipolito marketing # adduser maradonna marketing

Etapa 4

Configurao: Parte 3 - Configurando Permisses (Permisses de acesso e segurana)

Primeiramente, vamos criar um diretrio pessoal para cada um dos trs membros do grupo marketing: # mkdir /samba/marketing/maradonna # mkdir /samba/marketing/diego_hipolito # mkdir /samba/marketing/joana_dark * Aviso: os nomes dos diretrios no necessitam ser os mesmos que o do usurio. Primeiramente, ao diretrio raiz do departamento, iremos configurar quem o "comandar", e o grupo de usurios que o comandar: # chown root.marketing /samba/marketing O comando chown (change owner), segue a seguinte sintaxe: chown [usurio_dono].[grupo_dono] [diretrio] Voc deve estar perguntando-se: mas, por que devemos ter o usurio root de dono, uma vez que o mesmo sempre possui acesso irrestrito a todos os diretrios? E a resposta simples: o usurio dono, neste momento no ser importante. O mais importante que o grupo marketing agora, dono de seu prprio diretrio. timo! Agora, vamos a uma das partes mais divertidas, a configurao das permisses. A partir deste momento, o diretrio /samba/marketing pertence ao usurio root, tambm ao grupo marketing e a todos os membros deste grupo. extremamente recomendvel conhecer permisses (chmod) a partir deste ponto.
http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650 7/11

23/3/2014

Configurao definitiva do Samba [Artigo]

# chmod 000 /samba/marketing Sintaxe do comando: chmod [permisso_usurio_dono][permisso_grupo_dono] [permisso_para_qualquer_outro_usurio] [diretrio] Para cada permisso (dono, grupo, ou outros usurios), pode-se atribuir um nmero entre 0 e 7, para permitir o nvel de acesso ao diretrio especificado. Abaixo, ser explicado cada nvel de acesso, sem maiores detalhes:
P e r m i s s o x w w x r r x r w r w x B i n r i o D e c i m a l 0 0 0 0 0 0 1 1 0 1 0 2 0 1 1 3 1 0 0 4 1 0 1 5 1 1 0 6 1 1 1 7

Fonte: www.infowester.com Onde: R - Read (Leitura) :: Permisso de "olhar" o contedo. W - Write (Escrita) :: Permisso de gravar novos arquivos e alterar os j existentes. X - Execution (Execuo) :: Permisso de abrir o diretrio e abrir arquivos que esto no mesmo. Se no compreendeu permisses GNU/Linux, voc deve estudar sobre a mesma, e o link acima, o auxiliar muito em seu aprendizado. Vamos analisar novamente o comando digitado anteriormente: # chmod 000 /samba/marketing
U s u r i o 0 L e i t u r a = n e g a d a , E s c r i t a = n e g a d a , E x e c u o = n e g a d a . G r u p o 0 L e i t u r a = n e g a d a , E s c r i t a = n e g a d a , E x e c u o = n e g a d a . O u t r o su s u r i o s( n od o n o s ) 0 L e i t u r a = n e g a d a , E s c r i t a = n e g a d a , E x e c u o = n e g a d a .

Sendo assim, ningum ter acesso ao diretrio, correto? Vamos ser bonzinhos, e liberar o acesso ao usurio e ao grupo? Planejando...

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

8/11

23/3/2014

Configurao definitiva do Samba [Artigo]

- O usurio (root) poder receber qualquer permisso. - O grupo receber acesso de leitura e execuo (r-x - 5). - Qualquer outro usurio ter seu acesso completamente negado! # chmod 750 /samba/marketing
U s u r i o 7 L e i t u r a = c o n c e d i d a , E s c r i t a = c o n c e d i d a , E x e c u o = c o n c e d i d a . G r u p o 5 L e i t u r a = n e g a d a , E s c r i t a = n e g a d a , E x e c u o = c o n c e d i d a . O u t r o su s u r i o s( n od o n o s ) 0 L e i t u r a = n e g a d a , E s c r i t a = n e g a d a , E x e c u o = n e g a d a .

Reinicie os daemons do Samba: # /etc/init.d/samba restart Pronto, agora experimente acessar o servidor Samba de um cliente Windows, acesse o diretrio compartilhado Marketing e uma senha lhe ser pedida. Voc deve, apenas, poder ver o contedo do diretrio, mas no poder alter-lo. Ainda no pode acessar o diretrio? Isso comum e ser resolvido assim que alterarmos algumas configuraes do arquivo de configuraes do Samba, ok? No se desespere. Iremos agora, tornar os usurios pertencentes ao grupo marketing donos de seus prprios subdiretrios: # chown maradonna.marketing /samba/marketing/maradonna # chown diego_hipolito.marketing /samba/marketing/diego_hipolito # chown joana_dark.marketing /samba/marketing/joana_dark Agora, cada usurio dono de um diretrio diferente, e, alm disso, o grupo tambm dono de cada diretrio dos usurios do grupo marketing. Vamos configurar o nvel de acesso de cada usurio, para cada um dos trs diretrios: # chmod 750 /samba/marketing/maradonna # chmod 750 /samba/marketing/diego_hipolito # chmod 750 /samba/marketing/joana_dark Vamos analisar o comando. # chmod 750 /samba/marketing/joana_dark O usurio dono (joana_dark) recebeu a permisso 7 (acesso total), os membros do grupo marketing receberam a permisso 5 (r-x - Read & Execution - Leitura + Execuo), permitindo a estes, acessarem o diretrio livremente, porm, no podero alterar ou salvar quaisquer dados.

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

9/11

23/3/2014

Configurao definitiva do Samba [Artigo]

Etapa 5

Configurao: Parte 3 - Configurando Permisses (Realizando alteraes no arquivo de configurao do Samba)

# nano /etc/samba/smb.conf Oba! Estamos novamente configurando o smb.conf. Faremos agora, os ajustes finais. #Compartilhando #[nome do compartilhamento] [Publicidade e Marketing] comment = Acesso Restrito ao setor de Marketing path = /samba/marketing public = no #Acesso sem senha, pblico (yes ou no) writable = yes #Permitir alteraes no diretrio? (yes ou no) valid users = @marketing #Apenas os membros do grupo marketing acessaro o compartilhamento. force group = marketing #Fora o acesso do grupo marketing somente. Salve o documento e, em seguida, reinicie os daemons do Samba: # /etc/init.d/samba restart E este o fim do processo de configurao de um servidor Samba.

Quer mais? Que tal gerenciar o seu servidor com o WEB Admin para o Samba, o SWAT? # aptitude install swat Aps a instalao, abra seu navegador de Internet preferido e digite o seguinte endereo na barra de endereos de seu navegador: http://localhost:901

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

10/11

23/3/2014

Configurao definitiva do Samba [Artigo]

Quer baixar este tutorial em PDF para consult-lo sempre que precisar? Clique aqui, para fazer o download.

http://www.vivaolinux.com.br/artigo/Configuracao-definitiva-do-Samba Voltar para o site

http://www.vivaolinux.com.br/artigos/impressora.php?codigo=14650

11/11