file:///E|/documentacao/artigos/samba2.

html

Samba - Aspectos Avanados

Por Conectiva Informtica e Time de Desenvolvimento do Samba

Certamente, no momento em que iniciamos a implantao de uma rede, nos deparamos com diversos aspectos no previstos, porm muitas vezes j solucionados por outros usurios em ocasies similares. Apresentamos a seguir uma coletnea de importantes informaes para quem quer utilizar o Linux com Samba em uma rede heterognea. Temas Abordados: 1. Alterando as Permisses Un*x Usando Dilogos NT 2. O Utilitrio smbpasswd 3. O Utilitrio smbstatus 4. O Utilitrio smbtar 5. Os Utilitrios testparm e testprns 6. Samba Como Servidor de Aplicaes 7. Listando os Compartilhamentos Disponveis na Rede 8. Testando O Funcionamento de um Servidor Samba 9. Juntando-se A Um Domnio NT Com Samba 2.0

Alterando as Permisses Un*x Usando Dilogos NT

Uma das novidades da mais recente verso do Samba a habilidade de suportar que clientes Windows NT possam usar sua interface nativa de configurao de segurana para ver e modificar as permisses no Linux.

1 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

Para tanto, deve ser especificado o parmetro "nt acl support=true", o qual permite a manipulao das permisses. Este parmetro definido na seo [global] do arquivo smb.conf. Para desabilitar esta funcionalidade basta informar "nt acl support = no" na mesma seo. Para visualizar e alterar as permisses de um arquivo no Linux a partir do NT 4.0, clique com o boto direito do mouse em qualquer arquivo ou diretrio de um dispositivo montado via Samba. Quando surgir o menu, clique no boto Propriedades, o qual apresentar a janela de propriedades do arquivo. Porm com o Samba 2.0.4. existir uma nova tabela no topo identificada como Segurana. Ao se clicar sobre esta tabela sero apresentados trs botes: Permisses, Auditoria e Propriedade. A seleo de Propriedade apresentar o nome do servidor e o nome do usurio ao qual o arquivo pertence. H um comando que permite a alterao de propriedades do arquivo, o qual possibilita que um usurio com privilgios de administrador conecte-se com um servidor Samba e altere arquivos em sistemas de arquivos NTFS locais, remotos ou dispositivos Samba. Esta funcionalidade est disponvel como parte da biblioteca de segurana Seclib NT escrita por Jeremy Allison do time Samba, disponvel em http://www/samba.org.

O Utilitrio smbpasswd
Este o programa utilizado para alterar uma senha SMB e faz parte do conjunto de aplicativos Samba. Ele pode executar diversas outras funes, dependendo do usurio que esteja executando o programa. Ao ser executado por um usurio normal, ele permite que a senha para as sesses SMB sejam alteradas. Por padro, ao ser informado sem argumentos, ele age de forma similar ao comando passwd (1). As senhas so armazenadas no arquivo smbpasswd. Porm para tanto preciso que o servidor Samba (smbd) esteja ativo. Este utilitrio pode ainda alterar a senha do usurio em mquinas remotas como em um servidor Primrio de um Domnio Windows NT. Ao ser utilizado pelo superusurio, ele permite que novos usurios sejam adicionados ou que antigos usurios sejam removidos, assim como possvel realizar alteraes dos atributos de usurios j cadastrados. Uma vez que o smbpasswd funciona no modo cliente-servidor, comunicando-se com um servidor smbd, para usurios normais, logo este deve estar ativo e em execuo. Um problema comum a adio de restries das mquinas que podem acessar o servidor em especial a ausncia do "localhost" no parmetro "allow hosts". O comando smbpasswd porm somente til quando o Samba for configurado para utilizar senhas criptografadas, conforme descrito na prxima seo. O Arquivo smbpasswd smbpasswd tambm o arquivo de senhas cifradas do Samba. Est no formato ASCII, e contm o nome do usurio, sua identificao junto ao Linux, a senha cifrada , o indicador de situao da conta

2 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

e a data da ltima alterao da senha.

O Utilitrio smbstatus
O programa smbstatus informa a situao atual das conexes Samba. Pode ser usado na linha de comando com as seguintes opes: -b: fornece uma sada resumida; -d: fornece uma sada comentada; -L: faz com que o programa liste somente os recursos em uso; -p: lista os processos servidores smbd e finaliza. til para ser usado em programas; -S: lista todos os compartilhamentos definidos; -s arquivo de configurao: permite que seja utilizado um arquivo de configurao diferente do definido em tempo de compilao. -u nome do usurio: lista as informaes relevantes sobre o usurio informado.

O Utilitrio smbtar
Este programa possibilita a gerao de cpias de segurana de compartilhamentos SMB/CIFS diretamente em fitas magnticas sob o Un*x. Pode ser acionado atravs da linha de comando com as seguintes opes: -s servidor: gera a cpia de segurana do servidor SMB informado. -x servio: gera a cpia de segurana dos arquivo residentes no servio (compartilhamento). -X : modo de excluso, onde se pode omitir arquivos na criao ou restaurao. -d diretrio: altera o diretrio inicial antes de restaurar ou copiar os arquivos; -v: modo informativo. -p senha: informa a senha de acesso ao recurso. -u usurio: a identificao a ser usada na conexo. -t : dispositivo de sada. Pode ser um arquivo regular ou um dispositivo de fita. O padro igual varivel de ambiente TAPE. -b tamanho de bloco: define o tamanho do bloco a ser utilizado no arquivo de sada. -N nome do arquivo: copiar somente os arquivos que so mais recentes que o arquivo definido. Pode ser usado para a criao de cpias de segurana incrementais.

3 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

-i modo incremental: arquivo tar somente sero copiados caso tenham o bit de configurao ativos. -r restaurar: os arquivos sero copiados do arquivo tar para a rea compartilhada.

Os Utilitrios testparm e testprns

O programa testparm utilizado na verificao da configurao do arquivo smb.conf. Aqui aqui aqui Ele pode ser utilizado na linha de comando e caso o programa indique que no h problemas com o arquivo, ele pode ser utilizado na configurao de um servidor smb. O programa testprns verifica o nome da impressora junto ao servidor smbd, a fim de determinar se h um nome vlido sendo informado para uso pelo servio de impresso. Vlido neste contexto significa que pode ser encontrada uma entrada em printicap para a impressora informada. Pode ser ativado da seguinte forma: testprns nome da impressora [nome do arquivo printcap] Caso seja encontrada uma impressora vlida, ser apresentada a mensagem "Impressora <nome da impressora> vlida" ser apresentada. O arquivo de definies de impressoras pode ser normalmente encontrado em /etc/printcap.

Samba Como Servidor de Aplicaes

Produtos como o Microsoft Office podem ser instalados de uma forma administrativa em um recurso compartilhado via Samba, a partir do qual a aplicao pode ser executada, permitindo o compartilhamento do recursos de software ou como um ponto de origem para instalao destes aplicativos na estao local. O mecanismo geral de implantao de uma instalao administrativa envolve a execuo de: X:\setup /A, onde X a letra que identifica o dispositivo seja ele um disquete ou um CD-ROM. Este mtodo no provocar a instalao do produto de fato, mas sim desempacotar os arquivos necessrios instalao a partir do dispositivo indicado em uma rea compartilhada. Instalaes do MS Office a partir desta rea falharo a menos que certas precaues sejam tomadas, uma vez que o processo de instalao deste software reabre diversos bibliotecas dinmicas, o que pode gerar alguns erros, como por exemplo "Arquivo No Localizado". A soluo poder ser encontrada atravs dos seguintes procedimentos:

4 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

A rea onde os arquivos foram instalados devem ser configurados da seguinte forma: [MSOP95] path = /caminho_do_MS comment = Arquivos para instalao do MS volume = "CDROM" read only = yes available = yes share modes = no locking = no browseable = yes public = yes A seguir ser possvel instalar o software, atravs do seguinte comando: \\"nome_do_servidor"\MSOP95\msoffice\setup

Listando os Compartilhamentos Disponveis na Rede

Uma rede SMB prov um mecanismo atravs do qual os clientes podem acessar uma lista das mquinas disponveis na rede. A lista acionada a partir de um aplicativo cliente e muito utilizado pelos cliente. No Samba este procedimento pode evetualmente ser dificultado quando alguns cuidados no forem tomados. A lista de mquinas disponveis suportada pelo servidor nmbd, assim como pelos parmetros definidos no arquivo smb.conf. O Samba age como um apresentador principal para um grupo de trabalho, o que significa que ele informar a lista das mquinas disponveis em uma lista disponvel para toda a rede. Caso algo no funcione corretamente, o arquivo de registro de ocorrncias log.nmb dever ajudar expressivamente. Ao se utilizar um nvel de depurao igual a 2 ou 3 dever ser o suficiente para encontrar algum problema. Para que o servidor Samba possa executar estas funcionalidades, deve ser configurado como um servidor WINS. Tanto o servidor Samba quanto um servidor NT podem assumir estas funes. Para que isso seja feito no Linux, deve-se configurar na seo [global] a seguinte linha: wins support = yes Mquinas com este parmetro ativo, provocar a manuteno de todos os nomes registrados pelo NETBIOS junto mquina Linux, tornando-o um "servidor DNS para nomes NetBIOS".

5 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

Deve-se configurar somente um servidor WINS em uma rede. Aps a configurao, deve garantir que todos as mquinas participantes da rede estejam configuradas com o endereo do servidor WINS. Caso este seja uma mquina Linux, deve-se informar o endereo IP da mquina samba no campo "Painel de Controle->Rede->Protocolos->TCP->Servidor WINS". Para informar ao servidor Samba o endereo de um servidor WINS deve-se configurar na seo [global] do arquivo smb.conf o seguinte parmetro: wins server = <nome ou endereo IP do servidor WINS> Este parmetro no deve ser informado caso o servidor Samba esteja atuando como servidor WINS. Configurando A Lista de Mquinas em Um Grupo de Trabalho Para se configurar a lista de mquinas em uma rede que contenha diversas subredes, pode-se inicialmente utilizar o conceito de WORKGROUP (Grupo de Trabalho) e no de domnio NT. Neste caso deve-se configurar o Servidor Samba para que atue como o Master do Domnio (o que diferente de Controlador Primrio do Domnio - PDC), cujo papel reside em juntar as listas de todos os Masters de cada subrede (vide configurao anterior) que tenha uma mquina participando do grupo de trabalho. Sem este servidor master de Domnio, os grupos de trabalhos estaro isolados dentro de sua subrede. Para configurar um servidor Samba como Master do Domnio, deve-se incluir o parmetro a seguir na seo [global] do arquivo smb.conf: domain master = yes Ele deve preferencialmente ser tambm o Master Local da subrede. Para tanto deve-se incluir os seguintes parmetros na seo [global] do arquivo smb.conf: domain master = yes local master = yes preferred master = yes os level = 65 A seguir, deve-se garantir que cada subrede tenha uma mquina que atue como um Master Local do Grupo de Trabalho. Qualquer mquina NT ou Windows 9X pode executar esta tarefa, ainda que estas ltimas tendem a ser mais instveis. Para ativar esta funcionalidade em um servidor Samba devem ser informados os seguintes parmetros na seo [global] do arquivo smb.conf : domain master = no local master = yes preferred master = yes os level = 65

6 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

O parmetro "local master"permite que o servidor Samba aja como um Master Local. O parmetro "preferred master" faz com que o servidor nmbd seja o requerido pelas demais mquinas da rede para apresentar a lista de mquinas disponveis. E o parmetro "os level" configura o Samba com prioridade suficiente para ser o preferido pelas demais estaes. Configurando A Lista de Mquinas em Um Domnio Caso se esteja adicionando um servidor Samba em um Domnio Windows NT, ento no se deve configur-lo como o Master do Domnio. Por padro o Controlador Primrio do Domnio - PDC ser tambm o Master do Domnio (conforme descrito anteriormente), portanto o Servidor Samba no poder ter mais esta funo, exceto em subredes onde o PDC no esteja presente.

Testando O Funcionamento de um Servidor Samba

Para estar seguro de que um servidor Samba esteja funcionando corretamente, em especial imediatamente aps a sua instalao, sugerida a execuo dos diversos testes enumerados a seguir. Eles devem ser executados em ordem, j que alguns baseiam-se em funcionalidades validadas em testes anteriores. Premissas Em todos os testes, assumiremos os seguintes componentes: Um servidor denominado CLINUX rodando o Conectiva Linux e o Samba 2.0 ou superior; Um cliente rodando Windows for Workgroups, Windows 9X ou Windows NT (servidor ou workstation) com o protocolo TCP/IP instalado. Seu nome ser CLIENTE1. O nome do compartilhamento definido em smb.conf ser igual a [tmp]; o qual pode ser definido com o seguinte formato: [tmp] comment = arquivos temporrio path = /tmp read only = yes Esteja certo de que o arquivo /etc/resolv.conf aponta para um servidor de nomes que esteja ativo. Caso no haja um servidor ativo deve-se adicionar o seguinte parmetro: "dns proxy = no".

Teste 1 No diretrio /etc, executar o comando "testparm smb.conf". Caso haja algum problema com o arquivo, ele ser reportado pelo programa.

7 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

Teste 2 Execute o comando "ping CLINUX" a partir da estao e "ping CLIENTE1" a partir do servidor Samba. Caso no seja obtida uma resposta vlida significa que a camada de comunicao de rede no est ativa. Teste 3 Execute o comando "smbclient -L CLINUX" no servidor Samba. Deve ser obtida uma lista de todos os compartilhamentos disponveis. Caso uma mensagem de "senha incorreta" seja apresentada verififique a lista de mquinas definida em "hosts allow", "hosts deny" ou "valid users" no arquivo smb.conf, ou ainda a conta de convidado no vlida. Teste 4 Execute o comando "nmblookup -B CLINUX __SAMBA__". Dever ser obtido o endereo IP do servidor Samba. Caso isto no ocorra, provavelmente o servidor nmbd est instalado incorretamente. Teste 5 Execute o comando "nmblookup -B CLIENTE1 '*'". Dever ser obtido o endereo da estao cliente. Caso isso no ocorra, provavelmente o software de rede no est ativo. Teste 6 Execute o comando "nmblookup -d 2 '*'" . Desta forma estaremos testando os mesmos parmetros que antes, porm desta vez via propagao atravs da rede. Caso a resposta no seja positiva deve-se tentar a configurao do parmetro "interfaces" no arquivo smb.conf. Teste 7 Execute o comando "smbclient '\\CLINUX\TMP'". Dever ser solicitada uma senha para acessar ao compartilhamento. Pode-se ainda usar o argumento -U <nome da conta>. Por exemplo: smbclient //CLINUX/tmp -Uconec_josie ou neste formato caso se deseje informar a senha: smbclient //CLINUX/tmp -Uconec_josie%secret Teste 8 No cliente digite o comando "net view \\CLINUX". Dever ser apresentada uma lista dos compartilhamentos disponveis no servidor indicado. Caso um retorno positivo no seja indicado verifique a instalao e configurao do servidor nmbd. Teste 9 Execute o comando "net use x: \\CLINUX\TMP" no cliente. Em caso negativo verifique o parmetro "hosts allow" no arquivo smb.conf. Teste 10

8 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

A partir do explorador de arquivos do cliente, tente listar o compartilhamentos da rede. Em caso de erros deve-se tentar usar "security = server" e"password server = Mquina_Windows_NT" no arquivo smb.conf.

Juntando-se A Um Domnio NT Com Samba 2.0

necessrio inicialmente adicionar o nome NetBIOS do servidor Samba ao PDC do domnio NT utilizando o Gerenciador de Servidores Para Domnios. Este procedimento criar uma conta para o servidor no PDC. Assumindo-se que se tenha um servidor Samba com um nome NetBIOS de CLINUX1 e a juntaremos a um domnio NT chamado DOM, cujo PDC tem o nome de DOMPDC e dois controladores de cpias de segurana com nomes DOMBDC1 e DOMBDC2. Para juntar-se ao domnio NT, inicialmente deve-se parar todos os servidores Samba e a seguir executar o seguinte comando: smbpasswd -j DOM -r DOMPDC Caso este procedimento seja bem sucedido, ser apresentada a seguinte mensagem: smbpasswd: Joined domain DOM. Este comando ativa o protocolo de mudana de senhas, gerando uma nova conta aleatria para o servidor Samba, depositada normalmente em: /usr/local/samba/private O nome do arquivo ter um aspecto similar a: DOM.CLINUX1.mac A seguir, deve-se editar o arquivo smb.conf, incluindo-se os seguintes parmetros na seo [global]: security = domain workgroup = DOM encrypt passwords = yes password server = DOMPDC DOMBDC1 DOMBDC2

onde DOM igual ao nome do domnio em uso e "encrypt passwords" utilizado para autenticao no PDC, "encrypt passwords" utilizado para viabilizar a autenticao no servidor PDC e "password server" serve para indicar os servidores de autenticao no domnio. Finalmente reinicialize os servidores Samba.

9 of 10

27/07/00 01:04

file:///E|/documentacao/artigos/samba2.html

10 of 10

27/07/00 01:04