1º SGT ANCELMO

1/34

3° CENTRO DE TELEMÁTICA DE ÁREA

SERVIDOR DE ARQUIVOS UTILIZANDO O

'Samba'

ENSINO A DISTÂNCIA - 2012APOSTILA 1

2/34

APRESENTAÇÃO

O presente estágio é ministrado pela Seção de Treinamento e o material foi elaborado pela Seção de Gerência de Redes do 3º CTA, com a finalidade de auxiliar no Estágio de Servidor de Arquivos utilizando Samba.

OBJETIVO

Apresentar as características de um Servidor de Arquivos baseado em SAMBA;

Ensinar o modo de instalação e configuração básica utilizando os comandos mais comuns;

Demonstrar modos de ajustes mais complexos utilizando ACL's;

Apresentar ferramentas adicionais que ajudam na administração do sistema;

Apresentar um Check List a ser verificado antes de colocar o sistema em produção;

Apresentar as rotinas necessárias para a manutenção do sistema em produção.

SUMÁRIO

1. Introdução …..................................................................................................................4

2. Instalação e Arquivos....................................................................................................7

3. Diretivas de Configuração...........................................................................................13

4. Ferramentas..................................................................................................................27

5. Backends de Usuários.................................................................................................30

Conclusão.........................................................................................................................33

Referência Bibliográfica …..............................................................................................34

3/34

SERVIDOR DE ARQUIVOS UTILIZANDO O SAMBA

1. INTRODUÇÃO

O que é este programa chamado Samba e qual sua origem

Samba é um conjunto de serviços que fornecem outros serviços como compartilhamento de arquivos e de impressoras utilizando um protocolo denominado CIFS (Common Internet File System), proporcionando acesso seguro, estável e fácil de arquivos e serviços de impressão para todos os clientes que usam o protocolo SMB / CIFS, como todas as versões do Windows e DOS, OS / 2, Linux e muitos outros. Samba é um importante componente para integrar Linux / Unix servidores e desktops em ambientes do Active Directory usando o daemon winbind.

Desenvolvido inicialmente por Andrew Tridgell, a época estudante de doutorado na Austrália. E no momento mantido por uma equipe de desenvolvedores de varias partes do mundo que se comunicam pela internet.

Teve início com uma parceria entre IBM e Sytec, que desenvolveram conjuntamente uma maneira simples de interconectar computadores em pequenas redes locais. A solução era um software chamado NetBIOS (Network Basic Input/Output System), que era um programa que fornecia meios de programas se comunicarem com o hardware de rede.

Trabalhando no programa da Microsoft criou uma maneira de redirecionar solicitações de I/O (leitura e escrita) de disco para o NetBIOS, que permitiu compartilhar o conteúdo do disco através da rede. Isso foi disponibilizado por um protocolo chamado, na época de SMB (Server Message Block), renomeado posteriormente como CIFS.

Com a evolução das redes o NetBIOS foi adaptado para trabalhar acima do protocolo TCP/IP, permitindo que endereços de rede IP fossem referenciados através de nomes.

Andrew Tridgel, possuía um servidor Unix e uma estação DOS, precisava montar um disco em seu servidor em sua estação, escreveu então um programa para capturar pacotes de rede (sniffer) e efetuou a engenharia reversa do protocolo SMB, implementando-o assim em seu servidor Unix, fazendo com que as máquinas se enxergassem O código foi disponibilizado para uso por Andrew em 1992.

4/34

Funcionamento

É formado por 2 programas principais (SMBD e NMBD), que implementam 4 serviços básicos do protocolo CIFS:

• Compartilhamento e Impressão;

• Autenticação e Autorização;

• Resolução de Nomes;

• Anúncio de Serviços (Browsing)

Os serviços de compartilhamento de arquivos e de impressoras são implementados pelo SMBD, o “daemon” responsável pela implementação dos erviços SMB (smbd: SMB Daemon), também responsável por lidar com a autenticação e autorização dos usuários acessando os compartilhamentos.

Os outros serviços, resolução de nomes e Browsing são implementados pelo NMBD, que gerencia e distribui nomes NetBIOS.

SMBD

Daemon responsável por fornecer serviços de compartilhamento e impressão, autenticação e autorização para clientes, pela implementação do protocolo SMB (ou (CIFS). Criação de uma seção para cada cliente acessando o servidor, com sua própria copia do processo SMBD.

Deste modo, haverão vários processos SMBD em execução, um para cada cliente conectado, cujos “donos” são os usuários que estão acessando os compartilhamentos, ou seja, todo usuários do Samba deverá também ser um usuário Unix e todas as permissões

5/34

do sistema de arquivos se aplicarão ao usuário, finalizando o processo no momento da finalização da seção.

O SMBD relê suas configurações a cada minuto, aplicando as novas alterações às sessões já existentes.

Utiliza as portas 139 para NetBIOS sobre TCP e 445 sobre TCP, sem encapsulamento NetBIOS, sendo a 445 mais eficiente em versões superiores do Windows XP.

NMBD

Daemon que monitora e responde solicitações NetBIOS da rede, resolvendo nomes e participando do processo de browsing.

Utiliza as portas UDP (para serviços mais leves) 137 para browsing, replicação de informações de diretório, netlogon, relações de confiança, canal de comunicação seguro (WinNT Secure Channel) e 138 para comunicação de datagramas NetBIOS (encapsulamento de comunicação).

Resolução de Nomes

Pode ser feita por envio de pacotes para toda a rede (broadcast) ou através de resolução ponto-a-ponto com um servidor central que armazena os nomes e endereços IP das estações.

O Broadcast é mais semelhante ao NetBIOS e basicamente uma estação que deseja acessar um compartilhamento deverá enviar um pacote para todas as estações. O tráfego gerado é pequeno e não interfere no fluxo de dados. Outro processo é a utilização de um NBNS (NetBIOS Name Service), através de um servidor central que armazena a lista de nomes e endereços IP das estações disponíveis É o chamado WINS (Windows Internet Name Service) da Microsoft.

Após o registro dos nomes e endereços IP no servidor, pode ocorrer o acesso das estações para essas verificações, especialmente se estiverem em sub-redes para que se comuniquem.

A resolução de nomes NetBIOS é feita utilizando o protocolo UDP, sendo configurada da seguinte forma:

• b-node (tipo 0x01*): apenas broadcast NetBIOS através de UDP;

• p-node (tipo 0x02): apenas Unicast NetBIOS (ponto-a-ponto) direcionando a um WINS;

• m-node (tipo 0x04): Broadcast + Wins;

• n-node (tipo 0x04): Wins Broadcast;

O padrão de funcionamento é pelo b-node (broadcast na rede).

* informação no cabeçalho do pacote para captura na rede)

O compartilhamento permite aos usuários trabalharem com documentos de outros usuários, ou armazenar em computadores de outros usuários ou ainda armazenar em um sistema servidor comum.

6/34

Browsing

Os computadores na LAN elegem qual estação irá manter uma lista de compartilhamento de arquivos e impressoras na rede. O eleito será o LMB (Local Master Browser), que além do nome NetBIOS recebe uma nova nomenclatura para ser identificado na rede (\\--__MSBROWSE__) com sufixo NetBIOS 01.

Os critérios que levam a eleição desta estação são os seguintes:

• Maior OS Level

• Opção Preferred Master

• Uptime (tempo online)

• Nome NetBIOS (ordem alfabética)

Além dos LMBs podem haver também DMBs (Domain Master Browser) que também podem coordenar listas de serviços entre sub-redes diferentes.

Formas de Funcionamento

A diferenciação está na maneira como o Servidor autentica e autoriza os usuários, se Standalone (autenticação em base local) ou inserido em um Domínio (base centralizada).

• Standalone (usuário e senha para acesso na estação / cenários pequenos): Servidores configurados em um grupo de trabalho, onde cada computador é responsável pela autenticação dos próprios usuários e gerenciamento de seus compartilhamentos

• Participante de Domínio (cenário complexo): configurado para integrar um Domínio, os servidores e estações possuem base centralizada na autenticação. Trabalho inicial mais volumoso porém administração posterior facilitada.

2. INSTALAÇÃO E ARQUIVOS

Instalação

Pode-se instalar os arquivos por compilação ou via APT, onde a facilidade é a aplicação automática de pathes de correção de bugs e atualizações de segurança já disponibilizadas de forma automática, já a compilação do código-fonte pode ser feita em servidores antigos com clientes Windows mais recentes.

Instalação a partir dos pacotes pré-compilados

Feita pelos comandos apt-get e aptitude.

# aptitude install samba smbclient

Após a instalação o serviço do Samba é iniciado automaticamente, onde pode-se verificar nos processos em execução do sistema. Os daemons smbd e nmbd devem estar ativos.

# ps -AF | grep -E '(smbd|nmbd)'

7/34

root 2311 19885 0 3731 4244 0 Sep28 ? 00:00:00 /usr/sbin/smbd -D

root 2379 19885 0 3704 3736 0 Sep28 ? 00:00:03 /usr/sbin/smbd -D

root 5212 19885 0 3802 6168 0 Sep28 ? 00:00:10 /usr/sbin/smbd -D

root 10596 19885 0 3760 3660 3 07:36 ? 00:00:00 /usr/sbin/smbd -D

O gerenciamento dos daemons é feito no controle /etc/init.d/samba stop (parar)

start (iniciar)

restart (reiniciar)

Instalação a partir do código-fonte

Quando houver necessidade, obtém-se os arquivos no site do projeto:

http://samba.org/samba/download/

Procure instalar a ultima versão estável que se chama samba-latest.tar.gz, que contém o servidor Samba (nmbd e smbd) e serviços extras (Winbind). Também há necessidade de instalação das dependências para a compilação:

# aptitude build-dep samba

Descompactar o pacote:

# tar -xvzf samba-latest.tar.gz

Acessar o diretório “source3” dentro do diretório samba criado, cujo nome deve ser da última versão disponível:

# cd samba-3.5.6/source3

Executar o script que irá ajustar o Makefile para compilação:

# ./configure

Compilar o código:

# make

Instalar os arquivos gerados pela compilação:

# make install

/usr/local/bin é o local padrão de instalação dos arquivos.

Visualizando Pacotes

Para verificar o tráfego dos pacotes e do servidor, capturamos pacotes para verificarmos as informações que estão trafegando, utilizando ferramentas como tcpdump ou wireshark:

# aptitude install tcpdump

É possível capturar os dados de determinada interface em totalidade ou filtrado, como por exemplo nos pacotes NetBIOS UDP nas portas 137 e 138:

# tcpdump -nvvi eth0 udp and ' ( port 137 or port 138 ) '

8/34

Arquivos funcionais

smb.conf

Arquivo de configuração do Samba (smb.conf), onde estão localizados todos os parâmetros de configuração do Samba e o funcionamento do smbd e nmbd.

Trata-se de um arquivo de texto que pode ser modificado por qualquer editor, com estrutura “atributo = valor”. Está localizado em /etc/samba/smb.conf.

Arquivos .tdb (Realize backup dos arquivos .tdb)

Em complementação aos arquivos de configuração, o Samba utiliza os arquivos .tdb (Trivial Database), como banco de dados para armazenamento de informações, divididos em persistentes e temporários. Estão localizados em /var/lib/samba. Os persistentes armazenam informações que devem ser salvas em backups e copiados juntamente com as configurações em caso de migração do servidor:

account_policy: políticas de de contas

group_mapping: mapeamentos entre SID->grupos UNIX

ntdrivers: informações de drivers de impressoras instalados

ntforms: informações de forms de impressoras instalados

ntprinters: configurações de impressoras instaladas

passdb: armazena informações de contas SambaSAMAccount

registry: esqueleto somente leitura de registro Windows

secrets: armazena SIDs (identificadores), senha do LDAP e dados sensíveis e críticos para o funcionamento do Samba.

share_info: Armazena ACLs de compartilhamentos

winbindd_idmap: base de mapeamentos de endereço do Winbind

Os temporários não são essenciais ao funcionamento do sistema:

brlock: Informações de byte-range locking de arquivos

connections: Cache de informações de conexões em uso para gerenciamento de número de conexões

eventlog/*tdb: Cache de logs de sistema

gencache: Cache de servidores WINS não-funcionais e dados de domínio

login_cache: Cache de informações de login e tentativas incorretas de senha

messages: Armazena temporariamente mensagens sendo processadas pelo smdb

netsamlogon_cache: Cache de estruturas de dados de logon

perfmon/*.tdb: Informações do contador de performance

printing/*.tdb: Cache das filas de impressão

9/34

schannel_store: Informações criptográficas de credenciais de sessões ativas

sessionid: Dados genéricos de sessão

unexpected: Armazena pacotes recebidos que não são para os daemons do Samba)

winbindd_cache: Cache de informações de identidade recebidas pelo Winbind

Gerenciamento de Arquivos .tdb

Feito pela ferramenta tcb-tools, que visualiza, edita e faz backup das bases, mas deve-se tomar cuidado para não copiar um arquivo .tdb em uso pois pode estar gravando dados no momento da cópia e portanto inconsistente:

# aptitude install tdb-tools

tdbbackup

Ferramenta que realiza backup dos arquivos .tdb, garantindo integridade na base de dados. Gera um arquivo do mesmo nome que o .tdb acrescido de .bak.

# tdbbackup nome_do_arquivo.tdb

Você pode utilizá-lo para verificar se arquivos estão corrompidos, e caso estejam, restaure o ultimo backup com parâmetro “-v” no comando e no exemplo abaixo, constata-se a saída de um arquivo .tdb íntegro, informando quantos registros existem:

# cd /var/lib/samba

# tdbbackup -v passdb.tdb

passdb.tdb : 8 records

Caso hajam arquivos corrompidos a saída será semelhante ao exemplo abaixo, onde há a possibilidade de restauração automática de backup se o arquivo passdb.tdb.bak estiver no mesmo diretório:

# tdbbackup -v passdb.tdb

restoring passdb.tdb

Se não houve a restauração imediata ocorre a informação de necessidade de restauração do arquivo .bak com o parâmetro “-v”:

# tdbbackup -v passdb.tdb

restoring passdb.tdb

passdb.tdb.bak: No such file or directory

tdbdump

Visualização rápida do conteúdo dos arquivos .tdb auxiliando na resolução de problemas:

# tdbdump nome_do_arquivo.tdb

10/34

tdbtool

Ferramenta que visualiza, edita registros, verifica integridade e efetua teste de performance nos arquivos .tdb. Abre um prompt específico:

# tdbtool

tdb >

No prompt, o comando “open” abre determinado arquivo:

tdb > open /var/lib/samba/passdb.tdb

tdb > 1

key 13 bytes

RID_000001f5

data 7 bytes

[000] 6E 6F 62 6F 64 79 00 nobody

11/34

EXERCÍCIO PRÁTICO 1

1) Verificação da utilização dos valores HEX (sufixos NetBIOS) vistos anteriormente utilizando o tcpdump:

Para os daemons do Samba:

# /etc/init.d/samba stop

Fazer backup do nosso /etc/samba/smb.conf existente

# mv /etc/samba/smb.conf /etc/samba/smb.conf/ori

Criar um novo /etc/samba/smb.conf com o seguinte conteúdo

[global]

workgroup = 3CTA

netbios name = DEBIANXX (nome fictício da estação de trabalho)

Abrir outro terminal e executar o tcpdump (visualização do trafego de rede)

# tcpdump -nvvi eth0 udp and '( port 137 or port 138 )'

Como facilitador de visualização, podemos apenas mostrar a linha com o nome e tipo da estação, filtrando os resultados do tcpdump como comando grep (pelo nome da estação)

# tcpdump -nvvi eth0 udp and '( port 137 or port 138 )' | grep Name

Com o tcpdump rodando, iniciar novamente o servidor Samba e visualizar linhas como estão (utilizar a filtragem com o comando grep)

Name=MAQUINA NameType=0x00 (workstation)

Name=MAQUINA NameType=0x20 (server)

Name=MAQUINA NameType=0x1E (Browser Server)

Name=MAQUINA NameType=0x1D (Master Browser)

Name=\\__MSBROWSE__\ NameType=0x01 (Unknown)

2) verificar o processo de recuperação de uma base de dados do Samba. Fazer o backup de um dos arquivos persistentes, corrompê-lo propositalmente e depois utilizar a ferramenta tdbbackup para restaurar o backup. Então:

Entrar no diretório /var/lib/samba

# cd /var/lib/samba

fazer o backup do arquivo passdb.tdb

# tdbbackup passdb.tdb

verificar se foi criado o arquivo passdb.tdb.bak

# ls passdb.tdb*

passdb.tdb passdb.tdb.bak

adicionar um caractere qualquer no inicio do arquivo passdb.tdb utilizando um editor de texto

12/34

através do comando sed

# sed -i 'li teste' passdb.tdb

3) tentar efetuar um novo backup do arquivo usando o tdbbackup

# tdbbackup passdb.tdb

Failed to open passdb.tdb

executar o tdbbackup em modo de verificação e restauração

# tdbbackup -v pssdb.tdb

restoring passdb.tdb

3. DIRETIVAS DE CONFIGURAÇÃO

smb.conf

Pode ser editado por editor de texto ou ferramenta de gerenciamento do Samba (SWAT, Webmin). Linhas com “#” ou “;” por estarem comentadas serão ignoradas pelo servidor e no final de linha se colocarmos “\” dará continuidade à linha seguinte.

É divido em seções chamadas Stanzas que assumem a forma [home] (nome da seção entre colchetes) e pode definir compartilhamentos ou meta-serviços como abaixo no diretório compartilhado:

[compartilhamento] => acesso pelo endereço \\servidor\compartilhamento

Fora as seções especiais, cada Stanza equivale a um compartilhamento e as diretivas presentes dentro delas vão afetar apenas “aquele recurso” específico, terminando onde se inicia a próxima.

Seções Especiais

[global]

Diretivas que afetam todo o servidor Samba ou valores padrão, exceto se um compartilhamento especifique um valor diferente

[homes]

Especifica opções de acesso a diretórios homes de usuários. O diretório home é disponibilizado somente para seu dono, após se autenticar no sistema;

[printers]

Define opções gerais para controle das impressoras do sistema. Este compartilhamento mapeia os nomes de todas as impressoras encontradas no /etc/printcap. Configurações especiais podem ser feitas separadamente;

13/34

[IPC$]

Compartilhamento específico que não necessita ser definido no smb.conf que implementa diretivas de segurança no servidor, permitindo acesso apenas a partir de hosts confiáveis.

[ADMIN$]

Compartilhamento IPC especial utilizado para ingressar servidores ASU no domínio e necessários para algumas tarefas administrativas (Print Migrator da Microsoft).

Configurando o Servidor

Exemplificação de máquina singela, com duas Stanzas: [global] e [compartilhamento], parâmetro “workgroup (grupo de trabalho)” e “netbios name (nome para identificação do servidor na rede)” aplicadas a todos o servidor:

[global]

workgroup = GRUPO

netbios name = MAQUINA

[compartilhamento]

path = /tmp

Modos de Funcionamento

Atente para a configuração na opção “security” que determina como será feita a autenticação e autorização de usuários, bem como define se o servidor é Standalone ou pertencente a um domínio.

Tipos de Servidor (roles) na condição de SMB/CFIS de acordo com a configuração:

Controlador de Domínio

• Primary Domain Controller (PDC)

• Backup Domain Controller (BDC)

• Active Directory Server Domain Controller

Membro de Domínio

• AD Domain Server

• NT4 Domain Server

Servidor Standalone

Existem dois tipos possíveis de Segurança, share ou user:

14/34

• share: única senha para acesso, independente de usuário

• user: compartilhamento com acesso controlado a nível usuário

No modo user o servidor pode autenticar o usuário em uma base local ou centralizada que representa um Domínio e ao participar de um Domínio, o servidor pode agir como controlador (base de usuários disponibilizada para ser utilizada por outros servidores e clientes) ou Membro (recebe credenciais e verifica nos controladores do domínio). Pode ser do tipo NT4 ou Active Directory.

security = share (verifica recurso, não usuário)

Autenticação do cliente para cada compartilhamento acessado. Ocorre o envio de senha a cada solicitação de conexão. Na implementação SMB/CIFS da Microsoft o servidor associa diretamente um compartilhamento com uma senha, mas o Samba utiliza o esquema de autenticação Unix (usuário/senha) e não (compartilhamento/senha).

O cliente envia um nome de usuário na solicitação no inicio de sessão sem senha, cujo nome é armazenado pelo Samba em uma lista de usuários possíveis para comparação. Sem geração da lista de usuários possíveis o Samba efetua uma chamada de sistema para verificar a senha valida para algum usuário existente, utilizando método NSS (/etc/nsswitch.conf). Desaconselhado para autenticação com usuários mas muito pratico para acesso de compartilhamentos públicos onde não há autenticação.

security = user

O cliente envia uma solicitação com usuário e senha no inicio de sessão que serão verificados pelo Samba e com sucesso na autenticação solicita a montagem dos compartilhamentos na sessão já estabelecida.

security = domain (variação do user)

Informações de usuários armazenadas em um repositório central entre os controladores do domínio que podem efetuar a autenticação para todas as maquinas que participam do domínio Neste sistema estão classificados os PDC – Primary Domain Controller (mantem a base de dados com informações de usuários) e os controladores backup BDC (fornecem apenas serviços de autenticação e logon no netlogon). A configuração do Samba possui então 3 formas: PDC, BDC, DMS.

security = ASD (variação do user)

Faz com que o Samba ingresse em um domínio Active Directory em modo nativo ao invés de usar protocolos de segurança no estilo Windows NT. Assume a “role” de DMS não podendo ser controlador deste domínio

security = server (expõe a segurança)

O servidor Samba informa para o cliente que utiliza segurança a nível de usuário (security

15/34

= user) e recebe o par de usuário/senha do cliente e utilizando essas credenciais, tenta efetuar login em um terceiro servidor (normalmente controlador de domínio). Método para compatibilidade de servidores antigos.

Diretivas Globais

Além da “security” outras diretivas existem para configurar o servidor e são utilizadas dentro da Stanza [global] afetando o funcionamento de todo servidor:

Exemplo de seção global:

[global]

# Alterado por

# Parâmetros Globais

[global]

# Domínio, Nome e Descrição

workgroup = 3cta.eb.mil.br

netbios name =

server string = 3cta.eb.mil.br

# Não mostrar no servidor o Wizard "Adicionar Impressora"

show add printer wizard = No

# Quais interfaces de rede utilizar

# interfaces = lo, eth0 - alterado em 16-08-2007

interfaces = 127.0.0.1/8 eth0

bind interfaces only = Yes

# Nível de Mensagens

log level = 1

log file = /var/log/samba/%m.log

#max log size = 0 - alterado em 16-08-2007

max log size = 1000

debug level = 1

syslog = 0

16/34

# Atuar como um PDC

security = user

domain logons = yes

preferred master = yes

domain master = yes

os level = 65

# Tratamento das senhas

encrypt passwords = true

# Equivalência de usuários Windows X Linux

username map = /etc/samba/smbusers

# Evitar o perfil ambulante do Windows NT/XP

logon path =

logon drive =

logon home =

# Script de logon em rede (deve ficar no compartilhamento netlogon - em formato DOS)

logon script = xxxx.BAT

# Configurações para o LDAP

passdb backend = ldapsam:ldap://xxxx.3cta.eb.mil.br

ldap passwd sync = yes

ldap delete dn = Yes

ldap admin dn = cn=administrador,dc=3cta,dc=eb,dc=mil,dc=br

ldap suffix = dc=3cta,dc=eb,dc=mil,dc=br

ldap machine suffix = ou=Computadores

ldap user suffix = ou=Usuários

ldap group suffix = ou=Grupos

ldap idmap suffix = sambaDomainName=3cta.eb.mil.br

idmap backend = ldap:ldap://xxxx.3cta.eb.mil.br

17/34

idmap uid = 10000-20000

idmap gid = 10000-20000

# Permitir que usuários do grupo "Administradores do Domínio" possam ingressar maquinas

# WinXP/Win2000 ao domínio samba

# to the domain

enable privileges = yes

# Scrips utilizados para Gerenciar Usuários da M$, como aplicativos(API) M$ se comunicam com o Samba-Server

# adicionar/remover Usuários

add user script = /usr/sbin/smbldap-useradd -m "%u"

# add user script = /usr/sbin/smbldap-useradd -m -a "%u"

delete user script = /usr/sbin/smbldap-userdel "%u"

# adicionar/remover Grupos

add group script = /usr/sbin/smbldap-groupadd -p "%g"

delete group script = /usr/sbin/smbldap-groupdel "%g"

# Scripts para adiconar/remover Usuários nos Grupos

add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"

delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"

# Script para definir o grupo primário do usuário

set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

# Script par adicionar maquina Win NT/XP ingressar no Domínio

# add machine script = /usr/sbin/smbldap-useradd -w "%u"

add machine script = /usr/sbin/smbldap-useradd -g "Computadores" -w "%u"

# Otimizações recomendadas

smb ports = 445 139

name resolve order = wins bcast host lmhosts

utmp = Yes

time server = Yes

template shell = /bin/false

winbind use default domain = no

18/34

map acl inherit = Yes

strict locking = Yes

# Usuário invalido - adicionado em 16-08-2007

invalid users = root

# Como o cliente ira se comunicar com o servidor

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

# Ação em caso de pane

panic action = /usr/share/samba/panic-action %d

# Servidor Wins da Rede

# Quando já tiver um servidor Wins na rede

# descomente a linha abaixo e acerte o IP do Wins

# wins server = 10.12.x.xxx

# Quando ainda não tiver um servidor Wins na rede

# descomente a linha abaixo

wins support = Yes

max wins ttl = 518400

min wins ttl = 21600

# Para os clientes não localizarem netbios através do dns

dns proxy = no

# Ativar a internacionalização: permitir caracteres acentuados pelo Windows

unix charset = ISO8859-1

display charset = CP850

dos charset = CP850

# Não tentar fazer um lock nestes arquivos

19/34

veto files = /*.eml/*.nws/*.{*}/

veto oplock files = /*.doc/*.xls/*.mdb/

# Tratar os arquivos que começam com "." como ocultos para maquinas Windows

hidedotfiles = yes

# Simular a Lixeira do Windows

recycle:repository = .lixeira

recycle:keeptree = True

recycle:touch = True

recycle:versions = True

recycle:exclude = *.tmp|*.temp|*.o|*.obj|~$*|*.$$$

recycle:excludedir = /tmp|/temp|/trash

recycle:noversions = .doc|.xls|.ppt|.dbf|.nsx|.idx|.dbt

recycle:maxsize = 0

Diretiva Função

Security Por padrão, o SAMBA utiliza a segurança a nível de usuário (security = user), mas existem outras opções:

security = share -> Senhas de acesso serão solicitadas por cada recurso compartilhado e não por usuário, ou seja, cada diretório ou impressora poderá ter uma senha única conhecida pelos usuários autorizados.

security = user -> As permissões são dadas de acordo com o login do usuário, ou através dos grupos (grupo).

security = server -> O Samba tentará validar a senha do usuário enviando dados para outro servidor SMB, como outro servidor SAMBA ou um servidor Windows. Deve-se incluir o parâmetro .password server -x.x.x.x na seção [global] do smb.conf.

security = domain -> Usado se o Host for adicionado a um domínio Windows através do comando smbpasswd. Neste caso as informações de usuário e senha serão enviadas para o PDC da rede, exatamente como o servidor NT faria. Note que é necessário que a conta

do usuário exista tanto no Linux quanto no servidor primário.

os level Este parâmetro não é obrigatório se você não possui um servidor Windows na rede, mas deve ser usado caso tenha um ou mais. A variável é um número de 1 a 255, onde 65 é a mesma variável utilizada

20/34

pelo servidor Windows. Especifique um número maior que este (como 100 por exemplo) para garantir que o servidor SAMBA seja eleito na escolha de validação do login das estações.

announce Permite especificar o tipo de servidor NetBios (nmbd) que será divulgado na rede. As opções aceitas pelo SAMBA: "NT Server", "NT Workstation", "Win95"ou "WfW".

domain logons Usado para validar o login na rede, apenas para estações Windows.

logon scripts Indica qual arquivo de logon script será executado para os usuários. A variável %u corresponde ao usuário na rede. Deve também ser criado um compartilhamento de nome [netlogon] apontando para o diretório dos scripts. Este campo, assim como muitos outros abaixo, serão melhor explicados quando formos estudar o Samba como PDC de rede.

logon path Indica o caminho do perfil remoto do usuário. A variável %L corresponde ao nome do servidor NetBios (que pode ser o próprio SAMBA).

O logon path é útil quando usuários costumam efetuar logon em mais de um Host na rede, pois seu perfil é trazido com o logon. No caso do exemplo, o diretório "Profiles"deve conter os scripts (em formato Microsoft usando NET USE e etc) e os scripts devem ser criados com o notepad do Windows por exemplo, a fim de conservar o formato do arquivo.

domain master Indica se o Host será o Domain Master Browser da rede inteira (WAN).

local master Indica se o Host será o Master Browser da rede local.

preferred master

Este parâmetro força a eleição do SAMBA como Master Browser para o workgroup. É recomendável utilizar este parâmetro em conjunto com o .domain master = yes. para garantir a eleição. Mas tome cuidado: se você possui uma rede com servidores Windows e SAMBA e já possui um servidor como Domain Master, não use esta opção e deixe o parâmetro .os level = 65. para haver equilíbrio.

guest account O SAMBA trabalha melhor em redes Microsoft com a existência de uma conta guest (visitante em inglês). Por padrão, a conta usada é .nobody.

wins server Indica qual o servidor de Wins da rede. Se o próprio Host for o servidor de Wins então não utilize este parâmetro, pois haverá um loop e o sistema travará.

debug level Parâmetro usado para dar flexibilidade à configuração do sistema. Permite ao SAMBA trabalhar corretamente com algumas situações de

erro, por exemplo.

Diretivas de Compartilhamentos

Configuram os compartilhamentos.

21/34

#=============================

#====== Compartilhamentos ========

#=============================

[netlogon]

comment = Serviço de Logon em Rede [ xxxx.BAT ]

path = /home/samba/netlogon

browseable = No

read only = Yes

[usuarios]

comment = Diretório Pessoal de Cada Usuário [ U:\ ]

path = /home/usr/%u

browseable = Yes

writeable = Yes

create mask = 0600

directory mask = 0700

[dados]

comment = Sistemas e Dados de Usuários [ S:\ ]

path = /dados

writeable = Yes

force create mode = 0660

force directory mode = 02770

[temp]

comment = Dados Temporários [ T:\ ]

path = /temp

writeable = Yes

force create mode = 0666

force directory mode = 02777

22/34

Diretiva Função

path Especifica o diretório que será compartilhado

browseable Define se o compartilhamento será ou não visível para o Ambiente de Rede. Estações Windows95 versão 4.00.950-C não aceitam esta opção, onde uma possível solução seria utilizar o nome do compartilhamento seguido de $ (teste$ por exemplo), como é feito no Windows.

writeable Indica se o usuário poderá ou não escrever em sua pasta pessoal (home dir).

Public Se for “yes” nenhuma senha é necessária para acessar o compartilhamento

User Lista de nomes de usuários, separados por vírgulas que a senha do compartilhamento será testada contra, quando usando “security = share”

Valid Users Lista nominal separada por virgula ou espaço, dos usuarios que podem acessar o compartilhamento. Em grupos adiciona-se o prefixo @ antes do nome. Ex: valid users = usuário1, usuário2 @serviços

Invalid Users Especifica lista de usuarios que são proibidos de acessar o compartilhamento.

Hosts allow Determina máquinas que podem acessar o compartilhamento, identificadas por endereços IP, nomes NetBIOS, mascara de rede.

Hosts deny Proíbe as máquinas que terão acesso ao compartilhamento

[printers]

comment = Impressoras Linux

public = no

browseable = yes

printable = yes

path = /var/spool/samba

admin users = admin, usuario1

Diretiva Função

Comment Comentário para o compartilhamento.

Public Indica se será ou não permitido o acesso de outros usuários.

23/34

Browseable Define se o compartilhamento será ou não visível para o Ambiente de Rede.

Printable Este parâmetro permite aos clientes conectados abrir, escrever e sub- meter arquivos no diretório especificado pelo "path". É utilizado pelo SAMBA para diferenciar compartilhamento de impressora de compartilhamento de arquivo.

Path Caminho do diretório compartilhado.

Substituição de Variáveis (Macros)

Possibilidade de substituição de strings por variáveis, chamadas macros, que são processadas no momento que a diretiva entrar em operação.

[homes]

comment = Diretório home do usuário

path = /home/usuarios/%u

Cada uma das variáveis são descritas em detalhes abaixo:

%S = O nome do serviço atual, se existir. Seu uso é interessante, principalmente no uso de diretórios homes.

%P = O diretório raiz do serviço atual, se existir.

%u = O nome de usuário do serviço atual, se aplicável. Esta variável é bastante útil para programação de scripts e também para criar arquivos de log personalizados, etc.

%g = O grupo primário do usuário %u.

%U = O nome de usuário da seção (o nome de usuário solicitado pelo cliente, não é uma regra que ele será sempre o mesmo que ele recebeu).

%G = O nome do grupo primário de %U.

%H = O diretório home do usuário, de acordo com %u.

%v = A versão do Samba.

%h = O nome DNS da máquina que está executando o Samba.

%m = O nome NetBIOS da máquina do cliente. Isto é muito útil para log de conexões personalizados e outras coisas úteis.

%L = O nome NetBIOS do servidor. Como o servidor pode usar mais de um nome no samba (aliases), você poderá saber com qual nome o seu servidor está sendo acessado e possivelmente torná-lo o nome primário de sua máquina.

%M = O nome DNS da máquina cliente.

%N = O nome do seu servidor de diretórios home NIS. Este parâmetro é obtido de uma entrada no seu arquivo auto.map. Se não tiver compilado o SAMBA com a opção --with-automount então este valor será o mesmo de %L.

24/34

%p = O caminho do diretório home do serviço, obtido de uma entrada mapeada no arquivo auto.map do NIS. A entrada NIS do arquivo auto.map é dividida na forma "%N:%p".

%R = O nível de protocolo selecionado após a negociação. O valor retornado pode ser CORE, COREPLUS, LANMAN1, LANMAN2 ou NT1.

%d = A identificação de processo do processo atual do servidor.

%a = A arquitetura da máquina remota. Somente algumas são reconhecidas e a resposta pode não ser totalmente confiável. O samba atualmente reconhece Samba, Windows for Workgroups, Windows 95, Windows NT e Windows 2000. Qualquer outra coisa será mostrado como "UNKNOWN" (desconhecido).

%I = O endereço IP da máquina do cliente.

%T = A data e hora atual.

%$(var_ambiente) = Retorna o valor da variável de ambiente especificada.

25/34

EXERCÍCIO PRÁTICO 2

Vamos modificar nosso smb.conf e criar um compartilhamento acessível por usuários não autenticados (público), que deverá direcionar o usuário para /samba/nome/_netbios_do_servidor.

Iremos também criar um arquivo de texto para verificar que o acesso funciona corretamente.

O primeiro passo é criar o diretório que será acessado, no caso, /samba/debianxx.

Altere “debianxx” para o nome NetBIOS do seu servidor.

O Samba sempre tratará o nome NetBIOS como se fosse escrito em caracteres minúsculos quando for buscar este diretório:

# mkdir -p /samba/debianxx

Vamos agora criar um arquivo dentro deste diretório:

# echo “Arquivo Teste” > /samba/debianxx/teste.txt

Agora devemos editar nosso smb.conf e adicionar uma Stanza compartilhando este diretório. O arquivo /etc/samba/smb.conf deverá ficar assim (substitua DEBIANXX pelo nome de sua estação):

1 [global]

2 workgroup = 3CTA

3 netbios name = DEBIANXX

4

5 [compartilhamento]

6 path = /samba/%L

7 public = yes

Descrição das linhas

1) Início da Stanza [global]

2) Nome do grupo de trabalho

3) Nome NetBIOS do servidores

4) ............

5) Início do compartilhamento chamado “compartilhamento”. Este é o início de sua Stanza e também o final da Stanza [global]

6) Diretório que está sendo compartilhado. A variável %L será substituída pelo nome NetBIOS do servidor quando o compartilhamento for acessado.

7) Este parâmetro indica que o diretório é acessível por usuários não autenticados.

próximo passo, reiniciar os daemons do Samba para que as alterações sejam aplicadas:

# /etc/init . d/samba restart

Agora deve ser possível acessar o compartilhamento a partir de uma máquina windows utilizando o endereço

26/34

“\\DEBIANXX\compartilhamento”

Para testar o funcionamento da macro %L, altere o nome NetBIOS do servidor, crie um diretório “/samba/novo_nome” e reinicie o daemons do Samba.

4. FERRAMENTAS

Os pacotes samba, smbclient e samba-tools disponibilizam diversas ferramentas de linha de comando.

testparm -v (antes do restart)

Ferramenta primordial para o administrador, lê um arquivo de configuração do Samba e verifica se há erros de sintaxe que impedem a inicialização do servidor. A opção -v mostra todos os valores usados pelo servidor.

smbpasswd

Gerencia usuarios e senhas do Samba

Modificando a senha de um usuário: # smbpasswd “usuário”

Adicionando um usuário: # smbpasswd -a “usuário”

Excluindo um usuário: # smbpasswd -x “usuário”

findsmb

Script em perl que faz parte do pacote smblcient e descobre informações sobre maquinas utilizando o protocolo SMB/CIFS informando maquinas, grupos de trabalho, domínios existentes na rede.

smbclient

É um cliente para o protocolo SMB/CIFS de linha de comando que permite lista e acessar compartilhamentos de forma rápida

Listando compartilhamentos

# smbclient -L localhost

Enter root's password: - enter -

Anonymous login successful

Domain=[3CTA.EB.MIL.BR] OS=[Unix] Server=[Samba 3.5.6]

Sharename Type Comment

27/34

--------- ---- -------

IPC$ IPC IPC Service (3cta.eb.mil.br)

temp Disk Dados Temporários [ T:\ ]

dados Disk Sistemas e Dados de Usuários [ S:\ ]

usuarios Disk Diretório Pessoal de Cada Usuário [ U:\ ]

Anonymous login successful

Domain=[3CTA.EB.MIL.BR] OS=[Unix] Server=[Samba 3.5.6]

Server Comment

--------- -------

ARIEL 3cta.eb.mil.br

Workgroup Master

--------- -------

3CTA.EB.MIL.BR XXXXXX

Exemplo de acesso em um servidor do 3ºCTA. * Acionando a tecla enter no campo password a listagem é feita com usuário anonimo.

Acessando um compartilhamento para efetuar operações.

$ smbclient '\\ubunbox\tmp'

Enter root's password:

Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.5.6]

smb: \>

A partir deste momento você estará no prompt interativo do smbclient.

Listando o conteúdo do compartilhamento

smb: \> ls

. D 0 Fri Nov 19 13:30:30 2010

.. D 0 Mon Oct 18 21:05:05 2010

teste.txt 20 Fri Nov 19 09:07:19 2010

46103 blocks of size 262144. 24552 blocks available

Fazendo download de um arquivo

28/34

smb: \> get arquivo

Pode-se salvar o arquivo com outro nome na estação

smb: \> get arquivo /tmp/nome_do_arquivo.xxx

Enviando um arquivo

smb: \> put /tmp/novoarquivo.txt novorquivo.txt

* caso sua configuração de sistema não permita gravação na pasta destino, será exibido o seguinte resultado:

smb: \> put /tmp/novoarquivo.txt novoarquivo.txt

NT_STATUS_ACCESS_DENIED opening remote file \novoarquivo.txt

smbcacls

Leitura e definição de ACLs

smbquotas

Leitura e definição de quotas em compartilhamentos de diretórios

5. Backends de Usuários

Autenticação e Permissões no Samba

Devido ao seu modo de funcionamento, em que cada daemon smbd é executado como se fosse o usuário que se autenticou, o Samba exige que uma conta local existia no servidor em que é executado. Além disso ele será limitado por permissões do sistema de arquivo. Mesmo que sua própria configuração permitida alguma operação Um usuário com permissão de escrita em um compartilhamento do Samba não irá conseguir gravar um arquivo caso seu usuário não possua permissão de escrita no diretório em nível de sistema de arquivos.

Porém o Samba não pode utilizar a conta do sistema diretamente para autenticar usuários pois existem vário atributos utilizados no SMB/CIFS que não existem no Unix, além das senhas serem armazenadas em um formato diferente.

Uma conta de usuário do Samba irá conter diversos dados extras:

• Senhas no formato LanMan e MD4

• Flags de controle, utilizadas para determinar se a conta é um usuário ou uma máquina, se foi bloqueada, se é uma relação de confiança, etc. Veja nos anexos, uma lista completa das flags de contas do Samba.

• SID Security Identifier ou identificador de segurança do usuário e grupo.

29/34

Estes são atributos essenciais no funcionamento do Samba. As senhas utilizadas atualmente no protocolo SMB/CIFS são derivadas da criptografia MD4 e no caso de versões mais antigas do cliente são utilizadas senhas LanMan.

Devido à essas duas características sempre que um usuário ou máquina for ser utilizado pelo samba ele deverá existir como dois objetos: um usuário e sistema e também um usuário do damba. Na configuração padrão isso é feito criando-se, literalmente, dois usuários em bases distintas: os usuários de sistema são armazenados no arquivo /etc/passwd e os usuários do Samba são armazenados no arquivo /etc/samba/smbpasswd ou. No caso do Samba versão 3 ou superior também podem ser gravados em um arquivo tdb localizado em Samba versão 3 ou superior também podem ser gravados em um arquivo . Tdb localizado em /var/lib/samba/passdb.tdb.

Por padrão, no Debian, o arquivo/etc/samba/smbpasswd será utilizado. Outras distribuições, como o Ubuntu, já adotam o arquivo passdb.tdb como padrão e esse será o comportamento caso o Samba seja complicado a partir do código-fonte sem alterações.

O formato do smbpasswd é o seguinte:

[nome do usuário]:[UID Unix]:[hash NT]:[flags]:[horário de modificação]:

Backends

Como mencionar o Samba pode utilizar um arquivo chamado smbpasswd para armazenar os usuários e também pode utilizar um arquivo .tdb. Estes são dois backends possíveis: maneiras de armazenar os dados de autenticação que o servidor Damba utilizará.

Atualmente o Samba permite a utilização dos seguintes backends:

Plaintext

Backend original Samba, recuperava informações diretamente da base Unix e toda autenticação era feita utilizando o PAM. Nenhuma informação específica do protocolo SMB é armazenada e senhas criptografadas não são suportadas.

SmbpasswdTradicionalmente usado quando senhas criptografadas são utilizadas, é um arquivo de texto simples que armazena dados específicos do protocolo SMB como os hashes se senha NT/LM e flags indicando a situação e tipo de contas>Entretanto este método apresenta vários problemas:

• Pesquisas de usuários são feitas de maneira sequencial, tornando a consulta lenta em servidores com muitos usuários. Esse problema se torna ainda mais crítico levando-se em consideração que o Samba faz aproximadamente duas consultas a cada solicitação de login.

• Não existe uma maneira robusta de replicação deste arquivo.

• Vários atributos suportados não são armazenados, como o diretório pessoal de usuários específicos ou mesmo os RIDs dos usuários, sendo necessário que o servidor os calcule a cada consulta.

Por estes motivos foi adicionado suporte a outros backends.

30/34

Tdbsam

Este backend armazena as contas em um arquivo “trivial database”. Foi desenvolvido para utilização em servidores que não necessitam de um LDAP e atenua os problemas que o backend smbpasswd apresenta em relação a performace, sendo recomendado para servidores com até 250 usuários, e também pode conter atributos adicionais.

LDAPsam

Utilizar este backend permitirá a utilização de um servidor LDAP para armazenar as contas do Samba, e apresenta diversas vantagens em relação aos outros métodos, ao custo de uma complexidade maior do ambiente.

Quando utilizando o LDAP podemos unificar as contas de sistema e contas do Samba, simplificando a administração. Além disso é possível compartilhar o backend de usuários entre servidores diferentes, o que é particularmente útil quando estamos trabalhando com servidores Samba como PDC e BDC.

Escolhendo o Backend

A seleção entre os diferentes backends disponíveis é feita utilizando-se a diretiva “passdb backend” em nosso arquivo /etc/samba/smb.conf. Assim, poderíamos ter as seguintes situações:

smbpasswd: passdb backend = smbpasswd

tdbsam: passdb backend = tdbsam

Idapsam: passdb backend = 1dapsam

Nenhuma configuração extra é necessária no caso dos backends smbpasswd e tdbsam, que irão utilizar os arquivos na localização padrão. No caso da utilização do Idapsam outras configurações ainda são necessárias, que serão abordadas posteriormente em um capítulo específico sobre a utilização do LDAP com o Samba.

Caso se deseje utilizar um arquivo em uma localização não padrão, pode-se especificar onde esse se encontra da seguinte forma:

passdb backend = tdbsam: /srv/samba/passdb.tdb

Esta configuração faria com que o Samba procurasse pelo arquivo passdb.tdb no diretórios”/srv/samba”.

Gerenciando Usuários no Samba

Para criar um usuário no Samba devemos primeiro adicionar um usuário local no sistema e então criar a conta do Samba utilizando o comando smbpasswd. Portanto, para adicionarmos um usuário chamado “usuário1” no sistema, devemos fazer o seguinte:

# useradd usuário1

# smbpasswd – a usuário1

New SMB password:

31/34

Retype new SMB password:

Added user usuário1

Uma vez adicionado o usuário, devemos conseguir visualizá-lo no arquivo /etc/samba/smbpasswd:

#cat/etc/samba/smbpasswd

usuário1: 1005: xxxxxxxxxxxxxx: 31E0C089C0: [U ] : LCT- 4DO8DB3C

O conteúdo do arquivo passdb.tdb é semelhante (podendo conter mais dados) e , quando utilizamos este backend, pode ser visualizado através do seguinte comando:

# tdbdump/var/lib/samba/passdb.tdb

Para remover usuários do Samba devemos primeiro removê-los do backend Samba para somente então removê-los do sistema:

# smbpasswd -x usuário1

# userdel usuário1

LABORATORIO 1

Fazer um script para realizar o backup do arquivo de configuração e das bases de dados.tdb do Samba. Para isso, o script deverá fazer o seguinte:

• copiar o arquivo de configuração para um diretório de backup

• executar o tdbdump, gerado os arquivos .bak das bases do Samba

• copiar os arquivos .bak para o diretório de backup

• verificar se o .bak foi gerado com sucesso; se não foi feito, restaure o ultimo Backup valido

* você terá acesso à solução da questão no final da primeira semana do curso *

32/34

CONCLUSÃO

O SAMBA permite ainda muitas outras configurações que podem ser consultadas através do man do smb.conf. Uma documentação importante está em /usr/doc/samba-2.0.x/ com dicas e referencias a segurança, navegação, compatibilidades, etc.

É aconselhável reiniciar o SAMBA a cada modificação no smb.conf (embora não seja realmente necessário), principalmente em se tratando de parâmetros como "path", "logon master", e outros que definem acesso ou segurança.

Sua compreensão não é difícil, mas requer um certo tempo de aprendizado, pois sua configuração é bastante abrangente para atender os mais diversos tipos de necessidade.

Lembre-se que a documentação do SAMBA (do protocolo SMB em geral) é extensa. Consulte os docs criados após a sua instalação.

33/34

REFERÊNCIA BIBLIOGRÁFICA

VILLAS BOAS, Tiago; MENDONÇA, Nelson. Samba, totalmente reformulado para Samba 3. 3ª Ed.,Brasport, 2006.

FERRARI, Sandro Roberto; Sambando com Linux. 2ª Ed., Rio de Janeiro: Alta Books, 2009.

http://www.samba.org/ Acesso em 2 Mai 2012.

http://www.cdtc.org.br/ Acesso em 3 Mai 2012.

http://www.diegolima.org/wordpress/ Acesso em 3 Mai 2012.

http://www.jsbusiness.com.br/foca/avancado/ch-s-samba.htm#s-s-samba-s-varsubst Acesso em 4 Mai 2012.

http://debian.org Acessado em 4 Mai 2012.

34/34