SAMBA: configurazione lato server

Da Guide@Debianizzati.Org.

Guida estesa

Sommario

  1. Lato server
  2. Lato client
  3. Esempi
  4. Troubleshooting
  5. Approfondimenti

Indice

Modulo principale

Installazione

Analizziamo i programmi che otteniamo dall'installazione della suite Samba per Debian GNU/Linux:

# apt-get update && apt-get install samba smbfs cifs-utils

In breve:

Per i client si veda la sezione loro dedicata.

Configurazione

Si compone di due fasi principali:

Il file smb.conf

E' sostanzialmente un elenco di sezioni sotto ognuna delle quali si definiscono uno o più parametri. Ci sono due tipi principali di sezioni:

In ogni file di configurazione andrà definita una sola sezione globale, mentre dovranno essere scritte tante sezioni risorse quante sono le risorse da condividere e/o funzionalità avanzate da abilitare. Il file smb.conf avrà dunque un aspetto di questo tipo (al netto degli eventuali commenti):

[global]
    parametro1 = valore
    ...
    parametroN = valore

[Condivisione1]
    parametro1 = valore
    ...
    parametroN = valore

...

[CondivisioneM]
    parametro1 = valore
    ...
    parametroN = valore

[Periferica1]
    parametro1 = valore
    ...
    parametroN = valore

...

[PerifericaM]
    parametro1 = valore
    ...
    parametroN = valore

[printers]
    parametro1 = valore
    ...
    parametroN = valore

[Stampante1]
    parametro1 = valore
    ...
    parametroN = valore

...

[StampanteM]
    parametro1 = valore
    ...
    parametroN = valore

ecc.

Info.png Nota
Data la moltitudine di parametri configurabili in questa guida ci si limiterà a trattarne solo una piccola parte. Per una panoramica completa si invita il lettore a fare riferimento alla pagina (man5) di Samba.


Warning.png ATTENZIONE
Esistono parametri che devono essere dichiarati nella sola sezione global, parametri che devono essere dichiarati solo nelle sezioni dedicate alle singole risorse e infine parametri che possono essere definiti in entrambi i tipi di sezione.


In relazione ai parametri utilizzati in questa guida (spiegati nelle successive sezioni):

Parametri globali

  
[global]
    allow hosts = 127.0.0.1 192.168.1.0/24    
    workgroup = debianizzati
    server string = server@debianizzati.org
    security = user
    guest account = ospite
    map to guest = Bad User
    username map = /etc/samba/utenti.map
    netbios name = debianizzati
    netbios aliases = alias1 ... aliasN
    include = /etc/samba/smb.conf.%L

    passwd program = /bin/passwd %u
    pam password change = yes
    obey pam restrictions = yes
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    unix password sync = Yes

Parametri generici

guest ok = no
guest only = yes
browseable = yes 
public = yes
valid users = utente1, utente2, utenteN
read only = yes
create mask = 0750
directory mask = 0750
Info.png IMPORTANTE
I successivi due parametri NON devono essere dichiarati nelle sezioni dedicate alle stampanti.

Parametri specifici

Essendo difficile una discussione unitaria si adotta un approccio caso per caso. Si noti dunque che inevitabilmente nei seguenti esempi potranno essere utilizzati anche parametri generici e non solo specifici.

Condivisione di una directory

Adesso sempre dentro il nostro /etc/samba/smb.conf, creiamo la sezione specifica per la risorsa che vogliamo condividere. In questo esempio condivideremo una directory.

 [shared]
     comment = Directory Shared
     path = /dir/da/condividere
Condivisione di una stampante

Adesso analizziamo i parametri da aggiungere al file /etc/samba/smb.conf per poter condividere una stampante. Aggiungiamo alla sezione global:

 
 [global]
     printing = [sistema di stampa utilizzato, es: cups, lprng..]
     load printers = yes

Creiamo inoltre la sezione printers che fornirà i parametri di accesso alle nostre stampanti:

[printers]
    path = /var/spool/samba
    guest ok = yes
    printable = yes
Warning.png ATTENZIONE
Debian non crea in automatico la directory /var/spool/samba.


Questa directory è adibita solo allo spool di stampa, volendo molti la sostituiscono con /tmp. Se decidete di crearla voi, per un corretto funzionamento impostatele i permessi: nobody:nobody con:

 # chown nobody.nobody /var/spool/samba
 # chmod -R 755 /var/spool/samba

Dopodiché scriviamo la sezione specifica per la nostra stampante (es. una canon).

 [canon]
    comment = Canon Printer
    path = /var/spool/samba
 
Condivisione di dispositivi di lettura (CD-ROM, DVD..)

Poniamo come esempio di avere due pc e che solo uno dei due monti un lettore DVD. Bene, guardiamo come poter accedere ad un file, che risiedesse su un supporto DVD, dalla macchina sprovvista di lettore:

 [dvd]
    comment = Lettore DVD-R
    preexec = mount /media/cdrom
    postexec = umount /media/cdrom
    path = /media/cdrom
    writable = no

Parametri supplementari al nostro /etc/samba/smb.conf:

Nel momento in cui dal client monteremo la risorsa condivisa (con smbmount o smbclient) sul server sentiremo montare il DVD, il cui contenuto sarà a nostra disposizione per trasferire file o, in caso di file audio/video, anche di streaming.

Bene, a questo punto il file può considerarsi sufficientemente configurato per i nostri scopi.

Creazione utenti e Autenticazione

Info.png IMPORTANTE
Perché un utente possa accedere alle risorse appena definite in /etc/samba/smb.conf devono essere soddisfatte due condizioni:
  • Tutti gli utenti samba che si vuol creare devono esistere anche in linux, il che tipicamente significa essere presenti nel file /etc/passwd.
  • Ciascun utente samba deve essere esplicitamente creato attraverso il comando smbpasswd.


Per aggiungere o modificare la password di un utente:

# smbpasswd -a utente

Verrà richiesto di immettere due volte la password da attribuire al suddetto utente; fatto ciò in caso di nuovo utente comparirà il messaggio Added user utente. Per eliminare la password di un utente

# smbpasswd -n utente

Digitando invece # smbpasswd -an utente si aggiunge un utente senza attribuirgli alcuna password. Si noti che se il parametro security è impostato sul valore user allora il suddetto utente non potrà autenticarsi presso samba e quindi non avrà alcun accesso alle risorse. Nonrmalmente non si attribuisce password all'utenza da usare come guest, poiché per definizione viene usata per garantire l'accesso ad utenti anonimi. Per eliminare un utente dall'elenco utenti di samba (con questo comando non si vanno a toccare gli utenti linux):

# smbpasswd -x utente
Info.png Nota
Il file con l'elenco utenti e password di samba è di norma memorizzato in /var/lib/samba/passdb.tdb in forma criptata

Ogni utente ha infine la possibilità di modificare la propria password (a meno che naturalmente non sia stato disabilitato l'accesso tramite bash) digitando:

$ smbpasswd

Si noti che qualora nel range degli IP ammessi non sia stato specificato anche 127.0.0.1 al termine della procedura di modifica password si riceverà il seguente errore: machine 127.0.0.1 rejected the negotiate protocol. Error was : NT_STATUS_INVALID_NETWORK_RESPONSE.

Il nome utente è la password definite con il precedente comando costituiscono le credenziali necessarie ad un utente per autenticarsi con successo presso il server samba nel momento in cui si connetteranno le risorse condivise (smbmount, smbclient in linux, finestrella di login in windows). Si sottolinea che ciò è strettamente vero nel solo caso in cui sia impostato security = user e map to guest = never, poiché negli altri casi ciò potrebbe non essere vero; per esempio se è security = share è possibile vedere tutte le risorse disponibili (e per cui non si sia definito browseable = no) senza alcun bisogno di immettere alcun tipo di credenziali (queste vengono al limite richieste solo quando si richiede di accedere ad una specifica risorsa).

Warning.png ATTENZIONE
Oltre a definire correttamente gli utenti in samba è sempre necessario definire correttamente i permessi UNIX sulle cartelle che si andranno a condividere, ovvero se si desidera che l'utente pinco pallino abbia accesso sia in lettura che scrittura ad una certa cartella non è sufficiente imporre read only = no, ma bisogna che ad esempio l'utente in questione sia proprietario della cartella oppure che questa abbia schema 777, ecc.


Per visualizzare l'elenco degli utenti samba registrati:

# pdbedit -L -v

L'utenza guest ovvero le condivisione pubbliche

Il primo passo per rendere una risorsa pubblica, nel senso di accessibile a chiunque senza bisogno di credenziali, ma comunque sempre all'interno dell'intervallo di IP ammissibili definiti con allow hosts, è come già scritto definire guest ok = yes. Fatto ciò ci sono due strade per il secondo passo: la prima consiste nel definire security = share, l'altra prevede di mantenere security = user e imporre map to guest = Bad User (si veda quanto precedentemente scritto a proposito dei suddetti parametri).

Info.png NOTE
  • Quanto qui scritto non tiene conto per una questione di semplicità delle casistiche security = domain e security = server, trattandosi di parametri normalmente usati in configurazioni di rete ben più complesse della rete domestica e del piccolo ufficio.
  • Nel caso di security - user si sconsiglia di restringere l'accesso alle varie risorse inserendo il parametro valid users nella sezione globale, poiché in tal caso è possibile che l'utenza guest non riesca più ad accedere alle risorse ad essa dedicate.

L'importante è che l'utente da usare come guest sia stato creato correttamente (che sia abilitato o meno è irrilevante); a tal proposito è possibile o usare l'utenza predefinita nobody oppure usarne un'altra a scelta definendo nella sezione global il parametro guest account = mio_utente, dove mio_utente deve essere un utenza già esistente in linux e in samba.
A titolo informativo si ricorda che è possibile creare un utente in linux disabilitandone subito la possibilità di autenticarsi aggiungendo al comando adduser l'opzione --disabled-login; qualora invece l'utente sia già esistente è sufficiente usare l'opzione -l del comando passwd per disabilitarne la capacità di autenticarsi al sistema.

Vale la pena esplicitare cosa succede nel caso security = user e map to guest = Bad User quando l'utente windows clicca sull'icona del server:

Note su security = user

Perché l'utenza guest funzioni correttamente attenersi a quanto segue oltre a quanto già detto:

Sincronizzazione delle password samba e linux

Qualora si desiderasse mantenere sincronizzate le password linux (passwd) con quelle definite attraverso smbpasswd è possibile ricorrere ad appositi parametri, come già scritto.

Info.png NOTA
con questo metodo la sincronizzazione è unidirezionale, ovvero qualsiasi modifica alla password samba verrà automaticamente propagata a quella linux, ma non viceversa.

Oltre ad utilizzare passwd per impostare le password è anche possibile usare PAM, badando bene che i due metodi sono mutualmente esclusivi. In particolare impostare pam password change = yes comporta l'automatica esclusione della prima modalità.
In entrambi i casi devono essere sempre definiti i parametri passwd chat (anche il testo da passare può essere il medesimo) e unix passwd sync = yes.
Nel caso di passwd è necessario specificare oltre ai precedenti due anche il parametro passwd program, mentre nel secondo devono essere specificati sia il succitato pam password change = yes che obey pam restrictions = yes (quest'ultimo potrebbe forse essere opzionale).
Esplicitando, nel primo caso andrà aggiunta alla sezione [global] quanto segue:

passwd program = /bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes

Mentre nel secondo:

pam password change = yes
obey pam restrictions = yes
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes

Riavvio e test del server

Creato/modificato il file smb.conf e creati gli utenti è il momento di riavviare il server:

# /etc/init.d/samba restart
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.
#

Terminato il riavvio dei vari demoni si procede a testare la validità del file /etc/samba/smb.conf digitando:

# testparm /etc/samba/smb.conf
Load smb config files from /etc/samba/smb.conf
Processing section "[shared]"
Processing section "[canon]"
Processing section "[dvd]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

Premendo enter vedremo il resoconto del nostro file.
Se non ci sono errori il passo successivo, prima di configurare/usare i client, è verificare che almeno dal server stesso tutte le condivisioni siano visibili e accessibili. Digitare:

smbclient -L localhost

Si noti che può o meno essere richiesto di autenticarsi a seconda del livello di sicurezza impostato, in ogni caso dovrebbe comparire a video qualcosa di simile a:

Domain=[vostro_dominio] OS=[Unix] Server=[Samba 3.6.6]

    Sharename       Type      Comment
    ---------       ----      -------
    IPC$            IPC       IPC Service (nome_server server (Samba, Debian))
    condivis1       Disk
    condivis2       Disk
    ...

Domain=[vostro_dominio] OS=[Unix] Server=[Samba 3.6.6]

    Server               Comment
    ---------            -------
    NOME_SERVER          nome_server server (Samba, Debian)

    Workgroup            Master
    ---------            -------
    WORKGROUP            NOME_SERVER
    ...

Verificato che tutte le condivisioni che si sono impostate in smb.conf siano presenti si può provare a connettersi alle suddette usando un utente abilitato al servizio samba, digitando:

smbclient //localhost/nome_condivisione -U nome_utente

dove nome_condivisione è il nome di una delle condivisioni cui l'utente può accedere (NON il nome della cartella, ma lo "Sharename" definito in smb.conf e visibile tra l'altro attraverso il precedente comando). Si veda la pagina dedicata ai SAMBA: configurazione lato client#Accesso al server client per una breve descrizione di smbclient.
NOTA: in caso di problemi prima di scrivere sul forum provare a dare un occhio alla pagina di diagnostica.

Moduli Aggiuntivi

smb2www

Potrebbe essere comodo attivare un servizio attraverso il quale gli utenti della nostra rete possano accedere (in sola lettura) alle condivisioni Samba del nostro server, magari per scaricare qualche file...
Il programma smb2www è un servizio realizzato in Perl che rende possibile tutto questo. Per funzionare deve ovviamente essere installato un server web Apache funzionante.

Installazione

Per installarlo è sufficiente utilizzare apt:

# apt-get update
# apt-get install smb2www

Configurazione

Per configurare correttamente il servizio ci sono due strade:

# dpkg-reconfigure smb2www

Sicurezza

Per aumentare la sicurezza dell'applicazione, l'autore consiglia di inserire queste righe nel file di configurazione del vostro server Apache:

<Location /cgi-bin/samba/>
   <Limit GET POST>
      order allow,deny
      allow from 127.0.0.1
      AuthName smb2www
      AuthType basic
      AuthUserFile /etc/smb2www/smb2www-users
      AuthGroupFile /dev/null
      require valid-user
      Satisfy Any
   </Limit>
</Location>

Alcune note:

Strumenti personali
Namespace
Varianti
Azioni
Navigazione
Risorse
Strumenti