Samba: guida estesa: differenze tra le versioni

Vai alla navigazione Vai alla ricerca
mNessun oggetto della modifica
Riga 1: Riga 1:
=Introduzione=
==Premessa==
Samba e' un diffusissimo software open source ideato nel 1991 da Andrew Tridgell e rilasciato sotto licenza GPL che permette la condivisione di risorse come directory e stampanti tra macchine windows e GNU/Linux (''UNIX''); si avvale sostanzialmente del protocollo SMB (''server message block'') originario microsoft e basato a sua volta sul protocollo  NetBios (''network basic input output system'') sviluppato da IBM nel 1984.  
Di seguito riporto un elenco delle principali variabili del kernel relative a netfilter impostabili a run-time.


Si sceglie solitamente l'uso di Samba per poter condividere file e stampanti in una rete mista (''macchine GNU/Linux, ms-windows, mac os..''), in modo da sfruttare un unico protocollo e un unico sistema di autenticazione.
Per ciascuna di esse � indicato:
* nome della variabile;
* tipo (booleano, integer, ecc ...);
* una breve descrizione.


=La suite=
Queste variabili possono essere impostate in vari modi: tramite scripts, editando /etc/sysctl.conf, usando l' apposito comando sysctl e cos� via.
Analizziamo i programmi che otteniamo dall' installazione della suite samba per Debian GNU/Linux:


<pre># apt-get update && apt-get install samba smbfs</pre>
Altra documentazione (in inglese) si trova allegata ai sorgenti del kernel all' interno di '''Documentation/networking/ip-sysctl.txt'''


In breve:
Buona lettura!.
;'''smbd''': questo demone e' sostanzialmente il cuore di samba; in ascolto sulla 445/tcp, gestisce le autenticazioni e da accesso ai filesystem e allo spooler di stampa.


;'''nmbd''': questo demone in ascolto sulla 139/udp, rende note le risorse condivise tutte le volte che viene interrogato dai client. Per fare un esempio è quel demone che permette la visualizzazione dei serventi samba in Risorse di Rete nei sistemi ms-windows. E' il primo ad avviarsi dei due demoni.
==Variabili a run-time==


;'''smbclient''': programma client a riga di comando quasi uguale a ftp (''smbclient trasferisce solo in binary mode''), dotato di diverse funzioni; tra le piu' importanti, quella di listare gli share messi in condivisione dai vari server samba in una rete.
'''ip-forward (boolean)'''
Permette il forwarding dei pacchetti


;'''smbmount''' & '''smbumount''': utilizzati per montare/smontare filesystem condivisi.
'''ipfrag_high_thresh (integer)'''
Massima memoria utilizzabile per riassemblare i pacchetti frammentati. I pacchetti eccedenti vengono scartati fino a che non si raggiunge nuovamente la soglia settata da '''ipfrag_low_thresh


;'''smbpasswd''': strumento per la creazione utenti samba. Un utente samba dovra' essere anche un utente presente sulla macchina.
'''ipfrag_time (integer)'''
Tempo massimo per mantenere un frammento IP in memoria


;'''testparm''': strumento per la verifica del file '''/etc/samba/smb.conf.
'''tcp_syn_retries (integer)'''
Numero massimo di tentativi di ritrasmissione per stabilire una connessione (valore max=255)


;'''nmblookup''':  risolve i nomi host di un domain samba (''NetBIOS name'') in indirizzi ip (es: nmblookup ''nomehost'').
'''tcp_synack_retries (integer)'''
Idem come sopra, ma per le connessioni passive


=Configurazione del server=
'''tcp_keepalive_time (integer)'''
==Sezione global==
Indica quanto spesso verr� inviato il messaggio TCP KEEPALIVE
Editiamo il file '''/etc/samba/smb.conf''':
<pre> 
[global]
    allow hosts = 192.168.1.0/24   
    workgroup = debianizzati
    server string = server@debianizzati.org
    browsable = yes
    create mask = 0755
</pre>


Con la sezione global all'interno del file smb.conf abbiamo impostato quei parametri che saranno il modello generale di tutte le eventuali sezioni che verranno.
'''tcp_keepalive_probes (integer)'''
Indica quanti pacchetti TCP PROBES inviare prima di considerare la connessione BROKEN


Ad esempio se  nella successiva sezione, non specificassimo il parametro '''allow hosts''', verra' preso come riferimento '''192.168.1.0/24'''.
'''tcp_keepalive_interval (integer)'''
Indica quanto frequentemente vengono inviati i pacchetti TCP PROBES. Moltiplicando questo valore per il '''tcp_keepalive_probes''' si ottiene il timeout per il KILL di una connessione


Ok, in breve:<br>
'''tcp_retries1 (integer)'''
'''allow hosts''' = range di ip ai quali e' permesso l'accesso alla risorsa<br>
Numero di tentativi/richieste prima che al network layer del kernel venga segnalato che qualcosa non va
'''workgroup''' = nome del gruppo di lavoro<br>
'''server string''' = stringa che identifica il server<br>
'''browsable''' = rende visibile lo share<br>
'''create mask''' = determina i permessi dei file in condivisione<br>


{{Box|Nota|Per puntare a semplicita' e rapidita' di utilizzo, inseriremo solo pochi parametri essenziali per sezione, nel nostro smb.conf. Tuttavia i parametri previsti per questo file sono veramente tanti. Per una panoramica completa fate riferimento alla page (man5) di [http://www.samba.org/samba/docs/man/smb.conf.5.html Samba].
'''tcp_retries2 (integer)'''
}}
Numero di tentativi/richieste prima che una connessione TCP '''attiva''' venga terminata
==Condivisione di una directory==
Adesso sempre dentro il nostro smb.conf, creiamo la sezione specifica per la risorsa che vogliamo condividere.  In questo esempio condivideremo una directory.
<pre>
[shared]
    comment = Directory Shared
    path = /dir/da/condividere
    browsable = yes
    read only = yes
    public = yes
    create mask = 0755
</pre>


Altri parametri:<br>
'''tcp_orphan_retries (integer)'''
'''comment''' = commento per la directory<br>
Idem come sopra, ma senza considerare attiva la connessione
'''path''' = percorso della dir condivisa<br>
'''public''' = rende la dir di libero accesso<br>
'''read only''' = setta i files della dir condivisa in sola lettura<br>


==Condivisione di una stampante==
'''tcp_fin_timeout (integer)'''
Adesso analizziamo i parametri da aggiungere al file '''smb.conf''' per poter condividere una stampante.
Indica per quanto tempo mantenere una connessione in stato FIN WAIT 2
Aggiungiamo alla sezione '''global''':
<pre>
[global]
    printing = [sistema di stampa utilizzato, es: cups, lprng..]
    load printers = yes
</pre>
Creiamo inoltre la sezione '''printers''' che fornira' i parametri di accesso alle nostre stampanti:
<pre>
[printers]
    path = /var/spool/samba
    guest ok = yes
    printable = yes
</pre>
{{Box|Nota|Debian non crea la directory /var/spool/samba. Questa directory e' adibita solo allo spool di stampa, volendo molti la sostituiscono con /tmp. Se decidete di crearla voi, per un corretto funzionamento impostatele i permessi: nobody:nobody con chmod -R 755.
}}


Dopodiche' scriviamo la sezione specifica per la nostra stampante (''es. una camon'').
'''tcp_max_tw_buckets (integer)'''
<pre>
Numero massimo di sockets simultanee in timewait mantenute dal sistema
[camon]
    comment = Camon Printer
    path = /var/spool/samba
    browsable = yes
</pre>


==Condivisione di dispositivi di lettura (CD-ROM, DVD..)==
'''tcp_max_orphans (integer)'''
Poniamo come esempio di avere due pc e che solo uno dei due monti un lettore dvd. Bene, guardiamo come poter  accedere ad un file che risiedesse su un supporto dvd, dalla macchina sprovvista di lettore:
Numero massimo di sockets TCP che possono rimanere non collegate a ''file handlers'' aperti dal sistema
<pre>
[dvd]
    comment = Lettore DVD-R
    preexec = mount /media/cdrom
    postexec = umount /media/cdrom
    path = /media/cdrom
    writable = no
</pre>
Parametri supplementari al nostro smb.conf:<br>
'''preexec''' = permette di impostare un'azione che sara' eseguita una volta connessi alla risorsa<br>
'''postexec''' = in questo caso l'azione sara' eseguita quando la risorsa verra' sconnessa<br>


Al momento che dal client monteremo la risorsa condivisa (con smbmount o smbclient) sul server sentiremo montare il dvd, il quale contenuto sara' a nostra disposizione per trasferire file o, in caso di file audio/video, anche di streaming.
'''tcp_abort_on_overflow (boolean)'''
Permette il reset di una connessione se un servizio in LISTENING � troppo lento nella risposta


Bene, a questo punto il file puo' considerarsi sufficientemente configurato per i nostri scopi.
'''tcp_syncookies (boolean)'''
Opzione valida solo se il kernel � stato compilato con il supporto dei SYNCOOKIES, previene possibili attacchi di tipo ''syn flood''


==Autenticazione==
'''tcp_timestamps (boolean)'''
Preoccupiamoci ora dell'accesso vero e proprio alle risorse messe in condivisione. Due sono i principali metodi di accesso. Possiamo creare un utente samba con smbpasswd, (''tenendo presente che un utente samba deve anche essere un utente presente sulla macchina'') ed attribuirgli poi una password di nostra scelta:
Abilita/disabilita il timestamp


Creazione utente samba:
'''tcp_ecn (boolean)'''
<pre>
Abilita/disabilita la notifica di possibili congestioni della rete
# smbpasswd -a utente
New SMB password: ****
Retype new SMB password: ****
</pre>


Questi sono user e pass coi quali ci loggheremo nel momento in cui connetteremo le risorse condivise (''smbmount, smbclient'').
'''ip_local_port_range (2 integers)'''
Definisce l' intervallo delle porte locali utilizzate da TCP e UDP. Il primo valore � l' estremo inferiore ed il secondo quello superiore dell' intervallo. Il valore di default dipende dalla memoria ram disponibile.


Se volessimo inoltre consentire l'accesso a tutti gli utenti indistintamente, basterebbe inserire il parametro '''guest ok = yes''' nelle sezioni desiderate. Ad esempio nella sezione shared:
'''ip_dynaddr (boolean)'''
<pre>
Se diverso da 0, abilita il supporto per gli indirizzi dinamici
[shared]
    comment = Directory Shared
    path = /dir/da/condividere
    browsable = yes
    read only = yes
    public = yes
    create mask = 0755
    guest ok = yes
</pre>


Cosi' facendo potremo loggarci come ospiti digitando solo invio come password.
'''icmp_echo_ignore_all (boolean)'''
Ignora i ''ping'' (ICMP ECHO REQUEST)


Bene, riavviamo il server:
'''icmp_echo_ignore_broadcasts (boolean)'''
<pre>
Se settato (deve esserlo anche il precedente) il sistema ignora i ''ping'' verso indirizzi di broadcast e multicast
# /etc/init.d/samba restart
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.
#
</pre>


Adesso testiamo la validita' del file /etc/samba/smb.conf col comando:
'''log_martians (boolean)'''
Logga i pacchetti provenienti da indirizzi IP impossibili


<pre>
'''accept_redirects (boolean)'''
# testparm /etc/samba/smb.conf
Abilita la ricezione di pacchetti ICMP REDIRECT
Load smb config files from /etc/samba/smb.conf
Processing section "[shared]"
Processing section "[camon]"
Processing section "[dvd]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions
</pre>
Premendo enter vedremo il resoconto del nostro file.


=Lato client=
'''forwarding (boolean)'''
==Smbclient==
Abilita il forwarding per una specifica interfaccia
Spostiamoci sul client:
<pre># apt-get install smbfs smbclient</pre>


Come detto in precedenza, smbclient e' un programma client ftp-like, utilizzato per l'accesso a un server samba. Guardiamo i suoi principali flags e le sue principali funzioni invece, una volta dentro al server.
'''proxy_arp (boolean)'''
Abilita il proxy ARP


===Principali flags===
'''secure_redirects (boolean)'''
(''Usare smbclient --help per uno screen completo''):
Accetta ICMP REDIRECT solo dai gateways configurati


;'''smbclient -L ''hostname''''': lista tutti gli share di un determinato host. Ad esempio, dal nostro client facciamo richiesta di listare gli share del server (''come password digitiamo  quella dell'user creato con smbpasswd o solo invio''):
----
<pre>
$ smbclient -L SERVER
Password: ****


Domain=[debianizzati] OS=[Unix] Server=[Samba 3.0.14a-Debian]
Autore: [[Utente:Keltik|Keltik]] 13:28, Jun 11, 2005 (EDT)
 
[[Categoria:Firewalling]]
        Sharename      Type      Comment
        ---------      ----      -------
        shared          Disk      Directory Shared
        camon          Disk      Camon Printer
        dvd            Disk      Lettore DVD-R
        IPC$            IPC      IPC Service (server@debianizzati.org)
        ADMIN$          IPC      IPC Service (server@debianizzati.org)
 
Domain=[debianizzati] OS=[Unix] Server=[Samba 3.0.14a-Debian]
 
        Server              Comment
        ---------            -------
        SERVER              server@debianizzati.org
        CLIENT              server@debianizzati.org
 
        Workgroup            Master
        ---------            -------
        debianizzati        SERVER
</pre>
 
Come si vede, nella colonna '''Sharename''' sono elencati i nomi degli share settati in smb.conf, quindi, la nostra directory shared,la nostra stampante e il nostro lettore DVD (''le sezioni [global] e [printers]  non sono visibili poiche' sono sezioni di parametri usate dal programma'').
Nella colonna '''Server ''' sono invece elencati gli hosts facenti parte del medesimo workgroup.
C'e' poi la colonna '''Workgroup''' che visualizza l'host con ruolo di domain master browser nella subnet.
 
;'''smbclient -U''': Con questo flag possiamo specificare l'username e l'eventule password per il login sulla macchina server.
 
;'''smbclient -A''': Sostanzialmente uguale a -U ma possiamo dargli il path di un file dal quale attingere l'username e la password.
 
===Accesso al server===
<pre>
$ smbclient //SERVER/shared
Password: ****
Domain=[SERVER] OS=[Unix] Server=[Samba 3.0.14a-Debian]
smb: \>
</pre>
 
Adesso siamo dentro al nostro server samba il cui hostname e' SERVER. Sostanzialmente il funzionamento smbclient e' il funzionamento di ftp, ma con in piu' degli utilissimi tools per il down/uploading dei files.
Alcuni input uguali a quelli di una shell di bash sono: '''ls''', '''cd''', '''rm''', '''rmdir''', '''exit''', coi quali ci sentiremo subito a casa nostra.
Otteniamo cmq una lista di comandi utili digitando '''help'''.
 
'''Download di un file con get'''.<br>
Poniamo come esempio che il contenuto della directory condivisa sia un insieme di files immagine con diverse estensioni e una directory con dentro qualsiasi cosa:
<pre>
smb: \> ls
  .                      D            0  Tue Aug 23 23:57:51 2005
  ..                      D            0  Wed Aug 17 03:05:20 2005
  directory              D            0  Wed Aug 24 12:21:43 2005
  free_kevin.png                    42604  Mon Aug 22 12:19:34 2005
  pokemon.png                      43404  Mon Aug 22 15:15:11 2005
  dorothy_la_may.gif                46134  Mon Aug 21 21:16:00 2005
</pre>
 
Scarichiamo il file free_kevin.png dalla macchina SERVER alla nostra macchina CLIENT, rinominandolo in kevin.png:
<pre>
smb: \> get free_kevin.png  kevin.png
getting file \ free_kevin.png of size 42604 as  kevin.png(1386.8 kb/s) (average 1386.8 kb/s)
</pre>
 
Il file sara' salvato nella directory dalla quale ci siamo connessi al server. Qualora il file non venisse rinominato manterrebbe il proprio nome.
 
===Alcune funzioni===
;'''lowercase''': abilita i files ad essere richiamati da get e mget utilizzando solo caratteri minuscoli. E' utile viste le difficolta' spesso trovate negli share msdos (''case insensitive'').
<pre>
es. di abilitazione dei parametri
smb: \> lowercase on
smb: \> prompt on
</pre>
;'''prompt''': Impostando ''' prompt''' su '''on''' prima di ogni trasferimento ci verra' richiesta una conferma.
;'''showconnect''': mostra l' //host/nome_risorsa in uso.
<pre>
smb: \> showconnect
//SERVER/shared
</pre>
 
;'''stat nomefile''': Stampa a video i permessi di un file e offre in ordine temporale info sugli accessi ad esso:
<pre>
smb: \> stat  free_kevin.png
File: \free_kevin.png
Size: 101              Blocks: 8      regular file
Inode: 810      Links: 1
Access: (0644/-rw-r--r--)      Uid: 1000      Gid: 1000
Access: 2005-08-24 00:10:39 +0200
Modify: 2005-08-24 00:10:51 +0200
Change: 2005-08-24 00:10:51 +0200
</pre>
 
===Mask, mget e recurse===
Con il comando '''mget''' abilitiamo il dowload di tutti i file e directory in maniera ricorsiva. Tuttavia possiamo dare a tale comando un parametro (maschera) utilizzando '''mask''' .
Es. nella nostra directory mettiamo di voler scaricare tutti i file con estensione .png:
<pre>
smb: \> mask *png
smb: \> mget
</pre>
In questo modo mget intendera' scaricare tutti i files con tale estensione presenti nella directory corrente.
Tuttavia con mget e' possibile modificare la maschera on-fly digitando semplicemente:
<pre>
smb: \> mget *png
</pre>
In questo modo la funzione mask, manterra' il suo valore di default che e' '*' (''cioe' tutto'').
La funzione '''recurse on''' attiva lo scanning & downloading (nel caso di una maschera) o il dowloading, accedendo anche a tutte le directory presenti nella dir da cui parte il comando.
 
==Smbmount & Smbumount==
Con '''smbmount''' invece montiamo una risorsa in un mountpoint a nostra scelta.
Montiamo la risorsa shared col comando:
<pre>$ smbmount //SERVER/shared  /path/del/mountpoint</pre>
 
(''come password digitiamo  quella dell'user creato con smbpasswd o solo invio'')
 
Cosi' facendo potremmo accedere alla risorsa condivisa, raggiungendo il mountpoint:
<pre>
$ cd /path/del/mountpoint
$ ls
  directory  free_kevin.png  pokemon.png dorothy_la_may.gif
</pre>
 
=Conclusioni=
Samba e' un software semplicemente straordinario. La sua anima, il file smb.conf e' in perfetto stile Linux; cioe', lo stesso file, puo' divenire enorme e strutturatissimo oppure snello e semplicissimo, a seconda (''e questo e' il vero stile linux'') di quello che un utente vuole.
 
-------
 
Autore: [[Utente:Zmo.zmo|zmo]]
Estratto da "https://guide.debianizzati.org/index.php/Samba:_guida_estesa"