Можете да го подесувате SAMBA серверот со уредување на /etc/samba/smb.conf
датотеката, со менување на стандардните подесувања или со додавање на нови. Повеќе информации можете да пронајдете во коментарите на /etc/samba/smb.conf
датотеката или со прикажување на упатство-страницата на /etc/samba/smb.conf
која можете да ја повиката со помош на следната наредба:
man smb.conf
![]() |
|
Пред да започнете со менување на конфигурациската датотека треба да направите копија на оргиналната. Пожелно е оваа копија да ја заштитите од запишување, со што ќе ги зачувате оргиналните подесувања како референца и ќе ги употребувате доколку е тоа потребно. |
Направете резевна копија на /etc/samba/smb.conf
датотеката:
sudo cp /etc/samba/smb.conf /etc/samba/smb.conf.original
Сега можете да ја уредувате /etc/samba/smb.conf
датотеката.
Покрај SAMBA пакетот за споделување на датотеки и принтери, Ubuntu содржи и други моќни серверски апликации дизајнирани да овозможат додатна серверска функционалност на Windows клиентите, слична на функционалноста што ја овозможуваат вистинските Winodows сервери. На пример, Ubuntu нуди централизирано управување со мрежни ресурси како што се компјутери и корисници преку Directory Services (директоримски сервиси), и овозможува идентификација и авторизација на компјутери и корисници преку Autentication Services (автентификациски сервиси).
Наредните секции ќе ги опишуваат SAMBA и другите подржани технологии, како што се Lightweight Directory Access Protocol (LDAP) серверот, и Kerberos автентификацискиот сервер.
Active Directory is a proprietary implementation of Directory Services by Microsoft, and is used to provide a means to share information about network resources and users. In addition to providing a centralized source of such information, Active Directory also acts as a centralized authentication security authority for the network. Active directory combines capabilities traditionally found in separate, specialized directory systems to simplify integration, management, and security of network resources. The SAMBA package may be configured to use Active Directory services from a Windows Domain Controller.
The LDAP server application provides Directory Services functionality to Windows computers in a manner very similar to Microsoft Active Directory services. Such services include managing the identities and relationships of computers, users, and groups of computers or users that participate in the network, and providing a consistent means to describe, locate, and manage these resources. The freely available implementation of LDAP available for your Ubuntu system is called OpenLDAP. The server daemons responsible for handling OpenLDAP directory requests and the propagation of directory data from one LDAP server to another on Ubuntu, are slapd and slurpd. OpenLDAP may be used in conjunction with SAMBA to provide File, Print, and Directory services in much the same way a Windows Domain Controller does so long as SAMBA is compiled with LDAP support.
Kerberos автентификацискиот сигурносен систем претставува стандардизиран сервис кој нуди автентификација за компјутери и корисници преку централизиран сервер кој издава енкриптирани билети за авторизација, кои се прифаќаат за самиот процес на авторизација од сите други компјутери кои го користат Kerberos. Добивки при користење на Kerberos автентификацијата се взаемна автентификација, испратена (делегирана) автентификација, интероперабилност, како и поедноставено управување со довербата. Основните серверски демони за справување со Kerberos автентификација и администрација со база во Ubuntu се krb5kdc и kadmin. SAMBA може да го користи Kerberos како механизам за автентификација на компјутери и корисници наспрема Windows Domain Controller. За да се постигне тоа, мора на Ubuntu системот да биде инсталиран Kerberos и датотеката /etc/samba/smb.conf
треба да биде модифицирана за да го избере соодветниот realm и security мод. На пример, модификувајте ја датотеката /etc/samba/smb.conf
со тоа што ќе ги додадете следните вредности:
realm = DOMAIN_NAME
security = ADS
на датотеката. Потоа запамтете ја.
![]() |
|
Бидете сигурни дека сте го замениле токенот DOMAIN_NAME во примерот погоре со вистинското име кое сте го специфицирале во Windows Domain. |
Ќе треба да ги рестартувате SAMBA демоните за промените да имаат ефект. Тоа можете да го направите со помош на следната команда внесена во командната линија:
sudo /etc/init.d/samba restart
Компјутерските сметки се користат во директориумските услуги (Directory Services) за единствена идентификација на компјутерските системи кои учествуваат во мрежата. Тие дури се третираат во однос на сигурноста на ист начин како и корисниците. Компјутерските сметки можат да имаат лозинки и се предмет на авторизација во мрежните ресурси исто како и корисничките сметки. На пример ако корисник во мрежа, со валидна сметка од одредена мрежа, проба да се автентификува со мрежен ресурс од компјутер кој нема валидна компјутерска сметка, во зависност од полисите кои се применуваат на мрежата, на корисникот може да му биде одбиен пристапот до ресурсот ако компјутерот на од кој пробува да се автентификува е сметан како неавторизиран компјутер.
Компјутерска сметка може да биде додадена во SAMBA датотеката со лозинки, но претходно мора да се осигураме дека компјутерот кој сакаме да го додадеме постои како валидна корисничка сметка во локалната база со лозинки. Синтаксата за додавање на компјутерска или машинска сметка во SAMBA датотеката со лозинки е со користење на smbpasswd командата во командна линија, на следниот начин:
sudo smbpasswd -a -m COMPUTER_NAME
![]() |
|
Осигурајте се дека сте го замениле симболот COMPUTER_NAME во примерот погоре со конкретното име на специфичниот компјутер што сакате да го додадете. |
Дозволите на датотеките ги дефинираат експлицитните права што ги има компјутер или корисник на одреден директориум, датотека или множество од датотеки. Вакви дозволи можат да се дефинираат со уредување на
/etc/samba/smb.conf
датотеката и со специфицирање на експлицитни дозволи на споделена датотека. На пример, ако сте дефнирирале директориумот sourcedocs да биде споделен со помош на SAMBA, и сакате да биде само за читање (read-only) за групата на корисници позната како planning, но сакате да биде дозволен за запишување на групата authors и на корисникот richard, тогаш можете да ја едитрирате /etc/samba/smb.conf
и да ги додадете следните ставки под [sourcedocs] ставката:
read list = @planning
write list = @authors, richard
Запамтете ја /etc/samba/smb.conf
за промените да имаат ефект.
Друга можна дозвола е да декларирате административна дозвола за одреден споделен ресурс. Корисниците кои имаат административни дозволи можат да читаат, пишуваат или да ги менуваат сите информации кои се содржат во ресурсот за кој им биле дадени административните дозволи. На пример, ако сакате да му дадете административна дозвола на корисникот melissa за sourcedocs споделениот ресурс, ќе ја едитирате /etc/samba/smb.conf
датотеката и ќе ја додадете следната линија во [sourcedocs] ставката:
admin users = melissa
Запамтете ја /etc/samba/smb.conf
за промените да имаат ефект.
Ubuntu содржи клиентски апликации и можности за пристап до споделени мрежни ресурси со помош на SMB протоколот. На пример, алатката smbclient овозможува одалечен пристап до споделени датотечни системи, на сличен начин на кој тоа го овозможува File Transfer Protocol (FTP) клиентот. За пристап до споделен директориумски ресурс, познат како documents, понуден од страна на оддалечен Windows компјутер именуван како bill, со помош на smbclient, би се вметнала следната команда во командна линија:
smbclient //bill/documents -U <username>
You will then be prompted for the password for the user name specified after the -U switch, and upon successful authentication, will be presented with a prompt where commands may be entered for manipulating and transferring files in a syntax similar to that used by non-graphical FTP clients. For more information on the smbclient utility, read the utility's manual page with the command:
man smbclient
Local mounting of remote network resources using the SMB protocol is also possible using the smbfs program.
To mount a shared folder named project-code on a Windows server named development as the user dlightman to your Ubuntu system's /mnt/pcode mount-point (the mountpoint you choose should be an empty folder), you would issue this command at the prompt:
sudo mount -t smbfs -o username=dlightman //development/project-code /mnt/pcode
Ќе бидете известени за внесување на вашата корисничка лозинка и по успешната автентификација, содржината на споделениот ресурс ќе ви биде достапна локално преку точката која сте ја специфицирале како последен аргумент на mount командата. За прекинување на врската со споделениот ресурс, едноставно искористете ја umount командата на ист начин на кој би ја искористиле за било кој друг прикачен датотечен систем. На пример:
sudo umount /mnt/pcode
Корисничките сметки дефинираат личност со некакво ниво на авторизација за одредени компјутери и мрежни ресурси. Вообичаено, во мрежна околина, корисничката сметка му е доделена на секоја личност на која и се дозволува пристап до компјутер или мрежа, каде полисите и дозволите кои ги дефинираат експлицитните права што ги има корисникот на таа сметка. За дефинирање на SAMBA мрежен корисник на вашиот Ubuntu систем, може да ја користите smbpasswd командата. На пример, за додавање на SAMBA корисник на вашиот Ubuntu систем со корсничко име jseinfeld, ќе треба да ја внесете следната команда во командна линија:
sudo smbpasswd -a jseinfeld
The smbpasswd application will then prompt you to enter a password for the user:
New SMB password:
Enter the password you wish to set for the user, and the smbpasswd application will ask you to confirm the password:
Retype new SMB password:
Потврдете ја лозинката и smbpasswd апликацијата ќе додаде ставка за корисникот со SAMBA датотеката за лозинки.
Групите дефинираат колекција на компјутери или корисници кои имаат заедничко ниво на пристап до одредени мрежни ресурси и одредуваат ниво на грануларност во контролирањето на пристапот до таквите ресурси. На пример, ако групата qa е дефинирана и содржи корисници freda, danika, и rob, а втора група support е дефинирана и составена од корисниците danika, jeremy, и vincent тогаш одредени мрежни ресурси конфигурирани да ѝ дадат пристап на qa групата ќе им дозволат пристап на freda, danika и rob, но не и на jeremy или vincent. Бидејќи корисникот danika припаѓа и на qa и на support групата, таа ќе има пристап до ресурсите конфигурирани за пристап од страна на двете групи, за разлика од сите други корисници кои ќе имаат само пристап до ресурсите кои експлицитно им се дозволени во зависност од групата во која припаѓаат.
Кога дефинирате групи во SAMBA конфигурациската датотека /etc/samba/smb.conf
, користете го како префикс симболот „@“. На пример, ако сакате да дефинирате група која ќе се вика sysadmin во одреден дел од /etc/samba/smb.conf
, тоа можете да го направите со внесување на име на група @sysadmin.
Групните полиси дефинираат одредени конфигурациски подесувања за SAMBA кои се однесуваат на доменот (Domain) или работната група (Workgroup) на која припаѓаат компјутерските сметки, како и други глобални подесувања на SAMBA серверот. На пример, ако SAMBA серверот припаѓа на работна група од Windows компјутери наречена LEVELONE, тогаш датотеката /etc/samba/smb.conf
може да биде едитриана на следниот начин:
workgroup = LEVELONE
Запамтете ја датотеката и рестартувајте ги SAMBA демоните за промените да имаат ефект.
Друго важно подесување за глобалните полиси е server string кој дефинира име на NETBIOS сервер кое ќе се известува од страна на вашата Ubuntu машина до другите машини на Windows-базираната мрежа. Ова ќе биде името на вашиот Ubuntu систем кое ќе биде препознаено од страна на Windows клиентите и другите компјутери овозможени за работа во мрежата преку SMB протоколот. Исто така, може да специфицирате име и локација на датотеката со логови на SAMBA серверот со користење на log file директивата во /etc/samba/smb.conf
датотеката.
Some of the additional directives governing global group policy include specification of the global nature of all shared resources. For
example, placing certain directives under the [global] heading of the /etc/samba/smb.conf
file will affect all shared resources unless an overriding directive is placed under a particular shared resource heading. You
specify all shares are browseable by all clients on the network by placing a
browseable directive, which takes a Boolean argument, under the
[global] heading in the /etc/samba/smb.conf
. That is, if you edit the file and add the line:
browseable = true
under the [global] section of /etc/samba/smb.conf
, then all shares provided by
your Ubuntu system via SAMBA will be browseable by all authorized clients, unless a specific share contains a
browseable = false directive, which will override the global directive.
Other examples which work in a similar manner, are the public and writeable directives. The public directive accepts a Boolean value and decides whether a particular shared resource is visible by all clients, authorized or not. The writeable directive also takes a Boolean value and defines whether a particular shared resource is writable by any and all network clients.