Samba como Servidor de Archivos y Dominio de Control Primario (PDC) - Configurando Samba - herramientas de configuración

Existen dos formas para realizar la configuración:

1. A mano. Se editan directamente, con un editor de texto los archivos de configuración, que se encuentran en /etc/samba. 2. Con Swat (Samba Web Administration Tool). Se trata de una interfaz que se comporta como un servidor Web, conectándose a la maquina por medio de un simple navegador. Es posible leer la documentación, cambiar la configuración y realizar las demás tareas administrativas después de validarse como root o como usuario con permisos de administrador. El servidor Swat suele ejecutarse en el puerto 901, para no entrar en conflicto con el puerto 80, servidor de http. Desde el navegador Web ingrese la URL:

        http://localhost:901      ∞ 

Para poder iniciar esta herramienta primero deberá editar el archivo /etc/inet.conf y activar la línea:

        swat stream tcp nowait.400 root /usr/sbin/swat       

y volver a correr los servicios inet con el comando

        /etc/rc.d/init.d/inet restart       

Editando los Archivos de Configuración

Imhosts

Para fines prácticos el nombre NetBIOS debe tener un máximo de 11 caracteres. Este se establecerá en el archivo /etc/samba/lmhosts, en donde encontrá lo siguiente:

        localhost       

Debemos añadir entonces el nombre que se haya elegido asociado a la dirección IP que se tenga dentro de la red local. Adicionalmente podrá, solo si es que lo quieres, añadir también el nombre y dirección IP del resto de las máquinas que conformen la red local.

        127.0.0.1       localhost        192.168.1.5     ServidorSamba

smb.conf

La configuración de Samba se realiza en un solo archivo, smb.conf.

Este archivo de configuración determina que recursos del sistema se desean compartir con el mundo exterior y que restricciones se quieren poner en ellos. Pude ser muy simple o tremendamente complejo.

Cada sección del archivo empieza con una cabecera como [global], [impresoras], [home] etc.

Todos los archivos de configuración de Samba serán encontrados por defecto en /etc/samba.

El archivo smb.conf que se explica abajo, permite a los usuarios remotos acceder al directorio personal de cada uno (a su Home), en el servidor Samba y a otros subdirectorios específicos, dependiendo del permiso asignado a cada uno. Para que un usuario de Windows vea estos recursos, la máquina Linux debe estar en la red local. Entonces el usuario simplemente conecta una unidad de red desde el Explorador de Windows o el Windows File Manager.

” # " o " ; " : Las líneas que comienzan con estos caracteres, son consideradas comentarios.

A continuación veremos un ejemplo de una configuración relativamente básica, explicando cada uno de sus parámetros.

Sección [global]:

La sección [global] define las variables que Samba usará para definir la compartición de todos los recursos.

[global]workgroup = Grupo-de-Trabajo

Grupo de trabajo al que pertenece el servidor SAMBA

netbios name = Mi-Linux

Esta etiqueta nos presentara en la red con el nombre NetBios dado.

server string = Samba Server

Esta opción le dará una breve descripción a nuestra Maquina al presentarse dentro de la Red.

security = user

El parámetro security puede tomar uno de cuatro valores:

1. share (compartido): El cliente envía una contraseña mientras pide la conexión, pero #no se necesita un nombre de usuario. Este modo es el modo de seguridad predeterminado para los archivos o las impresoras bajo Windows. Se puede cambiar bajo Windows en la sección Red del Panel de Control de Acceso. 2. user (usuario): Este es el modo de seguridad mas recomendado. Aquí se le pide al usuario un #nombre y contraseña valida. 3. server (servidor): Es una variante del modo user. El servidor Samba envía un pedido de apertura de sesión a un servidor de contraseñas. 4. domain (dominio): Es prácticamente el mismo anterior. Para estos tres últimos modos, el usuario debe ser creado sobre el servidor Samba.

encrypt passwords = yes

Para esperar que las contraseñas vengan encriptadas usaremos la opción encrypt passwords = yes. Si fuera no, las esperaría en texto plano. Por defecto Win98 y Win NT (a partir del SP3), las envían encriptadas.

smb passwd file = /etc/samba/smbpasswd

Si has usado encrypt passwords, deberás tener un archivo smbpasswd con el nombre de los usuarios que autentificarás sus contraseñas encriptadas. Este archivo estará situado en algún sitio de nuestro sistema de archivos y indicaremos su ubicación indicándolo con smb passwd file = ..

hosts allow = 192.168.0.

Define cual será la red o subredes que tendrán acceso a nuestros servidor. En este caso definimos para que los usuarios que provengan de cualquier dirección que empiece con 192.168.0 tendran acceso.

socket options = IPTOS_LOWDELAY

Para que los datos se transfieran correctamente deberemos de indicar que el protocolo que utilizamos (en este caso TCP/IP).

log file = /var/log/samba.%m

Ubicación donde quedaran los logs, en este caso la extensión será acompañada de la maquina desde la cual se hizo la conexión, si se desea guardar los registros por cada usuario, cambiar %m por %u.

max log size = 50

Tamaño máximo para los archivos de logs.

keep alive = 30

Tiempo máximo (en segundos) que permitirá una conexión sin uso (”idle”) antes de ser desconectada.( = 0 indica que no se desconectará )

log lavel = 2

El valor del parámetro (un entero) permite indicar niveles de depuración (niveles de registro) en el archivo smb.conf. Esto permite dar gran flexibilidad en la configuración del sistema.

Sección [homes]:

La sección [homes] permite a los usuarios remotos acceder a sus respectivos directorios principales en la máquina Linux local (cada uno al suyo nada más). Esto es, si un usuario de Windows intenta conectar a este recurso desde su máquina Windows, será conectado a su directorio personal. Por supuesto para hacer esto, hay que tener una cuenta en la máquina Linux.

[homes]comment = Directorios de cada Usuario

Comentarios adicionales del Directorio

browseable = no

Indica que el directorio no puede ser observado por los usuarios.

Read only = no

El usuario esta permitido escribir y leer del directorio en Unix. Esto es equivalente a decir

writable = yes

create mode = 0750

Los permisos de acceso (en Unix) que serán otorgados al crear un archivo. El creador del archivo tiene derechos rwx sobre el mismo, el grupo r-x y los otros r– .

Otros Recursos

[Share]

Este directorio puede ser visto y modificado por cualquier usuario.

comment = Directorio de Compartido para todospath = /home/Sharewritable = yesbrowsable  = yes[MyGrupo]

Este es un directorio el cual pertenece a un grupo determinado de personas, las que están agrupadas bajo el grupo MyGupo(creado en Linux). La opción valid users, valida los usuarios que pueden ingresar a este directorio, si deseas que el grupo completo tenga acceso, coloca una arroba delante, y si solo deseas que algunos integrantes puedan tener acceso al recurso, debes poner los nombres de usuario separados por espacios o por comas.

Por el contrario si quieres invalidar un usuario ocupas la opción Invalid users = usuario1, usuario2..

comment = Directorio de My grupopath = /home/MyGrupovalid users =  @mygrupowritable = yes

Nota del editor : Recientemente fue descubierto un exploit que afecta a la mayoria de las versiones no actualizadas de Samba. Para evitar que Samba escuche en todas las interfaces de red (que ocurre en la configuracion por defecto), agregar las siguientes directivas en la seccion global del smb.conf:

interfaces = 192.168.1.1; reemplazar por el IP de la interfaz o simplemente; reemplazar por el nombre de la interfaz, como eth1; por ejemplo; interfaces = 192.168.1.1 127.0.0.1; interfaces = eth1 lobind interfaces only = yes

–jci