Samba tartományvezérlő és SWAT Fedora 8 alatt

Ebben a leírásban egy Samba tartományvezérlőt állítunk be Samba Web Administration Tool-al (SWAT), kis (250 felhasználóig) hálózathoz.

Előszó

Egy minimális Fedora 8 telepítéssel (GUI nélkül) dolgozunk majd. A következő IP címeket, és gépneveket fogom használni:
Hostnév: server1.pelda.local
IP: 192.168.0.102
Átjáró: 192.168.0.2
Pri.DNS: 192.168.0.2
A %workstation_ip% a kliensünk IP címét takarja (pl. 192.168.0.6)

Előkészítés

Először telepítsünk néhány csomagot, amikkel a yum sebességét és megbízhatóságát tudjuk növelni:

yum install yum-fastestmirror yum-skip-broken
 

SELinux-ot le kell tiltanunk. Ha nem vagy biztos benne, hogy le van tiltva, akkor:

cat /etc/selinux/config | grep ^SELINUX=

SELinux letiltása, ha be van kapcsolva:

vi /etc/selinux/config

Ezt:

SELINUX=enforcing

változtasd erre:

SELINUX=disabled

Ezután újra kell indítani a rendszert

reboot

Frissítsük a rendszerünket:

yum -y update

Samba és CUPS

Most telepítsük a Sambat, a SWAT-ot, és a nyomtató illesztőprogram kezelő CUPS-ot:

yum install samba samba-client samba-swat gutenprint-cups gutenprint-foomatic foomatic printer-filters compat-expat1 libpaper

Ha HP nyomtatót szeretnél használni, akkor telepíteni kell még további csomagokat:

yum install hplip cups-devel ghostscript qt4 pyqt4 python-devel python-reportlab libjpeg-devel net-snmp net-snmp-devel

Megjegyzés: A net-snmp és net-snmp-devel csomagok csak akkor kellenek, ha hálózati nyomtatót szeretnél telepíteni. Ebben az esetben jetdirect:tcp (9100), snmp:tcp és snmp:udp (161) portokat is meg kell nyitni a tűzfalon!

Beállítás

Állítsuk be a tűzfalat, hogy a Samba kommunikálni tudjon a külvilággal:

system-config-firewall-tui

Tűzfal beállítások 1
Tűzfal beállítások 1

Tűzfal beállítások 2
Tűzfal beállítások 2

Állítsuk be azt az IP címet, ahonnét elérjük majd a SWAT beállító felületét:

vi /etc/xinetd.d/swat

Változtasd meg a

only_from = 127.0.0.1

sort erre:

only_from = 127.0.0.1 %workstation_ip%

Be kell állítani a CUPS webes beállító felületét, hogy elérhessük a munkaállomásunkról:

vi /etc/cups/cupsd.conf

változtasd a sort

Listen localhost:631

erre:

Listen 192.168.0.102:631

Ezt:

# Restrict access to the server…
<Location />
Order allow,deny
Allow localhost
</Location>
# Restrict access to the admin pages…
<Location /admin>
Encryption Required
Order allow,deny
Allow localhost
</Location>
# Restrict access to configuration files…
<Location /admin/conf>
AuthType Default
Require user @SYSTEM
Order allow,deny
Allow localhost
</Location>

erre:

# Restrict access to the server…
<Location />
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>
# Restrict access to the admin pages…
<Location /admin>
Encryption Required
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>
# Restrict access to configuration files…
<Location /admin/conf>
AuthType Default
Require user @SYSTEM
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>

Hozzuk létre az SSL tanúsítványokat:

openssl req -new -x509 -keyout /etc/cups/ssl/server.key -out /etc/cups/ssl/server.crt -days 365 -nodes

majd indítsuk újra a CUPS-ot

/etc/init.d/cups restart

Most már elérhető a CUPS webes beállító felülete, a http://192.168.0.102:631 címen. A root felhasználó nevével és jelszavával lehet bejelentkezni. Ha a nyomtatónkhoz nincs Linuxos illesztőprogram, és csak Windows kliensekkel szeretnénk használni, akkor a RAW módot válasszuk ki, majd a Windows kliensen a megfelelő illesztőprogramot telepítsd fel.
Ha HP nyomtatónk van, akkor a CUPS-ot előbb hozzá kell adni a hpliphez. Ezt a következő módon teheted meg:

hp-setup -i 192.168.0.20

Ahol az -i 192.168.0.20 azt jelenti, hogy a nyomtató a 192.168.0.20 IP címen van. Ahhoz, hogy megtudd, hogy a te nyomtatód melyik interfészre csatlakozik, futtasd a hp-setup ?help parancsot.
Ha hozzáadtad, és beállítottad a nyomtatót a CUPS-al, akkor a nyomtatót a telepíteni kell a Samba számára is:

cupsaddsmb -a

Ezután állítsuk be a kvóta kezelést

vi /etc/fstab

Add hozzá a usrquota és grpquota opciót az adattároló partícióhoz. Valami hasonlónak kell lennie (nálam a / partíció az):

/dev/VolGroup00/LogVol00 / ext3 defaults,usrquota,grpquota 1 1

Majd hozzuk létre a kvótához szükséges fájlokat, és mountoljuk újra a partíciót:

touch /aquota.user /aquota.group
chmod 600 /aquota.*
mount -o remount /
quotacheck -avugm
quotaon -avug

Mikor először indítod el a quotacheck -avugm parancsot, figyelmeztetést fogsz kapni:

quotacheck: WARNING – Quotafile //aquota.user was probably truncated. Cannot save quota settings…
quotacheck: WARNING – Quotafile //aquota.group was probably truncated. Cannot save quota settings…

Ez az első indításkor normális, mivel a aquota.user és aquota.group fájlok üresek voltak.
Majd engedélyezzük a Samba automatikus indulását:

chkconfig smb on
chkconfig nmb on
chkconfig winbind on
chkconfig swat on

Indítsuk újra a gépet

reboot

Samba mint tartományvezérlő

Indítsuk el a kedvenc böngészőnket, és érjük el a SWAT webes felületét: http://192.168.0.100:901
Kattints a Wizard menüpontra, és szerkeszd a következőket

Server Type = Domain Controller
Configure WINS As = Server for client use

Majd kattints a Commit gombra, így eltárolódnak a beállítások.
Figyelem! Ez felülírja a meglévő SAMBA beállításokat!
Most kattints a Global menüpontra, és állítsd be a következőket (advanced view)

workgroup = PELDA.LOCAL
netbios name = SAMBA SERVER
username map = /etc/samba/smbusers
preferred master = yes
printcap name = CUPS
logon drive = H:
logon script = scripts/logon.bat
logon path = \\server1\profiles\%U #Ha nincs a hálózatodban DNS szerver, akkor a server1-et cseréld le a szerver IP címére
logon home = \\server1\%U #Ha nincs a hálózatodban DNS szerver, akkor a server1-et cseréld le a szerver IP címére
add user script = /usr/sbin/useradd -m ‘%u’ -g users -G users
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usernod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false/ -d /var/lib/nobody %u
idmap uid = 15000-20000
idmap gid = 15000-20000
template shell = /bin/bash
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
passwd chat debug = yes
unix password sync = yes
log level = 3
os level = 200
profile acls = yes

Kattints a Commit Changes menüpontra, majd hozzuk létre a tartományi bejelentkezéshez, és a profilokhoz szükséges mappákat:

mkdir -p /home/samba/netlogon
mkdir /home/samba/profiles
chmod 777 /var/spool/samba/
chown -R root:users /home/samba/
chmod 777 /home/samba/
chmod 755 /home/samba/netlogon/
chmod 770 /home/samba/profiles/

Szerkesszük a nsswitch.conf fájlt:

vi /etc/nsswitch.conf

Változtasd meg a

hosts: files dns
sort, erre:
hosts: files wins dns

Most hozzáadod a root felhasználót a Samba jelszó adatbázisához ? ő lesz a tartományi rendszergazda (alias: administrator)

smbpasswd -a root

Most hozzad létre a megosztásokat, amit a ?Shares? menüpont alatt tehetsz meg:
Először szerkeszd a ?homes? megosztást, a ?Choose Share? menüpont alatt, és szerkeszd a beállításokat:

valid users = %S

Majd kattints a ?Commit Changes?-re, hogy elmentődjenek a változtatások.
Készíts egy új megosztást ?print$? néven (idézőjelek nélkül), és állítsd be:

comment = Printer Drivers
path = /var/lib/samba/printing
write list = root, @smbadmin
available = yes

Mentsd a beállításokat a ?Commit Changes? menüponttal
Készíts egy új megosztást ?netlogon? néven (idézőjelek nélkül), és állítsd be:

comment = Network Logon Service
path = /home/samba/netlogon
admin users = administrator
valid users = %U
read only = yes
guest ok = yes
share modes = no
browseable = no
available = yes

Készíts egy új megosztást ?profiles? néven (idézőjelek nélkül), és állítsd be:

comment = User profiles
path = /home/samba/profiles
valid users = %U
create mask = 0600
security mask = 0600
directory mask = 0770
directory security mask = 0770
read only = no
browseable = no
available = yes

Most teszteld, hogy minden rendben van e:

smbclient -L localhost -U%

valami hasonló eredményt kell, hogy kapj:

sharename Type Comment
——— —- ——-
IPC$ IPC IPC Service (Samba Server Version 3.0.27a-0.fc8)
netlogon Disk Network Logon Service
Officejet_Pro_L7600 Printer Officejet_Pro_L7600
print$ Disk Printer Drivers
Domain=[PELDA.LOCAL] OS=[Unix] Server=[Samba 3.0.27a-0.fc8]
Server Comment
——— ——-
SAMBA SERVER Samba Server Version 3.0.27a-0.fc8
Workgroup Master
——— ——-
PELDA.LOCAL SAMBA SERVER

Hozd létre az alapértelmezett tartományi csoportokat a Windows kliensek számára:

net groupmap add ntgroup="Domain Admins" unixgroup="root" type=domain -U root
net groupmap add ntgroup="Domain Users" unixgroup="users" type=domain -U root
net groupmap add ntgroup="Domain Guests" unixgroup="nobody" type=domain -U root

Majd kattins a SWAT-ban a ?Status? menüre, és indítsd újra a szolgáltatásokat.
Hozzd létre a felhasználókat:

net rpc user add %username% -U root
net rpc user password %username% "%userpassword%" -U root
smbpasswd -e %username%

Pl.:

net rpc user add gipszjakab -U root
net rpc user password gipszjakab "jelszocska" -U root
smbpasswd -e  gipszjakab

Majd állítsd be a felhasználó kvótáját:

setquota -u %username% %block-softlimit% %block-hardlimit% %inode-softlimit% %inode-hardlimit% -a

Pl.:

setquota -u gipszjakab 40960 51200 0 0 -a

Most gipszjakab felhasználónak 40 Mbájtos soft, és 50 Mbájtos hard kvótája van, valamint nincs számára inode korlátozás
A felhasználók kvótáját, és azt, hogy mennyit használnak belőle a következő parancssal teheted meg:

quota %username%

Pl.:

quota  gipszjakab

Valami hasonlót kell látnod:

Filesystem blocks quota limit grace files quota limit grace
/dev/mapper/VolGroup00-LogVol00
1108 40960 51200 104 0 0

Egyéb Samba beállítások

Itt egy példa, hogy hogy tudsz egy mindenki számára elérhető megosztást létrehozni
Először létrehozod a megfelelő mappákat, majd a jogosultságot kell beállítani

mkdir -p /home/shares/allusers/
chown -R root:users /home/shares/allusers/
chmod -R 775 /home/shares/allusers/

Kattints a ?SHARE? menüpontra a SWAT webes felületén, és hozz létre egy tetszőleges nevű megosztást, majd állítsd be:

comment = Közös tárhely
path = /home/shares/allusers/ # az elérési út, amit az előbb létrehoztál
valid users = @users
force group = users
read only = No #azért, hogy a felhasználók írhassák is a megosztást
create mask = 0660
security mask = 0660
directory mask = 0771
directory security mask = 0771
available = Yes

Mentsd el a beállításokat.

23 thoughts on “Samba tartományvezérlő és SWAT Fedora 8 alatt

  1. Szia,
    egy kérdésem lenne a cikkel kapcsolatban.
    Van egy fedora 8 alap telepítésem gnome-al végigcsináltam a leírás szerint mindent, de a swat valamiért nem működik. A prnterbeállító oldal szépen megy, bár nem kér felhasználónevet és jelszót a beállításhoz, a samba grafikus beállító felülete viszont egyeltalán nem megy. Tudnál esetleg segíteni?

  2. Nem csatlakozik hozzá a bongésző, vagy csatlakozik, csak nem jol csinalja a dolgokat?

  3. [quote comment=”103″]ird ezt: http://localhost:901%5B/quote%5D
    ha ezt a linuxos gépen írom be, akkor működik, viszont ha a belső hálóról a laptopommal akaok rácsatlakozni, akkor semmi nem történik akkor sem, ha a tűzfalat kikapcsolom.
    Kellene beállítani a routeren portforwardot? (wrt54gl ddwrt fw-el)

  4. probald ki azt, hogy a /etc/xinetd.d/swat fájlban az only_from sorba beírtad a géped IP címét?
    ha egesz tartomanyt akarsz engedelyezni akkor ezt ird hozza: 192.168.0.0/24

  5. sajna csak 2 gépem van itthon, a linuxos vezetékkel rákötve a routerre a laptop pedig wifi-vel csatlakozik. bár a linuxos gépre ssh-zva vnc-vel működik 🙂
    csak érdekelne miért nem megy kívülről…

  6. a kivulrol az mit takar? Az internetrol a vilag masik vegen? Mert akkor termeszetesen be kell az adott portot forvaldolni a routereden.

  7. most konkrétan a belső háló érdekel, hogy miért nem megy, de kezd gyanús lenni, hogy a dd-wrt fw miatt ahhoz is kell port forward

  8. ha a fedora és a laptopod kozott nincs tuzfall akkor nem kell portforvard, ha van akkor viszont kell.
    nmappal meg tudod nézni, hogy egyáltalán látod e kulso geprol a szolgaltatast.

  9. Nos, állítottam be port forwardot és szépen elindult, ezekszrint a router tűzfala volt a bűnös.

  10. Fairly fine submit. I actually simply came across ones own blog page and even wished to help you point out which will I’ve actually appreciated reading through ones own web site and even content. Anyhow I’ll end up signing up ones own rss feed and even As i expect to help you examine ones own web site all over again.

  11. We need someone with qualifications http://ijyranolesy.de.tl lola links nude the hottest asian chick ive ever seen, What a lucky guy who gets to fuck her, i wish i knew what she was saying i bet its very teasing

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .