Samba tartományvezérlő és SWAT Fedora 8 alatt

Ebben a leírásban egy Samba tartományvezérlőt állítunk be Samba Web Administration Tool-al (SWAT), kis (250 felhasználóig) hálózathoz.

Előszó

Egy minimális Fedora 8 telepítéssel (GUI nélkül) dolgozunk majd. A következő IP címeket, és gépneveket fogom használni:
Hostnév: server1.pelda.local
IP: 192.168.0.102
Átjáró: 192.168.0.2
Pri.DNS: 192.168.0.2

A %workstation_ip% a kliensünk IP címét takarja (pl. 192.168.0.6)

Előkészítés

Először telepítsünk néhány csomagot, amikkel a yum sebességét és megbízhatóságát tudjuk növelni:

yum install yum-fastestmirror yum-skip-broken

SELinux-ot le kell tiltanunk. Ha nem vagy biztos benne, hogy le van tiltva, akkor:

cat /etc/selinux/config | grep ^SELINUX=

SELinux letiltása, ha be van kapcsolva:

vi /etc/selinux/config

Ezt:

SELINUX=enforcing

változtasd erre:

SELINUX=disabled

Ezután újra kell indítani a rendszert

reboot

Frissítsük a rendszerünket:

yum -y update

Samba és CUPS

Most telepítsük a Sambat, a SWAT-ot, és a nyomtató illesztőprogram kezelő CUPS-ot:

yum install samba samba-client samba-swat gutenprint-cups gutenprint-foomatic foomatic printer-filters compat-expat1 libpaper

Ha HP nyomtatót szeretnél használni, akkor telepíteni kell még további csomagokat:

yum install hplip cups-devel ghostscript qt4 pyqt4 python-devel python-reportlab libjpeg-devel net-snmp net-snmp-devel

Megjegyzés: A net-snmp és net-snmp-devel csomagok csak akkor kellenek, ha hálózati nyomtatót szeretnél telepíteni. Ebben az esetben jetdirect:tcp (9100), snmp:tcp és snmp:udp (161) portokat is meg kell nyitni a tűzfalon!

Beállítás

Állítsuk be a tűzfalat, hogy a Samba kommunikálni tudjon a külvilággal:

system-config-firewall-tui

Állítsuk be azt az IP címet, ahonnét elérjük majd a SWAT beállító felületét:

vi /etc/xinetd.d/swat

Változtasd meg a

only_from = 127.0.0.1

sort erre:

only_from = 127.0.0.1 %workstation_ip%

Be kell állítani a CUPS webes beállító felületét, hogy elérhessük a munkaállomásunkról:

vi /etc/cups/cupsd.conf

változtasd a sort

Listen localhost:631

erre:

Listen 192.168.0.102:631

Ezt:

# Restrict access to the server…
<Location />
Order allow,deny
Allow localhost
</Location>
# Restrict access to the admin pages…
<Location /admin>
Encryption Required
Order allow,deny
Allow localhost
</Location>
# Restrict access to configuration files…
<Location /admin/conf>
AuthType Default
Require user @SYSTEM
Order allow,deny
Allow localhost
</Location>

erre:

# Restrict access to the server…
<Location />
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>
# Restrict access to the admin pages…
<Location /admin>
Encryption Required
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>
# Restrict access to configuration files…
<Location /admin/conf>
AuthType Default
Require user @SYSTEM
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>

Hozzuk létre az SSL tanúsítványokat:

openssl req -new -x509 -keyout /etc/cups/ssl/server.key -out /etc/cups/ssl/server.crt -days 365 -nodes

majd indítsuk újra a CUPS-ot

/etc/init.d/cups restart

Most már elérhető a CUPS webes beállító felülete, a http://192.168.0.102:631 címen. A root felhasználó nevével és jelszavával lehet bejelentkezni. Ha a nyomtatónkhoz nincs Linuxos illesztőprogram, és csak Windows kliensekkel szeretnénk használni, akkor a RAW módot válasszuk ki, majd a Windows kliensen a megfelelő illesztőprogramot telepítsd fel.
Ha HP nyomtatónk van, akkor a CUPS-ot előbb hozzá kell adni a hpliphez. Ezt a következő módon teheted meg:

hp-setup -i 192.168.0.20

Ahol az -i 192.168.0.20 azt jelenti, hogy a nyomtató a 192.168.0.20 IP címen van. Ahhoz, hogy megtudd, hogy a te nyomtatód melyik interfészre csatlakozik, futtasd a hp-setup ?help parancsot.
Ha hozzáadtad, és beállítottad a nyomtatót a CUPS-al, akkor a nyomtatót a telepíteni kell a Samba számára is:

cupsaddsmb -a

Ezután állítsuk be a kvóta kezelést

vi /etc/fstab

Add hozzá a usrquota és grpquota opciót az adattároló partícióhoz. Valami hasonlónak kell lennie (nálam a / partíció az):

/dev/VolGroup00/LogVol00 / ext3 defaults,usrquota,grpquota 1 1

Majd hozzuk létre a kvótához szükséges fájlokat, és mountoljuk újra a partíciót:

touch /aquota.user /aquota.group
chmod 600 /aquota.*
mount -o remount /
quotacheck -avugm
quotaon -avug

Mikor először indítod el a quotacheck -avugm parancsot, figyelmeztetést fogsz kapni:

quotacheck: WARNING – Quotafile //aquota.user was probably truncated. Cannot save quota settings…
quotacheck: WARNING – Quotafile //aquota.group was probably truncated. Cannot save quota settings…

Ez az első indításkor normális, mivel a aquota.user és aquota.group fájlok üresek voltak.
Majd engedélyezzük a Samba automatikus indulását:

chkconfig smb on
chkconfig nmb on
chkconfig winbind on
chkconfig swat on

Indítsuk újra a gépet

reboot

Samba mint tartományvezérlő

Indítsuk el a kedvenc böngészőnket, és érjük el a SWAT webes felületét: http://192.168.0.100:901
Kattints a Wizard menüpontra, és szerkeszd a következőket

Server Type = Domain Controller
Configure WINS As = Server for client use

Majd kattints a Commit gombra, így eltárolódnak a beállítások.
Figyelem! Ez felülírja a meglévő SAMBA beállításokat!
Most kattints a Global menüpontra, és állítsd be a következőket (advanced view)

workgroup = PELDA.LOCAL
netbios name = SAMBA SERVER
username map = /etc/samba/smbusers
preferred master = yes
printcap name = CUPS
logon drive = H:
logon script = scripts/logon.bat
logon path = \\server1\profiles\%U #Ha nincs a hálózatodban DNS szerver, akkor a server1-et cseréld le a szerver IP címére
logon home = \\server1\%U #Ha nincs a hálózatodban DNS szerver, akkor a server1-et cseréld le a szerver IP címére
add user script = /usr/sbin/useradd -m ‘%u’ -g users -G users
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usernod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false/ -d /var/lib/nobody %u
idmap uid = 15000-20000
idmap gid = 15000-20000
template shell = /bin/bash
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
passwd chat debug = yes
unix password sync = yes
log level = 3
os level = 200
profile acls = yes

Kattints a Commit Changes menüpontra, majd hozzuk létre a tartományi bejelentkezéshez, és a profilokhoz szükséges mappákat:

mkdir -p /home/samba/netlogon
mkdir /home/samba/profiles
chmod 777 /var/spool/samba/
chown -R root:users /home/samba/
chmod 777 /home/samba/
chmod 755 /home/samba/netlogon/
chmod 770 /home/samba/profiles/

Szerkesszük a nsswitch.conf fájlt:

vi /etc/nsswitch.conf

Változtasd meg a

hosts: files dns
sort, erre:
hosts: files wins dns

Most hozzáadod a root felhasználót a Samba jelszó adatbázisához ? ő lesz a tartományi rendszergazda (alias: administrator)

smbpasswd -a root

Most hozzad létre a megosztásokat, amit a ?Shares? menüpont alatt tehetsz meg:
Először szerkeszd a ?homes? megosztást, a ?Choose Share? menüpont alatt, és szerkeszd a beállításokat:

valid users = %S

Majd kattints a ?Commit Changes?-re, hogy elmentődjenek a változtatások.
Készíts egy új megosztást ?print$? néven (idézőjelek nélkül), és állítsd be:

comment = Printer Drivers
path = /var/lib/samba/printing
write list = root, @smbadmin
available = yes

Mentsd a beállításokat a ?Commit Changes? menüponttal
Készíts egy új megosztást ?netlogon? néven (idézőjelek nélkül), és állítsd be:

comment = Network Logon Service
path = /home/samba/netlogon
admin users = administrator
valid users = %U
read only = yes
guest ok = yes
share modes = no
browseable = no
available = yes

Készíts egy új megosztást ?profiles? néven (idézőjelek nélkül), és állítsd be:

comment = User profiles
path = /home/samba/profiles
valid users = %U
create mask = 0600
security mask = 0600
directory mask = 0770
directory security mask = 0770
read only = no
browseable = no
available = yes

Most teszteld, hogy minden rendben van e:

smbclient -L localhost -U%

valami hasonló eredményt kell, hogy kapj:

sharename Type Comment
——— —- ——-
IPC$ IPC IPC Service (Samba Server Version 3.0.27a-0.fc8)
netlogon Disk Network Logon Service
Officejet_Pro_L7600 Printer Officejet_Pro_L7600
print$ Disk Printer Drivers
Domain=[PELDA.LOCAL] OS=[Unix] Server=[Samba 3.0.27a-0.fc8]

Server Comment
——— ——-
SAMBA SERVER Samba Server Version 3.0.27a-0.fc8

Workgroup Master
——— ——-
PELDA.LOCAL SAMBA SERVER

Hozd létre az alapértelmezett tartományi csoportokat a Windows kliensek számára:

net groupmap add ntgroup="Domain Admins" unixgroup="root" type=domain -U root
net groupmap add ntgroup="Domain Users" unixgroup="users" type=domain -U root
net groupmap add ntgroup="Domain Guests" unixgroup="nobody" type=domain -U root

Majd kattins a SWAT-ban a ?Status? menüre, és indítsd újra a szolgáltatásokat.
Hozzd létre a felhasználókat:

net rpc user add %username% -U root
net rpc user password %username% "%userpassword%" -U root
smbpasswd -e %username%

Pl.:

net rpc user add gipszjakab -U root
net rpc user password gipszjakab "jelszocska" -U root
smbpasswd -e  gipszjakab

Majd állítsd be a felhasználó kvótáját:

setquota -u %username% %block-softlimit% %block-hardlimit% %inode-softlimit% %inode-hardlimit% -a

Pl.:

setquota -u gipszjakab 40960 51200 0 0 -a

Most gipszjakab felhasználónak 40 Mbájtos soft, és 50 Mbájtos hard kvótája van, valamint nincs számára inode korlátozás

A felhasználók kvótáját, és azt, hogy mennyit használnak belőle a következő parancssal teheted meg:

quota %username%

Pl.:

quota  gipszjakab

Valami hasonlót kell látnod:

Filesystem blocks quota limit grace files quota limit grace
/dev/mapper/VolGroup00-LogVol00
1108 40960 51200 104 0 0

Egyéb Samba beállítások

Itt egy példa, hogy hogy tudsz egy mindenki számára elérhető megosztást létrehozni
Először létrehozod a megfelelő mappákat, majd a jogosultságot kell beállítani

mkdir -p /home/shares/allusers/
chown -R root:users /home/shares/allusers/
chmod -R 775 /home/shares/allusers/

Kattints a ?SHARE? menüpontra a SWAT webes felületén, és hozz létre egy tetszőleges nevű megosztást, majd állítsd be:

comment = Közös tárhely
path = /home/shares/allusers/ # az elérési út, amit az előbb létrehoztál
valid users = @users
force group = users
read only = No #azért, hogy a felhasználók írhassák is a megosztást
create mask = 0660
security mask = 0660
directory mask = 0771
directory security mask = 0771
available = Yes

Mentsd el a beállításokat.