Samba tartományvezérlő és SWAT Fedora 8 alatt
Ebben a leírásban egy Samba tartományvezérlőt állítunk be Samba Web Administration Tool-al (SWAT), kis (250 felhasználóig) hálózathoz.
Előszó
Egy minimális Fedora 8 telepítéssel (GUI nélkül) dolgozunk majd. A következő IP címeket, és gépneveket fogom használni:
Hostnév: server1.pelda.local
IP: 192.168.0.102
Átjáró: 192.168.0.2
Pri.DNS: 192.168.0.2
A %workstation_ip% a kliensünk IP címét takarja (pl. 192.168.0.6)
Előkészítés
Először telepítsünk néhány csomagot, amikkel a yum sebességét és megbízhatóságát tudjuk növelni:
yum install yum-fastestmirror yum-skip-broken
SELinux-ot le kell tiltanunk. Ha nem vagy biztos benne, hogy le van tiltva, akkor:
cat /etc/selinux/config | grep ^SELINUX=
SELinux letiltása, ha be van kapcsolva:
vi /etc/selinux/config
Ezt:
SELINUX=enforcing
változtasd erre:
SELINUX=disabled
Ezután újra kell indítani a rendszert
reboot
Frissítsük a rendszerünket:
yum -y update
Samba és CUPS
Most telepítsük a Sambat, a SWAT-ot, és a nyomtató illesztőprogram kezelő CUPS-ot:
yum install samba samba-client samba-swat gutenprint-cups gutenprint-foomatic foomatic printer-filters compat-expat1 libpaper
Ha HP nyomtatót szeretnél használni, akkor telepíteni kell még további csomagokat:
yum install hplip cups-devel ghostscript qt4 pyqt4 python-devel python-reportlab libjpeg-devel net-snmp net-snmp-devel
Megjegyzés: A net-snmp és net-snmp-devel csomagok csak akkor kellenek, ha hálózati nyomtatót szeretnél telepíteni. Ebben az esetben jetdirect:tcp (9100), snmp:tcp és snmp:udp (161) portokat is meg kell nyitni a tűzfalon!
Beállítás
Állítsuk be a tűzfalat, hogy a Samba kommunikálni tudjon a külvilággal:
system-config-firewall-tui
Állítsuk be azt az IP címet, ahonnét elérjük majd a SWAT beállító felületét:
vi /etc/xinetd.d/swat
Változtasd meg a
only_from = 127.0.0.1
sort erre:
only_from = 127.0.0.1 %workstation_ip%
Be kell állítani a CUPS webes beállító felületét, hogy elérhessük a munkaállomásunkról:
vi /etc/cups/cupsd.conf
változtasd a sort
Listen localhost:631
erre:
Listen 192.168.0.102:631
Ezt:
# Restrict access to the server…
<Location />
Order allow,deny
Allow localhost
</Location>
# Restrict access to the admin pages…
<Location /admin>
Encryption Required
Order allow,deny
Allow localhost
</Location>
# Restrict access to configuration files…
<Location /admin/conf>
AuthType Default
Require user @SYSTEM
Order allow,deny
Allow localhost
</Location>
erre:
# Restrict access to the server…
<Location />
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>
# Restrict access to the admin pages…
<Location /admin>
Encryption Required
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>
# Restrict access to configuration files…
<Location /admin/conf>
AuthType Default
Require user @SYSTEM
Order allow,deny
Allow localhost
Allow %workstation_ip%
</Location>
Hozzuk létre az SSL tanúsítványokat:
openssl req -new -x509 -keyout /etc/cups/ssl/server.key -out /etc/cups/ssl/server.crt -days 365 -nodes
majd indítsuk újra a CUPS-ot
/etc/init.d/cups restart
Most már elérhető a CUPS webes beállító felülete, a http://192.168.0.102:631 címen. A root felhasználó nevével és jelszavával lehet bejelentkezni. Ha a nyomtatónkhoz nincs Linuxos illesztőprogram, és csak Windows kliensekkel szeretnénk használni, akkor a RAW módot válasszuk ki, majd a Windows kliensen a megfelelő illesztőprogramot telepítsd fel.
Ha HP nyomtatónk van, akkor a CUPS-ot előbb hozzá kell adni a hpliphez. Ezt a következő módon teheted meg:
hp-setup -i 192.168.0.20
Ahol az -i 192.168.0.20 azt jelenti, hogy a nyomtató a 192.168.0.20 IP címen van. Ahhoz, hogy megtudd, hogy a te nyomtatód melyik interfészre csatlakozik, futtasd a hp-setup ?help parancsot.
Ha hozzáadtad, és beállítottad a nyomtatót a CUPS-al, akkor a nyomtatót a telepíteni kell a Samba számára is:
cupsaddsmb -a
Ezután állítsuk be a kvóta kezelést
vi /etc/fstab
Add hozzá a usrquota és grpquota opciót az adattároló partícióhoz. Valami hasonlónak kell lennie (nálam a / partíció az):
/dev/VolGroup00/LogVol00 / ext3 defaults,usrquota,grpquota 1 1
Majd hozzuk létre a kvótához szükséges fájlokat, és mountoljuk újra a partíciót:
touch /aquota.user /aquota.group
chmod 600 /aquota.*
mount -o remount /
quotacheck -avugm
quotaon -avug
Mikor először indítod el a quotacheck -avugm parancsot, figyelmeztetést fogsz kapni:
quotacheck: WARNING – Quotafile //aquota.user was probably truncated. Cannot save quota settings…
quotacheck: WARNING – Quotafile //aquota.group was probably truncated. Cannot save quota settings…
Ez az első indításkor normális, mivel a aquota.user és aquota.group fájlok üresek voltak.
Majd engedélyezzük a Samba automatikus indulását:
chkconfig smb on
chkconfig nmb on
chkconfig winbind on
chkconfig swat on
Indítsuk újra a gépet
reboot
Samba mint tartományvezérlő
Indítsuk el a kedvenc böngészőnket, és érjük el a SWAT webes felületét: http://192.168.0.100:901
Kattints a Wizard menüpontra, és szerkeszd a következőket
Server Type = Domain Controller
Configure WINS As = Server for client use
Majd kattints a Commit gombra, így eltárolódnak a beállítások.
Figyelem! Ez felülírja a meglévő SAMBA beállításokat!
Most kattints a Global menüpontra, és állítsd be a következőket (advanced view)
workgroup = PELDA.LOCAL
netbios name = SAMBA SERVER
username map = /etc/samba/smbusers
preferred master = yes
printcap name = CUPS
logon drive = H:
logon script = scripts/logon.bat
logon path = \\server1\profiles\%U #Ha nincs a hálózatodban DNS szerver, akkor a server1-et cseréld le a szerver IP címére
logon home = \\server1\%U #Ha nincs a hálózatodban DNS szerver, akkor a server1-et cseréld le a szerver IP címére
add user script = /usr/sbin/useradd -m ‘%u’ -g users -G users
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usernod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false/ -d /var/lib/nobody %u
idmap uid = 15000-20000
idmap gid = 15000-20000
template shell = /bin/bash
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
passwd chat debug = yes
unix password sync = yes
log level = 3
os level = 200
profile acls = yes
Kattints a Commit Changes menüpontra, majd hozzuk létre a tartományi bejelentkezéshez, és a profilokhoz szükséges mappákat:
mkdir -p /home/samba/netlogon
mkdir /home/samba/profiles
chmod 777 /var/spool/samba/
chown -R root:users /home/samba/
chmod 777 /home/samba/
chmod 755 /home/samba/netlogon/
chmod 770 /home/samba/profiles/
Szerkesszük a nsswitch.conf fájlt:
vi /etc/nsswitch.conf
Változtasd meg a
hosts: files dns
sort, erre:
hosts: files wins dns
Most hozzáadod a root felhasználót a Samba jelszó adatbázisához ? ő lesz a tartományi rendszergazda (alias: administrator)
smbpasswd -a root
Most hozzad létre a megosztásokat, amit a ?Shares? menüpont alatt tehetsz meg:
Először szerkeszd a ?homes? megosztást, a ?Choose Share? menüpont alatt, és szerkeszd a beállításokat:
valid users = %S
Majd kattints a ?Commit Changes?-re, hogy elmentődjenek a változtatások.
Készíts egy új megosztást ?print$? néven (idézőjelek nélkül), és állítsd be:
comment = Printer Drivers
path = /var/lib/samba/printing
write list = root, @smbadmin
available = yes
Mentsd a beállításokat a ?Commit Changes? menüponttal
Készíts egy új megosztást ?netlogon? néven (idézőjelek nélkül), és állítsd be:
comment = Network Logon Service
path = /home/samba/netlogon
admin users = administrator
valid users = %U
read only = yes
guest ok = yes
share modes = no
browseable = no
available = yes
Készíts egy új megosztást ?profiles? néven (idézőjelek nélkül), és állítsd be:
comment = User profiles
path = /home/samba/profiles
valid users = %U
create mask = 0600
security mask = 0600
directory mask = 0770
directory security mask = 0770
read only = no
browseable = no
available = yes
Most teszteld, hogy minden rendben van e:
smbclient -L localhost -U%
valami hasonló eredményt kell, hogy kapj:
sharename Type Comment
——— —- ——-
IPC$ IPC IPC Service (Samba Server Version 3.0.27a-0.fc8)
netlogon Disk Network Logon Service
Officejet_Pro_L7600 Printer Officejet_Pro_L7600
print$ Disk Printer Drivers
Domain=[PELDA.LOCAL] OS=[Unix] Server=[Samba 3.0.27a-0.fc8]
Server Comment
——— ——-
SAMBA SERVER Samba Server Version 3.0.27a-0.fc8
Workgroup Master
——— ——-
PELDA.LOCAL SAMBA SERVER
Hozd létre az alapértelmezett tartományi csoportokat a Windows kliensek számára:
net groupmap add ntgroup="Domain Admins" unixgroup="root" type=domain -U root
net groupmap add ntgroup="Domain Users" unixgroup="users" type=domain -U root
net groupmap add ntgroup="Domain Guests" unixgroup="nobody" type=domain -U root
Majd kattins a SWAT-ban a ?Status? menüre, és indítsd újra a szolgáltatásokat.
Hozzd létre a felhasználókat:
net rpc user add %username% -U root
net rpc user password %username% "%userpassword%" -U root
smbpasswd -e %username%
Pl.:
net rpc user add gipszjakab -U root
net rpc user password gipszjakab "jelszocska" -U root
smbpasswd -e gipszjakab
Majd állítsd be a felhasználó kvótáját:
setquota -u %username% %block-softlimit% %block-hardlimit% %inode-softlimit% %inode-hardlimit% -a
Pl.:
setquota -u gipszjakab 40960 51200 0 0 -a
Most gipszjakab felhasználónak 40 Mbájtos soft, és 50 Mbájtos hard kvótája van, valamint nincs számára inode korlátozás
A felhasználók kvótáját, és azt, hogy mennyit használnak belőle a következő parancssal teheted meg:
quota %username%
Pl.:
quota gipszjakab
Valami hasonlót kell látnod:
Filesystem blocks quota limit grace files quota limit grace
/dev/mapper/VolGroup00-LogVol00
1108 40960 51200 104 0 0
Egyéb Samba beállítások
Itt egy példa, hogy hogy tudsz egy mindenki számára elérhető megosztást létrehozni
Először létrehozod a megfelelő mappákat, majd a jogosultságot kell beállítani
mkdir -p /home/shares/allusers/
chown -R root:users /home/shares/allusers/
chmod -R 775 /home/shares/allusers/
Kattints a ?SHARE? menüpontra a SWAT webes felületén, és hozz létre egy tetszőleges nevű megosztást, majd állítsd be:
comment = Közös tárhely
path = /home/shares/allusers/ # az elérési út, amit az előbb létrehoztál
valid users = @users
force group = users
read only = No #azért, hogy a felhasználók írhassák is a megosztást
create mask = 0660
security mask = 0660
directory mask = 0771
directory security mask = 0771
available = Yes
Mentsd el a beállításokat.
Szia,
egy kérdésem lenne a cikkel kapcsolatban.
Van egy fedora 8 alap telepítésem gnome-al végigcsináltam a leírás szerint mindent, de a swat valamiért nem működik. A prnterbeállító oldal szépen megy, bár nem kér felhasználónevet és jelszót a beállításhoz, a samba grafikus beállító felülete viszont egyeltalán nem megy. Tudnál esetleg segíteni?
Nem csatlakozik hozzá a bongésző, vagy csatlakozik, csak nem jol csinalja a dolgokat?
a http://192.168.0.3:901 webcímet beírva nem csatlakozik a böngésző
ird ezt: http://localhost:901
[quote comment=”103″]ird ezt: http://localhost:901%5B/quote%5D
ha ezt a linuxos gépen írom be, akkor működik, viszont ha a belső hálóról a laptopommal akaok rácsatlakozni, akkor semmi nem történik akkor sem, ha a tűzfalat kikapcsolom.
Kellene beállítani a routeren portforwardot? (wrt54gl ddwrt fw-el)
probald ki azt, hogy a /etc/xinetd.d/swat fájlban az only_from sorba beírtad a géped IP címét?
ha egesz tartomanyt akarsz engedelyezni akkor ezt ird hozza: 192.168.0.0/24
sajna akkor sem ok 🙁
helyi gépen, vagy a hálózat másik gépén probaltad?
sajna csak 2 gépem van itthon, a linuxos vezetékkel rákötve a routerre a laptop pedig wifi-vel csatlakozik. bár a linuxos gépre ssh-zva vnc-vel működik 🙂
csak érdekelne miért nem megy kívülről…
a kivulrol az mit takar? Az internetrol a vilag masik vegen? Mert akkor termeszetesen be kell az adott portot forvaldolni a routereden.
most konkrétan a belső háló érdekel, hogy miért nem megy, de kezd gyanús lenni, hogy a dd-wrt fw miatt ahhoz is kell port forward
ha a fedora és a laptopod kozott nincs tuzfall akkor nem kell portforvard, ha van akkor viszont kell.
nmappal meg tudod nézni, hogy egyáltalán látod e kulso geprol a szolgaltatast.
Nos, állítottam be port forwardot és szépen elindult, ezekszrint a router tűzfala volt a bűnös.
2yDFyu http://gdjI3b7VaWpU1m0dGpvjRrcu9Fk.com
Fairly fine submit. I actually simply came across ones own blog page and even wished to help you point out which will I’ve actually appreciated reading through ones own web site and even content. Anyhow I’ll end up signing up ones own rss feed and even As i expect to help you examine ones own web site all over again.
I’d like to open a personal account nn girl index
8221
It’s funny goodluck extreme wery lolita virgins 852247
Could you transfer $1000 from my current account to my deposit account? Top Bbs wehjh
Sorry, I’m busy at the moment 3d Bikini Models
262
I’m at Liverpool University http://inasoliekac.blog.free.fr/ aeropostle models id luv to fuck her in the ass then tell her to squeeze it hard and see if i can still move it lol
I quite like cooking http://eserukemyma.de.tl little nymphets freee What a wonderful way to begin the day! Taking several cocks to get the blood flowing and wake up good.
We need someone with qualifications http://ijyranolesy.de.tl lola links nude the hottest asian chick ive ever seen, What a lucky guy who gets to fuck her, i wish i knew what she was saying i bet its very teasing
On another call