12.Samba Konfigurieren: SMB.CONF
Das war der erste Schritt. Das Grundgerüst für unseren Server steht schon einmal die Verzeichnisse auf die wir später zugreifen sind erstellt. Nun folgt die eigentliche Samba Konfiguration dazu editieren wir mit einem Editor unserer Wahl die Datei /etc/smb.conf z.B. mit folgendem befehl:
pico /etc/smb.conf
[global] Der punkt Global: Alle Angaben betreffen die ganzen Samba Ressourcen.
workgroup = SAMBAGROUP
Das ist die DOMÄNE, in der wir uns später anmelden.
keep alive = 30
Prüft alle 30 Sekunden, ob noch eine Client Verbindung besteht.
security = user
Sicherheitsüberprüfung befindet sich auf der User Ebene. Es muss also ein
Benutzername und ein Benutzerkennwort angegeben werden.
·
Share
Level Security
Bei der Share Level
Security wird einem Share ein Passwort fest zugeordnet. Jeder, der dieses
Passwort kennt, hat Zugriff auf das Share.
·
User
Level Security
Diese Variante führt das
Konzept des Benutzers in SMB ein. Jeder Benutzer muss ich bei einem Server mit
einem Passwort anmelden. Nach der Anmeldung kann der Server dann abhängig vom
Benutzernamen Zugang zu den einzelnen, exportierten Shares gewähren.
·
Server
Level Security
Samba behauptet gegenüber Clients, im User Level Mode zu arbeiten. Allerdings
übergibt es alle Passwortanfragen an einen andern User Level Mode Server (z.B.
einen Win NT Server...), der die Authentifizierung übernimmt. Diese Einstellung
erwartet einen weiteren Parameter (passwort server = ).
logon script = batchdatei.bat
Dateiname der auszuführenden Anmeldedatei. Wenn diese Zeile so in die SMB.CONF eingetragen wird würde für jeden User der sich anmeldet dieses Script abgearbeitet werden – als alternative kann man für jeden User ein eigenes Script erstellen logon script=%U.bat an dieser stelle eintragen. Dann muss für jeden User eine Datei vorhanden sein Bsp. der User LEZ meldet sich an: es wird nach einer Datei namens LEZ.BAT gesucht.
logon path = \\%L\profiles\%U
Pfad zum Profiles Verzeichnis. %L ist des NetBIOS Name des Samba
Servers. %U ist der Benutzername.
domain logons = yes
Domänenlogons werden erlaubt.
domain master = yes
Aktiviert das WAN-Weite Browsing
encrypt passwords = yes
Passwörter werden verschlüsselt.
[netlogon] Freigabename "netlogon“
comment = Netlogon-Resource
Detailliertere Beschreibung der freigegeben Resource. Dies ist der name der
später als Ordnername in der Netzwerkumgebung von Windows auftaucht.
path = /boss1/login
Pfad des "netlogon" Verzeichnis
browseable = yes
Die Resource kann durch einen Suchdienst gefunden werden.
writable = no
Damit die Datei netlogon.bat erstellt werden kann, muss kurzeitig die Option writable = yes gesetzt werden, oder es muss der Parameter write list = root gesetzt werden, damit nur der root User permanent schreiben kann.
[boss1]
comment = Daten-Resource
path = /daten1
valid users = @boss1
Alle User in der Gruppe boss1, die in diesem Fall auf die Resource zugreifen dürfen. Der Gruppenzugriff wird durch das @-Zeichen gekennzeichnet.
browseable
= yes
writable = yes
create mask = 0770
directory mask = 0770
[cdrom]
comment
= Linux CD-ROM
path = /cdrom
valid users = @samba
writable = no
locking = no
[alles] Freigabename alles
comment = Alles auf Linux
path = /
valid users = root
Alle User, die in diesem
Fall auf die Ressource zugreifen dürfen.
browseable = no
writable = yes
Generell ist das Schreiben erlaubt
create mask = 0700
Diese Angabe ist besonders wichtig, da sonst nur der Erstelleer volle Rechte auf die erstellten Dateien hat.
directory mask = 0700
Wenn neue Verzeichnisse erstellt wurden, dann erhalten sie alle Rechte (lesen, schreiben, ausführen) für den Besitzer und der Gruppe. Diese Angabe ist besonders wichtig, da sonst nur der Erstelleer volle Rechte auf die erstellten Verzeichnisse hat.
Sie wollen das mehrere User aus der Gruppe Boss1 auf eine Datei zugreifen und verändern können. Alle anderen nur lesen.
So sieht der Zugriff auf die Dateien im Verzeichnis /export/boss1/ aus.
chgrp boss1 /export/boss1
chmod 770 /export/boss1
chmod g+s /export/boss1
; Freigabname
[boss1]
; Browsing angesehen werden kann
comment = Freigegebenes Verzeichnis für die Gruppe boss1
; absoluter Pfad zum Festplattenverzeichnis
path = /export/boss1
; soll die Freigabe beschreibbar sein?
writable = yes
; Benutzer, die sich mit Freigabe verbinden können sollen
das @ bezeichnet eine Unix-Gruppe
valid users = @boss1
; Datei-Locking aktivieren?
locking = yes
; Standard-Berechtigungsmaske für Dateierstellung
create mode = 0660
; Standard-Berechtigungsmaske für Verzeichniserstellung
directory mode = 0770
;Alle User der Gruppe boss1 können im /export/boss1 Verzeichnis lesen und schreiben