Académique Documents
Professionnel Documents
Culture Documents
En el estado del arte (o sea en la versin de S amba que nos ocupa) no es posible hacer sincronizar dos mquinas Linux como PDC y BDC de un dominio nativo Windows NT, aunque se est en ello J Por poner las cosas en su lugar, y siempre desde mi punto de vista personal, creo que si nuestra red necesita un servidor Windows NT/2000 por alguna razn y este servidor es Controlador de Dominio (W2K) o es un PDC con sus BDC asociados, y estos controlan a l@s usuari@s de un dominio en particular, lo mejor es dejarlos funcionar, al menos mientras el soporte y la no renovacin de la licencia nos lo permitan ya que todo lo que hagamos en Linux para hacer que se parezca a un sistema que no es, nos traer complicaciones y quebraderos de cabeza a mogolln, pero es cierto que all cada un@ con la situacin en la que se vea en el momento dado. Bueno podramos estar hablando sobre estas diferencias durante 200 hojas para comprender todo lo que une y diferencia a estos sistemas pero es mejor empezar ya e irlo viendo sobre la marcha No os parece? J
[root@casiopea /root]# chkconfig -- level 35 smbd on y: [root@casiopea /root]# chkconfig -- level 35 nmbd on os suena? J Una vez realizadas estas operaciones ya casi de rutina pasaremos a ver cuales son los ficheros que estn involucrados en este servicio, desde el punto de vista de nuestra mquina Linux. Ahora vamos a estudiar el caso de nuestra mquina como Servidor de Recursos (carpetas compartidas e impresoras) para clientes Windows/Linux.
A continuacin muestro una versin recortada del fichero /etc/services para que se vean un poco como se almacenan los servicios, los protocolos y los puertos de los servicios de Internet: # # # # # # # # # # # # # # # # # # # # /etc/services: $Id: services,v 1.32 2003/01/09 17:56:30 dwalsh Exp $ Network services, Internet style Note that it is presently the policy of IANA to assign a single well-known port number for both TCP and UDP; hence, most entries here have two entries even if the protocol doesn't support UDP operations. Updated from RFC 1700, ``Assigned Numbers'' (October 1994). Not all ports are included, only the more common ones. The latest IANA port assignments can be gotten from http://www.iana.org/assignments/port-numbers The Well Known Ports are those from 0 through 1023. The Registered Ports are those from 1024 through 49151 The Dynamic and/or Private Ports are those from 49152 through 65535 Each line describes one service, and is of the form: service-name port/protocol [aliases ...] [# comment]
tcpmux 1/tcp # TCP port service multiplexer tcpmux 1/udp # TCP port service multiplexer rje 5/tcp # Remote Job Entry rje 5/udp # Remote Job Entry echo 7/tcp echo 7/udp discard 9/tcp sink null discard 9/udp sink null systat 11/tcp users systat 11/udp users daytime 13/tcp daytime 13/udp qotd 17/tcp quote qotd 17/udp quote msp 18/tcp # message send protocol msp 18/udp # message send protocol chargen 19/tcp ttytst source chargen 19/udp ttytst source ftp-data 20/tcp ftp-data 20/udp # 21 is registered to ftp, but also used by fsp ftp 21/tcp ftp 21/udp fsp fspd ssh 22/tcp # SSH Remote Login Protocol ssh 22/udp # SSH Remote Login Protocol telnet 23/tcp
mail mail timserver timserver resource resource name name whois whois
# # # #
# Login Host Protocol (TACACS) # Login Host Protocol (TACACS) # Remote Mail Checking Protocol # Remote Mail Checking Protocol # name-domain server
# # # #
hostnames # usually from sri-nic hostnames # usually from sri-nic corte del fichero # # Remote Telnet pop-2 postoffice # POP version 2 pop-2 pop-3 # POP version 3 pop-3 portmapper # RPC 4.0 portmapper TCP portmapper # RPC 4.0 portmapper UDP authentication tap ident authentication tap ident
# Network Time Protocol # NETBIOS Name Service # NETBIOS Datagram Service # NETBIOS session service
# Simple Net Mgmt Proto # Simple Net Mgmt Proto snmp-trap # Traps for SNMP corte del fichero # # Interactive Mail Access # Protocol v3 ttylink ttylink # Fatmen Server # Fatmen Server
ulistserv ulistserv
# # # #
MCom MCom Simple Network Paging Protocol Simple Network Paging Protocol
# # # #
corte del fichero # # Internet Printing Protocol # Internet Printing Protocol # LDAP over SSL # LDAP over SSL
# Heartbeat HA-cluster # Heartbeat HA-cluster # Kerberos `kadmin' (v5) kerberos4 kerberos-sec kdc kerberos4 kerberos-sec kdc # Network dictionary # Network phonebook
# Port 1236 is registered as `bvcontrol', but is also used by the # Gracilis Packeten remote config server. The official name is listed as # the primary name, with the unregistered name as an alias. bvcontrol 1236/tcp rmtcfg # Daniel J. Walsh, Gracilis Packeten remote config server bvcontrol 1236/udp # Daniel J. Walsh h323hostcallsc 1300/tcp # H323 Host Call Secure h323hostcallsc 1300/udp # H323 Host Call Secure ms-sql-s 1433/tcp # Microsoft-SQL-Server ms-sql-s 1433/udp # Microsoft-SQL-Server ms-sql-m 1434/tcp # Microsoft-SQL-Monitor ms-sql-m 1434/udp # Microsoft-SQL-Monitor ica 1494/tcp # Citrix ICA Client ica 1494/udp # Citrix ICA Client wins 1512/tcp # Microsoft's Windows Internet Name Service wins 1512/udp # Microsoft's Windows Internet Name Service # inciso corte del fichero # radius 1812/tcp # Radius radius 1812/udp # Radius radius-acct 1813/tcp radacct # Radius Accounting radius-acct 1813/udp radacct # Radius Accounting # inciso corte del fichero # # Datagram Delivery Protocol services # rtmp 1/ddp # Routing Table Maintenance Protocol nbp 2/ddp # Name Binding Protocol echo 4/ddp # AppleTalk Echo Protocol zip 6/ddp # Zone Information Protocol # # Kerberos (Project Athena/MIT) services # Note that these are for Kerberos v4, and are unregistered/unofficial. Sites # running v4 should uncomment these and comment out the v5 entries above. # kerberos_master 751/udp # Kerberos authentication kerberos_master 751/tcp # Kerberos authentication passwd_server 752/udp # Kerberos passwd server krbupdate 760/tcp kreg # Kerberos registration kpop 1109/tcp # Pop with Kerberos knetd 2053/tcp # Kerberos de-multiplexor # # Kerberos 5 services, also not registered with IANA # krb5_prop 754/tcp # Kerberos slave propagation
# # Unregistered but necessary(?) (for NetBSD) services # supfilesrv 871/tcp # SUP server supfiledbg 1127/tcp # SUP debugging # # Unregistered but useful/necessary other services # netstat 15/tcp # (was once asssigned, no more) linuxconf 98/tcp # Linuxconf HTML access poppassd 106/tcp # Eudora poppassd 106/udp # Eudora smtps 465/tcp # SMTP over SSL (TLS) gii 616/tcp # gated interactive interface omirr 808/tcp omirrd # online mirror omirr 808/udp omirrd # online mirror swat 901/tcp # Samba Web Administration Tool rndc 953/tcp # rndc control sockets (BIND 9) rndc 953/udp # rndc control sockets (BIND 9) skkserv 1178/tcp # SKK Japanese input method xtel 1313/tcp # french minitel support 1529/tcp prmsd gnatsd # GNATS, cygnus bug tracker cfinger 2003/tcp # GNU Finger ninstall 2150/tcp # ninstall service ninstall 2150/udp # ninstall service afbackup 2988/tcp # Afbackup system afbackup 2988/udp # Afbackup system squid 3128/tcp # squid web proxy prsvp 3455/tcp # RSVP Port prsvp 3455/udp # RSVP Port postgres 5432/tcp # POSTGRES postgres 5432/udp # POSTGRES fax 4557/tcp # FAX transmission service (old) hylafax 4559/tcp # HylaFAX client-server protocol (new) sgi-dgl 5232/tcp # SGI Distributed Graphics sgi-dgl 5232/udp noclog 5354/tcp # noclogd with TCP (nocol) noclog 5354/udp # noclogd with UDP (nocol) hostmon 5355/tcp # hostmon uses TCP (nocol) hostmon 5355/udp # hostmon uses TCP (nocol) canna 5680/tcp x11-ssh-offset 6010/tcp # SSH X11 forwarding offset ircd 6667/tcp # Internet Relay Chat ircd 6667/udp # Internet Relay Chat xfs 7100/tcp # X font server tircproxy 7666/tcp # Tircproxy http-alt 8008/tcp http-alt 8008/udp webcache 8080/tcp # WWW caching service webcache 8080/udp # WWW caching service tproxy 8081/tcp # Transparent Proxy tproxy 8081/udp # Transparent Proxy jetdirect 9100/tcp laserjet hplj # # inciso corte del fichero #
Ahora es preciso modificar tambin el fichero /etc/xinet.d/swat, para ello tecleamos lo siguiente:
OPCIONES DE SWAT
En cualquier navegador, nosotros desde Konqueror, arrancamos SWAT desde la URL http://localhost:901/ Y nos encontramos con la siguiente pgina que nos solicita la contrasea de root (ya que le dijimos que el/la usuari@ que ejecutara SWAT sera root) para iniciar:
Es importante, como ya comentamos antes que sea root quien pueda acceder a la configuracin de smb.conf ya que desde la red, se podran dar derechos a otr@s usuari@s que no debieran tenerlos y acceder a nuestro sistema. J Una vez introducida la password de root nunca dir que es chindasvinto je,je- podemos visualizar el contenido de la pgina web de configuracin como la que se ve a continuacin:
Aqu pueden verse perfectamente las secciones de las que cuenta SWAT que son las siguientes: 1. Pgina Inicio (HOME). En la que nos encontramos ahora. 2. Pgina de Configuraciones Globales (GLOBALS). Aqu veremos la configuracin general 3. Pgina de Configuracin de Carpetas Compartidas (SHARES ). Configuraremos aqu todas las carpetas compartidas que queramos que este servidor muestre al mundo exterior. 4. Pgina de Configuracin de Impresoras (PRINTERS). Configuraremos aqu todas las impresoras compartidas que queramos que este servidor muestre al mundo exterior. 5. En WIZARD veremos como configurar nuestro servidor ( Normal, PDC, WINS, etc) 6. En Status podremos ver como se encuentran los recursos compartidos, cuales de ellos estn activos, quien los utiliza y a iniciar/apagar los servidores smbd y nmbd. 7. En la opcin Vista (VIEW) podremos ver fsicamente el contenido de /etc/samba/smb.conf en sus versiones bsicas y extendidas. 8. Por ltimo en la opcin PASSWORDS (Contraseas) veremos que podemos manejar grficamente las opciones del fichero de contraseas encriptadas smbpasswd. A continuacin visualizaremos cada una de las pginas tal y como se ven en SWAT y comentaremos las opciones de gestin ms sencillas e importantes de este gestor grfico:
Inicialmente podemos ver en la opcin GLOBALS que existen 3 botones que permiten Salvar los Cambios (Commit Changes), Poner todos los valores del fichero vacos (Reset Values) y Vista Avanzada (Advanced View) que me permite solicitar una versin del fichero smb.conf completa. En algunas ocasiones es necesario pedirle esta vista ya que hay opciones importantes que modificaremos que no estn en la versin bsica del fichero. La opcin Security = USER me permite decirle que el control de los recursos compartidos se har en funcin de los nombres de usuari@ que el cliente me mande, el comprobar que el /la usuari@ est en smbpasswd y que su contrasea es correcta y le dejar acceder a los recursos. Los campos encrypt passwords = yes y update encrypted = yes permiten decirle al servidor que el cliente que se conecta manda el password encriptado. Unas pginas antes vimos qu clientes mandaban contraseas encriptadas y cuales no. Veamos esto ms detenidamente. Security tiene varias posibilidades, pero nos inter esan 2 de ellas, ya que nuestro servidor no va a ser PDC, las opciones SHARE y USER. SHARE. Esta forma emula perfectamente una red peer to peer en la que cada uno de los recursos tiene una lista de quin puede acceder a ellos. Cuando el/la Usuari@ entra con su nombre y password en el recurso compartido se controlar si ese usuari@ tiene permitida la entrada y controlar su password si todo va bien le dejar pasar, si no hasta la vista baby! USER. Este es el modo ms cercano a como trabajan Windows NT y Linux, es el mtodo por defecto que aparece en versiones de Samba 2.0 y superiores y funciona de tal manera que Samba requiere un par nombre/contrasea si el password coincide con el almacenado en smbpasswd entonces samba le da acceso a todas las unidades compartidas. Luego se ver en cada carpeta si existen otras limitaciones de acceso. Vamos a ver ahora la pantalla en la que aparecen las carpetas compartidas por el servidor:
En esta ventana, veremos que es posible elegir la carpeta compartida (Cose Share) de entre la lista de las que tenemos, Borrarla (Delete Share) y Crear una nueva (Create Share). Es posible decirle en Comment cul ser el comentario asociado a la carpeta compartida, el punto de montaje a travs de path, quienes son l@s uauari@s para esta carpeta con valid users = <lista de usuari@s> separados por comas, si la carpeta es de slo lectura (Read Only) y dems que luego veremos en el propio fichero smb.conf. Un detalle, si quiero crear una carpeta primero la escribo y luego le digo (Create Share). No olvidis darle al Commit Changes ya que si no nada de lo hecho estar realmente grabado. Al igual que para las carpetas existe la pgina de Gestin de impresoras que mostramos a continuacin:
Aqu podemos ver que el servidor es un Servidor miembro del Dominio o Grupo de Trabajo INFOEDU y que se utiliza como Server for client Use (Servidor para uso de Clientes) pero no es miembro del Dominio ni Controlador de Dominio (Esos dos casos no los veremos nosotr@s). Por ltimo dice si se muestran los directorios personales de l@s usuari@s y aparece que s, pero podramos hacerlos ocultos (No es mala idea hacerlos). La ventana Status la veremos a continuacin con las posibilidades de ver los recursos compartidos e Iniciar/Parar el Servidor:
Por ltimo veremos la utilidad grfica del fichero smbpasswd que permitir tanto dar de alta a usuari@s nuev@s para el uso de Samba, como gestionar las contraseas de dich@s usuari@s:
Curso: Introduccin a las Aplicaciones y Servicios de Internet bajo Linux. EL FICHERO GESTOR DE USUARI@S Y CONTRASEAS SMBPASSWD.
Como ya hemos, al menos intuido para poder acceder a los recursos del servidor Samba, ste debe tener un listado propio, y generalmente encriptado, de l@s usuari@s sobre l@s que tener control, as que es preciso tener previamente al uso de samba nuestr@s usuari@s dados de alta aqu. Una posibilidad es dar de alta primero a tod@s en el sistema Linux, o mejor dicho si queremos que tod@s los usuari@s del sistema Linux estn tambin en samba, podemos hacer que una copia de /etc/passwd (El fichero donde se encuentran alojados tanto l@s usuari@s como sus passwords) se copie en smbpasswd podremos hacerlo de la siguiente forma: [root@casiopea /root]# cat /etc/passwd | /usr/bin/mksmbpasswd.sh > /etc/samba/smbpasswd. Esta copia realizada contiene a tod@s los usuari@ de /etc/passwd, pero sin sus contraseas ya que samba controla sus propias contraseas para que no interfieran con la gestin de usuari@s locales, al igual que ocurre en Windows con las contraseas o permisos va red y locales, por motivos de seguridad. El hecho de que estn vacas de contrasea lo que hace es que l@s usuari@s que no tienen contrasea asignada no son activ@s hasta que no se ponga una. Claro que puedo poner la contrasea en blanco L pero es distinto que no tenerla, as que hasta que no tenga contrasea la cuenta no est activa vale? Si quiero cambiar la contrasea de la usuaria asun, no tengo ms que hacer lo siguiente: [root@casiopea /root]# smbpasswd asun NEW SMB Password: ********* Retype NEW SMB Password: ******** Password successfully Changed. Para dar de alta a un/una nuev@ usuari@ no hay ms que invocar de nuevo: [root@casiopea /root]# smbpasswd a usrbackup o hacerlo a travs de SWAT como vimos antes.
Solamente una cosa ms antes de ver el fichero smb.conf y comentar cada uno de los parmetros importantes a tener en cuenta. Los ficheros /etc/hosts.deny y /etc/hosts.allow permiten decirle al sistema que ordenadores, redes o subredes pueden ejecutar algn servicio. Por lo que si por ejemplo slo quisiramos que SWAT lo ejecutaran nuestras subredes editaramos el /etc/hosts.deny (denegar ejecucin) a todos los equipos excepto a los nuestros: [root@casiopea /root]# vim /etc/hosts.deny swat: ALL EXCEPT y colocar una lnea que diga:
EL FICHERO SMB.CONF
Como vimos al principio de este mdulo, el fichero /etc/samba/smb.conf es el verdadero artfice de la configuracin de Samba. A continuacin hay un listado del servidor CASIOPEA:
As pueden personalizarse la mayora de las opciones cuando queramos utilizarlos. En cada uno de los [SHARES], hay que tener en cuenta los siguientes: [nombre] y nada ms: Este apunta siempre a /tmp y da acceso total a esa carpeta.
Curso: Introduccin a las Aplicaciones y Servicios de Internet bajo Linux. EL COMANDO SMBCLIENT.
Supongamos que tenemos un servidor Windows NT/2000 en el grupo de trabajo INFOEDU, y que ste tiene un recurso compartido llamado backupTPV donde se guardan los datos de seguridad diarios creados por una mquina Terminal Punto de Vente (TPV) conectada a nuestra mquina Linux, pero que la contabilidad se realiza en esa mquina Windows, y que esa carpeta la que utiliza el programa de Contabilidad para procesar los diarios, etc El recurso compartido en formato UNC sera si la mquina se llama perseo: \\PERSEO\BACKUPTPV si es as como se llam al recurso compartido de la carpeta g:\backupTPV en el servidor Windows. Desde un terminal del cliente Linux yo puedo invocar al comando smbclient para intentar conectarme: [root@casiopea /root]# smbclient //perseo/backuptpv e intentar conectarme a ese recurso. Si el recurso existe y todo va bien, podr perfectamente hacerlo, aparecindome un prompt smb:> a continuacin tal y como ocurra con el cliente ftp visto en anteriores mdulos. Hay que notar que las barras son contrarias al modo Windows UNC \\ siendo //. Se puede poner notacin UNC pero habra que poner el doble de ellas para indicar que se trata de back slashes o sea: \\\\PERSEO\\BACKUPTPV sera igual de correcto. Si suponemos que el recurso compartido bajo Windows tena una contrasea, lo cual es muy lgico y seguro tendramos que poner lo siguiente: [root@casiopea /root]# smbclient //perseo/backuptpv mi_password aunque si no se pone smb:> te solicitar uno en cuanto vea que el recurso lo necesita. Y si adems slo determinad@s usuari@s pueden acceder el comando sera: [root@casiopea /root]# smbclient //perseo/backuptpv U nombre_usuario% mi_password Una vez que he conectado, a travs del prompt de samba: Smb:> help ? puedo pedir ayuda de los comandos disponibles (muy similares a tcp) De esta manera puedo transferir o copiar ficheros a travs del cliente samba.