18 - SAMBA

Este captulo descreve a configurao, utilizao, aplicao, integrao de

redes Windows e Linux atravs do SAMBA. Entre as explicaes de cada opo,
so passados detalhes importantes relacionados com seu funcionamento,
performance e impactos de segurana sobre o servidor como um todo.
18.1 Introduo
O SAMBA um servidor e conunto de ferramentas !ue permite !ue
m"!uinas Linux e Windows se comuni!uem entre si, compartilhando servios
#ar!uivos, diret$rio, impresso% atravs do protocolo &'( #&erver 'essage
(loc)%*+,-& #+ommon ,nternet -ile &.stem%, e!uivalentes a implementao
/et(E0, no 1indo2s. O SAMBA uma das solues em ambiente 0/,3 capaz
de interligar redes heterog4nea.
/a l$gica da rede 1indo2s o NetBEUI o protocolo e o NETBIOS define a
forma com !ue os dados so transportados. /o correto dizer !ue
o NetBIOS o protocolo, como muitos fazem.
+om o SAMBA, possvel construir domnios completos, fazer controle de
acesso a nvel de usu"rio, compartilhamento, montar um servidor 1,/&,
servidor de domnio, impresso, etc. /a maioria dos casos o controle de
acesso e exibio de diret$rios no samba mais minucioso e personaliz"vel
!ue no pr$prio 1indo2s.
O guia -oca 5/0*6inux documentar" como instalar e ter as m"!uinas
1indo2s de diferentes verses #Win3.11, Win95, Win95OSR/2, Win98, XP,
WinNT, W2K% acessando e comunicando7se entre si em uma rede /et(E0,.
18.1.2 Histria
8ndre2 9ridgell 7 :esenvolveu o samba por!ue precisava montar um volume
0nix em sua m"!uina :O&. ,nicialmente ele utilizava o /-&, mas um
aplicativo precisava de suporte /et(,O&. 8ndre2 ento utilizou um mtodo
muito avanado usado por administradores para detectar problemas; escreveu
um sniffer de pacotes !ue atendesse aos re!uerimentos para ter uma <nica
funo; analisar e auxilia7lo a interpretar todo o tr"fego /et(,O& da rede.
Ele escreveu o primeiro c$digo !ue fez o servidor 0nix aparecer como um
servidor de ar!uivos 1indo2s para sua m"!uina :O& !ue foi publicado mais
ou menos em meados de =>>? !uando tambm comeou a receber patches.
&atisfeito com o funcionamento de seu trabalho, deixou seu trabalho de lado
por !uase ? anos. 0m dia, ele resolveu testar a m"!uina 1indo2s de sua
esposa com sua m"!uina 6inux, e ficou maravilhado com o funcionamento do
programa !ue criou e veio a descobrir !ue o protocolo era documentado e
resolveu levar este trabalho a fundo melhorando e implementando novas
funes.
O &8'(8 atualmente um servidor fundamental para a migrao de
pe!uenos grupos de trabalho @ grandes domnios com clientes mixtos.
/enhum servidor de rede /et(E0, conhecido proporciona tanta flexibilidade
de acesso a clientes como o &8'(8 para compartilhamento de
ar!uivos*impresso em rede. 8s funes de segurana !ue foram adicionadas
ao &8'(8 hoe garantem um controle mais rigoroso !ue a pr$pria
implementao usada no 1indo2s /9, incluindo o servios de diret$rios,
mapeamento entre ,:s de usu"rios 1indo2s com 6inux, A:+, perfis m$veis
e uma coisa !ue inclusive apresenta problemas no 1indo2s; compatibilidade
total entre as diferentes implementaes de verses do 1indo2s.
&ua configurao pode receber austes finos pelo administrador nos so!uetes
9+A de transmisso, recepo, cache por compartilhamento, configuraes
fsicas !ue afetam a performance de rede. &eu c$digo vem sendo melhorado
constantemente por hac)ers, obtendo excelente performance com hard2ares
mais obsoletos. O guia tem por obetivo abordar estes temas e permitir !ue
voc4 configure seu sistema com uma performance batendo a mesma alcanada
em um servidor /9 dedicado.
18.1.3 Contribuindo
Aara contribuir com o desenvolvimento do samba, vea os detalhes na p"gina;
http;**us=.samba.org*samba*devel*
+aso encontre um bug no programa, ele poder" ser relatado se inscrevendo na
lista de discusso samba7technical7re!uestBlists.samba.org. 8p$s responder a
mensagem de confirmao, envie um relato detalhado do problema
encontrado no programa.
18.1.4 Caractersticas
&egue abaixo algumas funcionalidades importantes de aplicaes do samba e
seu conunto de ferramentas;
+ompartilhamento de ar!uivos entre m"!uinas Windows e Linux ou de
m"!uinas Linux #sendo o servidor &8'(8% com outro &O !ue tenha
um cliente /et(E0, #'acintosh, O&*?, 6an'anager, etc%.
'ontar um servidor de compartilhamento de impresso no Linux !ue
receber" a impresso de outras m"!uinas Windows da rede.
+ontrole de acesso aos recursos compartilhados no servidor atravs de
diversos mtodos #compartilhamento, usu"rio, domnio, servidor%.
+ontrole de acesso leitura*gravao por compartilhamento.
+ontrole de acesso de leitura*gravao por usu"rio autenticado.
Aossibilidade de definir contas de C+onvidadosC, !ue podem se
conectar sem fornecer senha.
Aossibilidade de uso do banco de dados de senha do sistema
#/etc/passwd%, autenticao usando o ar!uivo de dados criptografados
do samba, 6:8A, A8', etc.
+ontrole de cache e opes de tunning por compartilhamento.
Aermite ocultar o conte<do de determinados diret$rios !ue no !uer !ue
seam exibidos ao usu"rio de forma f"cil.
Aossui configurao bastante flexvel com relao ao mapeamento de
nomes :O& DE 0/,3 e vice versa, p"gina de c$digo, acentuao, etc.
Aermite o uso de aliases na rede para identificar uma m"!uina com
outro nome e simular uma rede /et(,O& virtual.
O samba possibilita auste fino nas configuraes de transmisso e
recepo dos pacotes 9+A*,A, como forma de garantir a melhor
performance possvel de acordo com suas instalaes.
Aermite o uso do gerenciador de mensagem do 6inux #Linpopup% para a
troca de mensagens com estaes Windows via NetBios. +om a
flexibilidade do samba possvel at redirecionar a mensagem recebida
via e7mail ou pager.
Aossui suporte completo a servidor 1,/& #tambm chamado
de NBNS 7 NetBios Name Service% de rede. 8 configurao bastante
f"cil.
-az auditoria tanto dos acessos a pes!uisa de nomes na rede como
acesso a compartilhamentos. Entre os detalhes salvos esto a data de
acesso, ,A de origem, etc.
&uporte completo a controlador de domnio 1indo2s #A:+%.
&uporte !uase completo a bac)up do controlador de domnio #(:+%.
8t a verso ?.? do samba, o suporte a (:+ parcial. Este c$digo
provavelmente estar" est"vel at a verso F.G.
Aermite montar unidades mapeadas de sistemas Windows ou outros
servidores Linux como um diret$rio no Linux.
Aermite a configurao de recursos simples atravs de programas de
configurao gr"ficos, tanto via sistema, como via 2eb.
Aermite executar comandos no acesso ao compartilhamento ou !uando
o acesso ao compartilhamento finalizado.
+om um pouco de conhecimento e habilidade de administrao de
sistemas Linux, possvel criar ambientes de auditoria e monitorao
at monitorao de acesso a compartilhamento em tempo real.
Entre outras possibilidades.
18.1. !ic"a t#cnica
Aacote samba
Outros utilit"rios importantes para a operao do clientes samba.
smbclient 7 -erramenta para navegao e gerenciamento de
ar!uivos, diret$rios e impressoras compartilhados por servidores
Windows ou samba.
smbfs 7 Aacote !ue possui ferramentas para o mapeamento de
ar!uivos e diret$rios compartilhados por servidores Windows ou
samba em um diret$rio local.
winbind 7 :aemon !ue resolve nomes de usu"rios e grupo atravs de
um servidor /9*&8'(8 e mapeia os 0,:s*5,:s deste servidor como
usu"rios locais.
18.1.$ %e&ueri'entos de Hard(are
Arocessador FHI ou superior, =J '( de espao em disco #no levando em
conta os logs gerados e espao para ar!uivos de usu"rios, aplicativos, etc.%, H
'( de mem$ria K8'.
18.1.) Ar&ui*os de +o, criados
O daemon nmbd salva seus logs em *var*log*daemon.log #dependendo da
diretiva de configurao syslog do ar!uivo smb.conf% e
em /var/log/samba/log.nmbd. Os detalhes de acesso a compartilhamento so
gravados no ar!uivo/var/log/samba/log.smbd #!ue pode ser modificado de
acordo com a diretiva log file no smb.conf, 6og de acessos*servios, &eo
=H.?.H.J%.
18.1.8 Insta+ao
:igite apt-get install samba smbclient smbfs para instalar o
conunto de aplicativos samba. O pacote samba o servidor samba e os
pacotes smbclient e smbfs fazem parte dos aplicativos cliente. +aso desee
apenas mapear compartilhamentos remotos na m"!uina 6inux, instale
somente os ? <ltimos pacotes.
18.1.- Iniciando o ser*idor.reiniciando.recarre,ando a con/i,urao
O servidor samba pode ser executado tanto via inetd como daemon;
inetd
/o modo inetd, o servidor de nomes nmbd ser" carregado assim !ue for
feita a primeira re!uisio de pes!uisa e ficar" residente na mem$ria.
/o caso de acesso a um compartilhamento, o smbd ser" carregado e
ler" a configurao em smb.conf a cada acesso do cliente a um
compartilhamento. Luando o samba opera via inetd, ele no usa o
controle de acesso dos ar!uivos hosts.allow e hosts.deny.
Mea Kestringindo o acesso por ,A*rede, &eo =H.=?.? e Kestringindo o
acesso por interface de rede, &eo =H.=?.F para detalhes de como fazer
o controle de acesso.
Aara reiniciar o samba digite killall -HUP nmbd. /o
necess"rio reiniciar o servio smbd, conforme foi explicado acima.
daemon
Luando opera no modo daemon, ambos os daemons nmbd e smbd so
carregados. /o caso de um acesso a compartilhamento, criado um
processo filho do smbd !ue finalizado assim !ue o compartilhamento
no for mais usado.
Aara iniciar o samba em modo daemon digite;
/etc/init.d/samba start,
para interromper o samba; /etc/init.d/samba stop
e para reiniciar; /etc/init.d/samba restart.
&e desear mudar do modo daemon para inetd ou vice versa, edite o
ar!uivo /etc/default/samba e modifi!ue o valor da
linha RUN_MODE= para daemons ou inetd. 0ma forma de fazer isso
automaticamente executando odpkg-reconfigure samba.
0BS1 +omo praticamente no existe diferena entre os modos de
operao inetd e daemon para o SAMBA, aconselh"vel !ue execute sempre !ue
possvel via inetd, pois isto garantir" uma disponibilidade maior do servio
caso algo acontea com um dos processos.
18.1.12 034es de +in"a de co'ando
Opes de linha de comando usadas pelo nmbd;
7N Oar!uivoPlmhostsQ
Luando especificado, o servidor samba far" a procura de nomes
primeiro neste ar!uivo e depois usando a rede.
7s Oar!uivoPcfgQ
Especifica uma nova localizao para o ar!uivo de configurao do
samba. Aor padro o /etc/samba/smb.conf usado.
7d OnumQ
Especifica o nvel de depurao do nmbd, !ue podem ir de G a =G. O
valor padro G.
7l Odiret$rioQ
Especifica a localizao do diret$rio onde o nmbd gravar" o ar!uivo de
log log.nmbd. O valor padro /var/log/samba
7n Onome/et(,O&Q
Aermite utilizar o nome /et(,O& especificado a invs do especificado
no ar!uivo smb.conf para identificar o computador na rede.
18.2 Conceitos ,erais 3ara a con/i,urao do SAMBA
Este captulo documenta como configurar o seu servidor SAMBA permitindo o
acesso a compartilhamento de ar!uivos e impresso no sistema.
18.2.1 5o'e de '6&uina 7no'e 5etBios8
9oda a m"!uina em uma rede /et(E0, identificada por um nome, este
nome deve ser <nico na rede e permite !ue outras m"!uinas acessem os
recursos disponibilizados ou !ue seam enviadas mensagens para a m"!uina.
Este nome composto de =I caracteres, sendo =J !ue identificam a m"!uina e
o <ltimo o tipo de servio !ue ela disponibiliza. O tipo de servio associado
com o nome da m"!uina e registrado em servidores de nomes confirme a
configurao da m"!uina #voc4 ver" isto mais adiante%.
O nome de m"!uina especificado nas diretivas netbios name e netbios
aliases #vea /omes e grupos de trabalho, &eo =H.?.H.=% para detalhes.
18.2.2 9ru3o de traba+"o
O grupo de trabalho organiza a estrutura de m"!uinas da rede em forma de
"rvore, facilitando sua pes!uisa e localizao. 9omemos como exemplo uma
empresa grande com os departamentos comunicao, redes, web, rh, as
m"!uinas !ue pertencem ao grupo de redes sero agrupadas no programa de
navegao;
redes
gleydson
tecnico
marcelo
henrique
michelle

rh
mrpaoduro

web
web1
web2
web3

comunicacao
comunic1
comunic2
comunic3
8 segurana no acesso a ar!uivos e diret$rios na configurao de grupo de
trabalho controlada pela pr$pria m"!uina, normalmente usando segurana a
nvel de compartilhamento. Esta segurana funciona definindo um
usu"rio*senha para acessar cada compartilhamento !ue a m"!uina possui.
O Lan Manager, Windows for Workgroups, Windows 95, Windows 98, XP Home
Edition usam este nvel de acesso por padro. &e desea configurar uma rede
usando o nvel de grupo de trabalho, vea +onfigurao em Grupo de
Trabalho , &eo =H.R para detalhes passo a passo e exemplos pr"ticos.
Os programas para navegao na rede /et(,O& so mostrados em smbclient,
&eo =H.=R.?.>.?, nmbloo)up, &eo =H.=R.?.>.F e Arogramas de navegao
gr"ficos, &eo =H.=R.J.
18.2.3 :o'nio
O funcionamento semelhante ao grupo de trabalho, com a diferena !ue a
segurana controlada pela m"!uina central #A:+% usando diretivas de acesso
e grupos. O A:+ #Arimar. :omain +ontroller% dever" ter todas as contas de
acesso !ue sero utilizadas pelo usu"rio para acessar os recursos existentes em
outras m"!uinas, script de logon !ue poder" ser executado em cada m"!uina
para fazer austes, sincronismo, manuteno ou !ual!uer outra tarefa
programada pelo administrador do sistema.
Estas caractersticas para configurao de m"!uinas em domnio so
documentadas passo a passo em 0ma breve introduo a um :omnio de rede,
&eo =H.S.=.
18.2.4 Co'3arti+"a'ento
0m compartilhamento um recurso da m"!uina local !ue disponibilizado
para acesso via rede, !ue poder" ser mapeada #vea 'apeamento, &eo
=H.?.J% por outra m"!uina. O compartilhamento pode ser um diret$rio,
ar!uivo, impressora. 8lm de permitir o acesso do usu"rio, o
compartilhamento pode ser protegido por senha, e ter controle de acesso de
leitura*gravao, monitorao de acessos, diret$rios ocultos, autenticao via
A:+ #domnio% e outras formas para restringir e garantir segurana na
disponibilizao dos dados #vea +ontrole de acesso ao servidor &8'(8,
&eo =H.=? para aprender os mtodos de como fazer isto%.
0m compartilhamento no &8'(8 pode ser acessvel publicamente #sem
senha% ou estar rigidamente protegido tendo !ue passar por diversas barreiras
para chegar ao seu conte<do, como senhas, endereo de origem, interfaces,
usu"rio autorizados, permisses de visualizao, etc.
O guia Foca Linux abordar" estes assuntos com detalhes e explicar"
didaticamente como tornar seguro seu servidor samba e garantir um
minucioso controle de acesso a seus compartilhamentos.
18.2. Ma3ea'ento
'apear significa pegar um diret$rio*ar!uivo*impressora compartilhado por
alguma m"!uina da rede para ser acessada pela m"!uina local. Aara mapear
algum recurso de rede, necess"rio !ue ele sea compartilhado na outra
m"!uina #vea +ompartilhamento, &eo =H.?.R%. Aor exemplo, o
diret$rio /usr compartilhado com o nome usr, pode ser mapeado por
uma m"!uina Windows como a unidade F:, ou mapeado por uma
m"!uina Linux no diret$rio/mnt/samba.
O programa respons"vel por mapear unidades compartilhadas no Linux
o smbmount e smbclient #vea 6inux, &eo =H.=R.?.>%.
18.2.$ 5a*e,ao na %ede e contro+e de do'nio
Esta funo controlada pelo nmbd !ue fica ativo o tempo todo
disponibilizando os recursos da m"!uina na rede, participando de eleies
/et(,O& #/veis de sistema para eleio de rede, &eo =H.?.=?%, fazer logon
de m"!uinas no domnio #0ma breve introduo a um :omnio de rede, &eo
=H.S.=%, etc.
8 funo de navegao na rede feita utilizando o compartilhamento IPC$.
Este compartilhamento possui acesso p<blico somente leitura e utiliza o
usu"rio CguestC para disponibilizao de seus. +omo deve ter percebido,
necess"rio especificar esta ,: de usu"rio atravs do parTmetro guest
account #:escrio de parTmetros usados em compartilhamento, &eo
=H.F.=%, ou a navegao de recursos no sistema #ou na rede, dependendo da
configurao do &8'(8% no funcionar".
0BS1 8 funo de navegao #bro2sing% poder" no funcionar corretamente
caso a m"!uina no consiga resolver nomes /et(,O& para endereos ,A.
18.2.) Ar&ui*o de con/i,urao do sa'ba
9oda a configurao relacionada com nomes, grupo de trabalho, tipo de
servidor, log, compartilhamento de ar!uivos e impresso do samba colocada
no ar!uivo de configurao /etc/samba/smb.conf. Este ar!uivo dividido
emsees e parmetros.
0ma seo no ar!uivo de configurao do samba #smb.conf% definido por um
nome entre CO QC. 8s sees tem o obetivo de organizar os parTmetros pra !ue
tenham efeito somente em algumas configuraes de compartilhamento do
servidor #exceto os da seo [global] !ue no especificam
compartilhamentos, mas suas diretivas podem ser v"lidas para todas os
compartilhamentos do ar!uivo de configurao%. 8lguns nomes de sees
foram reservados para configuraes especficas do samba, eles so os
seguintes;
[global]
:efine configuraes !ue afetam o servidor samba como um todo,
fazendo efeito em todos os compartilhamentos existentes na m"!uina.
Aor exemplo, o grupo de trabalho, nome do servidor, p"gina de c$digo,
restries de acesso por nome, etc. Mea &eo [global] , &eo
=H.?.H.
[homes]
Especifica opes de acesso a diret$rios homes de usu"rios. O diret$rio
home disponibilizado somente para seu dono, ap$s se autenticar no
sistema. Mea &eo [homes] , &eo =H.?.>.
[printers]
:efine opes gerais para controle das impressoras do sistema. Este
compartilhamento mapeia os nomes de todas as impressoras
encontradas no /etc/printcap. +onfiguraes especiais podem ser
feitas separadamente. Mea &eo [printers] , &eo =H.?.=G.
[profile]
:efine um perfil !uando o servidor samba usado como A:+ de
domnio. Mea +onfigurando perfis de usu"rios, &eo =H.S.H.
Lual!uer outro nome de OseoQ no ar!uivo smb.conf !ue no seam as acima,
so tratadas como um compartilhamento ou impressora.
0m parmetro definido no formato nome valor. Aara um exemplo pr"tico,
vea um exemplo de ar!uivo smb.conf em Exemplos de configurao do
servidor &8'(8, &eo =H.=J. /a configurao de booleanos, a seguinte
sintaxe pode ser usada;
0 ou 1
yes ou no
true ou false
8ssim, as seguintes configuraes so e!uivalentes
master browse = 0
master browse = no
master browse = false
9odos significam C/UO ser o navegador principal de domnioC. 8 escolha fica
a gosto do administrador. :urante a configurao, voc4 notar" o poder da
flexibilidade oferecida pelo samba na configurao de um servidor &'( ;7%
6inhas iniciadas por # ou ; so tratadas como coment"rio. Luebras de linha
pode ser especificadas com uma \ no final da linha.
18.2.8 Seo [global]
Os parTmetros especificados nesta seo tem efeito em todo o
servidor samba incluindo os compartilhamentos. +aso o parTmetro sea
novamente especificado para o compartilhamento, o valor !ue valer" o do
compartilhamento.
Aor exemplo, se guest user = nobody for usado na seo !global" e
o guest user = foca for usado no compartilhamento [focalinux],
o usu"rio !ue far" acesso p<blico a todos os compartilhamentos do servidor
ser" onobody, exceto para o compartilhamento [focalinux], !ue ser"
feito pelo usu"rio foca. Mea +ompartilhamento de ar!uivos e diret$rios,
&eo =H.F para obter uma lista e descrio dos principais parTmetros de
compartilhamentos existentes. 0ma lista completa pode ser obtida na p"gina
de manual do smb.conf.
,rei descrever alguns parTmetros utilizados nesta seo, organizado de forma
did"tica e simplificada.
18.2.8.1 5o'es e ,ru3os de traba+"o
netbios name D Onome do servidorQ
Especifica o nome /et(,O& prim"rio do servidor samba. +aso no sea
austado, ele usar" o hostname de sua m"!uina como valor padro.
Ex.; netbios name = focasamba.
2or)group D Ogrupo de trabalho*domnioQ
:iz !ual o nome do grupo de trabalho*domnio !ue a m"!uina samba
pertencer".
Ex.; workgroup = focalinux.
netbios aliases D Onomes alternativos ao sistemaQ
Aermite o uso de nomes alternativos ao servidor, separados por espaos.
Ex.; teste1 teste2.
server string D OidentificaoQ
,dentificao enviada do servidor samba para o ambiente de rede. 8
string padro Samba %v #Vv substituda pela verso do samba,
para maiores detalhes, vea Mari"veis de substituio, &eo =H.?.=F%.
Ex; server string = Servidor Samba verso %v.
name resolve order D OordemQ
:efine a ordem de pes!uisa para a resoluo de nomes no samba. 8
ordem padro ; lmhosts host wins bcast, !ue a melhor
para resoluo r"pida e !ue tente gerar menos tr"fego broadcast
possvel. Mea Kesoluo de nomes de m"!uinas no samba, &eo
=H.J para uma explicao mais detalhada.
18.2.8.2 Caracteres e 36,ina de cdi,o
0ma das partes essenciais ap$s colocar o SAMBA em funcionamento,
configurar a p"gina de c$digo para !ue os caracteres seam gravados e
exibidos corretamente no cliente. 8 primeira coisa !ue precisa verificar se
seu )ernel possui o suporte a p"gina de c$digo local. +aso no tenha, baixe o
fonte do )ernel e siga os seguintes passos na configurao;
:entro da opo C-ile &.stemsC, C/et2or) -ile &.stemsC defina como
C:efault Kemote /6& OptionC a isoHHJ>7=. Esta opo permite
ao smbmount montar os volumes locais usando os caracteres corretos.
Entre na opo C-ile &.stemsC, C/ative 6anguage &upportC. /a opo
C:efault /6& OptionC colo!ue CisoHHJ>7=C. 8tive tambm o suporte as
p"ginas de c$digo RFS, HJG e HIG e tambm ao conunto de caracteres
isoHHJ>7= e 09-H.
/ote !ue esta ordem pode variar dependendo da verso do seu )ernel, basta
!ue as entenda para fazer as modificaes apropriadas.
character set D OconuntoPcaracteresQ
&eleciona o conunto de caracteres dos ar!uivos exibidos pelo servidor
samba. Aara os idiomas de lngua latina, sempre utilize isoHHJ>7=.
Ex.; character set = iso8859-1.
client code page D OpaginaPdePcodigoQ
&eleciona a p"gina de c$digo do servidor samba para tratar os
caracteres. Aara os idiomas de lngua latina, sempre utilize HJG.
Ex.; client code page = 850.
preserve case D
&eleciona se ar!uivos com nomes extensos criados sero criados com
os caracteres em mai<sculas*min<sculas definidos pelo cliente #no% ou
se ser" usado o valor de default case #caso sea especificado yes%.
short preserve case D
&eleciona se os ar!uivos com nomes curtos #formato H.F% sero criados
com os caracteres mixtos enviados pelo cliente #no% ou se ser" usando o
valor de default case #caso sea especificado yes%.
default case D Olo2er*upperQ
:efine se os ar!uivos criados tero seus nomes todos em min<sculas
#lo2er% ou mai<sculas #upper%.
valid chars D OcaracteresQ
:efine caracteres v"lidos nos nomes de ar!uivos; valid chars
=: : :I : : : : : : : :
:O. Este parTmetro :;<;%= ser sempre especificado depois
do client code page, pois caso contr"rio, eles sero substitudos
por estes.
18.2.8.3 %estri4es de acesso.'a3ea'ento de usu6rios
guest account = [conta]
:efine a conta local de usu"rio !ue ser" mapeada !uando um usu"rio se
conectar sem senha #usu"rio guest%. Mea mais detalhes em :escrio de
parTmetros usados em compartilhamento, &eo =H.F.=.
invalid users
:efine uma lista de usu"rios !ue no tero acesso aos recursos do
servidor ou compartilhamento. W seguro restringir o acesso samba a
usu"rios com grande poder no sistema #como o root%. Mea mais
detalhes em Kestringindo o acesso por usu"rios, &eo =H.=?.R.
valid users
&emelhante a opo invalid users mas permite !ue somente os
usu"rios especificados tenham acesso ao sistema. Mea mais detalhes
em Kestringindo o acesso por usu"rios, &eo =H.=?.R.
default service = nome
+aso o servio !ue o usu"rio desea se conectar no for encontrado no
servidor, o &8'(8 mapear" o servio especificado nesta diretiva
como alternativa. 8 vari"vel CV&C e o caracter CPC podem ser
interessantes em algumas alternativas de configurao. 8
opo default um sinXnimo para esta opo. +aso utilize esta
opo, crie o compartilhamento em modo somente leitura e com acesso
p<blico, caso contr"rio #dependendo do planeamento de parties e
segurana do sistema de ar!uivos% a m"!uina poder" ser derrubada sem
dificuldades.
username map = [arquivo]
Especifica um ar!uivo !ue faz o mapeamento entre nomes fornecidos
por clientes e nomes de contas 0nix locais. Mea 'apeamento de nomes
de usu"rios, &eo =H.=?.=I para mais detalhes de como configurar este
recurso.
obe. pam restrictions D .es
,ndica se as restries do usu"rio nos m$dulos A8' tero efeito
tambm no &8'(8.
18.2.8.4 5*eis de autenticao
#esta seo contm algumas explicaes !ue dependem do resto do conte<do
do guia, caso no entenda de imediato a fundo as explicaes, recomendo !ue
a leia novamente mais tarde%.
:efine o nvel de segurana do servidor. Os seguintes valores so
v"lidos;
share 7 0sada principalmente !uando apenas a senha enviada
por compartilhamento acessado para o servidor, caso muito
tpico em sistemas Lan Manager e Windows for Workgroups.
'esmo assim o samba tenta mapear para um 0,: de usu"rio
local do sistema usando os seguintes mtodos #retirado da p"gina
de manual do samba%;
&e o parTmetro guest only usado no compartilhamento
unto com o guest ok, o acesso imediatamente permitido,
sem verificar inclusive a senha.
+aso um nome de usu"rio sea enviado unto com a senha, ele
utilizado para mapear o 0,: e aplicar as permisses deste
usu"rio #como acontece no nvel de segurana user%.
&e ele usou um nome para fazer o logon no Windows este nome
ser" usado como usu"rio local do &8'(8. +aso ele sea
diferente, voc4 dever" usar o mapeamento de nomes para
associar o nome remoto do nome local #vea 'apeamento de
nomes de usu"rios, &eo =H.=?.=I%
O nome do servio tentado como nome de usu"rio.
O nome da m"!uina /et(ios tentada como nome de usu"rio
Os usu"rios especificados na opo user do compartilhamentos
so utilizados #vea :escrio de parTmetros usados em
compartilhamento, &eo =H.F.=%.
+aso nenhum destes mtodos acima for satisfeito, o acesso
/E58:O.
Noe em dia, o uso do nvel de acesso share raramente usado,
por!ue todos os sistemas a partir do Windows 95 e acima enviam
o nome de usu"rio ao acessar um compartilhamento #caindo na
segunda checagem do nvel share%, sendo e!uivalente a usar o
nvel user. Entretanto, o nvel de segurana share recomendado
para servidores onde 9O:O o conte<do deve ter acesso p<blico
#sea leitura ou gravao% e o parTmetro guest
shares tambm funciona nativamente.
8s senhas criptografadas #encrypt passwords =
1% 5>0 funcionaro no nvel share, lembre7se deste detalhe.
user 7 Este o padro. O usu"rio precisa ter uma conta de
usu"rio no Linux para acessar seus compartilhamentos. 8 mesma
conta de usu"rio*senha dever" ser usada no Windows para acessar
seus recursos ou realizado um mapeamento de nomes de
usu"rios #vea 'apeamento de nomes de usu"rios, &eo
=H.=?.=I%. Este o padro do &8'(8. /o nvel de
acesso user o usu"rio precisa ser autenticado de !ual!uer forma,
inclusive se for usado o parTmetro guest only ou user. Os
seguintes passos so usados para autorizar uma conexo usando
o nvel user #retirado da documentao do &8'(8%;
o W tentada a validao usando o nome*senha passados pelo
cliente. &e tudo estiver OY, a conexo permitida.
o +aso " tenha se autenticado anteriormente para acessar o
recurso e forneceu a senha correta, o acesso permitido.
o O nome /et(,O& da m"!uina do cliente e !ual!uer nome
de usu"rio !ue foi usado novamente tentado unto com a
senha para tentar permitir o acesso ao recurso
compartilhado.
o +aso o cliente tenha validado o nome*senha com o
servidor e o cliente enviou novamente o to)en de
validao, este nome de usu"rio usado.
o W tentada a checagem com o parTmetro user no
compartilhamento #vea :escrio de parTmetros usados
em compartilhamento, &eo =H.F.=.
o W verificado se o servio p<blico, ento a conexo feita
usando o usu"rio guest account e ignorando a senha
#vea +riando um compartilhamento para acesso sem
senha, &eo =H.=?.S%.
domain 7 /este nvel, o acesso s$ ser" permitido !uando a
m"!uina for adicionada ao domnio com o smbpasswd #6inux,
&eo =H.=R.F.>%. /este nvel de acesso, a conta de usu"rio ser"
validada em um servidor A:+ #controlador de domnio% e o
acesso aos recursos das m"!uinas !ue fazem parte do domnio
ser" feito a partir do A:+. Mea 6inux, &eo =H.=R.F.> para
detalhes.
server 7 8 m"!uina samba tentara autenticar o usu"rio em
outro servidor /9 #ou samba%. /o caso da autenticao falhar,
ser" usado o nvel de acesso user na base de usu"rios local #ser"
necess"rio o ar!uivo de senhas criptografado do samba para !ue
a autenticao local funcione, vea 8tivando o suporte a senhas
criptografadas, &eo =H.H%. Este nvel bastante usado !uando
configuramos um servidor de perfis de usu"rios ou logon
separado do A:+.
18.2.8. ?o, de acessos.ser*ios
log fileD Oar!uivoQ
:efine a localizao e nome do ar!uivo de log gerado pelo samba. 8s
vari"veis de expanso podem ser usadas caso o administrador !ueira ter
um melhor controle dos logs gerados #vea Mari"veis de substituio,
&eo =H.?.=F%.
Ex.; /var/log/samba/samba-log-%m.
0BS1 &e possvel colo!ue uma extenso no ar!uivo de log gerado
pelo SAMBA #como .log%. O motivo disto por!ue se estes logs forem
rotacionados pelo logrotate voc4 ter" problemas de recompactao
m<ltiplas caso utilize um coringa samba-log-*, gerando ar!uivos
como .gz.gz.gz.., lotando a tabela de ar!uivos do diret$rio e deixando
sua m"!uina em um loop de compactao.
max log size D OtamanhoQ
Especifica o tamanho m"ximo em Yb do ar!uivo de log gerado pelo
samba. O valor padro JGGGYb #J'(%.
debug pid D OvalorQ
Este processo adiciona a pid aos logs gerados pelo processo smbd ,sto
<til para depurao caso existam m<ltiplos processos rodando. O valor
padro no e a opo debug timestamp deve ser yes para esta opo
ter efeito.
debug timestamp D OvalorQ
8tiva ou desativa a gravao de data*hora nos ar!uivos de log gerados
pelo samba. O valor padro yes.
debug level D OvalorQ
8umenta o nvel de depurao dos daemons do &8'(8 de 0 a 9. 0m
nvel de depurao interessante e !ue produz uma !uantidade razo"vel
de dados para configurao de um logrotate s$ para o &8'(8 o 2,
produzindo a lista de todos os compartilhamentos acessados, !uem
acessou, data*hora #dependendo das outras opes de depurao%. ,sto
permite ao administrador saber exatamente o !ue est" sendo acessado e
por !uem, !uais as tentativas de acesso. 8ssim ter" certeza !ue o
conte<do no est" sendo acessado indevidamente. O nvel de
depurao 0 o padro.
debug uid D OvalorQ
Este parTmetro inclui o euid, egid, uid, gid nos ar!uivos de log. O valor
padro no.
loc) director. D Odiret$rioQ
:efine onde sero gravados os ar!uivos de loc) gerados pelo samba.
18.2.8.$ 5a*e,ao no ser*idor.ti3o de ser*idor
os levelDOnumQ
Especifica o nvel do sistema operacional. Este n<mero usado para as
eleies netbios para definir o navegador de grupo local e controlador
de domnio #vea /veis de sistema para eleio de rede, &eo
=H.?.=? para detalhes%. O valor pode ser de G a ?JJ, o padro F?.
announce as D OsistemaQ
&elecione o nome !ue o samba #nmbd% se anunciar" na lista de pes!uisa
de rede. Os seguintes nomes podem ser usados;
NT Server (ou NT) 7 8nuncia como #indo$s N% Server.
Este o padro.
NT Workstation 7 8nuncia7se como um N% #or&station.
Win95 ou WfW 7 8nuncia7se na rede como uma
estao #indo$s 'x, #indo$s for #or&groups, #indo$s N%
Server e #indo$s N% #or&station de uma s$ vez.
domain master D OvalorQ
:iz se o servidor tentar" se tornar o navegador principal de domnio.
Os valores !ue podem ser especificados so; yes, no e auto. O
valor padro auto. Mea :omain 'aster (ro2ser, &eo =H.S.F.
local master D OvalorQ
:iz se o servidor participar" ou no das eleies para navegador local
do grupo de trabalho #2or)group%. Os valores !ue podem ser
especificados so; yes, no. O valor padro yes. Aara vencer a
eleio, o samba precisa ter o valor de os level maior !ue os
demais.
/ote tambm !ue o 1indo2s /9 no aceita perder as eleies e
convoca uma nova eleio caso ele perca. +omo esta eleio feita via
broadcasting, isso gera um tr"fego grande na rede. :esta forma, se tiver
um computador /9 na rede configure este valor para CnoC. Mea 6ocal
'aster (ro2ser, &eo =H.S.?.
preferred master D OvalorQ
:iz se o servidor samba ter" ou no vantagens de ganhar uma eleio
local. &e estiver configurado para C.esC, o servidor samba pedir" uma
eleio e ter" vantagens para ganha7la. O servidor poder" se tornar
garantidamente onavegador principal do dom(nio se esta opo for
usada em conunto com domain master ). Os valores especificados
podem ser yes, no e auto, o padro auto.
8ntes de austar este valor para yes, verifi!ue se existem outros
servidores /et(,O& em sua rede !ue tem prefer4ncia para se tornar o
master principal, pois poder" ocorrer um tr"fego alto de broadcasting
causado pelas eleies solicitadas pelas outras m"!uinas.
18.2.8.) 0utros 3ar@'etros de con/i,urao
include
,nclui um outro ar!uivo de configurao na poro atual do ar!uivo de
configurao. Moc4 pode utilizar vari"veis de substituio,
exceto %u, %P e %S #vea Mari"veis de substituio, &eo =H.?.=F%.
18.2.- Seo [homes]
Esta seo tem a funo especial de disponibilizar o diret$rio home do
usu"rio. Luando o usu"rio envia seu nome de login como compartilhamento
feita uma busca no ar!uivo smb.conf procurando por um nome de
compartilhamento !ue confira. +aso nenhum sea encontrado, feita uma
busca por um nome de usu"rio correspondente no ar!uivo /etc/passwd, se um
nome conferir e a senha enviada tambm, o diret$rio de usu"rio
disponibilizado como um compartilhamento com o mesmo nome do usu"rio
local. O diret$rio home do usu"rio poder" ser modificado com o uso de
mapeamento de nomes, vea 'apeamento de nomes de usu"rios, &eo
=H.=?.=I. Luando o caminho do compartilhamento no for especificado, o
&8'(8 utilizar" o diret$rio home do usu"rio #no /etc/passwd%.
Aara maior segurana da instalao, principalmente por!ue o diret$rio home
do usu"rio no um re!uerimento para a autenticao de usu"rio, recomendo
usar a vari"vel de substituio %S apontando para um diret$rio com as
permisses apropriadas configuradas em seu sistema, por exemplo;
[homes]
comment = Diretrios de Usurios
path=/pub/usuarios/%S
Moc4 apenas ter" o trabalho extra de criar os diret$rios de usu"rios !ue faro
acesso ao sistema. ,sto no ser" nenhum problema ap$s voc4 programar um
shell script simples !ue verifi!ue os nomes de contas em /etc/passwd e crie os
diret$rios com as permisses*grupos ade!uados #isso no ser" abordado por
este captulo do guia, embora no sea complicado%. &e desea, existem
exemplos em Exemplos de configurao do servidor &8'(8, &eo
=H.=Jsobre a seo !homes" no ar!uivo de configurao.
Os parTmetros aceitos em !homes" a!ui so os mesmos usados para
compartilhamentos normais #vea :escrio de parTmetros usados em
compartilhamento, &eo =H.F.=%. 8baixo segue mais um exemplo de
seo !homes";
[homes]
comment = Diretrio home de usurios
writable = yes
public = no
invalid users = root nobody @adm
follow symlinks = no
create mode = 0640
directory mode = 0750
8 explicao de cada um dos parTmetros podem ser encontradas em :escrio
de parTmetros usados em compartilhamento, &eo =H.F.=. O guia est" com os
parTmetros bem organizados em sees especficas, apenas de uma olhada
para entender com o captulo do &8'(8 foi organizado e no ter"
dificuldades de se localizar.
0BS11+aso nenhum caminho de compartilhamento sea utilizado, o diret$rio
home do usu"rio ser" compartilhado.
0BS21/o utilize o parTmetro public yes na seo guest, caso contr"rio todos
os diret$rios de usu"rios sero lidos por todos. Mea +onsideraes de
segurana com o uso do parTmetro Cpublic D .esC, &eo =H.=?.=R para
maiores detalhes.
18.2.12 Seo [printers]
Esta seo tem a funo de disponibilizar as impressoras existentes no sistema
#lp, lp=, lp?, etc% existentes no /etc/printcap como compartilhamento de
sistemas 1indo2s. O mtodo !ue os nomes de impressoras so pes!uisados
id4ntico a forma feita para a seo !homes"; Arimeiro o nome do
compartilhamento pes!uisado como um nome de servio, depois se ele um
nome de usu"rio #tentando mapear o servio disponibilizado em OhomesQ%,
depois ser" verificado a seo !printers".
8o invs de usar este recurso, se preferir voc4 poder" compartilhar as
impressoras individualmente. Aara detalhes, vea +onfigurando o 6inux como
um servidor de impresso 1indo2s, &eo =H.==.=.
0BS1W importante lembrar !ue a seo !printers" :;<; ser definida
como printable usando o parTmetro printable yes para funcionar. O
utilit"rio testparm poder" ser usado para verificar problemas no ar!uivo cd
configurao do &8'(8 #vea (uscando problemas na configurao, &eo
=H.?.==%.
18.2.11 Buscando 3rob+e'as na con/i,urao
:urante o processo de configurao do &8'(8, comum cometer erros de
digitao, usar parTmetros em lugares indevidos, etc. W recomend"vel o uso
do testparm para checar a configurao do &8'(8 sempre !ue houver
modificaes para ter certeza nada comprometa o funcionamento !ue planeou
para sua m"!uina.
Aara usar o testparm s$ digitar testparm. 6ogo ap$s executa7lo, analise se
existem erros nas sees de configurao e te pedir" para pressionar
ZE/9EKE para ver um dump do ar!uivo;
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[tmp]"
Processing section "[cdrom]"
Loaded services file OK.
Press enter to see a dump of your service definitions
8 sada acima indica !ue est" tudo OY com todas as configuraes !ue foram
realizadas no servidor. W possvel especificar um outro ar!uivo de
configurao do &8'(8 usando testparm /etc/samba/smb2.conf.
9ambm permitido simular o nome /et(,O& !ue far" acesso a m"!uina
usando o parTmetro -L nome #!ue ser" substitudo na vari"vel *L%.
18.2.12 5*eis de siste'a 3ara e+eio de rede
Aara selecionar !ual sistema /et(,O& ser" o local master bro2se ou domain
master bro2se, usado um mtodo bastante interessante; o de eleies.
Luando uma nova m"!uina entra na rede /et(,O&, ela solicita !uem o
6ocal 'aster (ro2ser, caso nenhuma responda, ela fora uma eleio na rede
atravs de uma re!uisio (roadcasting especial. Mence a eleio !uem tiver o
[[[maior n<mero[[[, chamado de O& 6evel #nvel de sistema operacional%.
+aso duas m"!uinas empatem, o desempate feito usando outros critrios.
&e voc4 for a <nica m"!uina de um 2or)group, automaticamente voc4 ser" o
6ocal 'aster (ro2ser. :e meia em meia hora uma nova eleio feita,
forando mais tr"fego broadcasting na rede. :urante este novo processo de
eleio, a lista de computadores atualizada\ as novas m"!uinas so
adicionadas e as desligadas saem da lista ap$s FI minutos. Este o motivo
por!ue as m"!uinas 1indo2s continuam aparecendo no ambiente de rede por
algum tempo mesmo depois !ue desligadas ou por!ue elas no aparecem de
imediato.
O O& 6evel um n<mero !ue caracterstico de cada sistema operacional
ficando entre G #mais baixo% e ?JJ. Os nveis de acessos dos sistemas
operacionais so os seguintes;
Windows for Workgroups 1
Windows 95 1
Windows 98 2
Windows 98 Second Edition 2


Windows 2000 Server (standalone) 16
Windows 2000 Professional 16
Windows NT 4.0 Wks 17
Windows NT 3.51 Wks 16


Windows NT 3.51 Server 32
Windows NT 4.0 Server 33
Windows 2000 Server (Domain Controller) 32

SAMBA 32
O valor padro do O& 6evel do &8'(8 F?, entretanto ele bastante
flexvel para permitir sua mudana atravs do parTmetro Cos levelC
#vea /avegao no servidor*tipo de servidor, &eo =H.?.H.I%, isto garante
!ue o &8'(8 sempre vena as eleies da rede sobre !ual!uer outro sistema
operacional.
/o caso de um servidor !ue estiver configurado para ser o navegador de rede,
assim !ue for iniciado ele solicitar" uma eleio de rede. 8s regras so as
mesmas, vence o !ue tiver o [maior[ n<mero. Este n<mero pode ser
configurado facilmente no &8'(8 para !ue ele sempre vena as eleies de
rede, tomando conta da lista de m"!uinas. ,sto especialmente interessante
por causa da estabilidade do servidor Linux, !uando migramos de servidor /9
ou para fornecer mais servios de navegao, como servidor 1,/&.
0BS; /unca deixe um servidor /9 configurado para ser o 6ocal (ro2ser ou
:omain 'aster (ro2ser competir com o &8'(8. 'esmo !ue o &8'(8
ganhe, o /9 um pssimo perdedor e convoca uma nova eleio para tentar
novamente se eleger, gerando um [extremo[ tr"fego broadcasting em redes
grandes.
18.2.13 <ari6*eis de substituio
Esta seo foi baseada nos dados da p"gina de manual do samba, com adies
!ue no estavam presentes na verso original e exemplos. Existem vari"veis
especiais !ue podem ser usadas no ar!uivo de configurao do samba e so
substitudas por parTmetros especiais no momento da conexo do usu"rio. 0m
exemplo de utilizao de vari"veis de substituio seria mudar a localizao
do diret$rio home do usu"rio;
[homes]
comment = Diretrio home do usurio
path = /home/usuarios/%u
+ada uma das vari"veis so descritas em detalhes abaixo;
V&
O nome do servio atual, se existir. &eu uso interessante,
principalmente no uso de diret$rios homes.
VA
O diret$rio raz do servio atual, se existir.
Vu
O nome de usu"rio do servio atual, se aplic"vel. Esta vari"vel
bastante <til para programao de scripts e tambm para criar ar!uivos
de log personalizados, etc.
Vg
O grupo prim"rio do usu"rio Vu.
V0
O nome de usu"rio da seo #o nome de usu"rio solicitado pelo cliente,
no uma regra !ue ele ser" sempre o mesmo !ue ele recebeu%.
V5
O nome do grupo prim"rio de V0.
VN
O diret$rio home do usu"rio, de acordo com Vu.
Vv
8 verso do &amba.
Vh
O nome :/& da m"!uina !ue est" executando o &amba.
Vm
O nome /et(,O& da m"!uina do cliente. ,sto muito <til para log de
conexes personalizados e outras coisas <teis.
V6
O nome /et(,O& do servidor. +omo o servidor pode usar mais de um
nome no samba #aliases%, voc4 poder" saber com !ual nome o seu
servidor est" sendo acessado e possivelmente torna7lo o nome prim"rio
de sua m"!uina.
V'
O nome :/& da m"!uina cliente.
V/
O nome do seu servidor de diret$rios home /,&. Este parTmetro
obtido de uma entrada no seu ar!uivo auto.map. &e no tiver compilado
o &8'(8 com a opo --with-automount ento este valor ser" o
mesmo de V6.
Vp
O caminho do diret$rio home do servio, obtido de uma entrada
mapeada no ar!uivo auto.map do /,&. 8 entrada /,& do
ar!uivo auto.map dividida na forma CV/;VpC.
VK
O nvel de protocolo selecionado ap$s a negociao. O valor retornado
pode ser +OKE, +OKEA60&, 68/'8/=, 68/'8/? ou /9=.
Vd
8 identificao de processo do processo atual do servidor.
Va
8 ar!uitetura da m"!uina remota. &omente algumas so reconhecidas e
a resposta pode no ser totalmente confi"vel. O samba atualmente
reconhece Samba, #indo$s for #or&groups, #indo$s '+, #indo$s
N% e#indo$s ,---. Lual!uer outra coisa ser" mostrado como
C0/Y/O1/C #desconhecido%.
V,
O endereo ,A da m"!uina do cliente.
V9
8 data e hora atual.
V]#varPambiente%
Ketorna o valor da vari.vel de ambiente especificada.
18.3 Co'3arti+"a'ento de ar&ui*os e diretrios
Esta seo documenta como disponibilizar ar!uivos e impressoras com o
&8'(8 e os parTmetros usados para realizar restries de compartilhamento,
modo !ue os dados sero disponibilizados e tens de performance. 8 maior
parte destes parTmetros so empregados em servios do &8'(8, mas nada
impede !ue tambm seam colocado na seo !global" do ar!uivo de
configurao, principalmente !uando isto v"lido para diversos servios
compartilhados #vea &eo [global] , &eo =H.?.H%.
18.3.1 :escrio de 3ar@'etros usados e' co'3arti+"a'ento
8baixo o guia traz algumas das opes !ue podem ser usadas para controlar o
comportamento do compartilhamento de ar!uivos por servios no servidor
&8'(8;
path
,ndica o diret$rio !ue ser" compartilhado. 6embre7se !ue o usu"rio ter"
as permisses de acesso !ue ele teria caso estivesse logado no sistema
como um usu"rio 0/,3 normal, exceto se estiver fazendo mapeamento
para outros nomes de usu"rios #vea 'apeamento de nomes de
usu"rios, &eo =H.=?.=I%.
Ex; path=/pub 7 +ompartilha o diret$rio local /pub.
0BS1 Luando no definido um path, o diret$rio /tmp usado como
padro.
comment
:escrio do compartilhamento !ue ser" mostrada na anela de procura
de rede ou no smbclient -L maquina.
Ex; comment=Pasta de contedo pblico do sistema.
bro2seable
:efine se o compartilhamento ser" ou no exibido na anela de procura
de rede. 'esmo no sendo exibido, o compartilhamento poder" ser
acessado. Mea +riando um compartilhamento invisvel, &eo
=H.=?.=? para uma explicao mais detalhada.
Ex; browseable=yes 7 6ista o compartilhamento na anela de
pes!uisa de servidores.
guest account
+onta !ue ser" usada para fazer acesso sem senha #convidado% !uando
o parTmetro guest ok ou public forem usados em um
compartilhamento. Aor padro ela mapeada para o usu"rio nobody.
W importante especificar uma nome de usu"rio guest #convidado%,
principalmente por!ue seu 0,: ser" usado para fazer v"rias operaes
no &8'(8, como exibir os recursos disponveis na m"!uina para a
rede. Aor motivos claros, recomend"vel !ue este usu"rio no tenha
acesso login ao sistema.
+aso no tenha a inteno de ocultar o &8'(8 na lista de m"!uinas da
rede #fazendo apenas acesso direto aos recursos%, especifi!ue um valor
para esta opo.
Ex; guest account = sambausr 7 'apeia os usu"rio se
conectando sem senha para o usu"rio sambausr, desde !ue o acesso
guest sea permitido pela opo public.
public
Aermitem aos usu"rios usu"rios se conectarem ao compartilhamento
sem fornecer uma senha usando o usu"rio guest. O 0,: !ue o usu"rio
guest ser" mapeado especificado pelo parTmetro guest account%.
Mea +riando um compartilhamento para acesso sem senha, &eo
=H.=?.S. O parTmetro guest ok e!uivalente a public.
Ex; public = no 7 /o permite
guest onl.
Aermite somente conexes guest ao recurso. O 0,: do usu"rio
mapeado para guest, mesmo !ue fornea uma senha correta. O valor
padro no.
Ex; guest only = no.
2rite list
6ista de usu"rios separados por espao ou vrgula !ue podero ler e
gravar no compartilhamento. +aso o nome for iniciado por CBC, o
nome especificado ser" tratado como um grupo 0/,3 #/etc/group% e
todos os usu"rios da!uele grupo tero acesso de gravao. O uso deste
parTmetro ignora o read only = yes. Mea Excesso de acesso na
permisso padro de compartilhamento, &eo =H.=?.=G para mais
detalhes.
Ex; write list = gleydson, @usuarios 7 Aermite acesso
gravao somente do usu"rio gleydson e todos os usu"rios
pertencentes ao grupo @usuarios.
0BS1 7 O significado de CBC nos parTmetros Cinvalid usersC*Cvalid
usersC diferente das opes write list e read list.
read list
6ista de usu"rios separados por espao ou vrgula !ue podero apenas
ler o compartilhamento. O caracter CBC pode ser especificado para
fazer refer4ncia a grupos, como no write list. O uso deste
parTmetro ignora oread only = no. Mea Excesso de acesso na
permisso padro de compartilhamento, &eo =H.=?.=G para mais
detalhes.
Ex; read list = nobody, system, operador,
@usuarios 7 Aermite acesso de leitura somente do usu"rio nobody,
system, operador e todos os usu"rios pertencentes ao
grupo @usuarios.
user
Especifica um ou mais nomes de usu"rios ou grupos #caso o nome sea
seguido de CBC% para checagem de senha. Luando o cliente somente
fornece uma senha #especialmente na rede Lan Manager, Windows for
Workgroups e primeira verso do Windows 95% ela ser" validada no banco
de dados de senhas usando o usu"rio especificado nesta opo.
Ex; user = john @usuariosrede
onl. user
Especifica se somente sero permitidas conexes vindas de usu"rios da
diretiva user. O padro no. +aso desee restringir o acesso a
determinados usu"rios, o certo faze7lo usando valid
users e invalid users #veaKestringindo o acesso por usu"rios,
&eo =H.=?.R%. O uso de only user apropriado !uando
necess"rio um controle especfico de acesso sobre a diretiva user.
Ex; only user = no.
loc)ing
Aermite ao &8'(8 fazer um loc) real de ar!uivo ou apenas simular.
+aso sea especificado como CGC, o ar!uivo no blo!ueado para
acesso exclusivo no servidor mas uma resposta positiva de loc)
retornada ao cliente. &e definido como C=C, um loc) real feito. O
padro yes.
Ex; locking = yes
available
-az o &8'(8 ignorar o compartilhamento #como se tivesse retirado do
servidor%. O valor padro CnoC.
follo2 s.mlin)s
Aermite o uso de lin)s simb$licos no compartilhamento #vea tambm a
opo wide links%. 8 desativao desta opo diminui um pouco a
performance de acesso aos ar!uivos. +omo restrita a
compartilhamento, o impacto de segurana depende dos dados sendo
compartilhados. O valor padro desta opo C^E&C.
Ex; follow symlinks = yes
2ide lin)s
Aermite apontar para lin)s simb$licos para fora do compartilhamento
exportada pelo &8'(8. O valor padro esta opo C^E&C.
Ex; wide links = yes.
0BS1 7 8 desativao desta opo causa um aumento na performance
do servidor &8'(8, evitando a chamada de funes do sistema para
resolver os lin)s. Entretanto, diminui a segurana do seu servidor, pois
facilita a ocorr4ncia de ata!ues usando lin)s simb$licos.
6embre7se mais uma vez !ue a segurana do seu sistema comea pela
poltica e uma instalao bem configurada, isso " implica desde a
escolha de sua distribuio at o conhecimento de permisses e
planeamento na implantao do servidor de ar!uivos.
dont descend
/o mostra o conte<do de diret$rios especificados.
Ex; dont descend = /root, /proc, /win/windows,
"/win/Arquivos de Programas", "/win/program
files".
printable
Especifica se o compartilhamento uma impressora #.es% ou um
compartilhamento de ar!uivo*diret$rio #no%. O padro CnoC.
read onl.
Especifica se o compartilhamento somente para leitura #.es% ou no
#no% para todos os usu"rios. O parTmetro writable um antXnimo
e!uivalente a este parTmetro, s$ !ue utiliza as opes invertidas. Aor
segurana, o valor padro somente leitura. Mea uma explicao mais
detalhada em +riando um compartilhamento com acesso somente
leitura, &eo =H.=?.H.
Ex; read only = yes.
create mas)
'odo padro para criao de ar!uivos no compartilhamento. O
parTmetro Ccreate modeC um sinXnimo para este. O modo de ar!uivos
deve ser especificado em formato octal.
Ex; create mask = 0600.
director. mas)
'odo padro para a criao de diret$rios no compartilhamento. O
parTmetro Cdirector. modeC um sinXnimo para este. O modo de
diret$rio deve ser especificado em formato octal.
Ex; directory mask = 0700.
get2d cache
Aermite utilizar um cache para acesso as re!uisies get2d, diminuindo
o n<mero de ciclos de processamento para acesso a ar!uivos*diret$rios.
O valor padro C^esC.
2rite cache size
9amanho do cache de leitura*gravao do compartilhamento. Este valor
especificado em b.tes e o padro CGC. Mea 'elhorando a
performance do compartilhamento*servidor, &eo =H.=F para detalhes
sobre seu uso.
Ex; write cache size = 384000.
inherit permissions
Aermite herdar permisses de ar!uivos*diret$rios do diret$rio pai
!uando novos ar!uivos*diret$rios so criados, isto inclui bits &5,: #set
group ,:%. O padro NO herdar permisses. O uso desta opo
substitui as opes fornecidas por create mask, directory
mask, force create mask e force directory mask.
Ex; inherit permissions.
preexec
Executa um comando antes a abertura de um compartilhamento. O
parTmetro exec um sinXnimo para este. Mea Executando comandos
antes e ap$s o acesso ao compartilhamento, &eo =H.=?.=F.
postexec
Executa um comando depois da utilizao do compartilhamento.
Mea Executando comandos antes e ap$s o acesso ao compartilhamento,
&eo =H.=?.=F.
preexec close
-echa imediatamente o compartilhamento caso o valor do comando
executado pela opo preexec sea diferente de G. O uso desta opo
s$ faz sentido em conunto com preexec. O valor padro CnoC.
Mea Executando comandos antes e ap$s o acesso ao compartilhamento,
&eo =H.=?.=F.
Exemplo; preexec close = yes.
volume D nome
Ketorna o nome de volume especificado !uando feito o acesso ao
compartilhamento. ,sto muito <til para instalaes onde o serial do
+:, dis!uete ou N: verificado durante o acesso. ,sto acontece com
fre!_4ncia em produtos de fabricantes propriet"rios como forma de
evitar a execuo ilegal do programa.
18.4 Con/i,urao e' Grupo de Trabalho
8 configurao grupo de trabalho o mtodo mais simples para compartilhar
recursos em uma rede e tambm indicado !uando se possui uma rede
pe!uena #at FG m"!uinas% pois o gerenciamento no to complicado. 8cima
deste n<mero, recomendada a utilizao da configurao de domnio para
definio de polticas de acesso mais precisas pelo administrador e para
manter o controle sobre os recursos da rede #vea +onfigurando um servidor
A:+ no &8'(8, &eo =H.S.R%.
8 configurao do nvel de acesso por grupo de trabalho tem como
caractersticas principais essa simplicidade na configurao e o controle de
acesso aos recursos sendo feito pela m"!uina local atravs de senhas e
controle de ,A.
Luanto ao mtodo de senhas, voc4 pode optar tanto por usar senhas
criptografadas #8tivando o suporte a senhas criptografadas, &eo =H.H% ou
senhas em texto limpo #8tivando o suporte a senhas em texto plano, &eo
=H.>%.
Mea abaixo um exemplo explicado de configurao do SAMBA para grupo de
trabalho;
[global]
netbios name = servidor
workgroup = focalinux
security = user
obey pam restrictions = yes
encrypt passwords = no
os level = 30
guest account = nobody
server string = servidor da rede
local master = true
domain master = false

[homes]
comment = Diretrios de usurios
create mask= 0700
directory mask = 0700
browseable = no

[tmp]
path = /tmp
comment = Diretrio temporrio do sistema
read only = yes
valid users = gleydson
public = no
8gora, verifi!ue se existem erros na configurao com o
comando testparm #(uscando problemas na configurao, &eo =H.?.==% e
reinicie o SAMBA #,niciando o servidor*reiniciando*recarregando a
configurao, &eo =H.=.>%. O nome do grupo de trabalho !ue a m"!uina
pertencer" focalinux #workgroup = focalinux%. O nvel de
acesso usado neste exemplo de usu"rio #security = user%, para mais
detalhes sobre este mtodo, vea /veis de autenticao, &eo =H.?.H.R. O
parTmetro local master foi definido para yes para o SAMBA tentar ser o
navegador local do grupo de trabalho #vea 6ocal 'aster (ro2ser, &eo
=H.S.?%.
Aara testar se o servidor est" funcionando, digite o seguinte comando;
smbclient -L servidor -U usuario
:igite a senha de usu"rio !uando solicitado. O comando dever" listar os
recuros da m"!uina, indicando !ue a configurao est" funcionando
corretamente. &e voc4 paran$ico e est" preocupado com a segurana da
m"!uina, recomendo ler a +ontrole de acesso ao servidor &8'(8, &eo
=H.=?.
18. %eso+uo de no'es de '6&uinas no sa'ba
O &amba pode utiliza os seguintes mtodos para resoluo de nomes de
m"!uinas na rede #/ome de m"!uina #nome /et(ios%, &eo =H.?.=%. Eles
esto listados em ordem de prioridade do mais para o menos recomend"vel;
lmhosts 7 Aes!uisa primeiro o
ar!uivo /etc/samba/lmhosts #vea 8r!uivo /etc/samba/lmhosts , &eo
=H.J.= para detalhes sobre este ar!uivo%.
host 7 -az a pes!uisa no ar!uivo /etc/hosts e no :/& em busca do
nome da m"!uina.
wins 7 Aes!uisa no servidor 1,/& especificado pelo parTmetro $ins
server do smb.conf #vea 1,/&, &eo =H.J.?%.
bcast 7 Envia um pacote para o endereo de broadcast de sua
configurao de rede. Este geralmente deve ser o <ltimo mtodo por
gerar tr"fego excessivo em uma rede com um consider"vel n<mero de
computadores.
8 ordem !ue a resoluo de nomes feita pelo samba, pode ser modificada
usando o parTmetro Cname resolve order D OordemQC no ar!uivo de
configurao do samba #ex. name resolve order = lmhosts host
wins bcast%.
18..1 Ar&ui*o /etc/samba/lmhosts
Este ar!uivo um banco de dados !ue mapeia o endereo ,A com o nome
/et(,O& de uma m"!uina, semelhante ao formato do /etc/hosts. Este
ar!uivo <til !uando temos servidores !ue so acessados com fre!_4ncia,
!uando servidores de rede esto em segmentos separados e no temos um
servidor 1,/& entre os dois pontos para resoluo de nomes, para definir
m"!uinas 1,/& !ue sero acessados pela internet, etc. Aara ter certeza da
localizao do ar!uivo lmhosts em sua m"!uina, digite smbclient -d 3
-L localhost e vea o diret$rio de pes!uisa deste ar!uivo. Mea um
exemplo de ar!uivo lmhosts em Exemplo de lmhosts do 0/,3, &eo
=H.J.=.=.
O uso do ar!uivo lmhosts evita o excesso de broadcasting na rede, pois a
ordem padro usada para a resoluo de nomes do samba, procura primeiro
resolver o nome procurando em ar!uivos lmhosts, depois
usando dns, $ins ebroadcast. :ependendo do proeto de sua rede e como as
m"!uinas resolvem os nomes, ele pode ser uma camada a mais de segurana
contra um simples hiac)ing de servidor atravs de /et(E0, ou 1,/& #isso
evitado com o uso de domnios, vea +onfigurando um servidor A:+ no
&8'(8, &eo =H.S.R%.
0BS1 /ote !ue em clientes Windows !ue esteam em outra subrede,
necess"rio o ar!uivo \windows\lmhosts apontando para um servidor A:+
mesmo !ue ele estea apontando para o servidor 1,/&, caso contr"rio, a
m"!uina no efetuar" o logon.
O formato do ar!uivo lmhosts do Windows mais complexo do !ue o
do Linux pois o sistema precisa de mais detalhes para resolver os nomes e
tipos de m"!uinas no domnio. Mea o modelo lmhosts.sam em seu
sistemaWindows para compreender seu funcionamento.
18..1.1 ;Ae'3+o de lmhosts do B5IC
O exemplo abaixo mapeia o endereo ,A das m"!uinas #primeira coluna% com
o respectivo nome de m"!uina #segunda coluna%;
172.16.0.34 servarq
172.16.0.30 serverdom
192.168.5.2 servwins
172.16.0.3 servpdc
172.16.0.1 gateway
18..1.2 ;Ae'3+o de lmhosts do Dindo(s
O ar!uivo possui uma sintaxe id4ntica a do lmhosts do 0/,3, mas alguns
parTmetros especiais so especificados para audar o Windows resolver algumas
coisas !ue no consegue fazer sozinho #principalmente com relao a
identificao de funo de m"!uinas em redes segmentadas%;
192.168.0.5 servarq
192.168.0.1 serverpdc #PRE #DOM:dominio
192.168.0.2 "serverwins \0x1e" #PRE
#INCLUDE \\serverpdc\lmhosts
8 primeira entrada do ar!uivo a tradicional, onde o nome da m"!uina
/et(,O& associada ao ,A. 8 segunda utiliza dois parTmetros adicionais;
#PRE 7 -az a entrada ser carregada logo na inicializao e se tornando
uma entrada permanente no cache /et(,O&.
#DOM 7 Especifica !ue a m"!uina um controlador de domnio. 8
m"!uina dever" ter sido configurada para a funo de domnio, pois
caso contr"rio isso simplesmente no funcionar".
/ote !ue ambos #PRE e #DOM devem ser especificados em mai<sculas. O
terceiro exemplo faz uma refer4ncia permanente #`AKE% a m"!uina servidora
1,/& server$ins. /este exemplo usada uma caracterstica especial para
especificar a ,: hexadecimal da m"!uina na rede )e. O !uarto utiliza um
include para associar outro ar!uivo ao atual, <til !uando temos um
compartilhamento !ue distribui um ar!uivo lmhosts para diversas m"!uinas
na rede. :e prefer4ncia, utilize sempre uma diretiva /012 para todas as
m"!uinas especificadas na diretiva /3N4L562 em seu ar!uivo de
configurao.
Aara a especificao de ,: de servio manual, necess"rio manter os =J
caracteres no nome da m"!uina #preenchendo os restantes com espaos, caso
sea preciso%. O <ltimo caracter o c$digo hexadecimal !ue identifica o
servio de rede #vea nmbloo)up, &eo =H.=R.?.>.F para ver a lista de
servios e sua respectiva funo%.
0BS1 +aso crie este ar!uivo em um editor de textos do Linux, no se es!uea
de converter o ar!uivo para !ue contenha o +Ka6- no final das linhas.
18..2 DI5S
Este um servio de resoluo de nomes !ue funciona de forma semelhante
ao :/&, s$ !ue voltado para o /et(,O&. Luando uma m"!uina cliente
/et(,O& entra na rede, o servidor 1,/& pega seu nome e ,A e inclui em uma
tabela para futura consulta pelos clientes da rede.
Esta tabela consultada toda vez !ue um cliente /et(,O& solicita um nome de
m"!uina, componentes do grupo de trabalho ou domnio na rede. 0ma outra
aplicao importante de um servidor 1,/& permitir a resoluo de nomes
em pontos de redes !ue re!uerem roteamento, a simplicidade de um protocolo
no rote"vel como o /et(,O& fica limitada a simplicidade das instalaes de
rede. 0m servidor 1,/& pode ser instalado em cada ponta da rede e eles
trocarem dados entre si e atualizar suas tabelas de nomes*grupos de
trabalhos*,As.
8 resoluo de nomes de m"!uinas ser" feita consultando diretamente a
m"!uina 1,/& ao invs de broadcasting #!ue geram um tr"fego alto na rede%.
18..2.1 Con/i,urando o ser*idor DI5S
Aara ativar o servidor 1,/& no samba, inclua as seguinte linha na
seo [global] do seu ar!uivo /etc/samba/smb.conf;
[global]
wins support = yes
wins proxy = no
dns proxy = no
max wins ttl = 518400
O parTmetro wins proxy pode ser necess"rio para alguns clientes antigos
!ue tenham problemas no envio de suas re!uisies 1,/&. O dns
proxy permite !ue o servidor 1,/& faa a pes!uisa no :/& para
localizao de nomes de m"!uinas caso no exista no cache. 8mbas as
opes wins support, wins proxy e dns proxy tem como valor
padro no. Aronto, seu servidor samba agora suporta 1,/&. -"cil, pr"tico e
r"pido ;7%
&e estiver configurando uma subrede com mas!uerade para acesso a um A:+
ou um servidor 1,/&, voc4 ter" !ue mexer no gate2a. central para apontar
uma rota para o gate2a. mas!uerade. O motivo disto por!ue o mas!uerade
do Linux atua somente nos cabealhos, mas o ,A da estao enviada e
processada pelo A:+ para retornar uma resposta. :a mesma forma, este ,A
registrado no servidor 1,/& para uso das estaes de trabalho. ,sto s$ vai ser
resolvido !uando for escrito um m$dulo de conntrac) para conexes &8'(8
#at o lanamento do )ernel 2.4.22, isso ainda no ocorreu%.
0BS11 /0/+8 configure mais de um servidor 1,/& em uma mesma rede.
0BS21 /UO especifi!ue o parTmetro wins server caso estea usando o
suporte a 1,/&.
18..2.2 Con/i,urando o C+iente DI5S
Aara os clientes da rede #Linux, Windows, OS/2, etc.% fazer uso das
vantagens da resoluo de nomes usando o 1,/&, necess"rio configurar
para !ue eles o utilizem para resolver os nomes de m"!uinas. ,sto feito da
seguinte forma em cada um dos sistemas operacionais;
6inux
8dicione a linha wins server = ip_do_servidor_WINS na
seo global do ar!uivo /etc/samba/smb.conf;
[global]
wins server = 192.168.1.1
8p$s isto, reinicie o servidor samba. +aso estea executando o servidor
via inetd, digite; killall -HUP nmbd. &e estiver rodando
atravs de daemons; /etc/init.d/samba restart. /o
necess"rio reiniciar o computadorb
1indo2s >x
+li!ue com o boto direito sobre o cone 7mbiente de 1ede e selecione
propriedades. /a anela de configurao de rede cli!ue na
aba 4onfigura8o. /a lista !ue aparece selecione o protocolo 9+A*,A
e!uivalente a sua placa de rede local e cli!ue em 0ropriedades.
/a tela de 0ropriedades %40930 cli!ue em 4onfiguraes #3NS e
mar!ue a opo 7tivar resolu8o #3NS. :igite o endereo do servidor
1,/& e cli!ue em 7dicionar.
0BS1 &e utilizar um servidor :N+A em sua rede local e o endereo do
servidor 1,/& tambm oferecido atravs dele, voc4 poder" marcar a
opo 5sar 6:40 para resolu8o #3NS. /ote !ue esta opo somente
estar" disponvel se escolher a opo ;bter um endereo 30
automaticamente na tab 2ndereos 30. +li!ue em OY at fechar todas
as telas e reinicie !uando o computador perguntar ;7%
18.$ Ser*idor de data."ora
O samba pode atuar como um servidor de data*hora austando o hor"rio de
suas estaes de trabalho com o servidor da rede.
8s estaes clientes podero executar o comando net para sincronizar seu
rel$gio durante a inicializao do 1indo2s, ou durante o logon da rede
atravs do script de logon, caso tenha configurado o servidor samba para logon
em domnios /9.
18.$.1 Con/i,urao do ser*io de data."ora no SAMBA
Aara configurar o samba para atuar como servidor de data*hora de sua rede,
adicione o seguinte parTmetro na seo global do ar!uivo de
configurao /etc/samba/smb.conf;
[global]
time server = yes
Aara sincronizar a data*hora das estaes de trabalho usando o servidor samba,
vea &incronizando a data*hora no +liente, &eo =H.I.?. +aso o seu servidor
&8'(8 tambm sea o servidor de autenticao A:+ da rede, a melhor
forma de se fazer isto colocar o comando net time
\\servidor_SAMBA /set /yes em um script !ue ser" executado pela
estao.
0BS W recomend"vel instalar um cliente ntp para manter o rel$gio do servidor
sempre atualizado, conse!_entemente mantendo a data*hora das estaes
tambm em sincronismo . .
18.$.2 SincroniEando a data."ora no C+iente
/a estao cliente 1indo2s, use o seguinte comando;
NET TIME \\SERVIDOR /WORKGROUP:GRUPO /SET /YES
0m local interessante para colocao deste comando na pasta ,niciar da
estao 1indo2s, pois todos os comandos !ue esteam nesta pasta so
executados !uando o sistema iniciado.
Exemplos;
net time \\linux /set /yes 7 &incroniza a hora com o
servidor CcclinuxC e no pede confirmao #*.es%.
net time \\linux /WORKGROUP:pinguim /set /yes 7
&incroniza a hora com o servidor CcclinuxC do grupo de trabalho
pinguim #*1OKY5KO0A;pinguim% e no pede confirmao #*.es%.
18.) Con/i,urao e' Domnio
Esta seo descreve todos os passos necess"rios para configurar um servidor
de domnio A:+ #0rimary 6omain 4ontrol% com perfis m$veis e outros
recursos !ue tornam <teis e seguras a administrao de uma rede /et(E0,.
18.).1 B'a bre*e introduo a u' :o'nio de rede
0m domnio de rede consiste em uma m"!uina central chamada de A:+, !ue
mantm o controle de todas as contas de usu"rios*grupos e permisses para
acesso a rede /et(E0,. O acesso desta forma centralizado, como vantagem
disto voc4 pode usar o nvel de acesso por usu"rios nas m"!uinas, definindo
!uais usu"rios ou grupos tero acesso de leitura*gravao.
W permitido criar scripts de logon, assim comandos programados pelo
administrador sero executados nas m"!uinas clientes durante o logon no
domnio #vea +riando &cripts de logon, &eo =H.S.S%.
O nome da m"!uina protegido contra hiac)ing atravs de contas de
m"!uinas !ue fazem parte do domnio #vea +ontas de m"!uinas de domnio,
&eo =H.S.J%. ,sto s$ possvel em clientes Linux, Windows NT, Windows
2000e Windows XP.
Moc4 poder" usar perfis m$veis, copiando todas as personalizaes do seu
des)top para !ual!uer m"!uina na rede !ue voc4 faa o logon. Aara o
administrador, ele poder" definir polticas com o Poledit e outros programas
!ue sero salvas unto com o perfil do usu"rio, valendo para !ual!uer m"!uina
!ue ele se autenti!ue na rede #vea +riando &cripts de logon, &eo =H.S.S%.
&e voc4 desea iniciar logo a configurao do seu domnio, siga
at +onfigurando um servidor A:+ no &8'(8, &eo =H.S.R.
18.).2 ?oca+ Master Bro(ser
W a m"!uina !ue ganhou a eleio no segmento local de rede #vea /veis de
sistema para eleio de rede, &eo =H.?.=?%. 6ogo !ue declarada o local
master bro$ser, ela comea a receber via broadcasting a lista de recursos
compartilhados por cada m"!uina para montar a lista principal !ue ser"
retornada para outras m"!uinas do grupo de trabalho ou outras subredes !ue
solicite os recursos compartilhados por a!uele grupo.
0ma nova eleio feita a cada FI minutos ou !uando a m"!uina escolhida
desligada.
18.).3 :o'ain Master Bro(ser
Luando o local master bro2se eleito no segmento de rede, uma consulta
feita ao servidor 1,/& para saber !uem o :omain 'aster (ro2se da rede
para enviar a lista de compartilhamentos. 8 m"!uina escolhida como 6ocal
'aster (ro2se envia pacotes para a porta 0:A =FH do :omain 'aster e este
responde pedindo a lista de todos os nomes de m"!uinas !ue o local master
conhece, e tambm o registra como local master para a!uele segmento de
rede.
+aso tenha configurado sua m"!uina para ser o domain master bro2ser da
rede #tambm chamado de controlador principal de dom(nio ou A:+%, ela
tentar" se tornar a m"!uina !ue ter" a lista completa de recursos enviados
pelos locais master bro2sers de cada segmento de rede. 0m A:+ tambm o
local master bro2se de seu pr$prio segmento de rede.
W possvel ter mais de um domain master bro2se, desde !ue cada um controle
seu pr$prio domnio, mas no possvel ter ? domain master bro2sers em um
mesmo domnio. +aso utilize um servidor WINS em sua rede, o A:+ far"
consultas constantes em sua base de dados para obter a lista de domnios
registrados. O domnio identificado pelo caracter )b na rede
#vea nmbloo)up, &eo =H.=R.?.>.F%.
0BS1 O 1indo2s /9 configurado como A:+ sempre tenta se tornar o
domain master bro2ser em seu grupo de trabalho. /o sendo possvel retirar o
1indo2s /9 configurado como A:+ do domnio #por alguma outra razo%, a
<nica forma ser" deixar ele ser o domain master bro2ser. &e este for o caso,
voc4 poder" continuar lendo este documento para aprender mais sobre
/et(,O& e talvez ainda mudar de idia sobre manter o /9 na rede ap$s ver as
caractersticas do &8'(8 \7%
18.).4 Con/i,urando u' ser*idor F:C no SAMBA
Esta a parte interessante do guia, a pr"tica. Aara os administradores !ue
conhecem atravs da experi4ncia pr$pria os problemas e definies do
&8'(8, grande parte do guia foi apenas uma reviso #por favor, se faltou
algo !ue acha interessante, me notifi!uem !ue incluirei na pr$xima verso e
colocarei uma nota no lanamento e na p"gina com os devidos crditos ;7%%
Aara configurar uma m"!uina para ser o A:+ #4ontroladora 0rincipal de
6om(nio ou 0rimary 6omain 4ontrol%, siga esta se!_4ncia;
Nabilite o suporte a senhas criptografadas. +aso ainda no tenha feito
isso, leia a seo 8tivando o suporte a senhas criptografadas, &eo
=H.H.
/a seo !global", insira*modifi!ue os seguintes parTmetros;
; Identificao da mquina e domnio
netbios name = gleydson
workgroup = focalinux

;nveis de acesso e funes do servidor
security = user
domain master = yes
prefered master = yes
local master = yes

; senhas criptografadas
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd.db
Onde os parTmetros significam;
o netbios name = gleydson 7 /ome do computador. Este
tambm ser" o nome usado pelas outras m"!uinas clientes
!uando for configurar o A:+ #controlador de dom(nio%.
o workgroup = focalinux 7 /ome do domnio !ue est"
criando. 9odas as m"!uinas !ue pertencerem a este domnio,
tero o nvel de acesso definido pelo A:+. /ote !ue o
parTmetro workgroup tambm usado ao especificar o nome
do grupo de trabalho !uando se usado a configurao grupo de
trabalho #+onfigurao em Grupo de Trabalho , &eo
=H.R%.
o security = user 7 Ke!uerido para controle de acesso por
domnio, " !ue utilizado o controle de acesso local usando
usu"rios e grupos locais.
o domain master = yes 7 Especifica se est" m"!uina est"
sendo configurada para ser o A:+ da rede.
0BS1 Aor favor, certifi!ue7se !ue no existe outro A:+ no
domnio. Mea :omain 'aster (ro2ser, &eo
=H.S.F. prefered master = yes 7 -ora uma eleio com
algumas vantagens para seu servidor ser eleito sempre como o
controlador de domnio. ,sto garante !ue a
m"!uina SAMBA sempre sea o A:+. Mea /avegao no
servidor*tipo de servidor, &eo =H.?.H.I. local master =
yes 7 :efine se a m"!uina ser" o controlador principal do grupo
de trabalho local !ue ela pertence.
Aronto, agora teste se existem erros em sua configurao executando o
comando testparm #(uscando problemas na configurao, &eo =H.?.==% e
corria7os se existir. Kesta agora reiniciar o servidor nmbd para !ue todas as
suas alteraes tenham efeito. Aara adicionar seus clientes a um domnio,
vea +ontas de m"!uinas de domnio, &eo =H.S.J e +onfigurando clientes
em :omnio, &eo =H.=R.F.
18.). Contas de '6&uinas de do'nio
0ma conta de m"!uina de domnio garante !ue nenhum outro computador
possa utilizar o mesmo nome de uma m"!uina confi"vel e assim utilizar os
compartilhamentos !ue ela tem permisso. Os clientes Windows NT, Windows
XP eWindows 2000 precisam de uma conta de m"!uina para ter acesso ao
domnio e seus recursos. 8 criao de uma conta de m"!uina bastante
semelhante a criao da conta de um usu"rio normal no domnio.
Existe uma coisa !ue precisa sempre ter em mente !uando estiver
configurando uma conta de m"!uina de domnio; Luando voc4 cria uma conta
para a m"!uina, ela entra e altera sua senha no pr$ximo logon usando um
CsegredoC entre ela e o A:+, este segredo a identifica sempre como dona
da!uele nome /et(,O&, ou sea, at o primeiro logon no /9, outra m"!uina
com o mesmo nome /et(,O& poder" ser a dona do netbios na!uele domnio
caso faa o logon no domnio. 8 <nica forma de se evitar isto logar
imediatamente no domnio /9 assim !ue criar as contas de m"!uinas.
Existem duas formas para criao de contas de m"!uinas; manual e
autom"tica.
18.)..1 Criando contas de '6&uinas 'anua+'ente
Aara criar uma conta de domnio para a m"!uina master, siga estes ? passos;
+rie uma conta de m"!uina no ar!uivo /etc/passwd;
useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d
/dev/null master$
O comando acima cria uma conta para a m"!uina master$ e torna ela parte do
grupo domainmac. W necess"rio especificar o caracter $ ap$s o nome da m"!uina para
criar uma conta de m"!uina no domnio, caso contr"rio o pr$ximo passo ir" falhar.
8credito !ue nas pr$ximas verses do &8'(8 sea desnecess"rio o uso do
ar!uivo /etc/passwd para a criao de contas de m"!uina.
+rie uma conta de m"!uina no ar!uivo /etc/samba/smbpasswd;
smbpasswd -m -a master
,sto cria uma conta de m"!uina para o computador master no
ar!uivo /etc/samba/smbpasswd. /ote !ue a criao de uma conta de m"!uina muito
semelhante a criao de um usu"rio apenas precisa adicionar a opo -m. Luando for
criar uma conta com o smbpasswd /o necess"rio especificar $ no final do nome da
m"!uina.
O mais importante; Entre IM;:IAGAM;5G; no domnio ap$s criar a conta de
m"!uina usando a conta de administrador de domnio criada no &8'(8 #vea +riando
uma conta de administrador de domnio, &eo =H.S.I%b como a m"!uina ainda no se
autenticou pela primeira vez, !ual!uer m"!uina !ue tenha o mesmo nome e entre no
domnio, poder" alocar o nome recm criado. 8 <nica forma de resolver este problema,
apagando a conta de m"!uina e criando7a novamente no domnio. &iga os passos de
acordo com o sistema operacional em +onfigurando clientes em :omnio, &eo
=H.=R.F para colocar seus clientes em domnio.
0BS11 +omo segurana, recomendo desativar a conta de m"!uina
no /etc/passwd usando o comando passwd -l conta. Esta conta
/0/+8 dever" ser usada para login, isto deixa nossa configurao um pouco
mais restrita.
0BS21 8 localizao do ar!uivo de senhas criptografadas do &8'(8 pode
ser modificado atravs da opo smb passwd file na
seo [global] do ar!uivo smb.conf.
0BS31 Os !ue tem experi4ncia com /9 e 1indo2s ?GGG devem ter notado
!ue este mtodo semelhante ao do Server <anager das ferramentas de
gerenciamentos de servidores existentes no 1indo2s.
18.)..2 Criando contas de '6&uinas auto'atica'ente
8travs deste mtodo, as m"!uinas clientes tero sua conta criada
automaticamente assim !ue sea feita a entrada no domnio usando a conta do
administrador de domnio no &8'(8. Este o mtodo recomend"vel de
colocao de m"!uinas no domnio por ser mais pr"tica ao invs do mtodo
manual. /ote !ue normalmente isto funciona para o 1in3A e 1in?GGG mas
no funciona em redes com o /9R, devendo ser criadas contas de m"!uinas
usando o mtodo manual.
Aara fazer a configurao autom"tica, colo!ue a seguinte linha no
ar!uivo smb.conf na seo [global];
add user script = useradd -g domainmac -c "Maquina de Dominio" -s
/bin/false -d /dev/null %u
8ssim, a conta de m"!uina ser" automaticamente criada !uando o
administrador fizer sua configurao no domnio #vea +riando uma conta de
administrador de domnio, &eo =H.S.I%. /o &8'(8 F.G, a opo add
machine script dever" ser usada no lugar de add user script para
adicionar uma m"!uina no domnio.
18.).$ Criando u'a conta de ad'inistrador de do'nio
8 conta de administrador do domnio a conta !ue tem permisses para
realizar operaes de manuteno e administrao de m"!uinas !ue compem
o domnio de rede. +om ela possvel, entre outras coisas, adicionar e
remover m"!uina !ue compem o domnio. Aara especificar !ue contas de
usu"rios do ar!uivo /etc/samba/smbpasswd !ue tero poderes administrativos,
utilize a opo domain admin group ou admin users na
seo [global] do ar!uivo /etc/samba/smb.conf.
O parTmetro admin users permite !ue todas as operaes realizadas pelo
usu"rio seam feitas com poderes de usu"rio root. ,sto necess"rio por!ue o
ar!uivo smbpasswd #usado para austar as contas de m"!uinas% normalmente
tem permisses de leitura*gravao somente para root. O domain admin
group permite !ue usu"rios especficos ou usu"rios do grupo especificado
seam parte do grupo de administradores do domnio para adicionar m"!uinas,
etc. Aor exemplo, para tornar o usu"rio gleydson com privilgios para
adicionar*remover m"!uinas no domnio;
[global]
...
admin users = gleydson
ou
domain admin group = @admins gleydson
,sto permite !ue o usu"rio gleydson possa adicionar*remover m"!uinas do
domnio /9 #vea +onfigurando clientes em :omnio, &eo =H.=R.F% entre
outras tarefas. Aor segurana, recomendo !ue colo!ue esta conta no invalid
users de cada compartilhamento para !ue sea utilizada somente para fins de
gerenciamento de m"!uinas no domnio, a menos !ue desee ter acesso total
aos compartilhamentos do servidor #nesse caso, tenha consci4ncia do nvel de
acesso !ue esta conta possui e dos problemas !ue pode causar caso caia em
mos erradas%.
0BS11 9enha &E'AKE bastante cuidado com !uem dar" poderes de
administrador de domnio, pois toda sua rede poder" ficar vulner"vel caso os
cuidados de administrao no esteam em boas mos.
0BS21 Em verses antigas do &8'(8, somente o usu"rio root tem poderes
para adicionar m"!uinas no domnio usando o parTmetro domain admins
group, devendo ser tambm adicionado no ar!uivo smbpasswd para !ue possa
fazer isto e obviamente no dever" estar listado em invalid users.
'esmo assim, existem outras formas explicadas no guia de se contornar o
risco causado pela liberao de acesso do usu"rio root.
18.).) Criando Scri3ts de +o,on
0ma dos recursos mais <teis em um domnio a possibilidade de se executar
comandos nas m"!uinas cliente !uando fazem o logon no domnio. :esta
forma, possvel instalar programas, executar anti7vrus, mapear
compartilhamentos automaticamente no clientes, etc. 8 programao de
scripts de logon feita usando a linguagem em lote do :O&, com
possibilidades de usar vari"veis de ambiente, c$pia de ar!uivos entre
servidores, etc. O guia no ir" abordar a programao em linguagem de lote,
mas isto simples de se encontrar na internet e mesmo a documentao !ue
acompanha o pr$prio Windows <til.
Aara habilitar o recurso de scripts de logon na m"!uina, adicione os seguintes
parTmetros no ar!uivo smb.conf;
[global]
domain logons = yes
logon script = logon.cmd

[netlogon]
path = /pub/samba/netlogon
read only = yes
write list = ntadmin
&egue a descrio de cada parTmetro com detalhes importantes para a
configurao e funcionamento do recurso de logon;
domain logons 7 :eve ser definido para yes para ativar o recurso
de logon scripts do &8'(8.
logon drive a unidade de disco !ue ter" o homedir do usu"rio
mapeado. ,sto somente usado por m"!uinas /9*?GGG*3A.
logon script 7 :efine !ual o script !ue ser" executado na
m"!uina cliente !uando fizer o logon. Ele deve ser gravado no diret$rio
especificado pela opo path do compartilhamento [netlogon]
#/pub/samba/netlogon no exemplo%. Os scripts de logon podem ser
tanto em formato .bat ou .cmd. &e for programar um script universal,
recomend"vel o uso do formato .bat por ser compatvel tanto
com Win9X eWinNT.
0m detalhe !ue deve ser lembrado durante a programao do script de logon
!ue ele :;<; seguir o formato :O&, ou sea, ter os caracteres CR+LF como
finalizador de linhas. Aara utilizar editores do 0/,3 para escrever este script,
ser" necess"rio executar o programa flip #flip -m -b arquivo%
ou unix2dos no ar!uivo para converte7lo em formato compatvel com o :O&.
&egue abaixo um exemplo de script de logon !ue detecta !uando o cliente
1indo2s >J*/9, austa a hora com o servidor e mapeia ? unidades de disco;
@echo off
cls
rem Logon Script desenvolvido por Gleydson Mazioli
rem da Silva como modelo para o guia Foca GNU/Linux
rem
rem Este script pode ser utilizado para fins didticos
rem e distribudo livremente de acordo com os termos
rem da GPL
rem
echo "Aguarde enquanto sua mquina efetua"
echo "o logon na rede do domnio focalinux."
rem
if %OS%==Windows_NT goto NT-2000
rem
echo "--------------------------------"
echo "SO: %OS%"
echo "Usurio: %USERNAME%"
echo "Grupo de Trabalho: %LANGROUP%"
echo "Servidor: %DOMINIO%"
echo "--------------------------------"
echo "Recuperando compartilhamentos"
rem mapeia o compartilhamento publico definido no servidor
net use e: \\gleydson\publico
echo "Sincronizando data/hora"
rem sincroniza a data/hora com o servidor
net time \\gleydson /set /yes
goto fim
rem
rem
:NT-2000
echo "--------------------------------"
echo "SO: %OS%"
echo "Usurio: %USERNAME%"
echo "Windows: %windir%"
echo "Logon de domnio: %LOGONSERVER%"
echo "--------------------------------"
echo "Recuperando compartilhamentos"
net use e: \\gleydson\publico /persistent:yes
echo "Sincronizando data/hora"
net time \\gleydson /set /yes
rem
rem
goto fim
rem
:fim
/ote no exemplo acima !ue no podem haver linhas em branco, voc4 dever"
utilizar a palavra rem #coment"rio em ar!uivos em lote% em seu lugar. /ote
!ue existem diferenas entre o comando net do 1indo2s >x*'E e do /9, as
vari"veis tambm possuem um significado diferente entre estes ? sistemas,
isto explica a necessidade de se incluir um bloco separado detectando a
exist4ncia de !ual sistema est" sendo efetuado o logon.
8 lista completa de vari"veis disponveis para cada sistema operacional pode
ser obtida colocando7se set >c:\vars.txt !ue gravar" uma lista de
vari"veis disponveis durante o logon no ar!uivo c:\vars.txt da m"!uina
cliente.
0BS1 +aso especifi!ue um computador !ue contm o script de login, lembre7
se de faze7lo sempre com \ ao invs de / para no ter incompatibilidade com
o Windows 95/3.11.
AG;5H>01 6embre7se !ue copiar e colar pode no funcionar para este
script. 6eia novamente esta seo do guia se estiver em d<vidas.
18.).8 Con/i,urando 3er/is de usu6rios
Os profiles permitem !ue os clientes utilizem o mesmo perfil em !ual!uer
m"!uina !ue ele se autenti!ue na rede. ,sto feito ap$s a autenticao
copiando os ar!uivos !ue contm os dados de personalizao de usu"rios
#user.dat,NTuser.dat% para a m"!uina local. Este processo tambm inclui a
c$pia de papis de parede, lin)s da "rea de trabalho, cache do ,E, etc. Aara
configurar o recurso de perfis m$veis no domnio, necess"rio adicionar os
seguintes parTmetros no seu ar!uivo smb.conf;
[global]
security = user
encrypt passwords = yes
domain logons = yes
logon drive = H:
logon path = \\%N\profilesNT\%u
logon home = \\%N\profiles\%u
preserve case = yes
short preserve case = yes
case sensitive = no

[profiles]
path = /pub/profiles
read only = no
create mask = 0600
directory mask = 0700

[profilesNT]
path = /pub/profilesNT
read only = no
create mask = 0600
directory mask = 0700
&egue a descrio dos parTmetros de detalhes para seu funcionamento;
O parTmetro domain logons = yes especifica !ue o servidor ser"
usado para fazer logons no domnio. Luando este parTmetro definido
para yes, a m"!uina automaticamente tentar" ser o A:+.
logon path e logon home definem #respectivamente% o diret$rio
de logon do /pub/profilesNT/usuario #NT%
e /pub/profiles/usuario #Win95% respectivamente. :urante o logon, a
vari"vel %N ser" substituda pelo nome do servidor #ou servidor de
diret$rios, se for o caso% e a vari"vel %u pelo nome do usu"rio.
O sistema operacional de origem detectado no momento da conexo.
,sto significa !ue o usu"rio poder" ter ? profiles diferentes, de acordo
com o tipo de sistema operacional cliente !ue estiver conectando.
O diret$rio home do usu"rio ser" mapeado para a unidade H: #logon
drive = h:%. O parTmetro logon drive somente usado pelo
/9*?GGG*3A.
8s opes preserve case, short preserve case e case
sensitive permite !ue os nomes dos ar!uivos*diret$rios tenham as
letras mai<sculas*min<sculas mantidas, isto re!uerido para os
profiles.
O compartilhamento dos ? profiles pode ser feito sem tantos traumas, mas isto
no ser" explicado profundamente no guia pois o procedimento segue o
mesmo padro do /9 sendo bastante documentado na internet.
/ote !ue possvel definir um servidor separado para servir os profiles para
um domnio modificando a vari"vel %N para apontar direto para a m"!uina.
/a m"!uina !ue armazenar" os profiles, basta definir o nvel de segurana
porservidor #security = server% e o endereo ,A do servidor de
senhas #password server = IP%.
0BS11 Os perfis s$ funcionam caso o servidor de profiles contenha a
opo security = user e encrypt passwords =
yes ou security = server e password server =
endereo_IP. +aso tenha problemas, verifi!ue se uma destas alternativas
est" correta.
0BS21 Luando utiliza o &8'(8 com o 1indo2s ?GGG &A?, necess"rio
adicionar a opo nt acl support = no no
compartilhamento [profiles], caso contr"rio, ele retornar" um erro de
acesso ao compartilhamento.
18.).- Modi/ica4es de 3er'iss4es de acesso 3e+os c+ientes do do'nio
0m usu"rio do 1indo2s /9 #ou verses baseadas neste% pode modificar as
permisses dos ar!uivos*diret$rios !ue tem acesso atravs da caixa de di"logo
de listas de acesso do /9, lembrando !ue estas permisses nunca substituiro
as definidas pelo administrador local.
8 opo Cnt acl supportC dever" estar definida para C.esC na
seo [global] do ar!uivo de configurao, caso contr"rio voc4 no ter"
acesso para mudar as permisses atravs de caixas de di"logo do /9. c
18.8 Ati*ando o su3orte a sen"as cri3to,ra/adas
O uso de senhas criptografadas um re!uisito !uando voc4 desea configurar
o &8'(8 para ser um servidor A:+ ou um cliente de um domnio. Luando
utiliza senhas criptografadas, elas trafegam em formato seguro atravs da
rede, dificultando a captura por outras pessoas. Em verses mais recentes do
1indo2s #a partir da O&K*? e /9 R service pac)F% o suporte a senhas
criptografadas vem habilitado como padro para login e utilizao de servios
da rede. /o recomend"vel desativar o uso de senhas criptografadas, mas se
mesmo assim for necess"rio vea &enhas criptografadas ou em texto purod,
&eo =H.=?.=J.
Luando usamos senhas criptografadas, elas so armazenadas no
ar!uivo /etc/samba/smbpasswd ao invs do /etc/passwd, isto permite !ue
possamos controlar as permisses de usu"rios separadamente das do sistema e
diferenciar os logins do domnio dos logins do sistema #usu"rios !ue possuem
shell%. +aso tenha um servidor !ue " possua muitas contas de usu"rios
acessando em texto plano, recomendo ler 'igrando de senhas texto plano para
criptografadas, &eo =H.H.= para facilitar o processo de migrao de contas.
O utilit"rio smbpasswd o programa utilizado para gerenciar este ar!uivo de
senhas e tambm o status de contas de usu"rios*m"!uinas do domnio. &iga
estes passos para ativar o uso de senhas criptografadas no &8'(8;
Edite o ar!uivo /etc/samba/smb.conf e altere as seguintes linhas na
seo [global] para adicionar o suporte a senhas criptografadas;
[global]
encrypt passwords = true
smb passwd file =/etc/samba/smbpasswd
8 linha encrypt passwords = true diz para usar senhas criptografadas e !ue o
ar!uivo /etc/samba/smbpasswd contm as senhas #smb passwd file
=/etc/samba/smbpasswd%.
+aso sua m"!uina sea apenas um cliente de rede #e no um A:+%, voc4 pode pular para
o passo onde o SAMBA reiniciado #no final dessa lista%, no necess"ria a criao do
ar!uivo de senhas para autenticao pois os usu"rios sero validados no servidor.
Execute o comando mksmbpasswd </etc/passwd
>/etc/samba/smbpasswd. Ele pega toda a base de usu"rios do /etc/passwd e
gera um ar!uivo /etc/samba/smbpasswd contendo as contas destes usu"rios. Aor
padro, todas as contas so :E&89,M8:8& por segurana !uando este novo ar!uivo
criado. O novo ar!uivo ter" o seguinte formato;

gleydson:1020:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXX:[U ]:LCT-00000000:Gleydson Mazioli da Silva,,,

geovani:1004:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXX:[U ]:LCT-00000000:Geovani Mazioli da Silva,,,
Os campos so separados por C;C e cada campo possui o seguinte significado;
O primeiro o nome de usu"rio
0,: do usu"rio no sistema 0/,3 !ue a conta ser" mapeada.
&enha 6an 'anager codificada em hex F? criado usando criptografia :E& usada
pelo 1indo2s >J*>H*'E.
&enha hash criada em formato do /9 codificada em hex F?. Esta senha criada
pegando a senha do usu"rio, convertendo7a para mai<sculas, adicionados J b.tes de
caracteres nulos e aplicando o algoritmo mdR.
Opes da conta criada no smbpasswd;
U 7 Especifica !ue a conta uma conta de usu"rio normal #vea 8dicionando
usu"rios no smbpasswd , &eo =H.H.?%
D 7 &ignifica !ue a conta foi desativada com a opo -d #vea :esabilitando
uma conta no smbpasswd , &eo =H.H.R%.
W 7 Especifica !ue a conta uma conta de m"!uina criada com a opo -
m #vea +ontas de m"!uinas de domnio, &eo =H.S.J%.
N 7 8 conta no possui senha #vea :efinindo acesso sem senha para o usu"rio,
&eo =H.H.S%.
Os caracteres C333333333333333C no campo da senha, indica !ue a
conta foi recm criada, e portanto est" desativada. O pr$ximo passo ativar a
conta para ser usada pelo &8'(8.
AG;5H>01 O mtodo de criptografia usado neste ar!uivo no totalmente
seguro. Kecomendo manter o ar!uivo de senhas smbpasswd em um diret$rio
com a permisso de leitura somente pelo root.
Aara ativar a conta do usu"rio gleydson, usamos o comando;
smbpasswd -U gleydson
:igite a senha do usu"rio e repita para confirmar. 8ssim !ue a senha for definida, a
conta do usu"rio ativada. Moc4 tambm pode especificar a opo C7sC para entrar com
a senha pela entrada padro #muito <til em scripts%. 8penas tenha cuidado para !ue esta
senha no sea divulgada em seus ar!uivos*processos.
Keinicie o processo do &8'(8 #vea ,niciando o servidor*reiniciando*recarregando
a configurao, &eo =H.=.>%.
Merifi!ue se o suporte a senhas criptografadas est" funcionando com o comando;
smbclient -L localhost -U gleydson
&ubstitua localhost pelo ,A do servidor e gleydson pelo usu"rio. +aso obtenha a
mensagem session setup failed: NT_STATUS_LOGON_FAILURE significa
!ue a senha informada est" incorreta.
18.8.1 Mi,rando de sen"as teAto 3+ano 3ara cri3to,ra/adas
/o &8'(8, possvel fazer um processo de migrao de senhas em texto
plano de usu"rios para criptografadas sem !ue eles deixem de acessar o
servidor durante esta mudana. +aso este sea seu caso, insira o parTmetro
update encrypted = yes
na seo [global] do seu ar!uivo de configurao smb.conf. 8 senha
criptografada definida assim !ue o usu"rio se logar usando sua senha em
texto plano. /o se es!uea de desativar esta opo ou remove7la ap$s o prazo
necess"rio para !ue todas as senhas seam trocadas.
18.8.2 Adicionando usu6rios no smbpasswd
8 adio de um usu"rio no smbpasswd segue duas etapas; primeiro necess"rio
adiciona7lo no sistema com o adduser e depois no samba com o smbpasswd.
Moc4 deve estar se perguntando !ual a vantagem de se ter um ar!uivo
separado de usu"rios se ainda preciso criar o login nos dois ar!uivos\
O SAMBA para fazer o controle de acesso aos ar!uivos utiliza alm dos
mecanismos tradicionais do /9, o controle de permisses a nvel 0/,3 para
manter os ar!uivos ainda mais restritos. 8lm disso, ser" necess"rio usu"rios e
grupos para criao e acesso ao sistema.
8dicione um usu"rio no sistema com o comando;
useradd -g grupo-dominio -c "Usurio de Domnio" -s /bin/false
-d /dev/null joao
Este comando adiciona o usu"rio CoaoC no grupo grupo-dominio e no define hem
uma shell, diret$rio home nem senha para este usu"rio. ,sto mantm o sistema mais
seguro e no interfere no funcionamento do &8'(8, pois somente necess"rio para
fazer o mapeamento de 0,:*5,: de usu"rios com as permisses do sistema 0/,3.
W interessante padronizar os usu"rios criados no domnio para um mesmo grupo para
pes!uisa e outras coisas.
+rie o usu"rio CoaoC no &8'(8;
smbpasswd -a joao
&er" solicitada a senha do usu"rio.
18.8.3 %e'o*endo usu6rios do smbpasswd
0tilize o comando smbpasswd -x usuario para remover um usu"rio do
ar!uivo smbpasswd. &e desear, voc4 pode manter o usu"rio no /etc/passwd ou
remove7lo com o userdel.
0BS1 Kemovendo um usu"rio deste ar!uivo far" !ue ele no tenha mais
acesso ao &8'(8. 0tilize o comando smbpasswd -a teste
18.8.4 :esabi+itando u'a conta no smbpasswd
+omo administrador, pode ser necess"rio !ue precise desativar
temporariamente uma conta de usu"rio por alguma situao !ual!uer #m"
utilizao de recursos, d<vida se a conta est" sendo usada, para !ue ele ligue
reclamando de autenticao para ter a!uela deseada conversa #hehe%, etc.%.
Kemover uma conta e novamente adiciona7la ento no uma situao muito
pr"tica. 0tilize ento o seguinte comando para desativar uma conta de usu"rio;
smbpasswd -d usuario
Luando a conta de usu"rio desativada, uma flag C:C adicionada @s opes
do usu"rio #unto com as opes C03C%. Mea Nabilitando uma conta
no smbpasswd , &eo =H.H.J para reativar a conta.
18.8. Habi+itando u'a conta no smbpasswd
0ma conta desativada com o uso do comando smbpasswd -d pode ser
novamente ativada usando;
smbpasswd -e usuario
18.8.$ A+terando a sen"a de u' usu6rio
O utilit"rio smbpasswd pode ser usado tanto para alterar a senha de usu"rios
locais do SAMBA ou de uma conta em um servidor remoto #sea SAMBA, NT, W2K%.
Aara alterar a senha de um usu"rio local, digite;
smbpasswd -U usuario
6he ser" pedida a antiga senha, a nova senha e a confirmao. +aso sea o
usu"rio root, somente a nova senha e a confirmao. ,sto mecanismo de
proteo para usu"rios !ue es!uecem a senha \7%
Aara alterar a senha de um usu"rio remoto, utilize;
smbpasswd -r servidor -U usuario
/ote !ue apenas foi adicionada a opo -r servidor comparado com a
opo anterior. 8 diferena !ue a senha antiga do usu"rio sempre ser"
solicitada para troca #pois o root das ? m"!uinas pode no ser o mesmo%.
18.8.) :e/inindo acesso se' sen"a 3ara o usu6rio
Aara fazer um usu"rio acessar sem senha, use o comando;
smbpasswd -n usuario
,sto completamente desencoraado e necessita !ue a opo null
passwords da seo [global] no ar!uivo smb.conf estea austada
para yes #&ue 5>0 # o 3adro%.
18.- Ati*ando o su3orte a sen"as e' teAto 3+ano
Esta forma de autenticao enviada por implementaes /et(,O& antigas,
como a encontrada no Lan Manager, Windows for Workgroups e Windows 95
OSR1. 8s verses mais novas destas implementaes enviam a senha em
formato criptografado, sendo necess"rio tambm usar o formato criptografado
no &8'(8 para !ue possa se autenticar #vea 8tivando o suporte a senhas
criptografadas, &eo =H.H%.
Em &enhas criptografadas ou em texto purod, &eo =H.=?.=J feita uma
comparao entre o uso de autenticao usando senhas em texto plano e
senhas criptografadas. Em geral, o administrador prefere a utilizao da
autenticao usando texto plano !uando desea usar o /etc/passwd para
autenticao e est" usando grupos de trabalho necess"rio usar senhas
criptografadas para autenticao%.
Aara configurar o SAMBA para utilizar senhas em texto, modifi!ue o
parTmetro encrypt passwords para no;
[global]
encrypt passwords = no
Keinicie o SAMBA #,niciando o servidor*reiniciando*recarregando a
configurao, &eo =H.=.>% e a partir de agora, ele usar" o /etc/passwd para
autenticao.
0BS1 9enha certeza de no estar participando de um domnio ou !ue sua
m"!uina sea o A:+ antes de fazer esta modificao.
18.-.1 Con/i,urando o acesso de c+ientes 3ara uso de sen"as e' teAto
3+ano
Esta seo descreve como configurar clientes para acessar o
servidor SAMBA usando autenticao em texto plano. 8tualmente o guia cobre
os seguintes clientes;
6an 'anager, &eo =H.>.=.=
1indo2s for 1or)groups, &eo =H.>.=.?
1indo2s >J * 1indo2s >J8, &eo =H.>.=.F
1indo2s >J(, &eo =H.>.=.R
1indo2s >H*>H&E, &eo =H.>.=.J
1indo2s 'E, &eo =H.>.=.I
1indo2s /9 &erver*1or)&tation, &eo =H.>.=.S
1indo2s ?GGG, &eo =H.>.=.H
6inux, &eo =H.>.=.>
Em cada seo, tambm explicado como habilitar novamente a autenticao
usando senhas criptografadas #se suportado pelo cliente%.
18.-.1.1 ?an Mana,er
+liente /et(,O& para :O&. Ele trabalha somente com senhas em texto plano.
18.-.1.2 Dindo(s /or DorI,rou3s
Este o padro de autenticao do Windows for Workgroups caso no tenha
feito nenhuma alterao especfica #mas desconheo algo !ue faa7o trabalhar
com senhas criptografadas%.
18.-.1.3 Dindo(s - . Dindo(s -A
O Windows 95 at a release C8C, utiliza texto plano como padro para
autenticao #vea !ual a release clicando com o boto direito em <eu
4omputador e 0ropriedades.
18.-.1.4 Dindo(s -B
+opie o seguinte conte<do para um ar!uivo chamado win95-textoplano.reg;
REGEDIT4


[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
"EnablePlainTextPassword"=dword:00000001
8p$s isto, execute no Windows 95 o seguinte comando; regedit win95-
textoplano.reg e reinicie o computador para fazer efeito.
Aara voltar a utilizar criptografia, apenas altere o
valor dword para 00000000 no ar!uivo e executa novamente o regedit.
18.-.1. Dindo(s -8.-8S;
O procedimento id4ntico ao 1indo2s >J(, &eo =H.>.=.R.
18.-.1.$ Dindo(s M;
O procedimento id4ntico ao 1indo2s >J(, &eo =H.>.=.R.
18.-.1.) Dindo(s 5G Ser*er.DorIStation
+opie o seguinte conte<do para um ar!uivo chamado winNT-textoplano.reg;
REGEDIT4


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
"EnablePlainTextPassword"=dword:00000001
8p$s isto, execute no Windows NT o seguinte comando; regedit winNT-
textoplano.reg e reinicie o computador para fazer efeito.
Aara voltar a utilizar criptografia, apenas altere o
valor dword para 00000000 no ar!uivo e execute novamente o regedit.
18.-.1.8 Dindo(s 2222
+opie o seguinte conte<do para um ar!uivo chamado win2000-
textoplano.reg;
REGEDIT4


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStatio
n\Parameters]
"EnablePlainTextPassword"=dword:00000001
8p$s isto, execute no Windows 2000 o seguinte comando; regedit
win2000-textoplano.reg e reinicie o computador para fazer efeito.
Aara voltar a utilizar criptografia, apenas altere o
valor dword para 00000000 no ar!uivo e execute novamente o regedit.
18.-.1.- ?inuA
,nclua*modifi!ue a linha encrypt passwords = no no
ar!uivo smb.conf e reinicie o SAMBA. Aara voltar a utilizar criptografia,
vea 8tivando o suporte a senhas criptografadas, &eo =H.H.
18.12 Ma3ea'ento de usu6rios.,ru3os e' c+ientes
O mapeamento de usu"rios do servidor remoto com a m"!uina local usado
!uando voc4 desea controlar o acesso aos ar!uivos*diret$rios a nvel de
usu"rio. /o Windows isto permite !ue cada ar!uivo*diret$rio tenha o acesso
leitura*gravao somente para os usu"rios definidos e autenticados no
controlador de domnio. /o Linux as permisses de ar!uivos e diret$rios
podem ser definidas para o usu"rio do A:+, garantindo o mesmo nvel de
controle de acesso.
Esta seo explica como configurar o mapeamento de 0,:*5,: entre o
servidor A:+ &8'(8 e seus clientes /et(,O& 1indo2s e 6inux.
18.12.1 Ma3ea'ento de usu6rios.,ru3os do'nio e' Dindo(s
Aara o Windows utilizar os usu"rios remotos do servidor para fazer seu controle
de acesso por nvel de usu"rio, siga os seguintes passos;
1indo2s >3
Entre no 0ainel de 4ontrole*0ropriedades de 1ede e cli!ue na
tab 4ontrole de 7cesso. 'ar!ue a opo 4ontrole de acesso a n(vel de
usu.rio e colo!ue o nome da m"!uina A:+ na caixa de di"logo de
onde os usu"rios*grupos sero obtidos. Moc4 tambm pode colocar o
nome do grupo de trabalho, neste caso a m"!uina far" uma busca pelo
A:+ ou outra m"!uina de onde pode obter os nomes de
usu"rios*grupos.
0BS1 Aara fazer isto, voc4 dever" estar autenticado no domnio.
18.12.2 Ma3ea'ento de usu6rios.,ru3os do'nio e' ?inuA
8 associao de 0,:s de usu"rios de um domnio com usu"rios locais
no Linux feita pelo programa winbind. Ele utiliza o mecanismo
nsswitch para obter outras fontes de dados de usu"rios e os associa nas
ferramentas de gerenciamento de contas existentes no sistema. &iga estes
passos para fazer sua instalao e configurao do Winbind em um
servidor Linux;
,nstale o programa winbind; apt-get install winbind.
'odifi!ue o ar!uivo smb.conf adicionando as seguintes linhas na
seo [global];
winbind separator = +
winbind cache time = 30
winbind uid = 10000-15000
winbind gid = 10000-12000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winbind/%D/%U
template shell = /bin/false
Onde
2inbind separator
&eparador usado para separar o nome dos grupos do nome de domnio.
Este parTmetro somente tem sentido !uando usado em conunto com
um A:+ 1indo2s ou !uando os
m$dulos pam_winbind.so enss_winbind.so esto sendo utilizados.
2inbind cache time
:efine a !uantidade de tempo em segundos !ue um nome*grupo
permanecer" no cache local para no ser feita uma nova consulta no
servidor A:+.
2inbind uid
Especifica o intervalo !ue ser" usado para mapear os nomes de usu"rios
remotos como 0,:s locais. Moc4 precisar" ter certeza !ue nenhum 0,:
nesse intervalo usado no sistema, como pelo 6:8A, /,& ou usu"rios
normais. Aor padro, os ,:& de usu"rios normais na maioria dos
sistemas 6inux, comeam por =GGG. /o exemplo sero usados os 0,:s
de =GGGG a =JGGG para mapeamento e 0,:s dos usu"rios do domnio
para usu"rios locais.
2inbind gid
Especifica o intervalo de 5,:s !ue ser" usado para mapear os nomes de
grupos remotos do domnio como 5,:s locais. +omo no
parTmetro winbind uid, voc4 dever" ter certeza !ue esta faixa de
5,:s no est" sendo usada em seu sistema.
0BS1 8tualmente SAMBA no possui suporte a grupos globais, apenas
para usu"rios globais, desta forma os grupos da m"!uina remota no
sero trazidos para o sistema. 0ma forma de contornar isto, utilizando
o 6:8A ou o /,& no A:+ e nos clientes Linux.
2inbind enum users
Aermite enumerar usu"rios do 2inbind para retornarem dados !uando
solicitados. 8 no ser !ue possua uma instalao parecida em todas as
m"!uinas #como com o uso de 6:8A e /,&% responda C.esC para no
ter problemas.
2inbind enum groups
Aermite enumerar grupos do 2inbind para retornarem dados !uando
solicitados. 8 no ser !ue possua uma instalao parecida em todas as
m"!uinas #como com o uso de 6:8A e /,&% responda C.esC para no
ter problemas.
template homedir
Luando o sistema cliente for um 1indo2s /9 ou baseado, este
diret$rio ser" retornado como diret$rio de usu"rio para o sistema. O
parTmetro V: ser" substitudo pelo nome do domnio e V0 pelo nome
de usu"rio durante a conexo.
template shell
Este ser" o shell enviado para m"!uinas /9 ou baseadas nele como
shell usado para login. O valor usado foi /bin/false pois desabilita os
logons, mas voc4 poder" usar /bin/sh #ou algum outro shell% para
efetuar conexes do comando net ou outras ferramentas /et(E0, ao
servidor.
Keinicie o servidor SAMBA
Edite o ar!uivo /etc/nsswitch.conf alterando a ordem de pes!uisa de
nomes de usu"rios e grupos do sistema local para a seguinte;
passwd: files winbind
group: files winbind
shadow: compat
8gora, inicie o daemon winbind local com o
comando; /etc/init.d/winbind restart.
Entre no domnio com o comando; smbpasswd -j domnio -r
nome_do_PDC -U usuario #vea 6inux, &eo =H.=R.F.> para
aprender como entrar no domnio em caso de d<vidas%.
8gora faa o teste para obter a listagem dos grupos e usu"rios do
domnio do A:+ digitando;
wbinfo -u
wbinfo -g
getent passwd
getent group
+aso isto no acontea, revise suas configuraes e vea os logs
procurando por erros !uando o winbind tenta obter a lista de
usu"rios*grupos do domnio.
8gora voc4 deve ser capaz de criar diret$rios*ar!uivos locais usando os nomes
de usu"rios*grupos do domnio. 6embre7se de reiniciar sempre
o winbind !uando reiniciar o &8'(8 por alguma modificao for feita #ao
mesmo !ue saiba !ue no afeta o winbind%, assim como entrar novamente no
domnio, caso contr"rio o mapeamento deixar" de funcionar.
0BS1 8tualmente, o winbind no oferece suporte a restries por data*hora de
logon para estaes de trabalho. ,sto dever" ser implementado em uma futura
verso
18.11 Co'3arti+"a'ento de i'3resso no ser*idor
SAMBA
Este captulo documenta como configurar o seu servidor samba para permitir
o acesso a compartilhamento de ar!uivos e impresso no sistema.
18.11.1 Con/i,urando o ?inuA co'o u' ser*idor de i'3resso Dindo(s
&er" necess"rio ter o pacote samba instalado e adicionar as seguintes linhas no
seu ar!uivo /etc/samba/smb.conf;
[hp-printer]
path = /tmp
printer name=HP DeskJet 690C
printable = yes
print command = lpr -r -h -P %p %s
valid users = winuser winuser2
create mode = 0700
O compartilhamento acima tornar" disponvel a impressora local ClpC as
m"!uinas 1indo2s com o nome CNA :es)eet I>G+C. 0ma impressora
alternativa pode ser especificada modificando a opo =0 da linha de comando
do lpr. /ote !ue somente os usu"rios C2inuserC e C2inuser?C podero usar
esta impressora. Os ar!uivos de spool #para gerenciar a fila de impresso%
sero gravador em /tmp #path = /tmp% e o compartilhamento [hp-
printer] ser" mostrado como uma impressora #printable = yes%.
8gora ser" necess"rio instalar o driver desta impressora no 1indo2s #NA
I>G+% e escolher impressora instalada via rede e seguir os demais passos de
configurao.
18.12 Contro+e de acesso ao ser*idor SAMBA
Este captulo documenta o controle de acesso ao servidor samba e restries.
18.12.1 5*e+ de acesso de usu6rios conectados ao SAMBA
Luando acessa um compartilhamento, o usu"rio do samba mapeado com o
0,: respectivo de usu"rio do sistema ou o usu"rio guest #especificado pela
opo Cguest accountC% no caso de um acesso p<blico. Luando isto ocorre, um
processo filho do smbd executado sobre o 0,: e 5,: deste usu"rio. ,sto
significa !ue em nenhuma ocasio o SAMBA dar" mais permisses !ue as
necess"rias para o usu"rio #com excesso de !uando usado o
parTmetro admin users, vea +riando uma conta de administrador de
domnio, &eo =H.S.I%.
18.12.2 %estrin,indo o acesso 3or IF.rede
Esta restrio pode ser feita pelos parTmetros allo$ hosts e deny hosts tanto
em servios individuais ou em todo o servidor. Os parTmetros hosts
allo$ e hosts deny so e!uivalentes a estes acima. O allo$ hosts permite o
acesso a m"!uina especificadas como argumento. &o permitidos os seguintes
mtodos para permitir o acesso a uma m"!uina*rede;
192.168.1.1 7 ,A da m"!uina
servidor 7 /ome da m"!uina
192.168.1.0/255.255.255.0 7 ,A com m"scara de rede
192.168.1.0/24 7 ,A com m"scara de rede octal
192.168.1. 7 Aoro de rede sem o host #como
no hosts.allow e hosts.deny.
@nome 7 Aes!uisa por m"!uinas no grupo /,&.
W permitido usar mais de um endereo ,A separando7os por vrgulas ou
espaos. 8 palavra chave 2>420% pode ser usada para fazer excesso de um
ou mais endereos ,As, por exemplo;
hosts allow = 192.168.1. EXCEPT 192.168.1.20
Lue permite o acesso a toda as m"!uinas da faixa de
rede 192.168.1.0/24 exceto para a 192.168.1.20.
O deny hosts possui a mesma sintaxe do allo$ hosts mas blo!ueia o acesso
das m"!uinas especificadas como argumento. Luando o allo$ hosts e deny
hosts so usados untos, as m"!uinas em allo$ hosts tero prioridade
#processa primeiro as diretivas em allo$ hosts e depois em deny hosts%.
0BS1 O endereo de loopbac) #=?S.G.G.=% nunca blo!ueado pelas diretivas
de acesso. Arovavelmente deve ter notado por!ue o endereo de loopbac) no
pode ser blo!ueado e as conse!_4ncias disto para o &8'(8.
&e voc4 est" executando o &8'(8 via inetd, os
ar!uivos hosts.allow e hosts.deny so verificados antes do controle e
acesso allo$ hosts e deny hosts para controle de acesso ao smbd. +aso estiver
usando o &8'(8 viainetd e desea restringir o acesso usando 9+A 1rappers,
vea O mecanismo de controle de acessos tcpd, &eo R.H.F.
0BS1 6embre7se de usar o testparm para verificar a sintaxe do
ar!uivo smb.conf sempre !ue desconfiar de problemas #vea (uscando
problemas na configurao, &eo =H.?.==%.
18.12.2.1 Gestando a restrio de Acesso 3or IF.%edes
0m mtodo interessante e <til para testar se a nossa configurao vai blo!uear
o acesso a servios usando o testparm da seguinte forma;
testparm /etc/samba/smb.conf IP/host
Moc4 precisar" dizer para o testparm !ual o ar!uivo de configurao !ue
est" usando e o endereo ,A*nome de host !ue far" a simulao de acesso.
Este mtodo no falsifica o endereo ,A para testes, apenas usa os valores
emallo$ hosts e deny hosts para checagem. Aor exemplo, para verificar o
acesso vindo do ,A 192.168.1.50;
testparm /etc/samba/smb.conf 192.168.1.50
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[tmp]"
Processing section "[cdrom]"
Loaded services file OK.
Allow connection from /etc/samba/smb.conf (focalinux) to homes
Allow connection from /etc/samba/smb.conf (focalinux) to printers
Allow connection from /etc/samba/smb.conf (focalinux) to tmp
Allow connection from /etc/samba/smb.conf (focalinux) to cdrom
18.12.3 %estrin,indo o acesso 3or inter/ace de rede
Esta restrio de acesso permite !ue faamos o &8'(8 responder re!uisies
somente para a interfaces indicadas. O mtodo de segurana descrito
em Kestringindo o acesso por ,A*rede, &eo =H.=?.? sero analisadas logo
ap$s esta checagem.
Aara restringir o servio &8'(8 a interfaces, primeiro ser" necess"rio ativar
o parTmetro bind interfaces only usando 1, yes ou true #o padro
desativado%. :epois, definir !ue interfaces sero servidas pelo samba com o
parTmetro interfaces. Os seguintes formatos de interfaces so permitidos;
eth0, sl0, plip0, etc 7 0m nome de interface local. W
permitido o uso de * para fazer o &8'(8 monitorar todas as interfaces
!ue iniciam com a!uele nome #por exemplo, eth*%.
192.168.1.1, 192.168.1.2, etc 7 0m endereo ,A de
interface local.
192.168.1.2/24, 192.168.1.2/255.255.255.0 7 0m par
de endereo*m"scara de rede.
'ais de uma interface pode ser usada separando7as com vrgula ou espaos. 8
escolha do uso de nome da interface ou do ,A feita de acordo com a
configurao da m"!uina. Em uma m"!uina :N+A por exemplo,
recomendado o uso do nome da interface. Luando bind interfaces only estiver
ativado, o padro esperar conexes em todas as interfaces !ue permitem
broadcast exceto a loopbac).
Exemplo;
bind interfaces only = 1
interfaces = loopback eth0
Aermite o recebimento de re!uisies de acesso ao SAMBA somente da
interface loopback #desnecess"rio, pois como notou durante a leitura, sempre
permitida a conexo% e eth0.
18.12.4 %estrin,indo o acesso 3or usu6rios
Aermite !ue voc4 controle !uem poder" ou no acessar o compartilhamento da
m"!uina. Este controle feito pelos parTmetros valid users e invalid users.
O invalid users lista de usu"rio !ue 5>0 tero acesso ao compartilhamento.
&e o nome for iniciado por CaC o parTmetro ser" tratado como um nome de
grupo 0/,3 #/etc/group%. O caracter CfC faz ele pes!uisar o nome de grupo
no banco de dados /,&. O caracter CBC permite fazer a busca do grupo
primeiro no banco de dados /,& e caso ele no sea encontrado, no ar!uivo de
grupos do sistema #/etc/group%.
W possvel usar a combinao de caracteres CafC e CfaC para alternar a
ordem de busca enter o /etc/group e o N3S.
Exemplos;
invalid users D unior, marcio, abadusers
/o permite !ue os usu"rios especificados e os usu"rios do
grupo +badusers tenham acesso ao compartilhamento.
invalid users D f\semacesso
(lo!ueia o acesso de todos os usu"rios /,& !ue pertenam ao
grupo semacesso.
invalid users D bruno, henri!ue, aBusers,
(lo!ueia o acesso dos usu"rios bruno, henri!ue e de todos os usu"rios
!ue pertenam ao grupo users. 8 pes!uisa de grupo feita primeiro
no /etc/group e em seguida no /,&.
invalid users D Bsemacesso
(lo!ueia o acesso dos usu"rios !ue pertencem ao grupo CsemacessoC. 8
pes!uisa feita primeiro no /,& e depois no /etc/group #e!uivalente
ao uso de CfaC%.
O valid users possui a mesma sintaxe de funcionamento do invalid
users, mas permite somente o acesso para os usu"rios*grupos listados. +aso
a opo valid users no sea especificada ou a lista estea vazia, o acesso
permitido. &e um mesmo nome de usu"rio estiver na lista valid
users e invalid users, o padro ser mais restritivo, negando o
acesso.
valid users = gleydson, michelle, geo
8 segurana deste mtodo de acesso depende muito da forma de autenticao
dos nomes antes de passar o controle para o &8'(8, pois uma autenticao
fraca pe em risco a segurana da sua m"!uina.
18.12. ;*ite o uso do 3ar@'etro hosts equivJ
Este parTmetro permite !ue m"!uinas tenham acesso sem senha a um servidor.
,sto pode se tornar um [E/OK'E[ buraco na segurana do seu sistema, pois
mesmo usando uma senha inv"lida, a m"!uina poder" ter acesso a todos os
recursos do compartilhamento e no complicado fazer um ata!ue usando
:/& spoofing.
&e realmente desea fazer isto, tenha em mente os dados !ue podero ser
acessados da!uela m"!uina, se realmente no existe nenhuma outra forma de
disponibilizar o acesso de forma !ue mantenha o controle de restries
#usando todos os outros mtodos%, restrina o acesso usando '8+ 8ddress
com o iptables ou o arp #vea Kestries por '8+ 8ddress*,A, &eo =>.S%.
O padro no usar nenhum ar!uivo hosts.equiv.
18.12.$ ;*ite o uso de sen"as e' brancoJ
O parTmetro null passwords usado na seo !global" permitindo !ue
contas de usu"rios sem senha tenham acesso permitido ao servidor. ISG0 K
G0GA?M;5G; I5S;9B%0 e deve ser sempre evitado. +aso voc4 tenha
feito uma bela restrio em sua m"!uina e desea !ue o seu shell script de
c$pia de ar!uivos funcione usando este mtodo, voc4 est" ogando toda a
segurana do seu sistema por ralo abaixo.
/o existe motivo para usar senhas em branco em um controle de acesso por
usu"rio, a no ser !ue precise testar algo realmente tempor"rio e !ue
depurando algo no &8'(8.
18.12.) Criando u' co'3arti+"a'ento 3ara acesso se' sen"a
Em algumas situaes #mesmo em instalaes seguras% preciso tornar um
compartilhamento acessvel publicamente, exemplos disto incluem um
diret$rio !ue contm drivers de impressoras, ar!uivos comuns, um diret$rio
tempor"rio, etc.
Aara configurar um acesso p<blico utilizamos a opo public =
yes ou guest ok = yes #!ue um sinXnimo para o <ltimo comando%. O
0,: utilizado no acesso p<blico especificado pelo parTmetro guest
account, portanto ele dever" ser um usu"rio v"lido do sistema. +aso voc4
!ueira somente definir acesso guest a um compartilhamento, especifi!ue a
opo guest only para o servio, desta forma, mesmo !ue o usu"rio tenha
acesso, ele ser" mapeado para o usu"rio guest.
0ma boa medida de segurana usar o usu"rio nobody pois a maioria das
distribuies de Linux seguras adotam7o como padro como usu"rio !ue no
dono de !uais!uer ar!uivos*diret$rios no sistema, no possui login, senha ou
se!uer um diret$rio home.
Mea um exemplo disponibilizando o compartilhamento [download] para
acesso p<blico com acesso a gravao;
[global]
guest account = nobody
..
..

[download]
path = /downloads
comment = Espao pblico para abrigar downloads de Usurios
guest ok = yes (aqui poder ser tambm "public = yes").
writable = yes
follow symlinks = false
O parTmetro guest account tambm poder" ser especificado no
compartilhamento, isto <til !uando no !uiser !ue o usu"rio !ue acesse o
compartilhamento no sea o mesmo usado na diretiva OglobalQ.
+aso seu servidor somente disponibiliza compartilhamentos para acesso
p<blico, mais recomendado utilizar o nvel security = share pra
diminuir a carga m"!uina, pois o usu"rio guest ser" o primeiro a ser checado
pelas regras de acesso #ao contr"rio do nvel user, onde o acesso guest o
<ltimo checado%.
0BS1 6embre7se !ue o compartilhamento funciona de modo recursivo, ou
sea, todos os ar!uivos e subdiret$rios dentro do diret$rio !ue compartilhou
sero disponibilizados, portanto tenha certeza da importTncia dos dados !ue
existem no diret$rio, verifi!ue se existem lin)s simb$licos !ue apontam para
ele, etc. Kecomendo dar uma olhada r"pida em +onsideraes de segurana
com o uso do parTmetro Cpublic D .esC, &eo =H.=?.=R.
18.12.8 Criando u' co'3arti+"a'ento co' acesso so'ente +eitura
Esta proteo <til !uando no deseamos !ue pessoas alterem o conte<do de
um compartilhamento. ,sto pode ser feito de duas formas; negando o acesso
de gravao para todo o compartilhamento ou permitindo leitura somente para
algumas pessoas. O parTmetro usado para fazer a restrio de acesso somente
leitura o read only = yes ou seu antXnimo writable = no.
8baixo seguem os dois exemplos comentados;
[teste]
comment = Acesso a leitura para todos
path = /tmp
read only = yes
public = yes
/o exemplo acima, o diret$rio /tmp #path 9tmp% foi compartilhado com o
nome teste #!teste"%, de forma p<blica #acesso sem senha 7 public yes%, e
todos podem apenas ler seu conte<do read only yes%.
[teste]
comment = Acesso a gravao para todos com excesses
path = /tmp
read only = no
read list = @users, gleydson
invalid users = root
/este, o mesmo compartilhamento teste #!teste"% foi definido como acesso
leitura*gravao para todos #read only no%, mas os usu"rios do
grupo ?users e o usu"rio gleydson tero sempre acesso leitura #read list
?users@ gleydson%. 8dicionalmente foi colocada uma proteo para !ue o
superusu"rio no tenha acesso a ele #invalid users root%. Esta forma de
restrio explicada melhor em Excesso de acesso na permisso padro de
compartilhamento, &eo =H.=?.=G%.
18.12.- Criando u' co'3arti+"a'ento co' acesso +eitura.,ra*ao
Esta forma de compartilhamento permite a alterao do conte<do do
compartilhamento dos usu"rios !ue possuem as permisses de acesso
apropriadas. Este controle pode ser feito de duas formas; 8cesso total de
gravao para os usu"rios e acesso de gravao apenas para determinados
usu"rios. Este controle feito pela opo read only = no e seu antXnimo
e!uivalente writable = yes. 8baixo dois exemplos;
[teste]
comment = Acesso de gravao para todos.
path = /tmp
writable = yes
public = yes
/o exemplo acima, o diret$rio /tmp #path D *tmp% foi compartilhado com o
nome teste #OtesteQ%, de forma p<blica #acesso sem senha 7 public D .es% e
todos podem ler*gravar dentro dele #2ritable D .es%.
[teste]
comment = Acesso a leitura para todos com excesses
path = /tmp
writable = no
write list = @users, gleydson
/este, o mesmo compartilhamento teste #!teste"% foi definido como acesso
de leitura para todos #$ritable no%, mas os usu"rios do grupo ?users e o
usu"rio gleydson sero os <nicos !ue tero tambm acesso a gravao #$rite
list ?users@ gleydson%. Esta forma de restrio explicada melhor
em Excesso de acesso na permisso padro de compartilhamento, &eo
=H.=?.=G%.
18.12.12 ;Acesso de acesso na 3er'isso 3adro de co'3arti+"a'ento
W possvel alterar o nvel de acesso para determinados usu"rios*grupos em um
compartilhamento, para entender melhor; +aso tenha criado um
compartilhamento somente leitura e !ueira permitir !ue apenas alguns
usu"rios ou grupos tenham acesso a gravao, isto possvel e ser" explicado
nesta seo. Este comportamento controlado por duas opes; read
list e write list. Mea alguns exemplos;
[temporario]
comment = Diretrio temporrio
path = /tmp
writable = yes
read list = gleydson, root
browseable = no
available = yes
/este exemplo, disponibilizamos o diret$rio /tmp #path 9tmp% como
compartilhamento de nome temporario #!temporario"%, seu acesso padro
leitura*gravao para todos #$ritable yes%, exceto para os
usu"rios root egleydson #read list root@ gleydson%. Em adio, tornamos
o compartilhamento invis(vel #vea +riando um compartilhamento invisvel,
&eo =H.=?.=?% no C8mbiente de KedeC do 1indo2s #bro$seable no% e ele
ser" lido e disponibilizado pelo &8'(8 #available yes%.
[temporario]
comment = Diretrio temporrio
path = /tmp
writable = no
write list = gleydson, @operadores
browseable = yes
/este exemplo, disponibilizamos o diret$rio /tmp #path 9tmp% como
compartilhamento de nome temporario #!temporario"%, seu acesso padro
apenas leitura para todos #$ritable no%, exceto para o
usu"rio gleydson e usu"rios do grupo 0nix operadores, !ue tem acesso
a leitura*gravao #$rite list gleydson@ ?operadores%. 9ornamos o
compartilhamento vis(vel no C8mbiente de KedeC do 1indo2s #bro$seable
yes 7 !ue o padro%.
18.12.11 %estrin,indo o IFCL e A:MI5L
W seguro restringir os servios IPC$ e ADMIN$ para acesso somente pelas faixas
de rede de confiana. ,sto pode ser feito atravs da mesma forma !ue a
restrio em outros compartilhamentos. Os efeitos desta restrio sero !ue
somente as redes autorizadas possam obter a lista de m"!uinas, se autenticar
no domnio e realizar tarefas administrativas gerais;
[IPC$]
read only = yes
allow from 192.168.1.0/24

[ADMIN$]
read only = yes
allow from 192.168.1.0/24
O exemplo acima permite !ue os servios IPC$ e ADMIN$ seam acessados
de !ual!uer m"!uina na faixa de rede 192.168.1.0/24. Aara forar a
autenticao para acesso a estes servios;
[IPC$]
invalid users = nobody
valid users = gleydson michelle
read only = yes
allow from 192.168.1.0/24

[ADMIN$]
invalid users = nobody
valid users = gleydson michelle
read only = yes
allow from 192.168.1.0/24
Os exemplos acima so similares ao de antes, mas o acesso a listagem dos
compartilhamentos restringida #invalid users nobody%, pois o
usu"rio nobody #usado para mostrar o compartilhamento% tem o acesso
negado. &omente os usu"rios gleydson e michelle #valid users
gleydson michelle% podem listar seu conte<do.
0BS1 'esmo !ue esteam restritos, os servios IPC$ e ADMIN$ sempre
podero ser acessados de =?S.G.G.=, ou teramos problemas com o
funcionamento do &8'(8. 8ssim no necess"rio colocar =?S.G.G.= na lista
de ,As autorizados.
18.12.12 Criando u' co'3arti+"a'ento in*is*e+
Aara no exibir um compartilhamento da lista de compartilhamentos das
m"!uinas, utilize o parTmetro browseable = no. Aor exemplo;
[teste]
path = /tmp
comment = Diretrio temporrio
read only = yes
browseable = no
/este exemplo, o diret$rio /tmp #path 9tmp% foi compartilhado atravs
de teste #!teste"% com acesso somente leitura #read only yes% e ele no
ser" mostrado na listagem de compartilhamentos do ambiente de rede do
1indo2s #bro$seable no%.
/ote !ue o compartilhamento continua disponvel, porm ele poder" ser
acessado da estao 1indo2s, especificando a ccma!uinaccompartilhamento.
Aara acessar o compartilhamento do exemplo acima;
# Clique em Iniciar/Executar e digite:
\\nome_do_servidor_samba\teste
8o contr"rio das m"!uinas Windows onde necess"rio adicionar um C]C do
nome de compartilhamento para criar um compartilhamento oculto
#como teste$% o &8'(8 cria um compartilhamento rea+'ente oculto, no
aparecendo mesmo na listagem do smbclient.
18.12.13 ;Aecutando co'andos antes e a3s o acesso ao
co'3arti+"a'ento
Este recurso oferece uma infinidade de solues !ue podem resolver desde
problemas de praticidade at segurana usando as
opes preexec e postexec. Aor exemplo, imagine !ue estea
compartilhando R unidades de +:7Kom de um servidor na rede, e desee !ue
estes +:s esteam sempre disponveis mesmo !ue algum operador
engraadinho tenha eetado as gavetas de prop$sito, podemos fazer a seguinte
configurao;
[cdrom]
path = /cdrom
comment = Unidade de CD-ROM 1
read only = yes
preexec = /bin/mount /cdrom
preexec close = yes
postexec = /bin/umount /cdrom
/a configurao acima, o +:7KO' ser" compartilhado
como cdrom #!cdrom"%, somente leitura #red only yes%, !uando o usu"rio
acessar o compartilhamento ele Cfechar"C a gaveta do +: #preexec
9bin9mount 9cdrom% e desmontar" o drive de +: assim !ue o
compartilhamento for fechado #postexec 9bin9umount 9cdrom%.
8dicionalmente, caso o comando mount da opo preexec tenha retornado
um valor diferente de G, a conexo do compartilhamento fechada #preexec
close yes%.
8 0,: do processo do preexec e postexec ser" o mesmo do usu"rio !ue
est" acessando o compartilhamento, por este motivo ele dever" ter permisses
para montar*desmontar o +:7KO' no sistema. +aso precise executar
comandos como usu"rio root, utilize a variante root preexec e root
postexec. 8penas tenha consci4ncia !ue os programas sendo executados
so seguros o bastante para no comprometer o seu sistema.
0sando a mesma tcnica, possvel !ue o sistema lhe envie e7mails alertando
sobre acesso a compartilhamentos !ue em conunto com um debug level ? e
logs configurados independentes por m"!uina, voc4 possa ver o !ue a
m"!uina tentou acessar #e foi negado% e o !ue ela conseguiu acesso.
+omo bom administrador, voc4 poder" criar scripts !ue faam uma checagem
de segurana no compartilhamento e encerre automaticamente a conexo caso
sea necess"rio, montar um Chonne. potC para troans, etc.
+omo deve estar notando, as possibilidades do &8'(8 se extendem alm do
simples compartilhamento de ar!uivos, se integrando com o potencial dos
recursos do sistema 0/,3.
18.12.14 Considera4es de se,urana co' o uso do 3ar@'etro M3ub+ic N
OesM
Este parTmetro permite !ue voc4 acesso um compartilhamento sem fornecer
uma senha, ou sea, !ue o usu"rio no estea autenticado. /UO utilize o
parTmetro Cpublic D .esC #ou um de seus sinXnimos% no
compartilhamento [homes], pois abrir" brechas para !ue possa acessar o
diret$rio home de !ual!uer usu"rio e com acesso a gravao #!ue o padro
adotado pelos administradores para permitir o acesso ao seu diret$rio home
remoto%.
Kecomendo utilizar o parTmetro public = yes somente em
compartilhamentos onde realmente necess"rio, como o OnetlogonQ ou outras
"reas de acesso p<blico onde as permisses do sistema de ar!uivos local
esteam devidamente restritas. Outra medida no utilizar a opo follow
symlinks, !ue poder" lhe causar problemas com usu"rios mal
intencionados !ue tenham acesso shell.
0BS1 9enha em mente todas as consideraes de segurana abordadas neste
captulo, bem como as permisses de acesso ao sistema 0nix e como elas
funcionam. 8 disponibilidade de ar!uivos em uma rede simples, simples
tambm pode ser o acesso indevido a eles caso no saiba o !ue est" fazendo.
18.12.1 Sen"as cri3to,ra/adas ou e' teAto 3uroP
+omo regra geral, prefira sempre utilizar senhas criptografadas. 8!ui alguns
motivos;
8 senha enviada de uma forma !ue dificulta sua captura por pessoas
maliciosas.
O /9 no permite !ue voc4 navegue no ambiente de rede em um
sistema &8'(8 com nvel de acesso por usu"rio autenticando usando
senhas em texto plano.
&er" solicitada sempre a senha para reconexo em cada
compartilhamento da m"!uina.
9odas as verses de 1indo2s /9 R a partir &AF e 1indo2s >J O&K*?
utilizam senhas criptografadas como padro. W possvel faze7lo utilizar
senhas em texto plano modificando chaves no registro das m"!uinas
clientes #vea8tivando o suporte a senhas em texto plano, &eo
=H.> para detalhes%.
8s vantagens da utilizao da autenticao usando texto plano;
8 senha utilizada ser" a mesma do /etc/passwd #servindo para ftp,
login, etc%
O servidor A:+ pode ser usado para logon desde !ue os clientes
esteam usando senhas em texto plano.
Elas no so armazenadas no disco da estao cliente.
Moc4 no ser" perguntado por uma senha durante cada reconexo de
recurso.
8ntes de optar por utilizar um sistema de senhas em texto plano, leve em
considerao estes pontos. &e voc4 " utiliza telnet ou ftp, provavelmente a
utilizao de autenticao usando texto plano no &8'(8 no trar" problemas
mais graves para voc4.
0BS; +aso seu /9 ou verso derivada no navegue no ambiente de rede #s$
aceitando conexes especificando diretamente o
CccservidorccompartilhamentoC% modifi!ue sua configurao do &8'(8 para
autenticar usando senhas criptografadas #vea 8tivando o suporte a senhas
criptografadas, &eo =H.H% para detalhes de como fazer isto.
18.12.1$ Ma3ea'ento de no'es de usu6rios
Este recurso faz a mapeamento #traduo% de nomes de usu"rios usados no
momento do acesso para contas de acesso locais, bastante <til !uando o nome
de usu"rio enviado pela m"!uina no confere com /E/N0'8 conta local do
sistema #um exemplo !uando o login do usu"rio no Windows diferente de
seu 6ogin no Linux%. Outro vantagem de seu uso permitir !ue uma categoria
de usu"rios utilizem um mesmo nvel de acesso no sistema.
&eu formato o seguinte; username map = arquivo.
8s seguintes regras so usadas para construir o ar!uivo de mapeamento de
nomes;
0m ar!uivo de m<ltiplas linhas onde o sinal de CDC separa os dois
parTmetros principais. O ar!uivo processado linha por linha da forma
tradicional, a diferena o !ue o processamento do ar!uivo continua
mesmo !ue uma condio confira. Aara !ue o processamento do resto
do ar!uivo sea interrompido !uando um mapeamento confira, colo!ue
o sinal CbC na frente do nome local.
O parTmetro da es!uerda a conta 0nix local !ue ser" usada para fazer
acesso ao compartilhamento. &omente uma conta 0nix poder" ser
utilizada.
O parTmetro da direita do sinal de CDC pode conter um ou mais nomes
de usu"rios separados por espaos !ue sero mapeados para a conta
0nix local.
O parTmetro CBgrupoC permite !ue usu"rios pertencentes ao grupo
0nix local seam mapeados para a conta de usu"rio do lado es!uerdo.
Outro caracter especial o C[C e indica !ue !ual!uer usu"rio ser"
mapeado.
Moc4 pode utilizar coment"rios na mesma forma !ue no ar!uivo de
configurao smb.conf. 8lguns exemplos;
# Mapeia o usurio "gleydson mazioli" com o usurio local
gleydson
gleydson = gleydson mazioli

# Mapeia o usurio root e adm para o usurio nobody
nobody = root adm

# Mapeia qualquer nome de usurio que pertena ao grupo smb-users
para o usurio
# samba.
samba = @smb-users

# Utiliza todos os exemplos anteriores, se nenhum usurio
conferir, ele ser
# mapeado para o usurio nobody (como o usurio root e adm j so
mapeados
# para "nobody", este exemplo ter o mesmo efeito).
!gleydson = gleydson mazioli
!samba = @smb-users
nobody = *
18.13 Me+"orando a 3er/or'ance do
co'3arti+"a'ento.ser*idor
Esta seo trar" algumas formas de otimizao do servidor &8'(8 !ue
fazem diferena !uando os valores ade!uados so utilizados; 8 primeira a
ativao de um cache de gravao*leitura de ar!uivos. Este cache feito pela
opo write cache size e funciona fazendo o cache dos ar!uivos !ue
sero lidos*gravados. Ele esvaziado assim !ue o ar!uivo for fechado ou
!uando estiver cheio. O valor especificado nesta opo em b.tes e o padro
CGC para no causar impacto em sistemas com pouca mem$ria #ou centenas
de compartilhamentos%. Exemplo;
[publico]
path = /pub
comment = Diretrio de acesso pblico
read only = yes
public = yes
write cache size = 384000
+ompartilha o diret$rio /pub #path 9pub% como compartilhamento de
nome publico #!publico"%, seu acesso ser" feito como somente leitura #read
only yes% e o tamanho do cache de leitura*gravao reservado de FHRYb
#$rite cache siAe BCD---%.
:eixar a opo para seguir lin)s simb$licos ativada #follow symlinks%
garante mais performance de acesso a ar!uivos no compartilhamento. 8
desativao da opo wide links em conunto com o uso de cache nas
chamadas get2d #getwd cache% permite aumentar a segurana e tem um
impacto perceptvel na performance dos dados.
8 desativao da opo global nt smb support tambm melhora a performance
de acesso dos compartilhamentos. Esta uma opo <til para detectar
problemas de negociao de protocolo e por padro, ela ativada.
+aso utiliza um valor de depurao de log muito alto #debug level%, o sistema
ficar" mais lento pois o servidor sincroniza o ar!uivo ap$s cada operao. Em
uso excessivo do servidor de ar!uivos, isso apresenta uma degradao
perceptvel de performance.
8 opo prediction permite !ue o &8'(8 faa uma leitura adiante no
ar!uivo abertos como somente7leitura en!uanto aguarda por pr$ximos
comandos. Esta opo associada com bons valores de $rite cache siAe pode
fazer alguma diferena. /ote !ue o valor de leitura nunca ultrapassa o valor de
Cread sizeC.
8 opo read siAe permite obter um sincronismo fino entre a leitura e
gravao do disco com o envio*recebimento de dados da rede. O valor
dependente da instalao local, levando em considerao a velocidade de
disco rgido, rede, etc. O valor padro =IFHR.
Em casos onde um /-& montado ou at mesmo leitura em discos locais
compartilhada, o parTmetro strict loc&ing definido para yes pode fazer
alguma diferena de performance. /ote !ue nem todos os sistemas ganham
performance com o uso desta opo e no deve ser usada em aplicativos !ue
no re!uisitam o estado do loc) de ar!uivo ao servidor.
+aso voc4 possua aplicativos !ue fazem o loc) corretamente de ar!uivos,
voc4 poder" usar o share modes no, isto significa !ue futuras aberturas de
ar!uivo podem ser feitas em em modo leitura*gravao. +aso utiliza um
aplicativo muito bem programado !ue implementa de forma eficiente de loc),
voc4 poder" desativar esta opo.
O uso de oploc&s yes em compartilhamentos aumenta a performance de acesso
a ar!uivos em at FGV, pois utiliza um c$digo de cache no cliente. 9enha
certeza do !ue est" fazendo antes de sair usando oploc&s em tudo !ue lugar.
8 desativao de &ernel oploc&s necess"ria para !ue isto funcione.
8 opo read ra$ e $rite ra$ devem ter seus valores experimentados para ver
se faz diferena na performance da sua rede, pois diretamente dependente do
tipo de cliente !ue sua rede possui. 8lguns clientes podem ficar mais lentos
em modo de leitura ra2.
O tipo de sistema de ar!uivos adotado na m"!uina e suas opes de
montagem tem um impacto direto na performance do servidor, principalmente
com relao a atualizao de status dos ar!uivos no sistema de ar!uivos #hora
de acesso, data, etc%.
O cache de leitura adiante de abertura de ar!uivos em modo somente leitura
aumenta a performance com o uso do oploc)s nvel ?. Aara isto, auste a
opo level2 oplocks para yes. 8 recomendao deste tipo de oploc)
o mesmo do nvel =.
+omo o &8'(8 faz o transporte /et(E0, via 9+A*,A, austes no soc)et
fazem diferena nos dados !ue trafegam na rede. +omo isso dependente de
rede voc4 precisar" usar tcnicas de leitura*gravao para determinar !uais so
as melhores !ue se encaixam em seu caso. 8 opo soc&et options usada
para fazer tais austes, por exemplo;
socket options = SO_SNDBUF=2048 IPTOS_THROUGHPUT=1
Em especial, a opo TCP_NODELAY apresenta uma perceptvel melhoria de
performance no acesso a ar!uivos locais.
0BS1; /o use espaos entre o sinal de CDC !uando especificar as opes do
parTmetro socket options.
18.14 Con/i,urao de C+ientes 5etB;BI
Este captulo documenta a configurao de m"!uinas clientes /et(E0,,
re!uerimentos de cada configurao e documenta os passos necess"rios para
ter o cliente se comunicando perfeitamente com o seu servidor. &ero
explicadas tanto a configurao de grupo de trabalho como de dom(nio e
como a configurao compatvel entre Linux e Windows, estas explicaes so
perfeitamente v"lidas para configurar clientes !ue acessem
servidores Windows.
18.14.1 Considera4es sobre o Dindo(s /or DorI,rou3s e ?anMana,er
&istemas com implementaes /et(,O& mais antigos, como o Windows for
Workgroups #1indo2s F.==% e o Lan Manager #:O&%, enviam somente a senha
para acesso ao compartilhamento, desta forma, para o acesso ser autorizado
pelo samba, voc4 dever" especificar a diretiva user usuario para !ue a senha
confira com o usu"rio local do sistema. 8 senha enviada tambm em formato
texto plano. Este problema no ocorre no 1indo2s >J e superiores, !ue
enviam o nome de usu"rio !ue efetuou o logon unto com a respectiva senha.
&e a segurana do seu samba depende de senhas criptografadas, ser"
necess"rio utilizar a diretiva "include =
outro_arquivo_de_configurao.%m para definir configuraes
especficas de acesso para estas m"!uinas.
Outro detalhe !ue deve ser lembrado !ue o Windows for Workgroups envia
sempre a senha em '8,g&+068&, ento preciso configurar o &8'(8
para tentar combinaes de mai<sculas*min<sculas usando o
parTmetromangle case e default case na seo global do smb.conf.
18.14.2 Con/i,urando c+ientes e' 9ru3o de Graba+"o
Aara configurar o cliente para fazer parte de um grupo de trabalho,
necess"rio apenas !ue tenha em mos o nome do grupo de
trabalho #2or)group% !ue os clientes faro parte e o nome de uma outra
m"!uina !ue faz parte do mesmo grupo #para testes iniciais%. +om estes dados
em mos, selecione na lista abaixo o nome do cliente !ue desea configurar
para incluir no grupo de trabalho;
1indo2s >3, &eo =H.=R.?.=
1indo2s 3A Nome Edition, &eo =H.=R.?.?
1indo2s 3A Arofessional Edition, &eo =H.=R.?.F
1indo2s 3A &erver Edition, &eo =H.=R.?.R
1indo2s /9 1or)&tation, &eo =H.=R.?.J
1indo2s /9 &erver, &eo =H.=R.?.I
1indo2s ?GGG Arofessional, &eo =H.=R.?.S
1indo2s ?GGG &erver, &eo =H.=R.?.H
6inux, &eo =H.=R.?.>
18.14.2.1 Dindo(s -C
Estas configuraes so v"lidas para clientes 1indo2s >J, 1indo2s
>JO&K*?, 1indo2s >H. +aso utilize o Windows 95 #!ual!uer uma das sries%
aconselh"vel atualizar a stac) 9+A*,A e /et(E0, para corrigir alguns
problemas !ue podem deixar sua m"!uina vulner"vel na verso !ue
acompanha o 1in&oc) do 1indo2s >J.
Aara tornar uma m"!uina parte do grupo de trabalho, siga os seguintes passos;
Entre nas propriedades de rede no Aainel de +ontrole
,nstale o +liente para redes 'icrosoft #caso no estea instalado%.
,nstale o Arotocolo 9+A*,A. Moc4 tambm pode instalar o protocolo
/et(,O&, mas utilizaremos o suporte /et(,O& sobre 9+A*,A !ue o
usado pelo SAMBA alm de ter um melhor desempenho, permitir
integrao com servidores 1,/&, etc.
+li!ue em CArotocolo 9+A*,AC e em Aropriedades. +li!ue na tab
C/et(,O&C e mar!ue a opo C:eseo ativar o /et(,O& atravs do
9+A*,AC. +aso esta caixa estea em cinza, ento est" tudo certo
tambm.
+li!ue na tab C,dentificaoC e colo!ue l" o nome !ue identificar" o
computador #at =J caracteres% e o nome do grupo de trabalho !ue ele
far" parte#por exemplo C2or)groupC, CsuporteC, etc% . /o campo
C:escrio do +omputadorC, colo!ue algo !ue identifi!ue a m"!uina na
rede #por exemplo, C+omputador da "rea de suporteC%.
+li!ue na tab C+ontrole de 8cessoC e mar!ue o C+ontrole de acesso a
nvel de compartilhamentoC #a no ser !ue tenha configurado um
servidor !ue mantenha um controle de nvel de usu"rio na rede para as
m"!uinas fora do domnio%.
+li!ue em OY at reiniciar o computador.
8 m"!uina cliente agora faz parte do grupo de trabalhob 9ente acessar um
outro computador da rede e navegar atravs do ambiente de rede. +aso a lista
de m"!uinas demore em aparecer, tente acessar diretamente pelo nome do
computador, usando o seguinte formato; CcccomputadorC
18.14.2.2 Dindo(s CF Ho'e ;dition
&iga as instrues de 1indo2s 3A Arofessional Edition, &eo =H.=R.?.F.
18.14.2.3 Dindo(s CF Fro/essiona+ ;dition
6ogue como administrador do sistemas local.
Entre no item Sistema dentro do painel de controle. 8 tela propriedades
de sistema ser" aberta.
/o campo 6escri8o do 4omputador, colo!ue algo !ue descreva a
m"!uina #opcional%.
+li!ue na 98( Nome do 4omputador e no boto 7lterar na parte de
baixo da anela.
/o campo nome do computador, colo!ue um nome de no m"ximo =J
caracteres para identificar a m"!uina na rede.
+li!ue em grupo de trabalho e digite o nome do grupo de trabalho na
caixa de di"logo.
+li!ue em OY e aguarde a mensagem confirmando sua entrada no
grupo de trabalho. &er" necess"rio reiniciar a m"!uina.
18.14.2.4 Dindo(s CF Ser*er ;dition
&iga as instrues de 1indo2s 3A Arofessional Edition, &eo =H.=R.?.F.
18.14.2. Dindo(s 5G DorIStation
Mea 1indo2s /9 &erver, &eo =H.=R.F.I.
18.14.2.$ Dindo(s 5G Ser*er
+li!ue no item Rede do painel de controle.
/a tab Servios, confira se os servios Estao de
trabalho, Interface de NetBIOS e Servios TCP/IP
simples esto instalados. +aso no esteam, faa sua instalao
usando o boto Adicionar nesta mesma anela.
/a tab Protocolos, verifi!ue se os
protocolos NetB253 e %40930 esto instalados. +aso no esteam, faa
sua instalao clicando no boto Adicionar nesta mesma anela.
/a tab identificao, cli!ue no boto Alterar
/a anela !ue se abrir", colo!ue o nome do computador no
campo Nome do Computador
+li!ue em Grupo de trabalho e escreva o nome do grupo de
trabalho em frente.
+li!ue em OK at voltar.
Aronto, seu computador agora faz parte do grupo de trabalho.
18.14.2.) Dindo(s 2222 Fro/essiona+
6ogue como administrador do sistemas local.
Entre no item Sistema dentro do painel de controle. 8 tela propriedades
de sistema ser" aberta. +li!ue em C+omputadorC e ento no boto
CAropriedadesC.
/o campo nome do computador, colo!ue um nome de no m"ximo =J
caracteres para identificar a m"!uina na rede.
+li!ue em grupo de trabalho e digite o nome do grupo de trabalho na
caixa de di"logo.
+li!ue em OY e aguarde a mensagem confirmando sua entrada no
grupo de trabalho. &er" necess"rio reiniciar a m"!uina.
18.14.2.8 Dindo(s 2222 Ser*er
6ogue como administrador do sistemas local.
Entre no item Sistema dentro do painel de controle. 8 tela propriedades
de sistema ser" aberta. +li!ue em C:escrio de redeC e ento no boto
CAropriedadesC.
/o campo nome do computador, colo!ue um nome de no m"ximo =J
caracteres para identificar a m"!uina na rede.
+li!ue em grupo de trabalho e digite o nome do grupo de trabalho na
caixa de di"logo.
+li!ue em OY e aguarde a mensagem confirmando sua entrada no
grupo de trabalho. &er" necess"rio reiniciar a m"!uina.
18.14.2.- ?inuA
Os aplicativos smbclient e smbmount so usados para navegao e montagem
dos discos e impressoras compartilhadas em m"!uinas Linux. &e voc4 procura
programas de navegao gr"ficos, como o 7mbiente de 1ede doWindows ou
mais poderosos, vea Arogramas de navegao gr"ficos, &eo =H.=R.J. +omo
complemento, tambm explicado o programa nmblookup para resoluo de
endereos /et(,O& em ,A e vice7versa e a forma !ue as funes de m"!uinas
so definidas em uma rede /et(E0,.
18.14.2.-.1 s'b'ount
O smbmount uma ferramenta !ue permite a montagem de um disco
compartilhado por uma m"!uina /et(E0, remota como uma partio. Mea
alguns exemplos;
smbmount **servidor*discoc *mnt*discoc
'onta o compartilhamento de 99servidor9discoc em /mnt/discoc usando
o nome de usu"rio atual. &er" pedido uma senha para acessar o
conte<do do compartilhamento, caso ele sea p<blico, voc4 pode digitar
!ual!uer senha ou simplesmente pressionar enter.
smbmount **servidor*discoc *mnt*discoc 7/
&emelhante ao comando cima, com a diferena !ue o parTmetro -N no
pergunta por uma senha. ,sto ideal para acessar compartilhamentos
anXnimos.
smbmount **servidor*discoc *mnt*discoc 7o
usernameDgle.dson,2or)groupDteste
&emelhante aos anteriores, mas acessa o compartilhamento
usando gleydson como nome de usu"rio e teste como grupo de trabalho.
Este mtodo ideal para redes !ue tem o nvel de acesso por usu"rio ou
para acessar recursos compartilhados em um domnio.
18.14.2.-.2 s'bc+ient
O smbclient uma ferramenta de navegao em servidores &8'(8. 8o
invs dela montar o compartilhamento como um disco local, voc4 poder"
navegar na estrutura do servidor de forma semelhante a um cliente -9A e
executar comandos como ls, get, put para fazer a transfer4ncia de ar!uivos
entre a m"!uina remota e a m"!uina local. 9ambm atravs dele !ue feita a
interface com impressoras compartilhadas remotamente. Mea exemplos do
uso dosmbclient;
smbclient 76 samba=
6ista todos os compartilhamentos existentes #-L% no servidor samba1.
smbclient **samba=*discoc
8cessa o conte<do do compartilhamento discoc no
servidor samba1.
smbclient **samba=*discoc 7/
,d4ntico ao acima, mas no utiliza senha #ideal para compartilhamentos
com acesso anXnimo%.
smbclient **samba=*discoc 7, =>?.=IH.=.?
&e conecta ao compartilhamento usando o endereo ,A 192.168.1.2 ao
invs da resoluo de nomes.
smbclient **samba=*discoc 70 gle.dson 71 teste
&e conecta ao compartilhamento como usu"rio gleydson usando o
grupo de trabalho teste.
smbclient **samba=*discoc 70 gle.dsonVteste= 71 teste
,d4ntico ao acima, mas tambm envia a senha teste1 para fazer a
conexo diretamente.
+aso receba a mensagem NT Status Access Denied, isto !uer dizer
!ue no possui direitos de acesso ade!uados para listas ou acessar os
compartilhamentos da m"!uina. /esse caso, utilize as opes -U
usurio e -W grupo/domnio para fazer acesso com uma conta v"lida
de usu"rio existente na m"!uina.
0BS1/ote !ue a ordem das opes faz diferena no smbmount.
18.14.2.-.3 n'b+ooIu3
Esta uma ferramenta usada para procurar nomes de cliente usando o
endereo ,A, procurar um ,A usando o nome e listar as caractersticas de cada
cliente. Mea alguns exemplos;
nmbloo)up 78 =?S.G.G.=
6ista o nome e as opes usadas pelo servidor 127.0.0.1
nmbloo)up servidor
Kesolve o endereo ,A da m"!uina servidor.
8 listagem exibida pela procura de ,A do nmblookup possui c$digos
hexadecimais e cada um deles possui um significado especial no protocolo
/et(E0,. &egue a explicao de cada um;
,dentificao da m"!uina
+O'A098:OKZGGED O servio /et(E0, est" sendo
executado na m"!uina.
+O'A098:OKZGFE D /ome genrico da m"!uina #nome
/et(,O&%.
+O'A098:OKZ?GE D &ervio 6an'anager est" sendo
executado na m"!uina.
,dentificao de grupos*domnio
5K0AOP9K8(86NOZ=dE 7 Z5K0AOE D /avegador 6ocal de
:omnio*5rupo.
5K0AOP9K8(86NOZ=bE D /avegador Arincipal de :omnio.
5K0AOP9K8(86NOZGFE 7 Z5K0AOE D /ome 5enrico
registrado por todos os membros do grupo de trabalho.
5K0AOP9K8(86NOZ=cE 7 Z5K0AOE D +ontroladores de
:omnio * &ervidores de logon na rede.
5K0AOP9K8(86NOZ=eE 7 Z5K0AOE D Kesolvedores de
/omes ,nternet #WINS%.
Estes c$digos podem lhe ser <teis para localizar problemas mais complicados
!ue possam ocorrer durante a configurao de um servidor.
18.14.3 Con/i,urando c+ientes e' :o'nio
Aara configurar !ual!uer um dos cliente abaixo para fazer parte de um
domnio de rede, necess"rio apenas !ue tenha em mos os seguintes dados;
/ome do controlador de domnio A:+
/ome do domnio
/ome de usu"rio e senha !ue foram cadastrados no servidor.
8cesso administrador no &EKM,:OK A:+ #&8'(8, /9, etc%.
+ria uma conta de m"!uina no domnio #no caso da m"!uina ser um
1indo2s /9, 1indo2s 3A, 1indo2s ?) ou 6inux%. Mea +ontas de
m"!uinas de domnio, &eo =H.S.J para maiores detalhes.
+omo o 1indo2s F.==, 1indo2s >J, 1indo2s >H, 1indo2s 'E no
possuem uma conta de m"!uina, eles nunca sero um membro real de um
domnio, podendo sofrer um name spoofing e terem a identidade roubada.
'esmo assim, eles tero pleno acesso aos recursos do domnio e uma
configurao mais f"cil !ue os demais clientes. +om estes dados em mos,
selecione na lista abaixo o nome do cliente !ue desea integrar no grupo de
trabalho;
1indo2s >3, &eo =H.=R.?.=
1indo2s 3A Nome Edition, &eo =H.=R.?.?
1indo2s 3A Arofessional Edition, &eo =H.=R.?.F
1indo2s 3A &erver Edition, &eo =H.=R.?.R
1indo2s /9 1or)&tation, &eo =H.=R.?.J
1indo2s /9 &erver, &eo =H.=R.?.I
1indo2s ?GGG Arofessional, &eo =H.=R.?.S
1indo2s ?GGG &erver, &eo =H.=R.?.H
6inux, &eo =H.=R.?.>
0BS1 O 1indo2s ?GGG apresenta algumas dificuldades em entrar na rede do
&8'(8 ?.?, sendo necess"rio o uso do &8'(8 9/5 ?.?.x para aceitar o
logon de estaes 1indo2s ?GGG.
18.14.3.1 Dindo(s -C
Estas configuraes so v"lidas para clientes 1indo2s >J, 1indo2s
>JO&K*?, 1indo2s >H. +aso utilize o Windows 95 #!ual!uer uma das sries%
aconselh"vel atualizar a stac) 9+A*,A e /et(E0, para corrigir alguns
problemas !ue podem deixar sua m"!uina vulner"vel na verso !ue
acompanha o 1in&oc) do 1indo2s >J.
Aara tornar uma m"!uina parte do domnio, siga os seguintes passos;
Entre nas propriedades de rede no Aainel de +ontrole
,nstale o +liente para redes 'icrosoft #caso no estea instalado%.
,nstale o Arotocolo 9+A*,A. Moc4 tambm pode instalar o protocolo
/et(,O&, mas utilizaremos o suporte /et(,O& sobre 9+A*,A !ue o
usado pelo SAMBA alm de ter um melhor desempenho, permitir
integrao com servidores 1,/&, etc.
+li!ue em C+liente para redes 'icrosoftC, mar!ue a opo CEfetuar
logon no domnio do 1indo2s /9C. +olo!ue o nome do domnio !ue
ir" configurar o cliente para fazer parte na caixa C:omnio do 1indo2s
/9C #por exemplo, CsuporteC%. /a parte de baixo da caixa de di"logo,
voc4 poder" escolher como ser" o mtodo para restaurar as conexes de
rede. ,nicialmente, recomendo !ue utilize a CEfetuar logon e restaurar
as conexes de redeC !ue mais <til para depurar problemas #possveis
erros sero mostrados logo !ue fizer o logon no domnio%.
8de!ue esta configurao as suas necessidades !uando estiver
funcionando ;%
+li!ue em CArotocolo 9+A*,AC e em Aropriedades. +li!ue na tab
C/et(,O&C e mar!ue a opo C:eseo ativar o /et(,O& atravs do
9+A*,AC. +aso esta caixa estea em cinza, ento est" tudo certo
tambm.
+li!ue na tab C,dentificaoC e colo!ue l" o nome !ue identificar" o
computador #at =J caracteres%.
:igite o nome de um grupo de trabalho !ue a m"!uina far" parte no
campo C5rupo de 9rabalhoC #por exemplo C2or)groupC, CsuporteC,
etc%. Este campo somente ser" usado caso o logon no domnio /9 no
sea feito com sucesso. /o campo C:escrio do +omputadorC, colo!ue
algo !ue identifi!ue a m"!uina na rede #por exemplo, C+omputador da
"rea de suporteC%.
+li!ue na tab C+ontrole de 8cessoC e mar!ue o C+ontrole de acesso a
nvel de usu"rio e especifi!ue o nome da m"!uina !ue serve a lista de
usu"rios, !ue normalmente a mesma do A:+.
+li!ue em OY at reiniciar o computador.
Luando for mostrada a tela pedindo o nome*senha, preencha com os dados da
conta de usu"rio !ue criou no servidor. /o campo domnio, colo!ue o domnio
!ue esta conta de usu"rio pertence e tecle ZEnterE. Moc4 ver" o script de logon
em ao #caso estea configurado% e a m"!uina cliente agora faz parte do
domniob 9ente acessar um outro computador da rede e navegar atravs do
ambiente de rede. +aso a lista de m"!uinas demore em aparecer, tente acessar
diretamente pelo nome do computador, usando o seguinte formato;
CcccomputadorC
18.14.3.2 Dindo(s CF Ho'e ;dition
/o possvel fazer o Windows XP Home Edition ser parte de um domnio, por
causa de limitaes desta verso.
18.14.3.3 Dindo(s CF Fro/essiona+ ;dition
Arimeiro, siga todos os passos para ingressar a m"!uina em um grupo
de trabalho como documentado em 1indo2s 3A Arofessional Edition,
&eo =H.=R.?.F.
8tualize o registro para permitir a entrada no domnio;
+opie o seguinte conte<do para o ar!uivo WinXP-Dom.reg;
REGEDIT4


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\pa
rameters
"RequireSignOrSeal"=dword:00000000
"SignSecureChannel"=dword:00000000
Execute o comando regedit WinXP-Dom.reg no cliente 3A.
Entre nos tens #em se!_encia% Aainel de controle*-erramentas
8dministrativas* Aoltica de segurana local*polticas locais e depois
em Copes de seguranaC. /a anela de opes de segurana, desative
as opes CEncriptar digitalmente ou assinar um canal seguro
#sempre%C, C:esativar modificaes de senha na conta de m"!uinaC e
CKe!uer chave de seo forte #1indo2s ?GGG ou superior%.C
Keinicie a m"!uina.
8p$s reiniciar a m"!uina, volte na tela de alterao de identificao de
m"!uina na rede.
+li!ue com o mouse em C:omnioC e digite o nome do domnio na
caixa de di"logo.
/a tela seguinte, ser" lhe pedido o nome de usu"rio e senha com
poderes administrativos !ue podem inserir*remover m"!uinas do
domnio.
+li!ue em OY e aguarde a mensagem confirmando sua entrada no
domnio. &er" necess"rio reiniciar a m"!uina ap$s concluir este passo.
18.14.3.4 Dindo(s CF Ser*er ;dition
&iga os procedimentos documentados em 1indo2s 3A Arofessional Edition,
&eo =H.=R.F.F
18.14.3. Dindo(s 5G DorIStation
Mea os passos em 1indo2s /9 &erver, &eo =H.=R.F.I.
18.14.3.$ Dindo(s 5G Ser*er
+li!ue no item Rede do painel de controle.
/a tab Servios, confira se os servios Estao de
trabalho, Interface de NetBIOS e Servios TCP/IP
simples esto instalados. +aso no esteam, faa sua instalao
usando o boto Adicionar nesta mesma anela.
/a tab Protocolos, verifi!ue se os
protocolos NetB253 e %40930 esto instalados. +aso no esteam, faa
sua instalao clicando no boto Adicionar nesta mesma anela.
/a tab identificao, cli!ue no boto Alterar
/a anela !ue se abrir", colo!ue o nome do computador no
campo Nome do Computador
+li!ue em Dominio e escreva o nome do domnio !ue desea entrar.
Aara criar uma conta de m.Euina no domnio, cli!ue em criar uma
conta de computador no domnio e colo!ue na parte de
baixo o nome do usu"rio sua senha. O usu"rio dever" ter poderes para
adicionar m"!uinas no domnio. +aso a conta de m"!uina no sea
criada, o 1indo2s /9 ser" como um 1indo2s >J*>H na rede, sem a
segurana !ue seu nome /et(,O& no sea usado por outros
#vea +ontas de m"!uinas de domnio, &eo =H.S.J%.
+li!ue em OY at voltar.
Aronto, seu computador agora faz parte do domnio.
18.14.3.) Dindo(s 2222 Fro/essiona+
&iga os passos descritos em 1indo2s ?GGG &erver, &eo =H.=R.F.H.
18.14.3.8 Dindo(s 2222 Ser*er
Arimeiro, siga todos os passos para ingressar a m"!uina em um grupo
de trabalho como documentado em 1indo2s ?GGG &erver, &eo
=H.=R.?.H.
8p$s reiniciar a m"!uina, volte na tela de alterao de identificao de
m"!uina na rede.
+li!ue com o mouse em C:omnioC e digite o nome do domnio na
caixa de di"logo.
/a tela seguinte, ser" lhe pedido o nome de usu"rio e senha com
poderes administrativos !ue podem inserir*remover m"!uinas do
domnio.
+li!ue em OY e aguarde a mensagem confirmando sua entrada no
domnio. &er" necess"rio reiniciar a m"!uina ap$s concluir este passo.
+aso no consiga trocar a senha do 1indo2s ?GGG no servidor A:+, desative
a opo unix password sync.
18.14.3.- ?inuA
Entre no sistema como usu"rio root.
,nstale o SAMBA caso no estea ainda instalado.
Edite o ar!uivo de configurao do samba /etc/samba/smb.conf, ser"
necess"rio modificar as seguintes linhas na seo !global";
[global]
workgroup = nome_domnio
security = domain
password server = nome_pdc nome_bdc
encrypt passwords = true
Onde;
o workgroup 7 /ome do domnio !ue desea fazer parte.
o security 7 /vel de segurana. /esta configurao, utilize
CdomainC.
o password server 7 /ome da m"!uina A:+, (:+. 9ambm
poder" ser usado *, assim o SAMBA tentar" descobrir o servidor
A:+ e (:+ automaticamente, da mesma forma usada
pelo Windows.
o encrypt passwords 7 :iz se as senhas sero encriptadas ou
no. &empre utilize senhas criptografadas para colocar uma
m"!uina em um domnio.
Keinicie o servidor SAMBA ap$s estas modificaes.
Execute o comando; smbpasswd -j domnio -r PDC/BDC -U
usuario_admin. Onde;
o domnio 7 :omnio !ue desea fazer o logon
o PDC/BDC 7 /ome da m"!uina A:+*(:+ do domnio. Em
alguns casos, pode ser omitido.
o usuario_admin 7 0su"rio com poderes administrativos para
ingressara a m"!uina no domnio.
&e tudo der certo, ap$s executar este comando, voc4 ver" a mensagem;
Joined domain "domnio".
&e sua configurao no funcionou, revise com ateno todos os tens acima.
Merifi!ue se a conta de m"!uina foi criada no servidor e se o SAMBA na
m"!uina cliente foi reiniciado. :e tambm uma olhada em Erros conhecidos
durante o logon do cliente, &eo =H.=R.R.
0BS1O &8'(8 envia primeiramente um usu"rio*senha falso para verificar se
o servidor reeita o acesso antes de enviar o par de nome*senha corretos. Aor
este motivo, seu usu"rio pode ser blo!ueado ap$s um determinado n<mero de
tentativas em alguns servidores mais restritivos. Aara acessar os recursos
compartilhados, vea 6inux, &eo =H.=R.?.>. /ote !ue no obrigat$rio
realizar as configuraes acima para acessar os recursos de uma m"!uina em
domnio, basta apenas !ue autenti!ue com seu nome de usu"rio*senha no
domnio e !ue ela sea autorizada pelo A:+.
18.14.4 ;rros con"ecidos durante o +o,on do c+iente
Esta seo contm os erros mais comuns e a forma de correo da maioria dos
problemas !ue ocorrem !uando um cliente &8'(8 tenta entrar em domnio.
error creating domain user:
NT_STATUS_ACCESS_DENIED 7 8 conta de m"!uina no domnio
no foi criada. Mea +ontas de m"!uinas de domnio, &eo =H.S.J para
mais detalhes.
NT_STATUS_NO_TRUST_SAM_ACCOUNT 7 /o existe conta de
m"!uina no Windows NT para autenticar uma m"!uina no domnio. Esta
mensagem mostrada !uando a m"!uina &8'(8 cliente de um
domnio /9.
error setting trust account password:
NT_STATUS_ACCESS_DENIED 7 8 senha para criao de conta na
m"!uina est" incorreta ou a conta utilizada no tem permisses para
ingressar uma m"!uina no domnio #vea+riando uma conta de
administrador de domnio, &eo =H.S.I%. +aso estea usando um
cliente &8'(8, verifi!ue se o parTmetro encrypt
passwords est" ativado.
A senha informada no est correta ou o acesso
ao seu servidor de logon foi negado 7 Merifi!ue
primeiro os logs de acessos do sistema. +aso o &8'(8 estea sendo
executado via inetd, verifi!ue se a configurao padro restritiva e se
o acesso est" sendo negado pelos ar!uivos do tcp
2rappers hosts.allow e hosts.deny.
no existem servidores de logon no domnio 7
Merifi!ue se o parTmetro domain logons = yes foi usado para
permitir o logon em domnio.
18.14. Fro,ra'as de na*e,ao ,r6/icos
O smbclient, nmblookup e smbmount so ferramentas extremamente poderosas
auxiliando bastante o administrador na tarefa de configurao de sua rede e
resolver problemas. Aara o uso no dia a dia ou !uando no necess"ria a
operao via console, voc4 pode utilizar uma das alternativas abaixo !ue so
front7ends a estas ferramentas e facilitam o trabalho de navegao na rede.
18.14..1 +innei,"bor"ood
+liente &8'(8 baseado em 59Y, muito leve e possibilita a navegao entre
os grupos m"!uinas em forma de "rvore. Ele tambm permite a montagem de
compartilhamentos remotos. +aso precise de recursos mais complexos e
autenticao, recomendo o 9)&mb, &eo =H.=R.J.?.
18.14..2 GIS'b
+liente &8'(8 baseado em 9+6*9Y. &eu ponto forte a navegao nos
recursos da m"!uina ao invs da rede completa, possibilitando autenticao
em domnio*grupo de trabalho, montagem de recursos, etc.
18.14.$ C+iente de con/i,urao ,r6/icos
&o ferramentas !ue permitem a configurao do samba usando a interface
gr"fica. ,sto facilita bastante o processo, principalmente se estiver em d<vidas
em algumas configuraes, mas como todo bom administrador 0/,3 sabe,
isto no substitui o conhecimento sobre o funcionamento de cada opo e
austes e organizao feita diretamente no ar!uivo de configurao.
18.14.$.1 ,nosa'ba
-erramenta de configurao gr"fica usando o 5/O'E. +om ele possvel
definir configuraes localmente. Ele ocupa pouco espao em disco, e se voc4
gosta de 59Y, este o recomendado.
8s opes do &8'(8 so divididas em categorias facilitando sua localizao
e uso.
18.14.$.2 s(at
-erramenta de administrao via 2eb do samba. Este um daemon !ue opera
na porta >G= da m"!uina onde o servidor samba foi instalado. 8 configurao
feita atravs de !ual!uer navegador
acessandohttp://ip_do_servidor:901 e logando7se como usu"rio
root #o <nico com poderes para escrever no ar!uivo de configurao%.
Esta ferramenta vem evoluindo bastante ao decorrer dos meses e a
recomendada para a configurao do servidor &8'(8 remotamente. &eu
modo de operao divide7se em b.sico e avanado. /o modo bsico, voc4
ter" disponvel as opes mais comuns e necess"rias para compartilhar
recursos na rede. O modo avanado apresenta praticamente todos os
parTmetros aceitos pelo servidor samba #restries, controle de acesso,
otimizaes, etc.%.
18.1 ;Ae'3+os de con/i,urao do ser*idor SAMBA
Os exemplos existentes nesta seo cobrem diferentes tipos de configurao
do servidor, tanto em modo de compartilhamento com acesso p<blico ou um
domnio restrito de rede. 9odos os exemplos esto bem comentados e
explicativos, apenas pegue o !ue se en!uadre mais em sua situao para uso
pr$prio e adaptaes.
18.1.1 9ru3o de Graba+"o co' acesso 3Qb+ico
Este exemplo pode ser usado de modelo para construir uma configurao
baseada no controle de acesso usando o nvel de segurana share e !uando
possui compartilhamentos de acesso p<blico. Esta configurao indicada
!uando necessita de compatibilidade com soft2ares /et(,O& antigos.
# Arquivo de configurao do SAMBA criado por
# Gleydson Mazioli da Silva <gleydson@debian.org>
# para o guia Foca GNU/Linux Avanado - Captulo SAMBA
# Este script pode ser copiado e distribudo livremente de
# acordo com os termos da GPL. Ele no tem a inteno de
# atender uma determinada finalidade, sendo usado apenas
# para fins didticos, portanto fica a inteira responsabilidade
# do usurio sua utilizao.

[global]
# nome da mquina na rede
netbios name = teste
# nome do grupo de trabalho que a mquina pertencer
workgroup = focalinux
# nvel de segurana share permite que clientes antigos
mantenham a compatibilidade
# enviando somente a senha para acesso ao recurso, determinando
o nome de usurio
# de outras formas
security = share
# O recurso de senhas criptografadas no funciona quando usamos
o nvel share
# de segurana. O motivo disto porque automaticamente
assumido que voc
# est selecionando este nvel por manter compatibilidade com
sistemas antigos
# ou para disponibilizar compartilhamentos pblicos, onde
encrypt passwords = false
# Conta que ser mapeada para o usurio guest
guest account = nobody
# Como todos os compartilhamentos desta configurao so de
acesso pblico
# coloquei este parmetro na seo [global], assim esta opo
afetar todos
# os compartilhamentos.
guest ok = 1
# Conjunto de caracteres utilizados para acessar os
compartilhamentos. O padro
# para o Brasil e pases de lngua latina o ISO 8859-1
character set = ISO8859-1


# Compartilha o diretrio /tmp (path = /tmp) com o nome
"temporario" ([temporario]),
# adicionada a descrio "Diretrio temporrio" com acesso
leitura/gravao
# (read only = no) e exibido na janela de navegao da rede
(browseable = yes).
[temporario]
path = /tmp
comment = Diretrio temporrio
read only = no
browseable = yes

# Compartilha o diretrio /pub (path = /pub) com o nome "publico"
([publico]).
# A descrio "Diretrio de acesso pblico" associada ao
compartilhamento
# com acesso somente leitura (read only = yes) e exibido na
janela de navegao
# da rede (browseable = yes).
[publico]
path =/pub
comment = Diretrio de acesso pblico
read only = yes
browseable = yes

# Compartilha todas as impressoras encontradas no /etc/printcap
do sistema
# Uma descrio melhor do tipo especial de compartilhamento
"[printers]"
# explicado no inicio do guia Foca Linux
[printers]
comment = All Printers
path = /tmp
create mask = 0700
printable = Yes
browseable = No
18.1.2 9ru3o de Graba+"o co' acesso 3or usu6rio
O exemplo abaixo descreve uma configurao a nvel de segurana por
usu"rio onde existem compartilhamentos !ue re!uerem login e usu"rios
especficos, e restries de ,As e interface onde o servidor opera. Esta
configurao utiliza senhas em texto claro para acesso dos usu"rios, mas pode
ser facilmente modificada para suportar senhas criptografadas.
# Arquivo de configurao do SAMBA criado por
# Gleydson Mazioli da Silva >gleydson@debian.org>
# para o guia Foca GNU/Linux Avanado - Captulo SAMBA
# Este script pode ser copiado e distribudo livremente de
# acordo com os termos da GPL. Ele no tem a inteno de
# atender uma determinada finalidade, sendo usado apenas
# para fins didticos, portanto fica a inteira responsabilidade
# do usurio sua utilizao.

[global]
# nome da mquina na rede
netbios name = teste
# nome do grupo de trabalho que a mquina pertencer
workgroup = focalinux
# nvel de segurana user somente aceita usurios autenticados
aps o envio
# de login/senha
security = user
# utilizada senhas em texto claro nesta configurao
encrypt passwords = false
# Conta que ser mapeada para o usurio guest
guest account = nobody
# Permite restringir quais interfaces o SAMBA responder
bind interfaces only = yes
# Faz o samba s responder requisies vindo de eth0
interfaces = eth0
# Supondo que nossa interface eth0 receba conexes roteadas de
diversas
# outras redes, permite somente as conexes vindas da rede
192.168.1.0/24
hosts allow = 192.168.1.0/24
# A mquina 192.168.1.57 possui gateway para acesso interno,
como medida
# de segurana, bloqueamos o acesso desta mquina.
hosts deny = 192.168.1.57/32

# Conjunto de caracteres utilizados para acessar os
compartilhamentos. O padro
# para o Brasil e pases de lngua latina o ISO 8859-1
character set = ISO8859-1

# As restries do PAM tero efeito sobre os usurios e recursos
usados do SAMBA
obey pam restriction = yes

# Mapeia o diretrio home do usurio autenticado. Este
compartilhamento especial
# descrito em mais detalhes no inicio do captulo sobre o SAMBA
no Foca Linux.
[homes]
comment = Diretrio do Usurio
create mask = 0700
directory mask = 0700
browseable = No

# Compartilha o diretrio win (path = /win) com o nome "win"
([win]).
# A descrio associada ao compartilhamento ser "Disco do
Windows",
# o nome de volume precisa ser especificado pois usamos programas
# que a proteo anti cpia o serial. Ainda fazemos uma
proteo
# onde qualquer usurio existente no grupo @adm automaticamente
# rejeitado e o usurio "baduser" somente possui permisso de
leitura
# (read list = baduser).
#
[win]
path = /win
comment = Disco do Windows
volume = 3CF434C
invalid users = @adm
browseable = yes
read list = baduser

# Compartilha o diretrio /pub (path = /pub) com o nome "publico"
([publico]).
# A descrio "Diretrio de acesso pblico" associada ao
compartilhamento
# com acesso somente leitura (read only = yes) e exibido na
janela de navegao
# da rede (browseable = yes). O parmetro public = yes permite
que este
# compartilhamento seja acessado usando o usurio "nobody" sem o
fornecimento
# de senha.
[publico]
path =/pub
comment = Diretrio de acesso pblico
read only = yes
browseable = yes
public = yes
18.1.3 :o'nio
# Arquivo de configurao do SAMBA criado por
# Gleydson Mazioli da Silva <gleydson@debian.org>
# para o guia Foca GNU/Linux Avanado - Captulo SAMBA
# Este script pode ser copiado e distribudo livremente de
# acordo com os termos da GPL. Ele no tem a inteno de
# atender uma determinada finalidade, sendo usado apenas
# para fins didticos, portanto fica a inteira responsabilidade
# do usurio sua utilizao.

[global]
# nome da mquina na rede
netbios name = teste
# nome do grupo de trabalho que a mquina pertencer
workgroup = focalinux
# String que ser mostrada junto com a descrio do servidor
server string = servidor PDC principal de testes
# nvel de segurana user somente aceita usurios autenticados
aps o envio
# de login/senha
security = user
# Utilizamos senhas criptografadas nesta configurao
encrypt passwords = true
smb passwd file = /etc/samba/smbpasswd
# Conta que ser mapeada para o usurio guest
guest account = nobody
# Permite restringir quais interfaces o SAMBA responder
bind interfaces only = yes
# Faz o samba s responder requisies vindo de eth0
interfaces = eth0

# como estamos planejando ter um grande nmero de usurios na
rede, dividimos
# os arquivos de log do servidor por mquina.
log file = /var/log/samba/samba-%m-%I.log
# O tamanho de CADA arquivo de log criado dever ser 1MB
(1024Kb).
max log size = 1000
# Escolhemos um nvel de OS com uma boa folga para vencer as
eleies de
# controlador de domnio local
os level = 80
# Dizemos que queremos ser o Domain Master Browse (o padro
auto)
domain master = yes
# Damos algumas vantagens para o servidor ganhar a eleio caso
# acontea desempate por critrios
preferred master = yes
# Tambm queremos ser o local master browser para nosso segmento
de rede
local master = yes
# Este servidor suportar logon de usurios
domain logons = yes
# Usurios que possuem poderes para adicionar/remover mquinas
no domnio
# (tero seu nvel de acesso igual a root)
admin users = gleydson
# Unidade que ser mapeada para o usurio local durante o logon
(apenas
# sistemas baseados no NT).
logon drive = m:
# Nome do script que ser executado pelas mquinas clientes
logon script = logon.bat

# Ao que ser tomada durante o recebimento de mensagens do
# Winpopup.
message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm
%s' &

# Conjunto de caracteres utilizados para acessar os
compartilhamentos. O padro
# para o Brasil e pases de lngua latina o ISO 8859-1
character set = ISO8859-1

# As restries do PAM tero efeito sobre os usurios e recursos
usados do SAMBA
obey pam restriction = yes

# Mapeia o diretrio home do usurio autenticado. Este
compartilhamento especial
# descrito em mais detalhes no inicio do captulo sobre o SAMBA
no Foca Linux.
[homes]
comment = Diretrio do Usurio
create mask = 0700
directory mask = 0700
browseable = No

# Compartilha o diretrio win (path = /win) com o nome "win"
([win]).
# A descrio associada ao compartilhamento ser "Disco do
Windows",
# o nome de volume precisa ser especificado pois usamos programas
# que a proteo anti cpia o serial. Ainda fazemos uma
proteo
# onde qualquer usurio existente no grupo @adm automaticamente
# rejeitado e o usurio "baduser" somente possui permisso de
leitura
# (read list = baduser).
#
[win]
path = /win
comment = Disco do Windows
volume = 3CF434C
invalid users = @adm
browseable = yes
read list = baduser

# Compartilha o diretrio /pub (path = /pub) com o nome "publico"
([publico]).
# A descrio "Diretrio de acesso pblico" associada ao
compartilhamento
# com acesso somente leitura (read only = yes) e exibido na
janela de navegao
# da rede (browseable = yes). O parmetro public = yes permite
que este
# compartilhamento seja acessado usando o usurio "nobody" sem o
fornecimento
# de senha.
[publico]
path =/pub
comment = Diretrio de acesso pblico
read only = yes
browseable = yes
public = yes

# Compartilhamento especial utilizado para o logon de mquinas na
rede
[netlogon]
path=/pub/samba/netlogon/logon.bat
read only = yes