Este captulo descreve a configurao, utilizao, aplicao, integrao de
redes Windows e Linux atravs do SAMBA. Entre as explicaes de cada opo, so passados detalhes importantes relacionados com seu funcionamento, performance e impactos de segurana sobre o servidor como um todo. 18.1 Introduo O SAMBA um servidor e conunto de ferramentas !ue permite !ue m"!uinas Linux e Windows se comuni!uem entre si, compartilhando servios #ar!uivos, diret$rio, impresso% atravs do protocolo &'( #&erver 'essage (loc)%*+,-& #+ommon ,nternet -ile &.stem%, e!uivalentes a implementao /et(E0, no 1indo2s. O SAMBA uma das solues em ambiente 0/,3 capaz de interligar redes heterog4nea. /a l$gica da rede 1indo2s o NetBEUI o protocolo e o NETBIOS define a forma com !ue os dados so transportados. /o correto dizer !ue o NetBIOS o protocolo, como muitos fazem. +om o SAMBA, possvel construir domnios completos, fazer controle de acesso a nvel de usu"rio, compartilhamento, montar um servidor 1,/&, servidor de domnio, impresso, etc. /a maioria dos casos o controle de acesso e exibio de diret$rios no samba mais minucioso e personaliz"vel !ue no pr$prio 1indo2s. O guia -oca 5/0*6inux documentar" como instalar e ter as m"!uinas 1indo2s de diferentes verses #Win3.11, Win95, Win95OSR/2, Win98, XP, WinNT, W2K% acessando e comunicando7se entre si em uma rede /et(E0,. 18.1.2 Histria 8ndre2 9ridgell 7 :esenvolveu o samba por!ue precisava montar um volume 0nix em sua m"!uina :O&. ,nicialmente ele utilizava o /-&, mas um aplicativo precisava de suporte /et(,O&. 8ndre2 ento utilizou um mtodo muito avanado usado por administradores para detectar problemas; escreveu um sniffer de pacotes !ue atendesse aos re!uerimentos para ter uma <nica funo; analisar e auxilia7lo a interpretar todo o tr"fego /et(,O& da rede. Ele escreveu o primeiro c$digo !ue fez o servidor 0nix aparecer como um servidor de ar!uivos 1indo2s para sua m"!uina :O& !ue foi publicado mais ou menos em meados de =>>? !uando tambm comeou a receber patches. &atisfeito com o funcionamento de seu trabalho, deixou seu trabalho de lado por !uase ? anos. 0m dia, ele resolveu testar a m"!uina 1indo2s de sua esposa com sua m"!uina 6inux, e ficou maravilhado com o funcionamento do programa !ue criou e veio a descobrir !ue o protocolo era documentado e resolveu levar este trabalho a fundo melhorando e implementando novas funes. O &8'(8 atualmente um servidor fundamental para a migrao de pe!uenos grupos de trabalho @ grandes domnios com clientes mixtos. /enhum servidor de rede /et(E0, conhecido proporciona tanta flexibilidade de acesso a clientes como o &8'(8 para compartilhamento de ar!uivos*impresso em rede. 8s funes de segurana !ue foram adicionadas ao &8'(8 hoe garantem um controle mais rigoroso !ue a pr$pria implementao usada no 1indo2s /9, incluindo o servios de diret$rios, mapeamento entre ,:s de usu"rios 1indo2s com 6inux, A:+, perfis m$veis e uma coisa !ue inclusive apresenta problemas no 1indo2s; compatibilidade total entre as diferentes implementaes de verses do 1indo2s. &ua configurao pode receber austes finos pelo administrador nos so!uetes 9+A de transmisso, recepo, cache por compartilhamento, configuraes fsicas !ue afetam a performance de rede. &eu c$digo vem sendo melhorado constantemente por hac)ers, obtendo excelente performance com hard2ares mais obsoletos. O guia tem por obetivo abordar estes temas e permitir !ue voc4 configure seu sistema com uma performance batendo a mesma alcanada em um servidor /9 dedicado. 18.1.3 Contribuindo Aara contribuir com o desenvolvimento do samba, vea os detalhes na p"gina; http;**us=.samba.org*samba*devel* +aso encontre um bug no programa, ele poder" ser relatado se inscrevendo na lista de discusso samba7technical7re!uestBlists.samba.org. 8p$s responder a mensagem de confirmao, envie um relato detalhado do problema encontrado no programa. 18.1.4 Caractersticas &egue abaixo algumas funcionalidades importantes de aplicaes do samba e seu conunto de ferramentas; +ompartilhamento de ar!uivos entre m"!uinas Windows e Linux ou de m"!uinas Linux #sendo o servidor &8'(8% com outro &O !ue tenha um cliente /et(E0, #'acintosh, O&*?, 6an'anager, etc%. 'ontar um servidor de compartilhamento de impresso no Linux !ue receber" a impresso de outras m"!uinas Windows da rede. +ontrole de acesso aos recursos compartilhados no servidor atravs de diversos mtodos #compartilhamento, usu"rio, domnio, servidor%. +ontrole de acesso leitura*gravao por compartilhamento. +ontrole de acesso de leitura*gravao por usu"rio autenticado. Aossibilidade de definir contas de C+onvidadosC, !ue podem se conectar sem fornecer senha. Aossibilidade de uso do banco de dados de senha do sistema #/etc/passwd%, autenticao usando o ar!uivo de dados criptografados do samba, 6:8A, A8', etc. +ontrole de cache e opes de tunning por compartilhamento. Aermite ocultar o conte<do de determinados diret$rios !ue no !uer !ue seam exibidos ao usu"rio de forma f"cil. Aossui configurao bastante flexvel com relao ao mapeamento de nomes :O& DE 0/,3 e vice versa, p"gina de c$digo, acentuao, etc. Aermite o uso de aliases na rede para identificar uma m"!uina com outro nome e simular uma rede /et(,O& virtual. O samba possibilita auste fino nas configuraes de transmisso e recepo dos pacotes 9+A*,A, como forma de garantir a melhor performance possvel de acordo com suas instalaes. Aermite o uso do gerenciador de mensagem do 6inux #Linpopup% para a troca de mensagens com estaes Windows via NetBios. +om a flexibilidade do samba possvel at redirecionar a mensagem recebida via e7mail ou pager. Aossui suporte completo a servidor 1,/& #tambm chamado de NBNS 7 NetBios Name Service% de rede. 8 configurao bastante f"cil. -az auditoria tanto dos acessos a pes!uisa de nomes na rede como acesso a compartilhamentos. Entre os detalhes salvos esto a data de acesso, ,A de origem, etc. &uporte completo a controlador de domnio 1indo2s #A:+%. &uporte !uase completo a bac)up do controlador de domnio #(:+%. 8t a verso ?.? do samba, o suporte a (:+ parcial. Este c$digo provavelmente estar" est"vel at a verso F.G. Aermite montar unidades mapeadas de sistemas Windows ou outros servidores Linux como um diret$rio no Linux. Aermite a configurao de recursos simples atravs de programas de configurao gr"ficos, tanto via sistema, como via 2eb. Aermite executar comandos no acesso ao compartilhamento ou !uando o acesso ao compartilhamento finalizado. +om um pouco de conhecimento e habilidade de administrao de sistemas Linux, possvel criar ambientes de auditoria e monitorao at monitorao de acesso a compartilhamento em tempo real. Entre outras possibilidades. 18.1. !ic"a t#cnica Aacote samba Outros utilit"rios importantes para a operao do clientes samba. smbclient 7 -erramenta para navegao e gerenciamento de ar!uivos, diret$rios e impressoras compartilhados por servidores Windows ou samba. smbfs 7 Aacote !ue possui ferramentas para o mapeamento de ar!uivos e diret$rios compartilhados por servidores Windows ou samba em um diret$rio local. winbind 7 :aemon !ue resolve nomes de usu"rios e grupo atravs de um servidor /9*&8'(8 e mapeia os 0,:s*5,:s deste servidor como usu"rios locais. 18.1.$ %e&ueri'entos de Hard(are Arocessador FHI ou superior, =J '( de espao em disco #no levando em conta os logs gerados e espao para ar!uivos de usu"rios, aplicativos, etc.%, H '( de mem$ria K8'. 18.1.) Ar&ui*os de +o, criados O daemon nmbd salva seus logs em *var*log*daemon.log #dependendo da diretiva de configurao syslog do ar!uivo smb.conf% e em /var/log/samba/log.nmbd. Os detalhes de acesso a compartilhamento so gravados no ar!uivo/var/log/samba/log.smbd #!ue pode ser modificado de acordo com a diretiva log file no smb.conf, 6og de acessos*servios, &eo =H.?.H.J%. 18.1.8 Insta+ao :igite apt-get install samba smbclient smbfs para instalar o conunto de aplicativos samba. O pacote samba o servidor samba e os pacotes smbclient e smbfs fazem parte dos aplicativos cliente. +aso desee apenas mapear compartilhamentos remotos na m"!uina 6inux, instale somente os ? <ltimos pacotes. 18.1.- Iniciando o ser*idor.reiniciando.recarre,ando a con/i,urao O servidor samba pode ser executado tanto via inetd como daemon; inetd /o modo inetd, o servidor de nomes nmbd ser" carregado assim !ue for feita a primeira re!uisio de pes!uisa e ficar" residente na mem$ria. /o caso de acesso a um compartilhamento, o smbd ser" carregado e ler" a configurao em smb.conf a cada acesso do cliente a um compartilhamento. Luando o samba opera via inetd, ele no usa o controle de acesso dos ar!uivos hosts.allow e hosts.deny. Mea Kestringindo o acesso por ,A*rede, &eo =H.=?.? e Kestringindo o acesso por interface de rede, &eo =H.=?.F para detalhes de como fazer o controle de acesso. Aara reiniciar o samba digite killall -HUP nmbd. /o necess"rio reiniciar o servio smbd, conforme foi explicado acima. daemon Luando opera no modo daemon, ambos os daemons nmbd e smbd so carregados. /o caso de um acesso a compartilhamento, criado um processo filho do smbd !ue finalizado assim !ue o compartilhamento no for mais usado. Aara iniciar o samba em modo daemon digite; /etc/init.d/samba start, para interromper o samba; /etc/init.d/samba stop e para reiniciar; /etc/init.d/samba restart. &e desear mudar do modo daemon para inetd ou vice versa, edite o ar!uivo /etc/default/samba e modifi!ue o valor da linha RUN_MODE= para daemons ou inetd. 0ma forma de fazer isso automaticamente executando odpkg-reconfigure samba. 0BS1 +omo praticamente no existe diferena entre os modos de operao inetd e daemon para o SAMBA, aconselh"vel !ue execute sempre !ue possvel via inetd, pois isto garantir" uma disponibilidade maior do servio caso algo acontea com um dos processos. 18.1.12 034es de +in"a de co'ando Opes de linha de comando usadas pelo nmbd; 7N Oar!uivoPlmhostsQ Luando especificado, o servidor samba far" a procura de nomes primeiro neste ar!uivo e depois usando a rede. 7s Oar!uivoPcfgQ Especifica uma nova localizao para o ar!uivo de configurao do samba. Aor padro o /etc/samba/smb.conf usado. 7d OnumQ Especifica o nvel de depurao do nmbd, !ue podem ir de G a =G. O valor padro G. 7l Odiret$rioQ Especifica a localizao do diret$rio onde o nmbd gravar" o ar!uivo de log log.nmbd. O valor padro /var/log/samba 7n Onome/et(,O&Q Aermite utilizar o nome /et(,O& especificado a invs do especificado no ar!uivo smb.conf para identificar o computador na rede. 18.2 Conceitos ,erais 3ara a con/i,urao do SAMBA Este captulo documenta como configurar o seu servidor SAMBA permitindo o acesso a compartilhamento de ar!uivos e impresso no sistema. 18.2.1 5o'e de '6&uina 7no'e 5etBios8 9oda a m"!uina em uma rede /et(E0, identificada por um nome, este nome deve ser <nico na rede e permite !ue outras m"!uinas acessem os recursos disponibilizados ou !ue seam enviadas mensagens para a m"!uina. Este nome composto de =I caracteres, sendo =J !ue identificam a m"!uina e o <ltimo o tipo de servio !ue ela disponibiliza. O tipo de servio associado com o nome da m"!uina e registrado em servidores de nomes confirme a configurao da m"!uina #voc4 ver" isto mais adiante%. O nome de m"!uina especificado nas diretivas netbios name e netbios aliases #vea /omes e grupos de trabalho, &eo =H.?.H.=% para detalhes. 18.2.2 9ru3o de traba+"o O grupo de trabalho organiza a estrutura de m"!uinas da rede em forma de "rvore, facilitando sua pes!uisa e localizao. 9omemos como exemplo uma empresa grande com os departamentos comunicao, redes, web, rh, as m"!uinas !ue pertencem ao grupo de redes sero agrupadas no programa de navegao; redes gleydson tecnico marcelo henrique michelle
rh mrpaoduro
web web1 web2 web3
comunicacao comunic1 comunic2 comunic3 8 segurana no acesso a ar!uivos e diret$rios na configurao de grupo de trabalho controlada pela pr$pria m"!uina, normalmente usando segurana a nvel de compartilhamento. Esta segurana funciona definindo um usu"rio*senha para acessar cada compartilhamento !ue a m"!uina possui. O Lan Manager, Windows for Workgroups, Windows 95, Windows 98, XP Home Edition usam este nvel de acesso por padro. &e desea configurar uma rede usando o nvel de grupo de trabalho, vea +onfigurao em Grupo de Trabalho , &eo =H.R para detalhes passo a passo e exemplos pr"ticos. Os programas para navegao na rede /et(,O& so mostrados em smbclient, &eo =H.=R.?.>.?, nmbloo)up, &eo =H.=R.?.>.F e Arogramas de navegao gr"ficos, &eo =H.=R.J. 18.2.3 :o'nio O funcionamento semelhante ao grupo de trabalho, com a diferena !ue a segurana controlada pela m"!uina central #A:+% usando diretivas de acesso e grupos. O A:+ #Arimar. :omain +ontroller% dever" ter todas as contas de acesso !ue sero utilizadas pelo usu"rio para acessar os recursos existentes em outras m"!uinas, script de logon !ue poder" ser executado em cada m"!uina para fazer austes, sincronismo, manuteno ou !ual!uer outra tarefa programada pelo administrador do sistema. Estas caractersticas para configurao de m"!uinas em domnio so documentadas passo a passo em 0ma breve introduo a um :omnio de rede, &eo =H.S.=. 18.2.4 Co'3arti+"a'ento 0m compartilhamento um recurso da m"!uina local !ue disponibilizado para acesso via rede, !ue poder" ser mapeada #vea 'apeamento, &eo =H.?.J% por outra m"!uina. O compartilhamento pode ser um diret$rio, ar!uivo, impressora. 8lm de permitir o acesso do usu"rio, o compartilhamento pode ser protegido por senha, e ter controle de acesso de leitura*gravao, monitorao de acessos, diret$rios ocultos, autenticao via A:+ #domnio% e outras formas para restringir e garantir segurana na disponibilizao dos dados #vea +ontrole de acesso ao servidor &8'(8, &eo =H.=? para aprender os mtodos de como fazer isto%. 0m compartilhamento no &8'(8 pode ser acessvel publicamente #sem senha% ou estar rigidamente protegido tendo !ue passar por diversas barreiras para chegar ao seu conte<do, como senhas, endereo de origem, interfaces, usu"rio autorizados, permisses de visualizao, etc. O guia Foca Linux abordar" estes assuntos com detalhes e explicar" didaticamente como tornar seguro seu servidor samba e garantir um minucioso controle de acesso a seus compartilhamentos. 18.2. Ma3ea'ento 'apear significa pegar um diret$rio*ar!uivo*impressora compartilhado por alguma m"!uina da rede para ser acessada pela m"!uina local. Aara mapear algum recurso de rede, necess"rio !ue ele sea compartilhado na outra m"!uina #vea +ompartilhamento, &eo =H.?.R%. Aor exemplo, o diret$rio /usr compartilhado com o nome usr, pode ser mapeado por uma m"!uina Windows como a unidade F:, ou mapeado por uma m"!uina Linux no diret$rio/mnt/samba. O programa respons"vel por mapear unidades compartilhadas no Linux o smbmount e smbclient #vea 6inux, &eo =H.=R.?.>%. 18.2.$ 5a*e,ao na %ede e contro+e de do'nio Esta funo controlada pelo nmbd !ue fica ativo o tempo todo disponibilizando os recursos da m"!uina na rede, participando de eleies /et(,O& #/veis de sistema para eleio de rede, &eo =H.?.=?%, fazer logon de m"!uinas no domnio #0ma breve introduo a um :omnio de rede, &eo =H.S.=%, etc. 8 funo de navegao na rede feita utilizando o compartilhamento IPC$. Este compartilhamento possui acesso p<blico somente leitura e utiliza o usu"rio CguestC para disponibilizao de seus. +omo deve ter percebido, necess"rio especificar esta ,: de usu"rio atravs do parTmetro guest account #:escrio de parTmetros usados em compartilhamento, &eo =H.F.=%, ou a navegao de recursos no sistema #ou na rede, dependendo da configurao do &8'(8% no funcionar". 0BS1 8 funo de navegao #bro2sing% poder" no funcionar corretamente caso a m"!uina no consiga resolver nomes /et(,O& para endereos ,A. 18.2.) Ar&ui*o de con/i,urao do sa'ba 9oda a configurao relacionada com nomes, grupo de trabalho, tipo de servidor, log, compartilhamento de ar!uivos e impresso do samba colocada no ar!uivo de configurao /etc/samba/smb.conf. Este ar!uivo dividido emsees e parmetros. 0ma seo no ar!uivo de configurao do samba #smb.conf% definido por um nome entre CO QC. 8s sees tem o obetivo de organizar os parTmetros pra !ue tenham efeito somente em algumas configuraes de compartilhamento do servidor #exceto os da seo [global] !ue no especificam compartilhamentos, mas suas diretivas podem ser v"lidas para todas os compartilhamentos do ar!uivo de configurao%. 8lguns nomes de sees foram reservados para configuraes especficas do samba, eles so os seguintes; [global] :efine configuraes !ue afetam o servidor samba como um todo, fazendo efeito em todos os compartilhamentos existentes na m"!uina. Aor exemplo, o grupo de trabalho, nome do servidor, p"gina de c$digo, restries de acesso por nome, etc. Mea &eo [global] , &eo =H.?.H. [homes] Especifica opes de acesso a diret$rios homes de usu"rios. O diret$rio home disponibilizado somente para seu dono, ap$s se autenticar no sistema. Mea &eo [homes] , &eo =H.?.>. [printers] :efine opes gerais para controle das impressoras do sistema. Este compartilhamento mapeia os nomes de todas as impressoras encontradas no /etc/printcap. +onfiguraes especiais podem ser feitas separadamente. Mea &eo [printers] , &eo =H.?.=G. [profile] :efine um perfil !uando o servidor samba usado como A:+ de domnio. Mea +onfigurando perfis de usu"rios, &eo =H.S.H. Lual!uer outro nome de OseoQ no ar!uivo smb.conf !ue no seam as acima, so tratadas como um compartilhamento ou impressora. 0m parmetro definido no formato nome valor. Aara um exemplo pr"tico, vea um exemplo de ar!uivo smb.conf em Exemplos de configurao do servidor &8'(8, &eo =H.=J. /a configurao de booleanos, a seguinte sintaxe pode ser usada; 0 ou 1 yes ou no true ou false 8ssim, as seguintes configuraes so e!uivalentes master browse = 0 master browse = no master browse = false 9odos significam C/UO ser o navegador principal de domnioC. 8 escolha fica a gosto do administrador. :urante a configurao, voc4 notar" o poder da flexibilidade oferecida pelo samba na configurao de um servidor &'( ;7% 6inhas iniciadas por # ou ; so tratadas como coment"rio. Luebras de linha pode ser especificadas com uma \ no final da linha. 18.2.8 Seo [global] Os parTmetros especificados nesta seo tem efeito em todo o servidor samba incluindo os compartilhamentos. +aso o parTmetro sea novamente especificado para o compartilhamento, o valor !ue valer" o do compartilhamento. Aor exemplo, se guest user = nobody for usado na seo !global" e o guest user = foca for usado no compartilhamento [focalinux], o usu"rio !ue far" acesso p<blico a todos os compartilhamentos do servidor ser" onobody, exceto para o compartilhamento [focalinux], !ue ser" feito pelo usu"rio foca. Mea +ompartilhamento de ar!uivos e diret$rios, &eo =H.F para obter uma lista e descrio dos principais parTmetros de compartilhamentos existentes. 0ma lista completa pode ser obtida na p"gina de manual do smb.conf. ,rei descrever alguns parTmetros utilizados nesta seo, organizado de forma did"tica e simplificada. 18.2.8.1 5o'es e ,ru3os de traba+"o netbios name D Onome do servidorQ Especifica o nome /et(,O& prim"rio do servidor samba. +aso no sea austado, ele usar" o hostname de sua m"!uina como valor padro. Ex.; netbios name = focasamba. 2or)group D Ogrupo de trabalho*domnioQ :iz !ual o nome do grupo de trabalho*domnio !ue a m"!uina samba pertencer". Ex.; workgroup = focalinux. netbios aliases D Onomes alternativos ao sistemaQ Aermite o uso de nomes alternativos ao servidor, separados por espaos. Ex.; teste1 teste2. server string D OidentificaoQ ,dentificao enviada do servidor samba para o ambiente de rede. 8 string padro Samba %v #Vv substituda pela verso do samba, para maiores detalhes, vea Mari"veis de substituio, &eo =H.?.=F%. Ex; server string = Servidor Samba verso %v. name resolve order D OordemQ :efine a ordem de pes!uisa para a resoluo de nomes no samba. 8 ordem padro ; lmhosts host wins bcast, !ue a melhor para resoluo r"pida e !ue tente gerar menos tr"fego broadcast possvel. Mea Kesoluo de nomes de m"!uinas no samba, &eo =H.J para uma explicao mais detalhada. 18.2.8.2 Caracteres e 36,ina de cdi,o 0ma das partes essenciais ap$s colocar o SAMBA em funcionamento, configurar a p"gina de c$digo para !ue os caracteres seam gravados e exibidos corretamente no cliente. 8 primeira coisa !ue precisa verificar se seu )ernel possui o suporte a p"gina de c$digo local. +aso no tenha, baixe o fonte do )ernel e siga os seguintes passos na configurao; :entro da opo C-ile &.stemsC, C/et2or) -ile &.stemsC defina como C:efault Kemote /6& OptionC a isoHHJ>7=. Esta opo permite ao smbmount montar os volumes locais usando os caracteres corretos. Entre na opo C-ile &.stemsC, C/ative 6anguage &upportC. /a opo C:efault /6& OptionC colo!ue CisoHHJ>7=C. 8tive tambm o suporte as p"ginas de c$digo RFS, HJG e HIG e tambm ao conunto de caracteres isoHHJ>7= e 09-H. /ote !ue esta ordem pode variar dependendo da verso do seu )ernel, basta !ue as entenda para fazer as modificaes apropriadas. character set D OconuntoPcaracteresQ &eleciona o conunto de caracteres dos ar!uivos exibidos pelo servidor samba. Aara os idiomas de lngua latina, sempre utilize isoHHJ>7=. Ex.; character set = iso8859-1. client code page D OpaginaPdePcodigoQ &eleciona a p"gina de c$digo do servidor samba para tratar os caracteres. Aara os idiomas de lngua latina, sempre utilize HJG. Ex.; client code page = 850. preserve case D &eleciona se ar!uivos com nomes extensos criados sero criados com os caracteres em mai<sculas*min<sculas definidos pelo cliente #no% ou se ser" usado o valor de default case #caso sea especificado yes%. short preserve case D &eleciona se os ar!uivos com nomes curtos #formato H.F% sero criados com os caracteres mixtos enviados pelo cliente #no% ou se ser" usando o valor de default case #caso sea especificado yes%. default case D Olo2er*upperQ :efine se os ar!uivos criados tero seus nomes todos em min<sculas #lo2er% ou mai<sculas #upper%. valid chars D OcaracteresQ :efine caracteres v"lidos nos nomes de ar!uivos; valid chars =: : :I : : : : : : : : :O. Este parTmetro :;<;%= ser sempre especificado depois do client code page, pois caso contr"rio, eles sero substitudos por estes. 18.2.8.3 %estri4es de acesso.'a3ea'ento de usu6rios guest account = [conta] :efine a conta local de usu"rio !ue ser" mapeada !uando um usu"rio se conectar sem senha #usu"rio guest%. Mea mais detalhes em :escrio de parTmetros usados em compartilhamento, &eo =H.F.=. invalid users :efine uma lista de usu"rios !ue no tero acesso aos recursos do servidor ou compartilhamento. W seguro restringir o acesso samba a usu"rios com grande poder no sistema #como o root%. Mea mais detalhes em Kestringindo o acesso por usu"rios, &eo =H.=?.R. valid users &emelhante a opo invalid users mas permite !ue somente os usu"rios especificados tenham acesso ao sistema. Mea mais detalhes em Kestringindo o acesso por usu"rios, &eo =H.=?.R. default service = nome +aso o servio !ue o usu"rio desea se conectar no for encontrado no servidor, o &8'(8 mapear" o servio especificado nesta diretiva como alternativa. 8 vari"vel CV&C e o caracter CPC podem ser interessantes em algumas alternativas de configurao. 8 opo default um sinXnimo para esta opo. +aso utilize esta opo, crie o compartilhamento em modo somente leitura e com acesso p<blico, caso contr"rio #dependendo do planeamento de parties e segurana do sistema de ar!uivos% a m"!uina poder" ser derrubada sem dificuldades. username map = [arquivo] Especifica um ar!uivo !ue faz o mapeamento entre nomes fornecidos por clientes e nomes de contas 0nix locais. Mea 'apeamento de nomes de usu"rios, &eo =H.=?.=I para mais detalhes de como configurar este recurso. obe. pam restrictions D .es ,ndica se as restries do usu"rio nos m$dulos A8' tero efeito tambm no &8'(8. 18.2.8.4 5*eis de autenticao #esta seo contm algumas explicaes !ue dependem do resto do conte<do do guia, caso no entenda de imediato a fundo as explicaes, recomendo !ue a leia novamente mais tarde%. :efine o nvel de segurana do servidor. Os seguintes valores so v"lidos; share 7 0sada principalmente !uando apenas a senha enviada por compartilhamento acessado para o servidor, caso muito tpico em sistemas Lan Manager e Windows for Workgroups. 'esmo assim o samba tenta mapear para um 0,: de usu"rio local do sistema usando os seguintes mtodos #retirado da p"gina de manual do samba%; &e o parTmetro guest only usado no compartilhamento unto com o guest ok, o acesso imediatamente permitido, sem verificar inclusive a senha. +aso um nome de usu"rio sea enviado unto com a senha, ele utilizado para mapear o 0,: e aplicar as permisses deste usu"rio #como acontece no nvel de segurana user%. &e ele usou um nome para fazer o logon no Windows este nome ser" usado como usu"rio local do &8'(8. +aso ele sea diferente, voc4 dever" usar o mapeamento de nomes para associar o nome remoto do nome local #vea 'apeamento de nomes de usu"rios, &eo =H.=?.=I% O nome do servio tentado como nome de usu"rio. O nome da m"!uina /et(ios tentada como nome de usu"rio Os usu"rios especificados na opo user do compartilhamentos so utilizados #vea :escrio de parTmetros usados em compartilhamento, &eo =H.F.=%. +aso nenhum destes mtodos acima for satisfeito, o acesso /E58:O. Noe em dia, o uso do nvel de acesso share raramente usado, por!ue todos os sistemas a partir do Windows 95 e acima enviam o nome de usu"rio ao acessar um compartilhamento #caindo na segunda checagem do nvel share%, sendo e!uivalente a usar o nvel user. Entretanto, o nvel de segurana share recomendado para servidores onde 9O:O o conte<do deve ter acesso p<blico #sea leitura ou gravao% e o parTmetro guest shares tambm funciona nativamente. 8s senhas criptografadas #encrypt passwords = 1% 5>0 funcionaro no nvel share, lembre7se deste detalhe. user 7 Este o padro. O usu"rio precisa ter uma conta de usu"rio no Linux para acessar seus compartilhamentos. 8 mesma conta de usu"rio*senha dever" ser usada no Windows para acessar seus recursos ou realizado um mapeamento de nomes de usu"rios #vea 'apeamento de nomes de usu"rios, &eo =H.=?.=I%. Este o padro do &8'(8. /o nvel de acesso user o usu"rio precisa ser autenticado de !ual!uer forma, inclusive se for usado o parTmetro guest only ou user. Os seguintes passos so usados para autorizar uma conexo usando o nvel user #retirado da documentao do &8'(8%; o W tentada a validao usando o nome*senha passados pelo cliente. &e tudo estiver OY, a conexo permitida. o +aso " tenha se autenticado anteriormente para acessar o recurso e forneceu a senha correta, o acesso permitido. o O nome /et(,O& da m"!uina do cliente e !ual!uer nome de usu"rio !ue foi usado novamente tentado unto com a senha para tentar permitir o acesso ao recurso compartilhado. o +aso o cliente tenha validado o nome*senha com o servidor e o cliente enviou novamente o to)en de validao, este nome de usu"rio usado. o W tentada a checagem com o parTmetro user no compartilhamento #vea :escrio de parTmetros usados em compartilhamento, &eo =H.F.=. o W verificado se o servio p<blico, ento a conexo feita usando o usu"rio guest account e ignorando a senha #vea +riando um compartilhamento para acesso sem senha, &eo =H.=?.S%. domain 7 /este nvel, o acesso s$ ser" permitido !uando a m"!uina for adicionada ao domnio com o smbpasswd #6inux, &eo =H.=R.F.>%. /este nvel de acesso, a conta de usu"rio ser" validada em um servidor A:+ #controlador de domnio% e o acesso aos recursos das m"!uinas !ue fazem parte do domnio ser" feito a partir do A:+. Mea 6inux, &eo =H.=R.F.> para detalhes. server 7 8 m"!uina samba tentara autenticar o usu"rio em outro servidor /9 #ou samba%. /o caso da autenticao falhar, ser" usado o nvel de acesso user na base de usu"rios local #ser" necess"rio o ar!uivo de senhas criptografado do samba para !ue a autenticao local funcione, vea 8tivando o suporte a senhas criptografadas, &eo =H.H%. Este nvel bastante usado !uando configuramos um servidor de perfis de usu"rios ou logon separado do A:+. 18.2.8. ?o, de acessos.ser*ios log fileD Oar!uivoQ :efine a localizao e nome do ar!uivo de log gerado pelo samba. 8s vari"veis de expanso podem ser usadas caso o administrador !ueira ter um melhor controle dos logs gerados #vea Mari"veis de substituio, &eo =H.?.=F%. Ex.; /var/log/samba/samba-log-%m. 0BS1 &e possvel colo!ue uma extenso no ar!uivo de log gerado pelo SAMBA #como .log%. O motivo disto por!ue se estes logs forem rotacionados pelo logrotate voc4 ter" problemas de recompactao m<ltiplas caso utilize um coringa samba-log-*, gerando ar!uivos como .gz.gz.gz.., lotando a tabela de ar!uivos do diret$rio e deixando sua m"!uina em um loop de compactao. max log size D OtamanhoQ Especifica o tamanho m"ximo em Yb do ar!uivo de log gerado pelo samba. O valor padro JGGGYb #J'(%. debug pid D OvalorQ Este processo adiciona a pid aos logs gerados pelo processo smbd ,sto <til para depurao caso existam m<ltiplos processos rodando. O valor padro no e a opo debug timestamp deve ser yes para esta opo ter efeito. debug timestamp D OvalorQ 8tiva ou desativa a gravao de data*hora nos ar!uivos de log gerados pelo samba. O valor padro yes. debug level D OvalorQ 8umenta o nvel de depurao dos daemons do &8'(8 de 0 a 9. 0m nvel de depurao interessante e !ue produz uma !uantidade razo"vel de dados para configurao de um logrotate s$ para o &8'(8 o 2, produzindo a lista de todos os compartilhamentos acessados, !uem acessou, data*hora #dependendo das outras opes de depurao%. ,sto permite ao administrador saber exatamente o !ue est" sendo acessado e por !uem, !uais as tentativas de acesso. 8ssim ter" certeza !ue o conte<do no est" sendo acessado indevidamente. O nvel de depurao 0 o padro. debug uid D OvalorQ Este parTmetro inclui o euid, egid, uid, gid nos ar!uivos de log. O valor padro no. loc) director. D Odiret$rioQ :efine onde sero gravados os ar!uivos de loc) gerados pelo samba. 18.2.8.$ 5a*e,ao no ser*idor.ti3o de ser*idor os levelDOnumQ Especifica o nvel do sistema operacional. Este n<mero usado para as eleies netbios para definir o navegador de grupo local e controlador de domnio #vea /veis de sistema para eleio de rede, &eo =H.?.=? para detalhes%. O valor pode ser de G a ?JJ, o padro F?. announce as D OsistemaQ &elecione o nome !ue o samba #nmbd% se anunciar" na lista de pes!uisa de rede. Os seguintes nomes podem ser usados; NT Server (ou NT) 7 8nuncia como #indo$s N% Server. Este o padro. NT Workstation 7 8nuncia7se como um N% #or&station. Win95 ou WfW 7 8nuncia7se na rede como uma estao #indo$s 'x, #indo$s for #or&groups, #indo$s N% Server e #indo$s N% #or&station de uma s$ vez. domain master D OvalorQ :iz se o servidor tentar" se tornar o navegador principal de domnio. Os valores !ue podem ser especificados so; yes, no e auto. O valor padro auto. Mea :omain 'aster (ro2ser, &eo =H.S.F. local master D OvalorQ :iz se o servidor participar" ou no das eleies para navegador local do grupo de trabalho #2or)group%. Os valores !ue podem ser especificados so; yes, no. O valor padro yes. Aara vencer a eleio, o samba precisa ter o valor de os level maior !ue os demais. /ote tambm !ue o 1indo2s /9 no aceita perder as eleies e convoca uma nova eleio caso ele perca. +omo esta eleio feita via broadcasting, isso gera um tr"fego grande na rede. :esta forma, se tiver um computador /9 na rede configure este valor para CnoC. Mea 6ocal 'aster (ro2ser, &eo =H.S.?. preferred master D OvalorQ :iz se o servidor samba ter" ou no vantagens de ganhar uma eleio local. &e estiver configurado para C.esC, o servidor samba pedir" uma eleio e ter" vantagens para ganha7la. O servidor poder" se tornar garantidamente onavegador principal do dom(nio se esta opo for usada em conunto com domain master ). Os valores especificados podem ser yes, no e auto, o padro auto. 8ntes de austar este valor para yes, verifi!ue se existem outros servidores /et(,O& em sua rede !ue tem prefer4ncia para se tornar o master principal, pois poder" ocorrer um tr"fego alto de broadcasting causado pelas eleies solicitadas pelas outras m"!uinas. 18.2.8.) 0utros 3ar@'etros de con/i,urao include ,nclui um outro ar!uivo de configurao na poro atual do ar!uivo de configurao. Moc4 pode utilizar vari"veis de substituio, exceto %u, %P e %S #vea Mari"veis de substituio, &eo =H.?.=F%. 18.2.- Seo [homes] Esta seo tem a funo especial de disponibilizar o diret$rio home do usu"rio. Luando o usu"rio envia seu nome de login como compartilhamento feita uma busca no ar!uivo smb.conf procurando por um nome de compartilhamento !ue confira. +aso nenhum sea encontrado, feita uma busca por um nome de usu"rio correspondente no ar!uivo /etc/passwd, se um nome conferir e a senha enviada tambm, o diret$rio de usu"rio disponibilizado como um compartilhamento com o mesmo nome do usu"rio local. O diret$rio home do usu"rio poder" ser modificado com o uso de mapeamento de nomes, vea 'apeamento de nomes de usu"rios, &eo =H.=?.=I. Luando o caminho do compartilhamento no for especificado, o &8'(8 utilizar" o diret$rio home do usu"rio #no /etc/passwd%. Aara maior segurana da instalao, principalmente por!ue o diret$rio home do usu"rio no um re!uerimento para a autenticao de usu"rio, recomendo usar a vari"vel de substituio %S apontando para um diret$rio com as permisses apropriadas configuradas em seu sistema, por exemplo; [homes] comment = Diretrios de Usurios path=/pub/usuarios/%S Moc4 apenas ter" o trabalho extra de criar os diret$rios de usu"rios !ue faro acesso ao sistema. ,sto no ser" nenhum problema ap$s voc4 programar um shell script simples !ue verifi!ue os nomes de contas em /etc/passwd e crie os diret$rios com as permisses*grupos ade!uados #isso no ser" abordado por este captulo do guia, embora no sea complicado%. &e desea, existem exemplos em Exemplos de configurao do servidor &8'(8, &eo =H.=Jsobre a seo !homes" no ar!uivo de configurao. Os parTmetros aceitos em !homes" a!ui so os mesmos usados para compartilhamentos normais #vea :escrio de parTmetros usados em compartilhamento, &eo =H.F.=%. 8baixo segue mais um exemplo de seo !homes"; [homes] comment = Diretrio home de usurios writable = yes public = no invalid users = root nobody @adm follow symlinks = no create mode = 0640 directory mode = 0750 8 explicao de cada um dos parTmetros podem ser encontradas em :escrio de parTmetros usados em compartilhamento, &eo =H.F.=. O guia est" com os parTmetros bem organizados em sees especficas, apenas de uma olhada para entender com o captulo do &8'(8 foi organizado e no ter" dificuldades de se localizar. 0BS11+aso nenhum caminho de compartilhamento sea utilizado, o diret$rio home do usu"rio ser" compartilhado. 0BS21/o utilize o parTmetro public yes na seo guest, caso contr"rio todos os diret$rios de usu"rios sero lidos por todos. Mea +onsideraes de segurana com o uso do parTmetro Cpublic D .esC, &eo =H.=?.=R para maiores detalhes. 18.2.12 Seo [printers] Esta seo tem a funo de disponibilizar as impressoras existentes no sistema #lp, lp=, lp?, etc% existentes no /etc/printcap como compartilhamento de sistemas 1indo2s. O mtodo !ue os nomes de impressoras so pes!uisados id4ntico a forma feita para a seo !homes"; Arimeiro o nome do compartilhamento pes!uisado como um nome de servio, depois se ele um nome de usu"rio #tentando mapear o servio disponibilizado em OhomesQ%, depois ser" verificado a seo !printers". 8o invs de usar este recurso, se preferir voc4 poder" compartilhar as impressoras individualmente. Aara detalhes, vea +onfigurando o 6inux como um servidor de impresso 1indo2s, &eo =H.==.=. 0BS1W importante lembrar !ue a seo !printers" :;<; ser definida como printable usando o parTmetro printable yes para funcionar. O utilit"rio testparm poder" ser usado para verificar problemas no ar!uivo cd configurao do &8'(8 #vea (uscando problemas na configurao, &eo =H.?.==%. 18.2.11 Buscando 3rob+e'as na con/i,urao :urante o processo de configurao do &8'(8, comum cometer erros de digitao, usar parTmetros em lugares indevidos, etc. W recomend"vel o uso do testparm para checar a configurao do &8'(8 sempre !ue houver modificaes para ter certeza nada comprometa o funcionamento !ue planeou para sua m"!uina. Aara usar o testparm s$ digitar testparm. 6ogo ap$s executa7lo, analise se existem erros nas sees de configurao e te pedir" para pressionar ZE/9EKE para ver um dump do ar!uivo; Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[tmp]" Processing section "[cdrom]" Loaded services file OK. Press enter to see a dump of your service definitions 8 sada acima indica !ue est" tudo OY com todas as configuraes !ue foram realizadas no servidor. W possvel especificar um outro ar!uivo de configurao do &8'(8 usando testparm /etc/samba/smb2.conf. 9ambm permitido simular o nome /et(,O& !ue far" acesso a m"!uina usando o parTmetro -L nome #!ue ser" substitudo na vari"vel *L%. 18.2.12 5*eis de siste'a 3ara e+eio de rede Aara selecionar !ual sistema /et(,O& ser" o local master bro2se ou domain master bro2se, usado um mtodo bastante interessante; o de eleies. Luando uma nova m"!uina entra na rede /et(,O&, ela solicita !uem o 6ocal 'aster (ro2ser, caso nenhuma responda, ela fora uma eleio na rede atravs de uma re!uisio (roadcasting especial. Mence a eleio !uem tiver o [[[maior n<mero[[[, chamado de O& 6evel #nvel de sistema operacional%. +aso duas m"!uinas empatem, o desempate feito usando outros critrios. &e voc4 for a <nica m"!uina de um 2or)group, automaticamente voc4 ser" o 6ocal 'aster (ro2ser. :e meia em meia hora uma nova eleio feita, forando mais tr"fego broadcasting na rede. :urante este novo processo de eleio, a lista de computadores atualizada\ as novas m"!uinas so adicionadas e as desligadas saem da lista ap$s FI minutos. Este o motivo por!ue as m"!uinas 1indo2s continuam aparecendo no ambiente de rede por algum tempo mesmo depois !ue desligadas ou por!ue elas no aparecem de imediato. O O& 6evel um n<mero !ue caracterstico de cada sistema operacional ficando entre G #mais baixo% e ?JJ. Os nveis de acessos dos sistemas operacionais so os seguintes; Windows for Workgroups 1 Windows 95 1 Windows 98 2 Windows 98 Second Edition 2
Windows 2000 Server (standalone) 16 Windows 2000 Professional 16 Windows NT 4.0 Wks 17 Windows NT 3.51 Wks 16
Windows NT 3.51 Server 32 Windows NT 4.0 Server 33 Windows 2000 Server (Domain Controller) 32
SAMBA 32 O valor padro do O& 6evel do &8'(8 F?, entretanto ele bastante flexvel para permitir sua mudana atravs do parTmetro Cos levelC #vea /avegao no servidor*tipo de servidor, &eo =H.?.H.I%, isto garante !ue o &8'(8 sempre vena as eleies da rede sobre !ual!uer outro sistema operacional. /o caso de um servidor !ue estiver configurado para ser o navegador de rede, assim !ue for iniciado ele solicitar" uma eleio de rede. 8s regras so as mesmas, vence o !ue tiver o [maior[ n<mero. Este n<mero pode ser configurado facilmente no &8'(8 para !ue ele sempre vena as eleies de rede, tomando conta da lista de m"!uinas. ,sto especialmente interessante por causa da estabilidade do servidor Linux, !uando migramos de servidor /9 ou para fornecer mais servios de navegao, como servidor 1,/&. 0BS; /unca deixe um servidor /9 configurado para ser o 6ocal (ro2ser ou :omain 'aster (ro2ser competir com o &8'(8. 'esmo !ue o &8'(8 ganhe, o /9 um pssimo perdedor e convoca uma nova eleio para tentar novamente se eleger, gerando um [extremo[ tr"fego broadcasting em redes grandes. 18.2.13 <ari6*eis de substituio Esta seo foi baseada nos dados da p"gina de manual do samba, com adies !ue no estavam presentes na verso original e exemplos. Existem vari"veis especiais !ue podem ser usadas no ar!uivo de configurao do samba e so substitudas por parTmetros especiais no momento da conexo do usu"rio. 0m exemplo de utilizao de vari"veis de substituio seria mudar a localizao do diret$rio home do usu"rio; [homes] comment = Diretrio home do usurio path = /home/usuarios/%u +ada uma das vari"veis so descritas em detalhes abaixo; V& O nome do servio atual, se existir. &eu uso interessante, principalmente no uso de diret$rios homes. VA O diret$rio raz do servio atual, se existir. Vu O nome de usu"rio do servio atual, se aplic"vel. Esta vari"vel bastante <til para programao de scripts e tambm para criar ar!uivos de log personalizados, etc. Vg O grupo prim"rio do usu"rio Vu. V0 O nome de usu"rio da seo #o nome de usu"rio solicitado pelo cliente, no uma regra !ue ele ser" sempre o mesmo !ue ele recebeu%. V5 O nome do grupo prim"rio de V0. VN O diret$rio home do usu"rio, de acordo com Vu. Vv 8 verso do &amba. Vh O nome :/& da m"!uina !ue est" executando o &amba. Vm O nome /et(,O& da m"!uina do cliente. ,sto muito <til para log de conexes personalizados e outras coisas <teis. V6 O nome /et(,O& do servidor. +omo o servidor pode usar mais de um nome no samba #aliases%, voc4 poder" saber com !ual nome o seu servidor est" sendo acessado e possivelmente torna7lo o nome prim"rio de sua m"!uina. V' O nome :/& da m"!uina cliente. V/ O nome do seu servidor de diret$rios home /,&. Este parTmetro obtido de uma entrada no seu ar!uivo auto.map. &e no tiver compilado o &8'(8 com a opo --with-automount ento este valor ser" o mesmo de V6. Vp O caminho do diret$rio home do servio, obtido de uma entrada mapeada no ar!uivo auto.map do /,&. 8 entrada /,& do ar!uivo auto.map dividida na forma CV/;VpC. VK O nvel de protocolo selecionado ap$s a negociao. O valor retornado pode ser +OKE, +OKEA60&, 68/'8/=, 68/'8/? ou /9=. Vd 8 identificao de processo do processo atual do servidor. Va 8 ar!uitetura da m"!uina remota. &omente algumas so reconhecidas e a resposta pode no ser totalmente confi"vel. O samba atualmente reconhece Samba, #indo$s for #or&groups, #indo$s '+, #indo$s N% e#indo$s ,---. Lual!uer outra coisa ser" mostrado como C0/Y/O1/C #desconhecido%. V, O endereo ,A da m"!uina do cliente. V9 8 data e hora atual. V]#varPambiente% Ketorna o valor da vari.vel de ambiente especificada. 18.3 Co'3arti+"a'ento de ar&ui*os e diretrios Esta seo documenta como disponibilizar ar!uivos e impressoras com o &8'(8 e os parTmetros usados para realizar restries de compartilhamento, modo !ue os dados sero disponibilizados e tens de performance. 8 maior parte destes parTmetros so empregados em servios do &8'(8, mas nada impede !ue tambm seam colocado na seo !global" do ar!uivo de configurao, principalmente !uando isto v"lido para diversos servios compartilhados #vea &eo [global] , &eo =H.?.H%. 18.3.1 :escrio de 3ar@'etros usados e' co'3arti+"a'ento 8baixo o guia traz algumas das opes !ue podem ser usadas para controlar o comportamento do compartilhamento de ar!uivos por servios no servidor &8'(8; path ,ndica o diret$rio !ue ser" compartilhado. 6embre7se !ue o usu"rio ter" as permisses de acesso !ue ele teria caso estivesse logado no sistema como um usu"rio 0/,3 normal, exceto se estiver fazendo mapeamento para outros nomes de usu"rios #vea 'apeamento de nomes de usu"rios, &eo =H.=?.=I%. Ex; path=/pub 7 +ompartilha o diret$rio local /pub. 0BS1 Luando no definido um path, o diret$rio /tmp usado como padro. comment :escrio do compartilhamento !ue ser" mostrada na anela de procura de rede ou no smbclient -L maquina. Ex; comment=Pasta de contedo pblico do sistema. bro2seable :efine se o compartilhamento ser" ou no exibido na anela de procura de rede. 'esmo no sendo exibido, o compartilhamento poder" ser acessado. Mea +riando um compartilhamento invisvel, &eo =H.=?.=? para uma explicao mais detalhada. Ex; browseable=yes 7 6ista o compartilhamento na anela de pes!uisa de servidores. guest account +onta !ue ser" usada para fazer acesso sem senha #convidado% !uando o parTmetro guest ok ou public forem usados em um compartilhamento. Aor padro ela mapeada para o usu"rio nobody. W importante especificar uma nome de usu"rio guest #convidado%, principalmente por!ue seu 0,: ser" usado para fazer v"rias operaes no &8'(8, como exibir os recursos disponveis na m"!uina para a rede. Aor motivos claros, recomend"vel !ue este usu"rio no tenha acesso login ao sistema. +aso no tenha a inteno de ocultar o &8'(8 na lista de m"!uinas da rede #fazendo apenas acesso direto aos recursos%, especifi!ue um valor para esta opo. Ex; guest account = sambausr 7 'apeia os usu"rio se conectando sem senha para o usu"rio sambausr, desde !ue o acesso guest sea permitido pela opo public. public Aermitem aos usu"rios usu"rios se conectarem ao compartilhamento sem fornecer uma senha usando o usu"rio guest. O 0,: !ue o usu"rio guest ser" mapeado especificado pelo parTmetro guest account%. Mea +riando um compartilhamento para acesso sem senha, &eo =H.=?.S. O parTmetro guest ok e!uivalente a public. Ex; public = no 7 /o permite guest onl. Aermite somente conexes guest ao recurso. O 0,: do usu"rio mapeado para guest, mesmo !ue fornea uma senha correta. O valor padro no. Ex; guest only = no. 2rite list 6ista de usu"rios separados por espao ou vrgula !ue podero ler e gravar no compartilhamento. +aso o nome for iniciado por CBC, o nome especificado ser" tratado como um grupo 0/,3 #/etc/group% e todos os usu"rios da!uele grupo tero acesso de gravao. O uso deste parTmetro ignora o read only = yes. Mea Excesso de acesso na permisso padro de compartilhamento, &eo =H.=?.=G para mais detalhes. Ex; write list = gleydson, @usuarios 7 Aermite acesso gravao somente do usu"rio gleydson e todos os usu"rios pertencentes ao grupo @usuarios. 0BS1 7 O significado de CBC nos parTmetros Cinvalid usersC*Cvalid usersC diferente das opes write list e read list. read list 6ista de usu"rios separados por espao ou vrgula !ue podero apenas ler o compartilhamento. O caracter CBC pode ser especificado para fazer refer4ncia a grupos, como no write list. O uso deste parTmetro ignora oread only = no. Mea Excesso de acesso na permisso padro de compartilhamento, &eo =H.=?.=G para mais detalhes. Ex; read list = nobody, system, operador, @usuarios 7 Aermite acesso de leitura somente do usu"rio nobody, system, operador e todos os usu"rios pertencentes ao grupo @usuarios. user Especifica um ou mais nomes de usu"rios ou grupos #caso o nome sea seguido de CBC% para checagem de senha. Luando o cliente somente fornece uma senha #especialmente na rede Lan Manager, Windows for Workgroups e primeira verso do Windows 95% ela ser" validada no banco de dados de senhas usando o usu"rio especificado nesta opo. Ex; user = john @usuariosrede onl. user Especifica se somente sero permitidas conexes vindas de usu"rios da diretiva user. O padro no. +aso desee restringir o acesso a determinados usu"rios, o certo faze7lo usando valid users e invalid users #veaKestringindo o acesso por usu"rios, &eo =H.=?.R%. O uso de only user apropriado !uando necess"rio um controle especfico de acesso sobre a diretiva user. Ex; only user = no. loc)ing Aermite ao &8'(8 fazer um loc) real de ar!uivo ou apenas simular. +aso sea especificado como CGC, o ar!uivo no blo!ueado para acesso exclusivo no servidor mas uma resposta positiva de loc) retornada ao cliente. &e definido como C=C, um loc) real feito. O padro yes. Ex; locking = yes available -az o &8'(8 ignorar o compartilhamento #como se tivesse retirado do servidor%. O valor padro CnoC. follo2 s.mlin)s Aermite o uso de lin)s simb$licos no compartilhamento #vea tambm a opo wide links%. 8 desativao desta opo diminui um pouco a performance de acesso aos ar!uivos. +omo restrita a compartilhamento, o impacto de segurana depende dos dados sendo compartilhados. O valor padro desta opo C^E&C. Ex; follow symlinks = yes 2ide lin)s Aermite apontar para lin)s simb$licos para fora do compartilhamento exportada pelo &8'(8. O valor padro esta opo C^E&C. Ex; wide links = yes. 0BS1 7 8 desativao desta opo causa um aumento na performance do servidor &8'(8, evitando a chamada de funes do sistema para resolver os lin)s. Entretanto, diminui a segurana do seu servidor, pois facilita a ocorr4ncia de ata!ues usando lin)s simb$licos. 6embre7se mais uma vez !ue a segurana do seu sistema comea pela poltica e uma instalao bem configurada, isso " implica desde a escolha de sua distribuio at o conhecimento de permisses e planeamento na implantao do servidor de ar!uivos. dont descend /o mostra o conte<do de diret$rios especificados. Ex; dont descend = /root, /proc, /win/windows, "/win/Arquivos de Programas", "/win/program files". printable Especifica se o compartilhamento uma impressora #.es% ou um compartilhamento de ar!uivo*diret$rio #no%. O padro CnoC. read onl. Especifica se o compartilhamento somente para leitura #.es% ou no #no% para todos os usu"rios. O parTmetro writable um antXnimo e!uivalente a este parTmetro, s$ !ue utiliza as opes invertidas. Aor segurana, o valor padro somente leitura. Mea uma explicao mais detalhada em +riando um compartilhamento com acesso somente leitura, &eo =H.=?.H. Ex; read only = yes. create mas) 'odo padro para criao de ar!uivos no compartilhamento. O parTmetro Ccreate modeC um sinXnimo para este. O modo de ar!uivos deve ser especificado em formato octal. Ex; create mask = 0600. director. mas) 'odo padro para a criao de diret$rios no compartilhamento. O parTmetro Cdirector. modeC um sinXnimo para este. O modo de diret$rio deve ser especificado em formato octal. Ex; directory mask = 0700. get2d cache Aermite utilizar um cache para acesso as re!uisies get2d, diminuindo o n<mero de ciclos de processamento para acesso a ar!uivos*diret$rios. O valor padro C^esC. 2rite cache size 9amanho do cache de leitura*gravao do compartilhamento. Este valor especificado em b.tes e o padro CGC. Mea 'elhorando a performance do compartilhamento*servidor, &eo =H.=F para detalhes sobre seu uso. Ex; write cache size = 384000. inherit permissions Aermite herdar permisses de ar!uivos*diret$rios do diret$rio pai !uando novos ar!uivos*diret$rios so criados, isto inclui bits &5,: #set group ,:%. O padro NO herdar permisses. O uso desta opo substitui as opes fornecidas por create mask, directory mask, force create mask e force directory mask. Ex; inherit permissions. preexec Executa um comando antes a abertura de um compartilhamento. O parTmetro exec um sinXnimo para este. Mea Executando comandos antes e ap$s o acesso ao compartilhamento, &eo =H.=?.=F. postexec Executa um comando depois da utilizao do compartilhamento. Mea Executando comandos antes e ap$s o acesso ao compartilhamento, &eo =H.=?.=F. preexec close -echa imediatamente o compartilhamento caso o valor do comando executado pela opo preexec sea diferente de G. O uso desta opo s$ faz sentido em conunto com preexec. O valor padro CnoC. Mea Executando comandos antes e ap$s o acesso ao compartilhamento, &eo =H.=?.=F. Exemplo; preexec close = yes. volume D nome Ketorna o nome de volume especificado !uando feito o acesso ao compartilhamento. ,sto muito <til para instalaes onde o serial do +:, dis!uete ou N: verificado durante o acesso. ,sto acontece com fre!_4ncia em produtos de fabricantes propriet"rios como forma de evitar a execuo ilegal do programa. 18.4 Con/i,urao e' Grupo de Trabalho 8 configurao grupo de trabalho o mtodo mais simples para compartilhar recursos em uma rede e tambm indicado !uando se possui uma rede pe!uena #at FG m"!uinas% pois o gerenciamento no to complicado. 8cima deste n<mero, recomendada a utilizao da configurao de domnio para definio de polticas de acesso mais precisas pelo administrador e para manter o controle sobre os recursos da rede #vea +onfigurando um servidor A:+ no &8'(8, &eo =H.S.R%. 8 configurao do nvel de acesso por grupo de trabalho tem como caractersticas principais essa simplicidade na configurao e o controle de acesso aos recursos sendo feito pela m"!uina local atravs de senhas e controle de ,A. Luanto ao mtodo de senhas, voc4 pode optar tanto por usar senhas criptografadas #8tivando o suporte a senhas criptografadas, &eo =H.H% ou senhas em texto limpo #8tivando o suporte a senhas em texto plano, &eo =H.>%. Mea abaixo um exemplo explicado de configurao do SAMBA para grupo de trabalho; [global] netbios name = servidor workgroup = focalinux security = user obey pam restrictions = yes encrypt passwords = no os level = 30 guest account = nobody server string = servidor da rede local master = true domain master = false
[homes] comment = Diretrios de usurios create mask= 0700 directory mask = 0700 browseable = no
[tmp] path = /tmp comment = Diretrio temporrio do sistema read only = yes valid users = gleydson public = no 8gora, verifi!ue se existem erros na configurao com o comando testparm #(uscando problemas na configurao, &eo =H.?.==% e reinicie o SAMBA #,niciando o servidor*reiniciando*recarregando a configurao, &eo =H.=.>%. O nome do grupo de trabalho !ue a m"!uina pertencer" focalinux #workgroup = focalinux%. O nvel de acesso usado neste exemplo de usu"rio #security = user%, para mais detalhes sobre este mtodo, vea /veis de autenticao, &eo =H.?.H.R. O parTmetro local master foi definido para yes para o SAMBA tentar ser o navegador local do grupo de trabalho #vea 6ocal 'aster (ro2ser, &eo =H.S.?%. Aara testar se o servidor est" funcionando, digite o seguinte comando; smbclient -L servidor -U usuario :igite a senha de usu"rio !uando solicitado. O comando dever" listar os recuros da m"!uina, indicando !ue a configurao est" funcionando corretamente. &e voc4 paran$ico e est" preocupado com a segurana da m"!uina, recomendo ler a +ontrole de acesso ao servidor &8'(8, &eo =H.=?. 18. %eso+uo de no'es de '6&uinas no sa'ba O &amba pode utiliza os seguintes mtodos para resoluo de nomes de m"!uinas na rede #/ome de m"!uina #nome /et(ios%, &eo =H.?.=%. Eles esto listados em ordem de prioridade do mais para o menos recomend"vel; lmhosts 7 Aes!uisa primeiro o ar!uivo /etc/samba/lmhosts #vea 8r!uivo /etc/samba/lmhosts , &eo =H.J.= para detalhes sobre este ar!uivo%. host 7 -az a pes!uisa no ar!uivo /etc/hosts e no :/& em busca do nome da m"!uina. wins 7 Aes!uisa no servidor 1,/& especificado pelo parTmetro $ins server do smb.conf #vea 1,/&, &eo =H.J.?%. bcast 7 Envia um pacote para o endereo de broadcast de sua configurao de rede. Este geralmente deve ser o <ltimo mtodo por gerar tr"fego excessivo em uma rede com um consider"vel n<mero de computadores. 8 ordem !ue a resoluo de nomes feita pelo samba, pode ser modificada usando o parTmetro Cname resolve order D OordemQC no ar!uivo de configurao do samba #ex. name resolve order = lmhosts host wins bcast%. 18..1 Ar&ui*o /etc/samba/lmhosts Este ar!uivo um banco de dados !ue mapeia o endereo ,A com o nome /et(,O& de uma m"!uina, semelhante ao formato do /etc/hosts. Este ar!uivo <til !uando temos servidores !ue so acessados com fre!_4ncia, !uando servidores de rede esto em segmentos separados e no temos um servidor 1,/& entre os dois pontos para resoluo de nomes, para definir m"!uinas 1,/& !ue sero acessados pela internet, etc. Aara ter certeza da localizao do ar!uivo lmhosts em sua m"!uina, digite smbclient -d 3 -L localhost e vea o diret$rio de pes!uisa deste ar!uivo. Mea um exemplo de ar!uivo lmhosts em Exemplo de lmhosts do 0/,3, &eo =H.J.=.=. O uso do ar!uivo lmhosts evita o excesso de broadcasting na rede, pois a ordem padro usada para a resoluo de nomes do samba, procura primeiro resolver o nome procurando em ar!uivos lmhosts, depois usando dns, $ins ebroadcast. :ependendo do proeto de sua rede e como as m"!uinas resolvem os nomes, ele pode ser uma camada a mais de segurana contra um simples hiac)ing de servidor atravs de /et(E0, ou 1,/& #isso evitado com o uso de domnios, vea +onfigurando um servidor A:+ no &8'(8, &eo =H.S.R%. 0BS1 /ote !ue em clientes Windows !ue esteam em outra subrede, necess"rio o ar!uivo \windows\lmhosts apontando para um servidor A:+ mesmo !ue ele estea apontando para o servidor 1,/&, caso contr"rio, a m"!uina no efetuar" o logon. O formato do ar!uivo lmhosts do Windows mais complexo do !ue o do Linux pois o sistema precisa de mais detalhes para resolver os nomes e tipos de m"!uinas no domnio. Mea o modelo lmhosts.sam em seu sistemaWindows para compreender seu funcionamento. 18..1.1 ;Ae'3+o de lmhosts do B5IC O exemplo abaixo mapeia o endereo ,A das m"!uinas #primeira coluna% com o respectivo nome de m"!uina #segunda coluna%; 172.16.0.34 servarq 172.16.0.30 serverdom 192.168.5.2 servwins 172.16.0.3 servpdc 172.16.0.1 gateway 18..1.2 ;Ae'3+o de lmhosts do Dindo(s O ar!uivo possui uma sintaxe id4ntica a do lmhosts do 0/,3, mas alguns parTmetros especiais so especificados para audar o Windows resolver algumas coisas !ue no consegue fazer sozinho #principalmente com relao a identificao de funo de m"!uinas em redes segmentadas%; 192.168.0.5 servarq 192.168.0.1 serverpdc #PRE #DOM:dominio 192.168.0.2 "serverwins \0x1e" #PRE #INCLUDE \\serverpdc\lmhosts 8 primeira entrada do ar!uivo a tradicional, onde o nome da m"!uina /et(,O& associada ao ,A. 8 segunda utiliza dois parTmetros adicionais; #PRE 7 -az a entrada ser carregada logo na inicializao e se tornando uma entrada permanente no cache /et(,O&. #DOM 7 Especifica !ue a m"!uina um controlador de domnio. 8 m"!uina dever" ter sido configurada para a funo de domnio, pois caso contr"rio isso simplesmente no funcionar". /ote !ue ambos #PRE e #DOM devem ser especificados em mai<sculas. O terceiro exemplo faz uma refer4ncia permanente #`AKE% a m"!uina servidora 1,/& server$ins. /este exemplo usada uma caracterstica especial para especificar a ,: hexadecimal da m"!uina na rede )e. O !uarto utiliza um include para associar outro ar!uivo ao atual, <til !uando temos um compartilhamento !ue distribui um ar!uivo lmhosts para diversas m"!uinas na rede. :e prefer4ncia, utilize sempre uma diretiva /012 para todas as m"!uinas especificadas na diretiva /3N4L562 em seu ar!uivo de configurao. Aara a especificao de ,: de servio manual, necess"rio manter os =J caracteres no nome da m"!uina #preenchendo os restantes com espaos, caso sea preciso%. O <ltimo caracter o c$digo hexadecimal !ue identifica o servio de rede #vea nmbloo)up, &eo =H.=R.?.>.F para ver a lista de servios e sua respectiva funo%. 0BS1 +aso crie este ar!uivo em um editor de textos do Linux, no se es!uea de converter o ar!uivo para !ue contenha o +Ka6- no final das linhas. 18..2 DI5S Este um servio de resoluo de nomes !ue funciona de forma semelhante ao :/&, s$ !ue voltado para o /et(,O&. Luando uma m"!uina cliente /et(,O& entra na rede, o servidor 1,/& pega seu nome e ,A e inclui em uma tabela para futura consulta pelos clientes da rede. Esta tabela consultada toda vez !ue um cliente /et(,O& solicita um nome de m"!uina, componentes do grupo de trabalho ou domnio na rede. 0ma outra aplicao importante de um servidor 1,/& permitir a resoluo de nomes em pontos de redes !ue re!uerem roteamento, a simplicidade de um protocolo no rote"vel como o /et(,O& fica limitada a simplicidade das instalaes de rede. 0m servidor 1,/& pode ser instalado em cada ponta da rede e eles trocarem dados entre si e atualizar suas tabelas de nomes*grupos de trabalhos*,As. 8 resoluo de nomes de m"!uinas ser" feita consultando diretamente a m"!uina 1,/& ao invs de broadcasting #!ue geram um tr"fego alto na rede%. 18..2.1 Con/i,urando o ser*idor DI5S Aara ativar o servidor 1,/& no samba, inclua as seguinte linha na seo [global] do seu ar!uivo /etc/samba/smb.conf; [global] wins support = yes wins proxy = no dns proxy = no max wins ttl = 518400 O parTmetro wins proxy pode ser necess"rio para alguns clientes antigos !ue tenham problemas no envio de suas re!uisies 1,/&. O dns proxy permite !ue o servidor 1,/& faa a pes!uisa no :/& para localizao de nomes de m"!uinas caso no exista no cache. 8mbas as opes wins support, wins proxy e dns proxy tem como valor padro no. Aronto, seu servidor samba agora suporta 1,/&. -"cil, pr"tico e r"pido ;7% &e estiver configurando uma subrede com mas!uerade para acesso a um A:+ ou um servidor 1,/&, voc4 ter" !ue mexer no gate2a. central para apontar uma rota para o gate2a. mas!uerade. O motivo disto por!ue o mas!uerade do Linux atua somente nos cabealhos, mas o ,A da estao enviada e processada pelo A:+ para retornar uma resposta. :a mesma forma, este ,A registrado no servidor 1,/& para uso das estaes de trabalho. ,sto s$ vai ser resolvido !uando for escrito um m$dulo de conntrac) para conexes &8'(8 #at o lanamento do )ernel 2.4.22, isso ainda no ocorreu%. 0BS11 /0/+8 configure mais de um servidor 1,/& em uma mesma rede. 0BS21 /UO especifi!ue o parTmetro wins server caso estea usando o suporte a 1,/&. 18..2.2 Con/i,urando o C+iente DI5S Aara os clientes da rede #Linux, Windows, OS/2, etc.% fazer uso das vantagens da resoluo de nomes usando o 1,/&, necess"rio configurar para !ue eles o utilizem para resolver os nomes de m"!uinas. ,sto feito da seguinte forma em cada um dos sistemas operacionais; 6inux 8dicione a linha wins server = ip_do_servidor_WINS na seo global do ar!uivo /etc/samba/smb.conf; [global] wins server = 192.168.1.1 8p$s isto, reinicie o servidor samba. +aso estea executando o servidor via inetd, digite; killall -HUP nmbd. &e estiver rodando atravs de daemons; /etc/init.d/samba restart. /o necess"rio reiniciar o computadorb 1indo2s >x +li!ue com o boto direito sobre o cone 7mbiente de 1ede e selecione propriedades. /a anela de configurao de rede cli!ue na aba 4onfigura8o. /a lista !ue aparece selecione o protocolo 9+A*,A e!uivalente a sua placa de rede local e cli!ue em 0ropriedades. /a tela de 0ropriedades %40930 cli!ue em 4onfiguraes #3NS e mar!ue a opo 7tivar resolu8o #3NS. :igite o endereo do servidor 1,/& e cli!ue em 7dicionar. 0BS1 &e utilizar um servidor :N+A em sua rede local e o endereo do servidor 1,/& tambm oferecido atravs dele, voc4 poder" marcar a opo 5sar 6:40 para resolu8o #3NS. /ote !ue esta opo somente estar" disponvel se escolher a opo ;bter um endereo 30 automaticamente na tab 2ndereos 30. +li!ue em OY at fechar todas as telas e reinicie !uando o computador perguntar ;7% 18.$ Ser*idor de data."ora O samba pode atuar como um servidor de data*hora austando o hor"rio de suas estaes de trabalho com o servidor da rede. 8s estaes clientes podero executar o comando net para sincronizar seu rel$gio durante a inicializao do 1indo2s, ou durante o logon da rede atravs do script de logon, caso tenha configurado o servidor samba para logon em domnios /9. 18.$.1 Con/i,urao do ser*io de data."ora no SAMBA Aara configurar o samba para atuar como servidor de data*hora de sua rede, adicione o seguinte parTmetro na seo global do ar!uivo de configurao /etc/samba/smb.conf; [global] time server = yes Aara sincronizar a data*hora das estaes de trabalho usando o servidor samba, vea &incronizando a data*hora no +liente, &eo =H.I.?. +aso o seu servidor &8'(8 tambm sea o servidor de autenticao A:+ da rede, a melhor forma de se fazer isto colocar o comando net time \\servidor_SAMBA /set /yes em um script !ue ser" executado pela estao. 0BS W recomend"vel instalar um cliente ntp para manter o rel$gio do servidor sempre atualizado, conse!_entemente mantendo a data*hora das estaes tambm em sincronismo . . 18.$.2 SincroniEando a data."ora no C+iente /a estao cliente 1indo2s, use o seguinte comando; NET TIME \\SERVIDOR /WORKGROUP:GRUPO /SET /YES 0m local interessante para colocao deste comando na pasta ,niciar da estao 1indo2s, pois todos os comandos !ue esteam nesta pasta so executados !uando o sistema iniciado. Exemplos; net time \\linux /set /yes 7 &incroniza a hora com o servidor CcclinuxC e no pede confirmao #*.es%. net time \\linux /WORKGROUP:pinguim /set /yes 7 &incroniza a hora com o servidor CcclinuxC do grupo de trabalho pinguim #*1OKY5KO0A;pinguim% e no pede confirmao #*.es%. 18.) Con/i,urao e' Domnio Esta seo descreve todos os passos necess"rios para configurar um servidor de domnio A:+ #0rimary 6omain 4ontrol% com perfis m$veis e outros recursos !ue tornam <teis e seguras a administrao de uma rede /et(E0,. 18.).1 B'a bre*e introduo a u' :o'nio de rede 0m domnio de rede consiste em uma m"!uina central chamada de A:+, !ue mantm o controle de todas as contas de usu"rios*grupos e permisses para acesso a rede /et(E0,. O acesso desta forma centralizado, como vantagem disto voc4 pode usar o nvel de acesso por usu"rios nas m"!uinas, definindo !uais usu"rios ou grupos tero acesso de leitura*gravao. W permitido criar scripts de logon, assim comandos programados pelo administrador sero executados nas m"!uinas clientes durante o logon no domnio #vea +riando &cripts de logon, &eo =H.S.S%. O nome da m"!uina protegido contra hiac)ing atravs de contas de m"!uinas !ue fazem parte do domnio #vea +ontas de m"!uinas de domnio, &eo =H.S.J%. ,sto s$ possvel em clientes Linux, Windows NT, Windows 2000e Windows XP. Moc4 poder" usar perfis m$veis, copiando todas as personalizaes do seu des)top para !ual!uer m"!uina na rede !ue voc4 faa o logon. Aara o administrador, ele poder" definir polticas com o Poledit e outros programas !ue sero salvas unto com o perfil do usu"rio, valendo para !ual!uer m"!uina !ue ele se autenti!ue na rede #vea +riando &cripts de logon, &eo =H.S.S%. &e voc4 desea iniciar logo a configurao do seu domnio, siga at +onfigurando um servidor A:+ no &8'(8, &eo =H.S.R. 18.).2 ?oca+ Master Bro(ser W a m"!uina !ue ganhou a eleio no segmento local de rede #vea /veis de sistema para eleio de rede, &eo =H.?.=?%. 6ogo !ue declarada o local master bro$ser, ela comea a receber via broadcasting a lista de recursos compartilhados por cada m"!uina para montar a lista principal !ue ser" retornada para outras m"!uinas do grupo de trabalho ou outras subredes !ue solicite os recursos compartilhados por a!uele grupo. 0ma nova eleio feita a cada FI minutos ou !uando a m"!uina escolhida desligada. 18.).3 :o'ain Master Bro(ser Luando o local master bro2se eleito no segmento de rede, uma consulta feita ao servidor 1,/& para saber !uem o :omain 'aster (ro2se da rede para enviar a lista de compartilhamentos. 8 m"!uina escolhida como 6ocal 'aster (ro2se envia pacotes para a porta 0:A =FH do :omain 'aster e este responde pedindo a lista de todos os nomes de m"!uinas !ue o local master conhece, e tambm o registra como local master para a!uele segmento de rede. +aso tenha configurado sua m"!uina para ser o domain master bro2ser da rede #tambm chamado de controlador principal de dom(nio ou A:+%, ela tentar" se tornar a m"!uina !ue ter" a lista completa de recursos enviados pelos locais master bro2sers de cada segmento de rede. 0m A:+ tambm o local master bro2se de seu pr$prio segmento de rede. W possvel ter mais de um domain master bro2se, desde !ue cada um controle seu pr$prio domnio, mas no possvel ter ? domain master bro2sers em um mesmo domnio. +aso utilize um servidor WINS em sua rede, o A:+ far" consultas constantes em sua base de dados para obter a lista de domnios registrados. O domnio identificado pelo caracter )b na rede #vea nmbloo)up, &eo =H.=R.?.>.F%. 0BS1 O 1indo2s /9 configurado como A:+ sempre tenta se tornar o domain master bro2ser em seu grupo de trabalho. /o sendo possvel retirar o 1indo2s /9 configurado como A:+ do domnio #por alguma outra razo%, a <nica forma ser" deixar ele ser o domain master bro2ser. &e este for o caso, voc4 poder" continuar lendo este documento para aprender mais sobre /et(,O& e talvez ainda mudar de idia sobre manter o /9 na rede ap$s ver as caractersticas do &8'(8 \7% 18.).4 Con/i,urando u' ser*idor F:C no SAMBA Esta a parte interessante do guia, a pr"tica. Aara os administradores !ue conhecem atravs da experi4ncia pr$pria os problemas e definies do &8'(8, grande parte do guia foi apenas uma reviso #por favor, se faltou algo !ue acha interessante, me notifi!uem !ue incluirei na pr$xima verso e colocarei uma nota no lanamento e na p"gina com os devidos crditos ;7%% Aara configurar uma m"!uina para ser o A:+ #4ontroladora 0rincipal de 6om(nio ou 0rimary 6omain 4ontrol%, siga esta se!_4ncia; Nabilite o suporte a senhas criptografadas. +aso ainda no tenha feito isso, leia a seo 8tivando o suporte a senhas criptografadas, &eo =H.H. /a seo !global", insira*modifi!ue os seguintes parTmetros; ; Identificao da mquina e domnio netbios name = gleydson workgroup = focalinux
;nveis de acesso e funes do servidor security = user domain master = yes prefered master = yes local master = yes
; senhas criptografadas encrypt passwords = yes smb passwd file = /etc/samba/smbpasswd.db Onde os parTmetros significam; o netbios name = gleydson 7 /ome do computador. Este tambm ser" o nome usado pelas outras m"!uinas clientes !uando for configurar o A:+ #controlador de dom(nio%. o workgroup = focalinux 7 /ome do domnio !ue est" criando. 9odas as m"!uinas !ue pertencerem a este domnio, tero o nvel de acesso definido pelo A:+. /ote !ue o parTmetro workgroup tambm usado ao especificar o nome do grupo de trabalho !uando se usado a configurao grupo de trabalho #+onfigurao em Grupo de Trabalho , &eo =H.R%. o security = user 7 Ke!uerido para controle de acesso por domnio, " !ue utilizado o controle de acesso local usando usu"rios e grupos locais. o domain master = yes 7 Especifica se est" m"!uina est" sendo configurada para ser o A:+ da rede. 0BS1 Aor favor, certifi!ue7se !ue no existe outro A:+ no domnio. Mea :omain 'aster (ro2ser, &eo =H.S.F. prefered master = yes 7 -ora uma eleio com algumas vantagens para seu servidor ser eleito sempre como o controlador de domnio. ,sto garante !ue a m"!uina SAMBA sempre sea o A:+. Mea /avegao no servidor*tipo de servidor, &eo =H.?.H.I. local master = yes 7 :efine se a m"!uina ser" o controlador principal do grupo de trabalho local !ue ela pertence. Aronto, agora teste se existem erros em sua configurao executando o comando testparm #(uscando problemas na configurao, &eo =H.?.==% e corria7os se existir. Kesta agora reiniciar o servidor nmbd para !ue todas as suas alteraes tenham efeito. Aara adicionar seus clientes a um domnio, vea +ontas de m"!uinas de domnio, &eo =H.S.J e +onfigurando clientes em :omnio, &eo =H.=R.F. 18.). Contas de '6&uinas de do'nio 0ma conta de m"!uina de domnio garante !ue nenhum outro computador possa utilizar o mesmo nome de uma m"!uina confi"vel e assim utilizar os compartilhamentos !ue ela tem permisso. Os clientes Windows NT, Windows XP eWindows 2000 precisam de uma conta de m"!uina para ter acesso ao domnio e seus recursos. 8 criao de uma conta de m"!uina bastante semelhante a criao da conta de um usu"rio normal no domnio. Existe uma coisa !ue precisa sempre ter em mente !uando estiver configurando uma conta de m"!uina de domnio; Luando voc4 cria uma conta para a m"!uina, ela entra e altera sua senha no pr$ximo logon usando um CsegredoC entre ela e o A:+, este segredo a identifica sempre como dona da!uele nome /et(,O&, ou sea, at o primeiro logon no /9, outra m"!uina com o mesmo nome /et(,O& poder" ser a dona do netbios na!uele domnio caso faa o logon no domnio. 8 <nica forma de se evitar isto logar imediatamente no domnio /9 assim !ue criar as contas de m"!uinas. Existem duas formas para criao de contas de m"!uinas; manual e autom"tica. 18.)..1 Criando contas de '6&uinas 'anua+'ente Aara criar uma conta de domnio para a m"!uina master, siga estes ? passos; +rie uma conta de m"!uina no ar!uivo /etc/passwd; useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null master$ O comando acima cria uma conta para a m"!uina master$ e torna ela parte do grupo domainmac. W necess"rio especificar o caracter $ ap$s o nome da m"!uina para criar uma conta de m"!uina no domnio, caso contr"rio o pr$ximo passo ir" falhar. 8credito !ue nas pr$ximas verses do &8'(8 sea desnecess"rio o uso do ar!uivo /etc/passwd para a criao de contas de m"!uina. +rie uma conta de m"!uina no ar!uivo /etc/samba/smbpasswd; smbpasswd -m -a master ,sto cria uma conta de m"!uina para o computador master no ar!uivo /etc/samba/smbpasswd. /ote !ue a criao de uma conta de m"!uina muito semelhante a criao de um usu"rio apenas precisa adicionar a opo -m. Luando for criar uma conta com o smbpasswd /o necess"rio especificar $ no final do nome da m"!uina. O mais importante; Entre IM;:IAGAM;5G; no domnio ap$s criar a conta de m"!uina usando a conta de administrador de domnio criada no &8'(8 #vea +riando uma conta de administrador de domnio, &eo =H.S.I%b como a m"!uina ainda no se autenticou pela primeira vez, !ual!uer m"!uina !ue tenha o mesmo nome e entre no domnio, poder" alocar o nome recm criado. 8 <nica forma de resolver este problema, apagando a conta de m"!uina e criando7a novamente no domnio. &iga os passos de acordo com o sistema operacional em +onfigurando clientes em :omnio, &eo =H.=R.F para colocar seus clientes em domnio. 0BS11 +omo segurana, recomendo desativar a conta de m"!uina no /etc/passwd usando o comando passwd -l conta. Esta conta /0/+8 dever" ser usada para login, isto deixa nossa configurao um pouco mais restrita. 0BS21 8 localizao do ar!uivo de senhas criptografadas do &8'(8 pode ser modificado atravs da opo smb passwd file na seo [global] do ar!uivo smb.conf. 0BS31 Os !ue tem experi4ncia com /9 e 1indo2s ?GGG devem ter notado !ue este mtodo semelhante ao do Server <anager das ferramentas de gerenciamentos de servidores existentes no 1indo2s. 18.)..2 Criando contas de '6&uinas auto'atica'ente 8travs deste mtodo, as m"!uinas clientes tero sua conta criada automaticamente assim !ue sea feita a entrada no domnio usando a conta do administrador de domnio no &8'(8. Este o mtodo recomend"vel de colocao de m"!uinas no domnio por ser mais pr"tica ao invs do mtodo manual. /ote !ue normalmente isto funciona para o 1in3A e 1in?GGG mas no funciona em redes com o /9R, devendo ser criadas contas de m"!uinas usando o mtodo manual. Aara fazer a configurao autom"tica, colo!ue a seguinte linha no ar!uivo smb.conf na seo [global]; add user script = useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null %u 8ssim, a conta de m"!uina ser" automaticamente criada !uando o administrador fizer sua configurao no domnio #vea +riando uma conta de administrador de domnio, &eo =H.S.I%. /o &8'(8 F.G, a opo add machine script dever" ser usada no lugar de add user script para adicionar uma m"!uina no domnio. 18.).$ Criando u'a conta de ad'inistrador de do'nio 8 conta de administrador do domnio a conta !ue tem permisses para realizar operaes de manuteno e administrao de m"!uinas !ue compem o domnio de rede. +om ela possvel, entre outras coisas, adicionar e remover m"!uina !ue compem o domnio. Aara especificar !ue contas de usu"rios do ar!uivo /etc/samba/smbpasswd !ue tero poderes administrativos, utilize a opo domain admin group ou admin users na seo [global] do ar!uivo /etc/samba/smb.conf. O parTmetro admin users permite !ue todas as operaes realizadas pelo usu"rio seam feitas com poderes de usu"rio root. ,sto necess"rio por!ue o ar!uivo smbpasswd #usado para austar as contas de m"!uinas% normalmente tem permisses de leitura*gravao somente para root. O domain admin group permite !ue usu"rios especficos ou usu"rios do grupo especificado seam parte do grupo de administradores do domnio para adicionar m"!uinas, etc. Aor exemplo, para tornar o usu"rio gleydson com privilgios para adicionar*remover m"!uinas no domnio; [global] ... admin users = gleydson ou domain admin group = @admins gleydson ,sto permite !ue o usu"rio gleydson possa adicionar*remover m"!uinas do domnio /9 #vea +onfigurando clientes em :omnio, &eo =H.=R.F% entre outras tarefas. Aor segurana, recomendo !ue colo!ue esta conta no invalid users de cada compartilhamento para !ue sea utilizada somente para fins de gerenciamento de m"!uinas no domnio, a menos !ue desee ter acesso total aos compartilhamentos do servidor #nesse caso, tenha consci4ncia do nvel de acesso !ue esta conta possui e dos problemas !ue pode causar caso caia em mos erradas%. 0BS11 9enha &E'AKE bastante cuidado com !uem dar" poderes de administrador de domnio, pois toda sua rede poder" ficar vulner"vel caso os cuidados de administrao no esteam em boas mos. 0BS21 Em verses antigas do &8'(8, somente o usu"rio root tem poderes para adicionar m"!uinas no domnio usando o parTmetro domain admins group, devendo ser tambm adicionado no ar!uivo smbpasswd para !ue possa fazer isto e obviamente no dever" estar listado em invalid users. 'esmo assim, existem outras formas explicadas no guia de se contornar o risco causado pela liberao de acesso do usu"rio root. 18.).) Criando Scri3ts de +o,on 0ma dos recursos mais <teis em um domnio a possibilidade de se executar comandos nas m"!uinas cliente !uando fazem o logon no domnio. :esta forma, possvel instalar programas, executar anti7vrus, mapear compartilhamentos automaticamente no clientes, etc. 8 programao de scripts de logon feita usando a linguagem em lote do :O&, com possibilidades de usar vari"veis de ambiente, c$pia de ar!uivos entre servidores, etc. O guia no ir" abordar a programao em linguagem de lote, mas isto simples de se encontrar na internet e mesmo a documentao !ue acompanha o pr$prio Windows <til. Aara habilitar o recurso de scripts de logon na m"!uina, adicione os seguintes parTmetros no ar!uivo smb.conf; [global] domain logons = yes logon script = logon.cmd
[netlogon] path = /pub/samba/netlogon read only = yes write list = ntadmin &egue a descrio de cada parTmetro com detalhes importantes para a configurao e funcionamento do recurso de logon; domain logons 7 :eve ser definido para yes para ativar o recurso de logon scripts do &8'(8. logon drive a unidade de disco !ue ter" o homedir do usu"rio mapeado. ,sto somente usado por m"!uinas /9*?GGG*3A. logon script 7 :efine !ual o script !ue ser" executado na m"!uina cliente !uando fizer o logon. Ele deve ser gravado no diret$rio especificado pela opo path do compartilhamento [netlogon] #/pub/samba/netlogon no exemplo%. Os scripts de logon podem ser tanto em formato .bat ou .cmd. &e for programar um script universal, recomend"vel o uso do formato .bat por ser compatvel tanto com Win9X eWinNT. 0m detalhe !ue deve ser lembrado durante a programao do script de logon !ue ele :;<; seguir o formato :O&, ou sea, ter os caracteres CR+LF como finalizador de linhas. Aara utilizar editores do 0/,3 para escrever este script, ser" necess"rio executar o programa flip #flip -m -b arquivo% ou unix2dos no ar!uivo para converte7lo em formato compatvel com o :O&. &egue abaixo um exemplo de script de logon !ue detecta !uando o cliente 1indo2s >J*/9, austa a hora com o servidor e mapeia ? unidades de disco; @echo off cls rem Logon Script desenvolvido por Gleydson Mazioli rem da Silva como modelo para o guia Foca GNU/Linux rem rem Este script pode ser utilizado para fins didticos rem e distribudo livremente de acordo com os termos rem da GPL rem echo "Aguarde enquanto sua mquina efetua" echo "o logon na rede do domnio focalinux." rem if %OS%==Windows_NT goto NT-2000 rem echo "--------------------------------" echo "SO: %OS%" echo "Usurio: %USERNAME%" echo "Grupo de Trabalho: %LANGROUP%" echo "Servidor: %DOMINIO%" echo "--------------------------------" echo "Recuperando compartilhamentos" rem mapeia o compartilhamento publico definido no servidor net use e: \\gleydson\publico echo "Sincronizando data/hora" rem sincroniza a data/hora com o servidor net time \\gleydson /set /yes goto fim rem rem :NT-2000 echo "--------------------------------" echo "SO: %OS%" echo "Usurio: %USERNAME%" echo "Windows: %windir%" echo "Logon de domnio: %LOGONSERVER%" echo "--------------------------------" echo "Recuperando compartilhamentos" net use e: \\gleydson\publico /persistent:yes echo "Sincronizando data/hora" net time \\gleydson /set /yes rem rem goto fim rem :fim /ote no exemplo acima !ue no podem haver linhas em branco, voc4 dever" utilizar a palavra rem #coment"rio em ar!uivos em lote% em seu lugar. /ote !ue existem diferenas entre o comando net do 1indo2s >x*'E e do /9, as vari"veis tambm possuem um significado diferente entre estes ? sistemas, isto explica a necessidade de se incluir um bloco separado detectando a exist4ncia de !ual sistema est" sendo efetuado o logon. 8 lista completa de vari"veis disponveis para cada sistema operacional pode ser obtida colocando7se set >c:\vars.txt !ue gravar" uma lista de vari"veis disponveis durante o logon no ar!uivo c:\vars.txt da m"!uina cliente. 0BS1 +aso especifi!ue um computador !ue contm o script de login, lembre7 se de faze7lo sempre com \ ao invs de / para no ter incompatibilidade com o Windows 95/3.11. AG;5H>01 6embre7se !ue copiar e colar pode no funcionar para este script. 6eia novamente esta seo do guia se estiver em d<vidas. 18.).8 Con/i,urando 3er/is de usu6rios Os profiles permitem !ue os clientes utilizem o mesmo perfil em !ual!uer m"!uina !ue ele se autenti!ue na rede. ,sto feito ap$s a autenticao copiando os ar!uivos !ue contm os dados de personalizao de usu"rios #user.dat,NTuser.dat% para a m"!uina local. Este processo tambm inclui a c$pia de papis de parede, lin)s da "rea de trabalho, cache do ,E, etc. Aara configurar o recurso de perfis m$veis no domnio, necess"rio adicionar os seguintes parTmetros no seu ar!uivo smb.conf; [global] security = user encrypt passwords = yes domain logons = yes logon drive = H: logon path = \\%N\profilesNT\%u logon home = \\%N\profiles\%u preserve case = yes short preserve case = yes case sensitive = no
[profiles] path = /pub/profiles read only = no create mask = 0600 directory mask = 0700
[profilesNT] path = /pub/profilesNT read only = no create mask = 0600 directory mask = 0700 &egue a descrio dos parTmetros de detalhes para seu funcionamento; O parTmetro domain logons = yes especifica !ue o servidor ser" usado para fazer logons no domnio. Luando este parTmetro definido para yes, a m"!uina automaticamente tentar" ser o A:+. logon path e logon home definem #respectivamente% o diret$rio de logon do /pub/profilesNT/usuario #NT% e /pub/profiles/usuario #Win95% respectivamente. :urante o logon, a vari"vel %N ser" substituda pelo nome do servidor #ou servidor de diret$rios, se for o caso% e a vari"vel %u pelo nome do usu"rio. O sistema operacional de origem detectado no momento da conexo. ,sto significa !ue o usu"rio poder" ter ? profiles diferentes, de acordo com o tipo de sistema operacional cliente !ue estiver conectando. O diret$rio home do usu"rio ser" mapeado para a unidade H: #logon drive = h:%. O parTmetro logon drive somente usado pelo /9*?GGG*3A. 8s opes preserve case, short preserve case e case sensitive permite !ue os nomes dos ar!uivos*diret$rios tenham as letras mai<sculas*min<sculas mantidas, isto re!uerido para os profiles. O compartilhamento dos ? profiles pode ser feito sem tantos traumas, mas isto no ser" explicado profundamente no guia pois o procedimento segue o mesmo padro do /9 sendo bastante documentado na internet. /ote !ue possvel definir um servidor separado para servir os profiles para um domnio modificando a vari"vel %N para apontar direto para a m"!uina. /a m"!uina !ue armazenar" os profiles, basta definir o nvel de segurana porservidor #security = server% e o endereo ,A do servidor de senhas #password server = IP%. 0BS11 Os perfis s$ funcionam caso o servidor de profiles contenha a opo security = user e encrypt passwords = yes ou security = server e password server = endereo_IP. +aso tenha problemas, verifi!ue se uma destas alternativas est" correta. 0BS21 Luando utiliza o &8'(8 com o 1indo2s ?GGG &A?, necess"rio adicionar a opo nt acl support = no no compartilhamento [profiles], caso contr"rio, ele retornar" um erro de acesso ao compartilhamento. 18.).- Modi/ica4es de 3er'iss4es de acesso 3e+os c+ientes do do'nio 0m usu"rio do 1indo2s /9 #ou verses baseadas neste% pode modificar as permisses dos ar!uivos*diret$rios !ue tem acesso atravs da caixa de di"logo de listas de acesso do /9, lembrando !ue estas permisses nunca substituiro as definidas pelo administrador local. 8 opo Cnt acl supportC dever" estar definida para C.esC na seo [global] do ar!uivo de configurao, caso contr"rio voc4 no ter" acesso para mudar as permisses atravs de caixas de di"logo do /9. c 18.8 Ati*ando o su3orte a sen"as cri3to,ra/adas O uso de senhas criptografadas um re!uisito !uando voc4 desea configurar o &8'(8 para ser um servidor A:+ ou um cliente de um domnio. Luando utiliza senhas criptografadas, elas trafegam em formato seguro atravs da rede, dificultando a captura por outras pessoas. Em verses mais recentes do 1indo2s #a partir da O&K*? e /9 R service pac)F% o suporte a senhas criptografadas vem habilitado como padro para login e utilizao de servios da rede. /o recomend"vel desativar o uso de senhas criptografadas, mas se mesmo assim for necess"rio vea &enhas criptografadas ou em texto purod, &eo =H.=?.=J. Luando usamos senhas criptografadas, elas so armazenadas no ar!uivo /etc/samba/smbpasswd ao invs do /etc/passwd, isto permite !ue possamos controlar as permisses de usu"rios separadamente das do sistema e diferenciar os logins do domnio dos logins do sistema #usu"rios !ue possuem shell%. +aso tenha um servidor !ue " possua muitas contas de usu"rios acessando em texto plano, recomendo ler 'igrando de senhas texto plano para criptografadas, &eo =H.H.= para facilitar o processo de migrao de contas. O utilit"rio smbpasswd o programa utilizado para gerenciar este ar!uivo de senhas e tambm o status de contas de usu"rios*m"!uinas do domnio. &iga estes passos para ativar o uso de senhas criptografadas no &8'(8; Edite o ar!uivo /etc/samba/smb.conf e altere as seguintes linhas na seo [global] para adicionar o suporte a senhas criptografadas; [global] encrypt passwords = true smb passwd file =/etc/samba/smbpasswd 8 linha encrypt passwords = true diz para usar senhas criptografadas e !ue o ar!uivo /etc/samba/smbpasswd contm as senhas #smb passwd file =/etc/samba/smbpasswd%. +aso sua m"!uina sea apenas um cliente de rede #e no um A:+%, voc4 pode pular para o passo onde o SAMBA reiniciado #no final dessa lista%, no necess"ria a criao do ar!uivo de senhas para autenticao pois os usu"rios sero validados no servidor. Execute o comando mksmbpasswd </etc/passwd >/etc/samba/smbpasswd. Ele pega toda a base de usu"rios do /etc/passwd e gera um ar!uivo /etc/samba/smbpasswd contendo as contas destes usu"rios. Aor padro, todas as contas so :E&89,M8:8& por segurana !uando este novo ar!uivo criado. O novo ar!uivo ter" o seguinte formato;
gleydson:1020:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXX XXXXXXXXX:[U ]:LCT-00000000:Gleydson Mazioli da Silva,,,
geovani:1004:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXX XXXXXXXX:[U ]:LCT-00000000:Geovani Mazioli da Silva,,, Os campos so separados por C;C e cada campo possui o seguinte significado; O primeiro o nome de usu"rio 0,: do usu"rio no sistema 0/,3 !ue a conta ser" mapeada. &enha 6an 'anager codificada em hex F? criado usando criptografia :E& usada pelo 1indo2s >J*>H*'E. &enha hash criada em formato do /9 codificada em hex F?. Esta senha criada pegando a senha do usu"rio, convertendo7a para mai<sculas, adicionados J b.tes de caracteres nulos e aplicando o algoritmo mdR. Opes da conta criada no smbpasswd; U 7 Especifica !ue a conta uma conta de usu"rio normal #vea 8dicionando usu"rios no smbpasswd , &eo =H.H.?% D 7 &ignifica !ue a conta foi desativada com a opo -d #vea :esabilitando uma conta no smbpasswd , &eo =H.H.R%. W 7 Especifica !ue a conta uma conta de m"!uina criada com a opo - m #vea +ontas de m"!uinas de domnio, &eo =H.S.J%. N 7 8 conta no possui senha #vea :efinindo acesso sem senha para o usu"rio, &eo =H.H.S%. Os caracteres C333333333333333C no campo da senha, indica !ue a conta foi recm criada, e portanto est" desativada. O pr$ximo passo ativar a conta para ser usada pelo &8'(8. AG;5H>01 O mtodo de criptografia usado neste ar!uivo no totalmente seguro. Kecomendo manter o ar!uivo de senhas smbpasswd em um diret$rio com a permisso de leitura somente pelo root. Aara ativar a conta do usu"rio gleydson, usamos o comando; smbpasswd -U gleydson :igite a senha do usu"rio e repita para confirmar. 8ssim !ue a senha for definida, a conta do usu"rio ativada. Moc4 tambm pode especificar a opo C7sC para entrar com a senha pela entrada padro #muito <til em scripts%. 8penas tenha cuidado para !ue esta senha no sea divulgada em seus ar!uivos*processos. Keinicie o processo do &8'(8 #vea ,niciando o servidor*reiniciando*recarregando a configurao, &eo =H.=.>%. Merifi!ue se o suporte a senhas criptografadas est" funcionando com o comando; smbclient -L localhost -U gleydson &ubstitua localhost pelo ,A do servidor e gleydson pelo usu"rio. +aso obtenha a mensagem session setup failed: NT_STATUS_LOGON_FAILURE significa !ue a senha informada est" incorreta. 18.8.1 Mi,rando de sen"as teAto 3+ano 3ara cri3to,ra/adas /o &8'(8, possvel fazer um processo de migrao de senhas em texto plano de usu"rios para criptografadas sem !ue eles deixem de acessar o servidor durante esta mudana. +aso este sea seu caso, insira o parTmetro update encrypted = yes na seo [global] do seu ar!uivo de configurao smb.conf. 8 senha criptografada definida assim !ue o usu"rio se logar usando sua senha em texto plano. /o se es!uea de desativar esta opo ou remove7la ap$s o prazo necess"rio para !ue todas as senhas seam trocadas. 18.8.2 Adicionando usu6rios no smbpasswd 8 adio de um usu"rio no smbpasswd segue duas etapas; primeiro necess"rio adiciona7lo no sistema com o adduser e depois no samba com o smbpasswd. Moc4 deve estar se perguntando !ual a vantagem de se ter um ar!uivo separado de usu"rios se ainda preciso criar o login nos dois ar!uivos\ O SAMBA para fazer o controle de acesso aos ar!uivos utiliza alm dos mecanismos tradicionais do /9, o controle de permisses a nvel 0/,3 para manter os ar!uivos ainda mais restritos. 8lm disso, ser" necess"rio usu"rios e grupos para criao e acesso ao sistema. 8dicione um usu"rio no sistema com o comando; useradd -g grupo-dominio -c "Usurio de Domnio" -s /bin/false -d /dev/null joao Este comando adiciona o usu"rio CoaoC no grupo grupo-dominio e no define hem uma shell, diret$rio home nem senha para este usu"rio. ,sto mantm o sistema mais seguro e no interfere no funcionamento do &8'(8, pois somente necess"rio para fazer o mapeamento de 0,:*5,: de usu"rios com as permisses do sistema 0/,3. W interessante padronizar os usu"rios criados no domnio para um mesmo grupo para pes!uisa e outras coisas. +rie o usu"rio CoaoC no &8'(8; smbpasswd -a joao &er" solicitada a senha do usu"rio. 18.8.3 %e'o*endo usu6rios do smbpasswd 0tilize o comando smbpasswd -x usuario para remover um usu"rio do ar!uivo smbpasswd. &e desear, voc4 pode manter o usu"rio no /etc/passwd ou remove7lo com o userdel. 0BS1 Kemovendo um usu"rio deste ar!uivo far" !ue ele no tenha mais acesso ao &8'(8. 0tilize o comando smbpasswd -a teste 18.8.4 :esabi+itando u'a conta no smbpasswd +omo administrador, pode ser necess"rio !ue precise desativar temporariamente uma conta de usu"rio por alguma situao !ual!uer #m" utilizao de recursos, d<vida se a conta est" sendo usada, para !ue ele ligue reclamando de autenticao para ter a!uela deseada conversa #hehe%, etc.%. Kemover uma conta e novamente adiciona7la ento no uma situao muito pr"tica. 0tilize ento o seguinte comando para desativar uma conta de usu"rio; smbpasswd -d usuario Luando a conta de usu"rio desativada, uma flag C:C adicionada @s opes do usu"rio #unto com as opes C03C%. Mea Nabilitando uma conta no smbpasswd , &eo =H.H.J para reativar a conta. 18.8. Habi+itando u'a conta no smbpasswd 0ma conta desativada com o uso do comando smbpasswd -d pode ser novamente ativada usando; smbpasswd -e usuario 18.8.$ A+terando a sen"a de u' usu6rio O utilit"rio smbpasswd pode ser usado tanto para alterar a senha de usu"rios locais do SAMBA ou de uma conta em um servidor remoto #sea SAMBA, NT, W2K%. Aara alterar a senha de um usu"rio local, digite; smbpasswd -U usuario 6he ser" pedida a antiga senha, a nova senha e a confirmao. +aso sea o usu"rio root, somente a nova senha e a confirmao. ,sto mecanismo de proteo para usu"rios !ue es!uecem a senha \7% Aara alterar a senha de um usu"rio remoto, utilize; smbpasswd -r servidor -U usuario /ote !ue apenas foi adicionada a opo -r servidor comparado com a opo anterior. 8 diferena !ue a senha antiga do usu"rio sempre ser" solicitada para troca #pois o root das ? m"!uinas pode no ser o mesmo%. 18.8.) :e/inindo acesso se' sen"a 3ara o usu6rio Aara fazer um usu"rio acessar sem senha, use o comando; smbpasswd -n usuario ,sto completamente desencoraado e necessita !ue a opo null passwords da seo [global] no ar!uivo smb.conf estea austada para yes #&ue 5>0 # o 3adro%. 18.- Ati*ando o su3orte a sen"as e' teAto 3+ano Esta forma de autenticao enviada por implementaes /et(,O& antigas, como a encontrada no Lan Manager, Windows for Workgroups e Windows 95 OSR1. 8s verses mais novas destas implementaes enviam a senha em formato criptografado, sendo necess"rio tambm usar o formato criptografado no &8'(8 para !ue possa se autenticar #vea 8tivando o suporte a senhas criptografadas, &eo =H.H%. Em &enhas criptografadas ou em texto purod, &eo =H.=?.=J feita uma comparao entre o uso de autenticao usando senhas em texto plano e senhas criptografadas. Em geral, o administrador prefere a utilizao da autenticao usando texto plano !uando desea usar o /etc/passwd para autenticao e est" usando grupos de trabalho necess"rio usar senhas criptografadas para autenticao%. Aara configurar o SAMBA para utilizar senhas em texto, modifi!ue o parTmetro encrypt passwords para no; [global] encrypt passwords = no Keinicie o SAMBA #,niciando o servidor*reiniciando*recarregando a configurao, &eo =H.=.>% e a partir de agora, ele usar" o /etc/passwd para autenticao. 0BS1 9enha certeza de no estar participando de um domnio ou !ue sua m"!uina sea o A:+ antes de fazer esta modificao. 18.-.1 Con/i,urando o acesso de c+ientes 3ara uso de sen"as e' teAto 3+ano Esta seo descreve como configurar clientes para acessar o servidor SAMBA usando autenticao em texto plano. 8tualmente o guia cobre os seguintes clientes; 6an 'anager, &eo =H.>.=.= 1indo2s for 1or)groups, &eo =H.>.=.? 1indo2s >J * 1indo2s >J8, &eo =H.>.=.F 1indo2s >J(, &eo =H.>.=.R 1indo2s >H*>H&E, &eo =H.>.=.J 1indo2s 'E, &eo =H.>.=.I 1indo2s /9 &erver*1or)&tation, &eo =H.>.=.S 1indo2s ?GGG, &eo =H.>.=.H 6inux, &eo =H.>.=.> Em cada seo, tambm explicado como habilitar novamente a autenticao usando senhas criptografadas #se suportado pelo cliente%. 18.-.1.1 ?an Mana,er +liente /et(,O& para :O&. Ele trabalha somente com senhas em texto plano. 18.-.1.2 Dindo(s /or DorI,rou3s Este o padro de autenticao do Windows for Workgroups caso no tenha feito nenhuma alterao especfica #mas desconheo algo !ue faa7o trabalhar com senhas criptografadas%. 18.-.1.3 Dindo(s - . Dindo(s -A O Windows 95 at a release C8C, utiliza texto plano como padro para autenticao #vea !ual a release clicando com o boto direito em <eu 4omputador e 0ropriedades. 18.-.1.4 Dindo(s -B +opie o seguinte conte<do para um ar!uivo chamado win95-textoplano.reg; REGEDIT4
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP] "EnablePlainTextPassword"=dword:00000001 8p$s isto, execute no Windows 95 o seguinte comando; regedit win95- textoplano.reg e reinicie o computador para fazer efeito. Aara voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no ar!uivo e executa novamente o regedit. 18.-.1. Dindo(s -8.-8S; O procedimento id4ntico ao 1indo2s >J(, &eo =H.>.=.R. 18.-.1.$ Dindo(s M; O procedimento id4ntico ao 1indo2s >J(, &eo =H.>.=.R. 18.-.1.) Dindo(s 5G Ser*er.DorIStation +opie o seguinte conte<do para um ar!uivo chamado winNT-textoplano.reg; REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters] "EnablePlainTextPassword"=dword:00000001 8p$s isto, execute no Windows NT o seguinte comando; regedit winNT- textoplano.reg e reinicie o computador para fazer efeito. Aara voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no ar!uivo e execute novamente o regedit. 18.-.1.8 Dindo(s 2222 +opie o seguinte conte<do para um ar!uivo chamado win2000- textoplano.reg; REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStatio n\Parameters] "EnablePlainTextPassword"=dword:00000001 8p$s isto, execute no Windows 2000 o seguinte comando; regedit win2000-textoplano.reg e reinicie o computador para fazer efeito. Aara voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no ar!uivo e execute novamente o regedit. 18.-.1.- ?inuA ,nclua*modifi!ue a linha encrypt passwords = no no ar!uivo smb.conf e reinicie o SAMBA. Aara voltar a utilizar criptografia, vea 8tivando o suporte a senhas criptografadas, &eo =H.H. 18.12 Ma3ea'ento de usu6rios.,ru3os e' c+ientes O mapeamento de usu"rios do servidor remoto com a m"!uina local usado !uando voc4 desea controlar o acesso aos ar!uivos*diret$rios a nvel de usu"rio. /o Windows isto permite !ue cada ar!uivo*diret$rio tenha o acesso leitura*gravao somente para os usu"rios definidos e autenticados no controlador de domnio. /o Linux as permisses de ar!uivos e diret$rios podem ser definidas para o usu"rio do A:+, garantindo o mesmo nvel de controle de acesso. Esta seo explica como configurar o mapeamento de 0,:*5,: entre o servidor A:+ &8'(8 e seus clientes /et(,O& 1indo2s e 6inux. 18.12.1 Ma3ea'ento de usu6rios.,ru3os do'nio e' Dindo(s Aara o Windows utilizar os usu"rios remotos do servidor para fazer seu controle de acesso por nvel de usu"rio, siga os seguintes passos; 1indo2s >3 Entre no 0ainel de 4ontrole*0ropriedades de 1ede e cli!ue na tab 4ontrole de 7cesso. 'ar!ue a opo 4ontrole de acesso a n(vel de usu.rio e colo!ue o nome da m"!uina A:+ na caixa de di"logo de onde os usu"rios*grupos sero obtidos. Moc4 tambm pode colocar o nome do grupo de trabalho, neste caso a m"!uina far" uma busca pelo A:+ ou outra m"!uina de onde pode obter os nomes de usu"rios*grupos. 0BS1 Aara fazer isto, voc4 dever" estar autenticado no domnio. 18.12.2 Ma3ea'ento de usu6rios.,ru3os do'nio e' ?inuA 8 associao de 0,:s de usu"rios de um domnio com usu"rios locais no Linux feita pelo programa winbind. Ele utiliza o mecanismo nsswitch para obter outras fontes de dados de usu"rios e os associa nas ferramentas de gerenciamento de contas existentes no sistema. &iga estes passos para fazer sua instalao e configurao do Winbind em um servidor Linux; ,nstale o programa winbind; apt-get install winbind. 'odifi!ue o ar!uivo smb.conf adicionando as seguintes linhas na seo [global]; winbind separator = + winbind cache time = 30 winbind uid = 10000-15000 winbind gid = 10000-12000 winbind enum users = yes winbind enum groups = yes template homedir = /home/winbind/%D/%U template shell = /bin/false Onde 2inbind separator &eparador usado para separar o nome dos grupos do nome de domnio. Este parTmetro somente tem sentido !uando usado em conunto com um A:+ 1indo2s ou !uando os m$dulos pam_winbind.so enss_winbind.so esto sendo utilizados. 2inbind cache time :efine a !uantidade de tempo em segundos !ue um nome*grupo permanecer" no cache local para no ser feita uma nova consulta no servidor A:+. 2inbind uid Especifica o intervalo !ue ser" usado para mapear os nomes de usu"rios remotos como 0,:s locais. Moc4 precisar" ter certeza !ue nenhum 0,: nesse intervalo usado no sistema, como pelo 6:8A, /,& ou usu"rios normais. Aor padro, os ,:& de usu"rios normais na maioria dos sistemas 6inux, comeam por =GGG. /o exemplo sero usados os 0,:s de =GGGG a =JGGG para mapeamento e 0,:s dos usu"rios do domnio para usu"rios locais. 2inbind gid Especifica o intervalo de 5,:s !ue ser" usado para mapear os nomes de grupos remotos do domnio como 5,:s locais. +omo no parTmetro winbind uid, voc4 dever" ter certeza !ue esta faixa de 5,:s no est" sendo usada em seu sistema. 0BS1 8tualmente SAMBA no possui suporte a grupos globais, apenas para usu"rios globais, desta forma os grupos da m"!uina remota no sero trazidos para o sistema. 0ma forma de contornar isto, utilizando o 6:8A ou o /,& no A:+ e nos clientes Linux. 2inbind enum users Aermite enumerar usu"rios do 2inbind para retornarem dados !uando solicitados. 8 no ser !ue possua uma instalao parecida em todas as m"!uinas #como com o uso de 6:8A e /,&% responda C.esC para no ter problemas. 2inbind enum groups Aermite enumerar grupos do 2inbind para retornarem dados !uando solicitados. 8 no ser !ue possua uma instalao parecida em todas as m"!uinas #como com o uso de 6:8A e /,&% responda C.esC para no ter problemas. template homedir Luando o sistema cliente for um 1indo2s /9 ou baseado, este diret$rio ser" retornado como diret$rio de usu"rio para o sistema. O parTmetro V: ser" substitudo pelo nome do domnio e V0 pelo nome de usu"rio durante a conexo. template shell Este ser" o shell enviado para m"!uinas /9 ou baseadas nele como shell usado para login. O valor usado foi /bin/false pois desabilita os logons, mas voc4 poder" usar /bin/sh #ou algum outro shell% para efetuar conexes do comando net ou outras ferramentas /et(E0, ao servidor. Keinicie o servidor SAMBA Edite o ar!uivo /etc/nsswitch.conf alterando a ordem de pes!uisa de nomes de usu"rios e grupos do sistema local para a seguinte; passwd: files winbind group: files winbind shadow: compat 8gora, inicie o daemon winbind local com o comando; /etc/init.d/winbind restart. Entre no domnio com o comando; smbpasswd -j domnio -r nome_do_PDC -U usuario #vea 6inux, &eo =H.=R.F.> para aprender como entrar no domnio em caso de d<vidas%. 8gora faa o teste para obter a listagem dos grupos e usu"rios do domnio do A:+ digitando; wbinfo -u wbinfo -g getent passwd getent group +aso isto no acontea, revise suas configuraes e vea os logs procurando por erros !uando o winbind tenta obter a lista de usu"rios*grupos do domnio. 8gora voc4 deve ser capaz de criar diret$rios*ar!uivos locais usando os nomes de usu"rios*grupos do domnio. 6embre7se de reiniciar sempre o winbind !uando reiniciar o &8'(8 por alguma modificao for feita #ao mesmo !ue saiba !ue no afeta o winbind%, assim como entrar novamente no domnio, caso contr"rio o mapeamento deixar" de funcionar. 0BS1 8tualmente, o winbind no oferece suporte a restries por data*hora de logon para estaes de trabalho. ,sto dever" ser implementado em uma futura verso 18.11 Co'3arti+"a'ento de i'3resso no ser*idor SAMBA Este captulo documenta como configurar o seu servidor samba para permitir o acesso a compartilhamento de ar!uivos e impresso no sistema. 18.11.1 Con/i,urando o ?inuA co'o u' ser*idor de i'3resso Dindo(s &er" necess"rio ter o pacote samba instalado e adicionar as seguintes linhas no seu ar!uivo /etc/samba/smb.conf; [hp-printer] path = /tmp printer name=HP DeskJet 690C printable = yes print command = lpr -r -h -P %p %s valid users = winuser winuser2 create mode = 0700 O compartilhamento acima tornar" disponvel a impressora local ClpC as m"!uinas 1indo2s com o nome CNA :es)eet I>G+C. 0ma impressora alternativa pode ser especificada modificando a opo =0 da linha de comando do lpr. /ote !ue somente os usu"rios C2inuserC e C2inuser?C podero usar esta impressora. Os ar!uivos de spool #para gerenciar a fila de impresso% sero gravador em /tmp #path = /tmp% e o compartilhamento [hp- printer] ser" mostrado como uma impressora #printable = yes%. 8gora ser" necess"rio instalar o driver desta impressora no 1indo2s #NA I>G+% e escolher impressora instalada via rede e seguir os demais passos de configurao. 18.12 Contro+e de acesso ao ser*idor SAMBA Este captulo documenta o controle de acesso ao servidor samba e restries. 18.12.1 5*e+ de acesso de usu6rios conectados ao SAMBA Luando acessa um compartilhamento, o usu"rio do samba mapeado com o 0,: respectivo de usu"rio do sistema ou o usu"rio guest #especificado pela opo Cguest accountC% no caso de um acesso p<blico. Luando isto ocorre, um processo filho do smbd executado sobre o 0,: e 5,: deste usu"rio. ,sto significa !ue em nenhuma ocasio o SAMBA dar" mais permisses !ue as necess"rias para o usu"rio #com excesso de !uando usado o parTmetro admin users, vea +riando uma conta de administrador de domnio, &eo =H.S.I%. 18.12.2 %estrin,indo o acesso 3or IF.rede Esta restrio pode ser feita pelos parTmetros allo$ hosts e deny hosts tanto em servios individuais ou em todo o servidor. Os parTmetros hosts allo$ e hosts deny so e!uivalentes a estes acima. O allo$ hosts permite o acesso a m"!uina especificadas como argumento. &o permitidos os seguintes mtodos para permitir o acesso a uma m"!uina*rede; 192.168.1.1 7 ,A da m"!uina servidor 7 /ome da m"!uina 192.168.1.0/255.255.255.0 7 ,A com m"scara de rede 192.168.1.0/24 7 ,A com m"scara de rede octal 192.168.1. 7 Aoro de rede sem o host #como no hosts.allow e hosts.deny. @nome 7 Aes!uisa por m"!uinas no grupo /,&. W permitido usar mais de um endereo ,A separando7os por vrgulas ou espaos. 8 palavra chave 2>420% pode ser usada para fazer excesso de um ou mais endereos ,As, por exemplo; hosts allow = 192.168.1. EXCEPT 192.168.1.20 Lue permite o acesso a toda as m"!uinas da faixa de rede 192.168.1.0/24 exceto para a 192.168.1.20. O deny hosts possui a mesma sintaxe do allo$ hosts mas blo!ueia o acesso das m"!uinas especificadas como argumento. Luando o allo$ hosts e deny hosts so usados untos, as m"!uinas em allo$ hosts tero prioridade #processa primeiro as diretivas em allo$ hosts e depois em deny hosts%. 0BS1 O endereo de loopbac) #=?S.G.G.=% nunca blo!ueado pelas diretivas de acesso. Arovavelmente deve ter notado por!ue o endereo de loopbac) no pode ser blo!ueado e as conse!_4ncias disto para o &8'(8. &e voc4 est" executando o &8'(8 via inetd, os ar!uivos hosts.allow e hosts.deny so verificados antes do controle e acesso allo$ hosts e deny hosts para controle de acesso ao smbd. +aso estiver usando o &8'(8 viainetd e desea restringir o acesso usando 9+A 1rappers, vea O mecanismo de controle de acessos tcpd, &eo R.H.F. 0BS1 6embre7se de usar o testparm para verificar a sintaxe do ar!uivo smb.conf sempre !ue desconfiar de problemas #vea (uscando problemas na configurao, &eo =H.?.==%. 18.12.2.1 Gestando a restrio de Acesso 3or IF.%edes 0m mtodo interessante e <til para testar se a nossa configurao vai blo!uear o acesso a servios usando o testparm da seguinte forma; testparm /etc/samba/smb.conf IP/host Moc4 precisar" dizer para o testparm !ual o ar!uivo de configurao !ue est" usando e o endereo ,A*nome de host !ue far" a simulao de acesso. Este mtodo no falsifica o endereo ,A para testes, apenas usa os valores emallo$ hosts e deny hosts para checagem. Aor exemplo, para verificar o acesso vindo do ,A 192.168.1.50; testparm /etc/samba/smb.conf 192.168.1.50 Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[printers]" Processing section "[tmp]" Processing section "[cdrom]" Loaded services file OK. Allow connection from /etc/samba/smb.conf (focalinux) to homes Allow connection from /etc/samba/smb.conf (focalinux) to printers Allow connection from /etc/samba/smb.conf (focalinux) to tmp Allow connection from /etc/samba/smb.conf (focalinux) to cdrom 18.12.3 %estrin,indo o acesso 3or inter/ace de rede Esta restrio de acesso permite !ue faamos o &8'(8 responder re!uisies somente para a interfaces indicadas. O mtodo de segurana descrito em Kestringindo o acesso por ,A*rede, &eo =H.=?.? sero analisadas logo ap$s esta checagem. Aara restringir o servio &8'(8 a interfaces, primeiro ser" necess"rio ativar o parTmetro bind interfaces only usando 1, yes ou true #o padro desativado%. :epois, definir !ue interfaces sero servidas pelo samba com o parTmetro interfaces. Os seguintes formatos de interfaces so permitidos; eth0, sl0, plip0, etc 7 0m nome de interface local. W permitido o uso de * para fazer o &8'(8 monitorar todas as interfaces !ue iniciam com a!uele nome #por exemplo, eth*%. 192.168.1.1, 192.168.1.2, etc 7 0m endereo ,A de interface local. 192.168.1.2/24, 192.168.1.2/255.255.255.0 7 0m par de endereo*m"scara de rede. 'ais de uma interface pode ser usada separando7as com vrgula ou espaos. 8 escolha do uso de nome da interface ou do ,A feita de acordo com a configurao da m"!uina. Em uma m"!uina :N+A por exemplo, recomendado o uso do nome da interface. Luando bind interfaces only estiver ativado, o padro esperar conexes em todas as interfaces !ue permitem broadcast exceto a loopbac). Exemplo; bind interfaces only = 1 interfaces = loopback eth0 Aermite o recebimento de re!uisies de acesso ao SAMBA somente da interface loopback #desnecess"rio, pois como notou durante a leitura, sempre permitida a conexo% e eth0. 18.12.4 %estrin,indo o acesso 3or usu6rios Aermite !ue voc4 controle !uem poder" ou no acessar o compartilhamento da m"!uina. Este controle feito pelos parTmetros valid users e invalid users. O invalid users lista de usu"rio !ue 5>0 tero acesso ao compartilhamento. &e o nome for iniciado por CaC o parTmetro ser" tratado como um nome de grupo 0/,3 #/etc/group%. O caracter CfC faz ele pes!uisar o nome de grupo no banco de dados /,&. O caracter CBC permite fazer a busca do grupo primeiro no banco de dados /,& e caso ele no sea encontrado, no ar!uivo de grupos do sistema #/etc/group%. W possvel usar a combinao de caracteres CafC e CfaC para alternar a ordem de busca enter o /etc/group e o N3S. Exemplos; invalid users D unior, marcio, abadusers /o permite !ue os usu"rios especificados e os usu"rios do grupo +badusers tenham acesso ao compartilhamento. invalid users D f\semacesso (lo!ueia o acesso de todos os usu"rios /,& !ue pertenam ao grupo semacesso. invalid users D bruno, henri!ue, aBusers, (lo!ueia o acesso dos usu"rios bruno, henri!ue e de todos os usu"rios !ue pertenam ao grupo users. 8 pes!uisa de grupo feita primeiro no /etc/group e em seguida no /,&. invalid users D Bsemacesso (lo!ueia o acesso dos usu"rios !ue pertencem ao grupo CsemacessoC. 8 pes!uisa feita primeiro no /,& e depois no /etc/group #e!uivalente ao uso de CfaC%. O valid users possui a mesma sintaxe de funcionamento do invalid users, mas permite somente o acesso para os usu"rios*grupos listados. +aso a opo valid users no sea especificada ou a lista estea vazia, o acesso permitido. &e um mesmo nome de usu"rio estiver na lista valid users e invalid users, o padro ser mais restritivo, negando o acesso. valid users = gleydson, michelle, geo 8 segurana deste mtodo de acesso depende muito da forma de autenticao dos nomes antes de passar o controle para o &8'(8, pois uma autenticao fraca pe em risco a segurana da sua m"!uina. 18.12. ;*ite o uso do 3ar@'etro hosts equivJ Este parTmetro permite !ue m"!uinas tenham acesso sem senha a um servidor. ,sto pode se tornar um [E/OK'E[ buraco na segurana do seu sistema, pois mesmo usando uma senha inv"lida, a m"!uina poder" ter acesso a todos os recursos do compartilhamento e no complicado fazer um ata!ue usando :/& spoofing. &e realmente desea fazer isto, tenha em mente os dados !ue podero ser acessados da!uela m"!uina, se realmente no existe nenhuma outra forma de disponibilizar o acesso de forma !ue mantenha o controle de restries #usando todos os outros mtodos%, restrina o acesso usando '8+ 8ddress com o iptables ou o arp #vea Kestries por '8+ 8ddress*,A, &eo =>.S%. O padro no usar nenhum ar!uivo hosts.equiv. 18.12.$ ;*ite o uso de sen"as e' brancoJ O parTmetro null passwords usado na seo !global" permitindo !ue contas de usu"rios sem senha tenham acesso permitido ao servidor. ISG0 K G0GA?M;5G; I5S;9B%0 e deve ser sempre evitado. +aso voc4 tenha feito uma bela restrio em sua m"!uina e desea !ue o seu shell script de c$pia de ar!uivos funcione usando este mtodo, voc4 est" ogando toda a segurana do seu sistema por ralo abaixo. /o existe motivo para usar senhas em branco em um controle de acesso por usu"rio, a no ser !ue precise testar algo realmente tempor"rio e !ue depurando algo no &8'(8. 18.12.) Criando u' co'3arti+"a'ento 3ara acesso se' sen"a Em algumas situaes #mesmo em instalaes seguras% preciso tornar um compartilhamento acessvel publicamente, exemplos disto incluem um diret$rio !ue contm drivers de impressoras, ar!uivos comuns, um diret$rio tempor"rio, etc. Aara configurar um acesso p<blico utilizamos a opo public = yes ou guest ok = yes #!ue um sinXnimo para o <ltimo comando%. O 0,: utilizado no acesso p<blico especificado pelo parTmetro guest account, portanto ele dever" ser um usu"rio v"lido do sistema. +aso voc4 !ueira somente definir acesso guest a um compartilhamento, especifi!ue a opo guest only para o servio, desta forma, mesmo !ue o usu"rio tenha acesso, ele ser" mapeado para o usu"rio guest. 0ma boa medida de segurana usar o usu"rio nobody pois a maioria das distribuies de Linux seguras adotam7o como padro como usu"rio !ue no dono de !uais!uer ar!uivos*diret$rios no sistema, no possui login, senha ou se!uer um diret$rio home. Mea um exemplo disponibilizando o compartilhamento [download] para acesso p<blico com acesso a gravao; [global] guest account = nobody .. ..
[download] path = /downloads comment = Espao pblico para abrigar downloads de Usurios guest ok = yes (aqui poder ser tambm "public = yes"). writable = yes follow symlinks = false O parTmetro guest account tambm poder" ser especificado no compartilhamento, isto <til !uando no !uiser !ue o usu"rio !ue acesse o compartilhamento no sea o mesmo usado na diretiva OglobalQ. +aso seu servidor somente disponibiliza compartilhamentos para acesso p<blico, mais recomendado utilizar o nvel security = share pra diminuir a carga m"!uina, pois o usu"rio guest ser" o primeiro a ser checado pelas regras de acesso #ao contr"rio do nvel user, onde o acesso guest o <ltimo checado%. 0BS1 6embre7se !ue o compartilhamento funciona de modo recursivo, ou sea, todos os ar!uivos e subdiret$rios dentro do diret$rio !ue compartilhou sero disponibilizados, portanto tenha certeza da importTncia dos dados !ue existem no diret$rio, verifi!ue se existem lin)s simb$licos !ue apontam para ele, etc. Kecomendo dar uma olhada r"pida em +onsideraes de segurana com o uso do parTmetro Cpublic D .esC, &eo =H.=?.=R. 18.12.8 Criando u' co'3arti+"a'ento co' acesso so'ente +eitura Esta proteo <til !uando no deseamos !ue pessoas alterem o conte<do de um compartilhamento. ,sto pode ser feito de duas formas; negando o acesso de gravao para todo o compartilhamento ou permitindo leitura somente para algumas pessoas. O parTmetro usado para fazer a restrio de acesso somente leitura o read only = yes ou seu antXnimo writable = no. 8baixo seguem os dois exemplos comentados; [teste] comment = Acesso a leitura para todos path = /tmp read only = yes public = yes /o exemplo acima, o diret$rio /tmp #path 9tmp% foi compartilhado com o nome teste #!teste"%, de forma p<blica #acesso sem senha 7 public yes%, e todos podem apenas ler seu conte<do read only yes%. [teste] comment = Acesso a gravao para todos com excesses path = /tmp read only = no read list = @users, gleydson invalid users = root /este, o mesmo compartilhamento teste #!teste"% foi definido como acesso leitura*gravao para todos #read only no%, mas os usu"rios do grupo ?users e o usu"rio gleydson tero sempre acesso leitura #read list ?users@ gleydson%. 8dicionalmente foi colocada uma proteo para !ue o superusu"rio no tenha acesso a ele #invalid users root%. Esta forma de restrio explicada melhor em Excesso de acesso na permisso padro de compartilhamento, &eo =H.=?.=G%. 18.12.- Criando u' co'3arti+"a'ento co' acesso +eitura.,ra*ao Esta forma de compartilhamento permite a alterao do conte<do do compartilhamento dos usu"rios !ue possuem as permisses de acesso apropriadas. Este controle pode ser feito de duas formas; 8cesso total de gravao para os usu"rios e acesso de gravao apenas para determinados usu"rios. Este controle feito pela opo read only = no e seu antXnimo e!uivalente writable = yes. 8baixo dois exemplos; [teste] comment = Acesso de gravao para todos. path = /tmp writable = yes public = yes /o exemplo acima, o diret$rio /tmp #path D *tmp% foi compartilhado com o nome teste #OtesteQ%, de forma p<blica #acesso sem senha 7 public D .es% e todos podem ler*gravar dentro dele #2ritable D .es%. [teste] comment = Acesso a leitura para todos com excesses path = /tmp writable = no write list = @users, gleydson /este, o mesmo compartilhamento teste #!teste"% foi definido como acesso de leitura para todos #$ritable no%, mas os usu"rios do grupo ?users e o usu"rio gleydson sero os <nicos !ue tero tambm acesso a gravao #$rite list ?users@ gleydson%. Esta forma de restrio explicada melhor em Excesso de acesso na permisso padro de compartilhamento, &eo =H.=?.=G%. 18.12.12 ;Acesso de acesso na 3er'isso 3adro de co'3arti+"a'ento W possvel alterar o nvel de acesso para determinados usu"rios*grupos em um compartilhamento, para entender melhor; +aso tenha criado um compartilhamento somente leitura e !ueira permitir !ue apenas alguns usu"rios ou grupos tenham acesso a gravao, isto possvel e ser" explicado nesta seo. Este comportamento controlado por duas opes; read list e write list. Mea alguns exemplos; [temporario] comment = Diretrio temporrio path = /tmp writable = yes read list = gleydson, root browseable = no available = yes /este exemplo, disponibilizamos o diret$rio /tmp #path 9tmp% como compartilhamento de nome temporario #!temporario"%, seu acesso padro leitura*gravao para todos #$ritable yes%, exceto para os usu"rios root egleydson #read list root@ gleydson%. Em adio, tornamos o compartilhamento invis(vel #vea +riando um compartilhamento invisvel, &eo =H.=?.=?% no C8mbiente de KedeC do 1indo2s #bro$seable no% e ele ser" lido e disponibilizado pelo &8'(8 #available yes%. [temporario] comment = Diretrio temporrio path = /tmp writable = no write list = gleydson, @operadores browseable = yes /este exemplo, disponibilizamos o diret$rio /tmp #path 9tmp% como compartilhamento de nome temporario #!temporario"%, seu acesso padro apenas leitura para todos #$ritable no%, exceto para o usu"rio gleydson e usu"rios do grupo 0nix operadores, !ue tem acesso a leitura*gravao #$rite list gleydson@ ?operadores%. 9ornamos o compartilhamento vis(vel no C8mbiente de KedeC do 1indo2s #bro$seable yes 7 !ue o padro%. 18.12.11 %estrin,indo o IFCL e A:MI5L W seguro restringir os servios IPC$ e ADMIN$ para acesso somente pelas faixas de rede de confiana. ,sto pode ser feito atravs da mesma forma !ue a restrio em outros compartilhamentos. Os efeitos desta restrio sero !ue somente as redes autorizadas possam obter a lista de m"!uinas, se autenticar no domnio e realizar tarefas administrativas gerais; [IPC$] read only = yes allow from 192.168.1.0/24
[ADMIN$] read only = yes allow from 192.168.1.0/24 O exemplo acima permite !ue os servios IPC$ e ADMIN$ seam acessados de !ual!uer m"!uina na faixa de rede 192.168.1.0/24. Aara forar a autenticao para acesso a estes servios; [IPC$] invalid users = nobody valid users = gleydson michelle read only = yes allow from 192.168.1.0/24
[ADMIN$] invalid users = nobody valid users = gleydson michelle read only = yes allow from 192.168.1.0/24 Os exemplos acima so similares ao de antes, mas o acesso a listagem dos compartilhamentos restringida #invalid users nobody%, pois o usu"rio nobody #usado para mostrar o compartilhamento% tem o acesso negado. &omente os usu"rios gleydson e michelle #valid users gleydson michelle% podem listar seu conte<do. 0BS1 'esmo !ue esteam restritos, os servios IPC$ e ADMIN$ sempre podero ser acessados de =?S.G.G.=, ou teramos problemas com o funcionamento do &8'(8. 8ssim no necess"rio colocar =?S.G.G.= na lista de ,As autorizados. 18.12.12 Criando u' co'3arti+"a'ento in*is*e+ Aara no exibir um compartilhamento da lista de compartilhamentos das m"!uinas, utilize o parTmetro browseable = no. Aor exemplo; [teste] path = /tmp comment = Diretrio temporrio read only = yes browseable = no /este exemplo, o diret$rio /tmp #path 9tmp% foi compartilhado atravs de teste #!teste"% com acesso somente leitura #read only yes% e ele no ser" mostrado na listagem de compartilhamentos do ambiente de rede do 1indo2s #bro$seable no%. /ote !ue o compartilhamento continua disponvel, porm ele poder" ser acessado da estao 1indo2s, especificando a ccma!uinaccompartilhamento. Aara acessar o compartilhamento do exemplo acima; # Clique em Iniciar/Executar e digite: \\nome_do_servidor_samba\teste 8o contr"rio das m"!uinas Windows onde necess"rio adicionar um C]C do nome de compartilhamento para criar um compartilhamento oculto #como teste$% o &8'(8 cria um compartilhamento rea+'ente oculto, no aparecendo mesmo na listagem do smbclient. 18.12.13 ;Aecutando co'andos antes e a3s o acesso ao co'3arti+"a'ento Este recurso oferece uma infinidade de solues !ue podem resolver desde problemas de praticidade at segurana usando as opes preexec e postexec. Aor exemplo, imagine !ue estea compartilhando R unidades de +:7Kom de um servidor na rede, e desee !ue estes +:s esteam sempre disponveis mesmo !ue algum operador engraadinho tenha eetado as gavetas de prop$sito, podemos fazer a seguinte configurao; [cdrom] path = /cdrom comment = Unidade de CD-ROM 1 read only = yes preexec = /bin/mount /cdrom preexec close = yes postexec = /bin/umount /cdrom /a configurao acima, o +:7KO' ser" compartilhado como cdrom #!cdrom"%, somente leitura #red only yes%, !uando o usu"rio acessar o compartilhamento ele Cfechar"C a gaveta do +: #preexec 9bin9mount 9cdrom% e desmontar" o drive de +: assim !ue o compartilhamento for fechado #postexec 9bin9umount 9cdrom%. 8dicionalmente, caso o comando mount da opo preexec tenha retornado um valor diferente de G, a conexo do compartilhamento fechada #preexec close yes%. 8 0,: do processo do preexec e postexec ser" o mesmo do usu"rio !ue est" acessando o compartilhamento, por este motivo ele dever" ter permisses para montar*desmontar o +:7KO' no sistema. +aso precise executar comandos como usu"rio root, utilize a variante root preexec e root postexec. 8penas tenha consci4ncia !ue os programas sendo executados so seguros o bastante para no comprometer o seu sistema. 0sando a mesma tcnica, possvel !ue o sistema lhe envie e7mails alertando sobre acesso a compartilhamentos !ue em conunto com um debug level ? e logs configurados independentes por m"!uina, voc4 possa ver o !ue a m"!uina tentou acessar #e foi negado% e o !ue ela conseguiu acesso. +omo bom administrador, voc4 poder" criar scripts !ue faam uma checagem de segurana no compartilhamento e encerre automaticamente a conexo caso sea necess"rio, montar um Chonne. potC para troans, etc. +omo deve estar notando, as possibilidades do &8'(8 se extendem alm do simples compartilhamento de ar!uivos, se integrando com o potencial dos recursos do sistema 0/,3. 18.12.14 Considera4es de se,urana co' o uso do 3ar@'etro M3ub+ic N OesM Este parTmetro permite !ue voc4 acesso um compartilhamento sem fornecer uma senha, ou sea, !ue o usu"rio no estea autenticado. /UO utilize o parTmetro Cpublic D .esC #ou um de seus sinXnimos% no compartilhamento [homes], pois abrir" brechas para !ue possa acessar o diret$rio home de !ual!uer usu"rio e com acesso a gravao #!ue o padro adotado pelos administradores para permitir o acesso ao seu diret$rio home remoto%. Kecomendo utilizar o parTmetro public = yes somente em compartilhamentos onde realmente necess"rio, como o OnetlogonQ ou outras "reas de acesso p<blico onde as permisses do sistema de ar!uivos local esteam devidamente restritas. Outra medida no utilizar a opo follow symlinks, !ue poder" lhe causar problemas com usu"rios mal intencionados !ue tenham acesso shell. 0BS1 9enha em mente todas as consideraes de segurana abordadas neste captulo, bem como as permisses de acesso ao sistema 0nix e como elas funcionam. 8 disponibilidade de ar!uivos em uma rede simples, simples tambm pode ser o acesso indevido a eles caso no saiba o !ue est" fazendo. 18.12.1 Sen"as cri3to,ra/adas ou e' teAto 3uroP +omo regra geral, prefira sempre utilizar senhas criptografadas. 8!ui alguns motivos; 8 senha enviada de uma forma !ue dificulta sua captura por pessoas maliciosas. O /9 no permite !ue voc4 navegue no ambiente de rede em um sistema &8'(8 com nvel de acesso por usu"rio autenticando usando senhas em texto plano. &er" solicitada sempre a senha para reconexo em cada compartilhamento da m"!uina. 9odas as verses de 1indo2s /9 R a partir &AF e 1indo2s >J O&K*? utilizam senhas criptografadas como padro. W possvel faze7lo utilizar senhas em texto plano modificando chaves no registro das m"!uinas clientes #vea8tivando o suporte a senhas em texto plano, &eo =H.> para detalhes%. 8s vantagens da utilizao da autenticao usando texto plano; 8 senha utilizada ser" a mesma do /etc/passwd #servindo para ftp, login, etc% O servidor A:+ pode ser usado para logon desde !ue os clientes esteam usando senhas em texto plano. Elas no so armazenadas no disco da estao cliente. Moc4 no ser" perguntado por uma senha durante cada reconexo de recurso. 8ntes de optar por utilizar um sistema de senhas em texto plano, leve em considerao estes pontos. &e voc4 " utiliza telnet ou ftp, provavelmente a utilizao de autenticao usando texto plano no &8'(8 no trar" problemas mais graves para voc4. 0BS; +aso seu /9 ou verso derivada no navegue no ambiente de rede #s$ aceitando conexes especificando diretamente o CccservidorccompartilhamentoC% modifi!ue sua configurao do &8'(8 para autenticar usando senhas criptografadas #vea 8tivando o suporte a senhas criptografadas, &eo =H.H% para detalhes de como fazer isto. 18.12.1$ Ma3ea'ento de no'es de usu6rios Este recurso faz a mapeamento #traduo% de nomes de usu"rios usados no momento do acesso para contas de acesso locais, bastante <til !uando o nome de usu"rio enviado pela m"!uina no confere com /E/N0'8 conta local do sistema #um exemplo !uando o login do usu"rio no Windows diferente de seu 6ogin no Linux%. Outro vantagem de seu uso permitir !ue uma categoria de usu"rios utilizem um mesmo nvel de acesso no sistema. &eu formato o seguinte; username map = arquivo. 8s seguintes regras so usadas para construir o ar!uivo de mapeamento de nomes; 0m ar!uivo de m<ltiplas linhas onde o sinal de CDC separa os dois parTmetros principais. O ar!uivo processado linha por linha da forma tradicional, a diferena o !ue o processamento do ar!uivo continua mesmo !ue uma condio confira. Aara !ue o processamento do resto do ar!uivo sea interrompido !uando um mapeamento confira, colo!ue o sinal CbC na frente do nome local. O parTmetro da es!uerda a conta 0nix local !ue ser" usada para fazer acesso ao compartilhamento. &omente uma conta 0nix poder" ser utilizada. O parTmetro da direita do sinal de CDC pode conter um ou mais nomes de usu"rios separados por espaos !ue sero mapeados para a conta 0nix local. O parTmetro CBgrupoC permite !ue usu"rios pertencentes ao grupo 0nix local seam mapeados para a conta de usu"rio do lado es!uerdo. Outro caracter especial o C[C e indica !ue !ual!uer usu"rio ser" mapeado. Moc4 pode utilizar coment"rios na mesma forma !ue no ar!uivo de configurao smb.conf. 8lguns exemplos; # Mapeia o usurio "gleydson mazioli" com o usurio local gleydson gleydson = gleydson mazioli
# Mapeia o usurio root e adm para o usurio nobody nobody = root adm
# Mapeia qualquer nome de usurio que pertena ao grupo smb-users para o usurio # samba. samba = @smb-users
# Utiliza todos os exemplos anteriores, se nenhum usurio conferir, ele ser # mapeado para o usurio nobody (como o usurio root e adm j so mapeados # para "nobody", este exemplo ter o mesmo efeito). !gleydson = gleydson mazioli !samba = @smb-users nobody = * 18.13 Me+"orando a 3er/or'ance do co'3arti+"a'ento.ser*idor Esta seo trar" algumas formas de otimizao do servidor &8'(8 !ue fazem diferena !uando os valores ade!uados so utilizados; 8 primeira a ativao de um cache de gravao*leitura de ar!uivos. Este cache feito pela opo write cache size e funciona fazendo o cache dos ar!uivos !ue sero lidos*gravados. Ele esvaziado assim !ue o ar!uivo for fechado ou !uando estiver cheio. O valor especificado nesta opo em b.tes e o padro CGC para no causar impacto em sistemas com pouca mem$ria #ou centenas de compartilhamentos%. Exemplo; [publico] path = /pub comment = Diretrio de acesso pblico read only = yes public = yes write cache size = 384000 +ompartilha o diret$rio /pub #path 9pub% como compartilhamento de nome publico #!publico"%, seu acesso ser" feito como somente leitura #read only yes% e o tamanho do cache de leitura*gravao reservado de FHRYb #$rite cache siAe BCD---%. :eixar a opo para seguir lin)s simb$licos ativada #follow symlinks% garante mais performance de acesso a ar!uivos no compartilhamento. 8 desativao da opo wide links em conunto com o uso de cache nas chamadas get2d #getwd cache% permite aumentar a segurana e tem um impacto perceptvel na performance dos dados. 8 desativao da opo global nt smb support tambm melhora a performance de acesso dos compartilhamentos. Esta uma opo <til para detectar problemas de negociao de protocolo e por padro, ela ativada. +aso utiliza um valor de depurao de log muito alto #debug level%, o sistema ficar" mais lento pois o servidor sincroniza o ar!uivo ap$s cada operao. Em uso excessivo do servidor de ar!uivos, isso apresenta uma degradao perceptvel de performance. 8 opo prediction permite !ue o &8'(8 faa uma leitura adiante no ar!uivo abertos como somente7leitura en!uanto aguarda por pr$ximos comandos. Esta opo associada com bons valores de $rite cache siAe pode fazer alguma diferena. /ote !ue o valor de leitura nunca ultrapassa o valor de Cread sizeC. 8 opo read siAe permite obter um sincronismo fino entre a leitura e gravao do disco com o envio*recebimento de dados da rede. O valor dependente da instalao local, levando em considerao a velocidade de disco rgido, rede, etc. O valor padro =IFHR. Em casos onde um /-& montado ou at mesmo leitura em discos locais compartilhada, o parTmetro strict loc&ing definido para yes pode fazer alguma diferena de performance. /ote !ue nem todos os sistemas ganham performance com o uso desta opo e no deve ser usada em aplicativos !ue no re!uisitam o estado do loc) de ar!uivo ao servidor. +aso voc4 possua aplicativos !ue fazem o loc) corretamente de ar!uivos, voc4 poder" usar o share modes no, isto significa !ue futuras aberturas de ar!uivo podem ser feitas em em modo leitura*gravao. +aso utiliza um aplicativo muito bem programado !ue implementa de forma eficiente de loc), voc4 poder" desativar esta opo. O uso de oploc&s yes em compartilhamentos aumenta a performance de acesso a ar!uivos em at FGV, pois utiliza um c$digo de cache no cliente. 9enha certeza do !ue est" fazendo antes de sair usando oploc&s em tudo !ue lugar. 8 desativao de &ernel oploc&s necess"ria para !ue isto funcione. 8 opo read ra$ e $rite ra$ devem ter seus valores experimentados para ver se faz diferena na performance da sua rede, pois diretamente dependente do tipo de cliente !ue sua rede possui. 8lguns clientes podem ficar mais lentos em modo de leitura ra2. O tipo de sistema de ar!uivos adotado na m"!uina e suas opes de montagem tem um impacto direto na performance do servidor, principalmente com relao a atualizao de status dos ar!uivos no sistema de ar!uivos #hora de acesso, data, etc%. O cache de leitura adiante de abertura de ar!uivos em modo somente leitura aumenta a performance com o uso do oploc)s nvel ?. Aara isto, auste a opo level2 oplocks para yes. 8 recomendao deste tipo de oploc) o mesmo do nvel =. +omo o &8'(8 faz o transporte /et(E0, via 9+A*,A, austes no soc)et fazem diferena nos dados !ue trafegam na rede. +omo isso dependente de rede voc4 precisar" usar tcnicas de leitura*gravao para determinar !uais so as melhores !ue se encaixam em seu caso. 8 opo soc&et options usada para fazer tais austes, por exemplo; socket options = SO_SNDBUF=2048 IPTOS_THROUGHPUT=1 Em especial, a opo TCP_NODELAY apresenta uma perceptvel melhoria de performance no acesso a ar!uivos locais. 0BS1; /o use espaos entre o sinal de CDC !uando especificar as opes do parTmetro socket options. 18.14 Con/i,urao de C+ientes 5etB;BI Este captulo documenta a configurao de m"!uinas clientes /et(E0,, re!uerimentos de cada configurao e documenta os passos necess"rios para ter o cliente se comunicando perfeitamente com o seu servidor. &ero explicadas tanto a configurao de grupo de trabalho como de dom(nio e como a configurao compatvel entre Linux e Windows, estas explicaes so perfeitamente v"lidas para configurar clientes !ue acessem servidores Windows. 18.14.1 Considera4es sobre o Dindo(s /or DorI,rou3s e ?anMana,er &istemas com implementaes /et(,O& mais antigos, como o Windows for Workgroups #1indo2s F.==% e o Lan Manager #:O&%, enviam somente a senha para acesso ao compartilhamento, desta forma, para o acesso ser autorizado pelo samba, voc4 dever" especificar a diretiva user usuario para !ue a senha confira com o usu"rio local do sistema. 8 senha enviada tambm em formato texto plano. Este problema no ocorre no 1indo2s >J e superiores, !ue enviam o nome de usu"rio !ue efetuou o logon unto com a respectiva senha. &e a segurana do seu samba depende de senhas criptografadas, ser" necess"rio utilizar a diretiva "include = outro_arquivo_de_configurao.%m para definir configuraes especficas de acesso para estas m"!uinas. Outro detalhe !ue deve ser lembrado !ue o Windows for Workgroups envia sempre a senha em '8,g&+068&, ento preciso configurar o &8'(8 para tentar combinaes de mai<sculas*min<sculas usando o parTmetromangle case e default case na seo global do smb.conf. 18.14.2 Con/i,urando c+ientes e' 9ru3o de Graba+"o Aara configurar o cliente para fazer parte de um grupo de trabalho, necess"rio apenas !ue tenha em mos o nome do grupo de trabalho #2or)group% !ue os clientes faro parte e o nome de uma outra m"!uina !ue faz parte do mesmo grupo #para testes iniciais%. +om estes dados em mos, selecione na lista abaixo o nome do cliente !ue desea configurar para incluir no grupo de trabalho; 1indo2s >3, &eo =H.=R.?.= 1indo2s 3A Nome Edition, &eo =H.=R.?.? 1indo2s 3A Arofessional Edition, &eo =H.=R.?.F 1indo2s 3A &erver Edition, &eo =H.=R.?.R 1indo2s /9 1or)&tation, &eo =H.=R.?.J 1indo2s /9 &erver, &eo =H.=R.?.I 1indo2s ?GGG Arofessional, &eo =H.=R.?.S 1indo2s ?GGG &erver, &eo =H.=R.?.H 6inux, &eo =H.=R.?.> 18.14.2.1 Dindo(s -C Estas configuraes so v"lidas para clientes 1indo2s >J, 1indo2s >JO&K*?, 1indo2s >H. +aso utilize o Windows 95 #!ual!uer uma das sries% aconselh"vel atualizar a stac) 9+A*,A e /et(E0, para corrigir alguns problemas !ue podem deixar sua m"!uina vulner"vel na verso !ue acompanha o 1in&oc) do 1indo2s >J. Aara tornar uma m"!uina parte do grupo de trabalho, siga os seguintes passos; Entre nas propriedades de rede no Aainel de +ontrole ,nstale o +liente para redes 'icrosoft #caso no estea instalado%. ,nstale o Arotocolo 9+A*,A. Moc4 tambm pode instalar o protocolo /et(,O&, mas utilizaremos o suporte /et(,O& sobre 9+A*,A !ue o usado pelo SAMBA alm de ter um melhor desempenho, permitir integrao com servidores 1,/&, etc. +li!ue em CArotocolo 9+A*,AC e em Aropriedades. +li!ue na tab C/et(,O&C e mar!ue a opo C:eseo ativar o /et(,O& atravs do 9+A*,AC. +aso esta caixa estea em cinza, ento est" tudo certo tambm. +li!ue na tab C,dentificaoC e colo!ue l" o nome !ue identificar" o computador #at =J caracteres% e o nome do grupo de trabalho !ue ele far" parte#por exemplo C2or)groupC, CsuporteC, etc% . /o campo C:escrio do +omputadorC, colo!ue algo !ue identifi!ue a m"!uina na rede #por exemplo, C+omputador da "rea de suporteC%. +li!ue na tab C+ontrole de 8cessoC e mar!ue o C+ontrole de acesso a nvel de compartilhamentoC #a no ser !ue tenha configurado um servidor !ue mantenha um controle de nvel de usu"rio na rede para as m"!uinas fora do domnio%. +li!ue em OY at reiniciar o computador. 8 m"!uina cliente agora faz parte do grupo de trabalhob 9ente acessar um outro computador da rede e navegar atravs do ambiente de rede. +aso a lista de m"!uinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato; CcccomputadorC 18.14.2.2 Dindo(s CF Ho'e ;dition &iga as instrues de 1indo2s 3A Arofessional Edition, &eo =H.=R.?.F. 18.14.2.3 Dindo(s CF Fro/essiona+ ;dition 6ogue como administrador do sistemas local. Entre no item Sistema dentro do painel de controle. 8 tela propriedades de sistema ser" aberta. /o campo 6escri8o do 4omputador, colo!ue algo !ue descreva a m"!uina #opcional%. +li!ue na 98( Nome do 4omputador e no boto 7lterar na parte de baixo da anela. /o campo nome do computador, colo!ue um nome de no m"ximo =J caracteres para identificar a m"!uina na rede. +li!ue em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di"logo. +li!ue em OY e aguarde a mensagem confirmando sua entrada no grupo de trabalho. &er" necess"rio reiniciar a m"!uina. 18.14.2.4 Dindo(s CF Ser*er ;dition &iga as instrues de 1indo2s 3A Arofessional Edition, &eo =H.=R.?.F. 18.14.2. Dindo(s 5G DorIStation Mea 1indo2s /9 &erver, &eo =H.=R.F.I. 18.14.2.$ Dindo(s 5G Ser*er +li!ue no item Rede do painel de controle. /a tab Servios, confira se os servios Estao de trabalho, Interface de NetBIOS e Servios TCP/IP simples esto instalados. +aso no esteam, faa sua instalao usando o boto Adicionar nesta mesma anela. /a tab Protocolos, verifi!ue se os protocolos NetB253 e %40930 esto instalados. +aso no esteam, faa sua instalao clicando no boto Adicionar nesta mesma anela. /a tab identificao, cli!ue no boto Alterar /a anela !ue se abrir", colo!ue o nome do computador no campo Nome do Computador +li!ue em Grupo de trabalho e escreva o nome do grupo de trabalho em frente. +li!ue em OK at voltar. Aronto, seu computador agora faz parte do grupo de trabalho. 18.14.2.) Dindo(s 2222 Fro/essiona+ 6ogue como administrador do sistemas local. Entre no item Sistema dentro do painel de controle. 8 tela propriedades de sistema ser" aberta. +li!ue em C+omputadorC e ento no boto CAropriedadesC. /o campo nome do computador, colo!ue um nome de no m"ximo =J caracteres para identificar a m"!uina na rede. +li!ue em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di"logo. +li!ue em OY e aguarde a mensagem confirmando sua entrada no grupo de trabalho. &er" necess"rio reiniciar a m"!uina. 18.14.2.8 Dindo(s 2222 Ser*er 6ogue como administrador do sistemas local. Entre no item Sistema dentro do painel de controle. 8 tela propriedades de sistema ser" aberta. +li!ue em C:escrio de redeC e ento no boto CAropriedadesC. /o campo nome do computador, colo!ue um nome de no m"ximo =J caracteres para identificar a m"!uina na rede. +li!ue em grupo de trabalho e digite o nome do grupo de trabalho na caixa de di"logo. +li!ue em OY e aguarde a mensagem confirmando sua entrada no grupo de trabalho. &er" necess"rio reiniciar a m"!uina. 18.14.2.- ?inuA Os aplicativos smbclient e smbmount so usados para navegao e montagem dos discos e impressoras compartilhadas em m"!uinas Linux. &e voc4 procura programas de navegao gr"ficos, como o 7mbiente de 1ede doWindows ou mais poderosos, vea Arogramas de navegao gr"ficos, &eo =H.=R.J. +omo complemento, tambm explicado o programa nmblookup para resoluo de endereos /et(,O& em ,A e vice7versa e a forma !ue as funes de m"!uinas so definidas em uma rede /et(E0,. 18.14.2.-.1 s'b'ount O smbmount uma ferramenta !ue permite a montagem de um disco compartilhado por uma m"!uina /et(E0, remota como uma partio. Mea alguns exemplos; smbmount **servidor*discoc *mnt*discoc 'onta o compartilhamento de 99servidor9discoc em /mnt/discoc usando o nome de usu"rio atual. &er" pedido uma senha para acessar o conte<do do compartilhamento, caso ele sea p<blico, voc4 pode digitar !ual!uer senha ou simplesmente pressionar enter. smbmount **servidor*discoc *mnt*discoc 7/ &emelhante ao comando cima, com a diferena !ue o parTmetro -N no pergunta por uma senha. ,sto ideal para acessar compartilhamentos anXnimos. smbmount **servidor*discoc *mnt*discoc 7o usernameDgle.dson,2or)groupDteste &emelhante aos anteriores, mas acessa o compartilhamento usando gleydson como nome de usu"rio e teste como grupo de trabalho. Este mtodo ideal para redes !ue tem o nvel de acesso por usu"rio ou para acessar recursos compartilhados em um domnio. 18.14.2.-.2 s'bc+ient O smbclient uma ferramenta de navegao em servidores &8'(8. 8o invs dela montar o compartilhamento como um disco local, voc4 poder" navegar na estrutura do servidor de forma semelhante a um cliente -9A e executar comandos como ls, get, put para fazer a transfer4ncia de ar!uivos entre a m"!uina remota e a m"!uina local. 9ambm atravs dele !ue feita a interface com impressoras compartilhadas remotamente. Mea exemplos do uso dosmbclient; smbclient 76 samba= 6ista todos os compartilhamentos existentes #-L% no servidor samba1. smbclient **samba=*discoc 8cessa o conte<do do compartilhamento discoc no servidor samba1. smbclient **samba=*discoc 7/ ,d4ntico ao acima, mas no utiliza senha #ideal para compartilhamentos com acesso anXnimo%. smbclient **samba=*discoc 7, =>?.=IH.=.? &e conecta ao compartilhamento usando o endereo ,A 192.168.1.2 ao invs da resoluo de nomes. smbclient **samba=*discoc 70 gle.dson 71 teste &e conecta ao compartilhamento como usu"rio gleydson usando o grupo de trabalho teste. smbclient **samba=*discoc 70 gle.dsonVteste= 71 teste ,d4ntico ao acima, mas tambm envia a senha teste1 para fazer a conexo diretamente. +aso receba a mensagem NT Status Access Denied, isto !uer dizer !ue no possui direitos de acesso ade!uados para listas ou acessar os compartilhamentos da m"!uina. /esse caso, utilize as opes -U usurio e -W grupo/domnio para fazer acesso com uma conta v"lida de usu"rio existente na m"!uina. 0BS1/ote !ue a ordem das opes faz diferena no smbmount. 18.14.2.-.3 n'b+ooIu3 Esta uma ferramenta usada para procurar nomes de cliente usando o endereo ,A, procurar um ,A usando o nome e listar as caractersticas de cada cliente. Mea alguns exemplos; nmbloo)up 78 =?S.G.G.= 6ista o nome e as opes usadas pelo servidor 127.0.0.1 nmbloo)up servidor Kesolve o endereo ,A da m"!uina servidor. 8 listagem exibida pela procura de ,A do nmblookup possui c$digos hexadecimais e cada um deles possui um significado especial no protocolo /et(E0,. &egue a explicao de cada um; ,dentificao da m"!uina +O'A098:OKZGGED O servio /et(E0, est" sendo executado na m"!uina. +O'A098:OKZGFE D /ome genrico da m"!uina #nome /et(,O&%. +O'A098:OKZ?GE D &ervio 6an'anager est" sendo executado na m"!uina. ,dentificao de grupos*domnio 5K0AOP9K8(86NOZ=dE 7 Z5K0AOE D /avegador 6ocal de :omnio*5rupo. 5K0AOP9K8(86NOZ=bE D /avegador Arincipal de :omnio. 5K0AOP9K8(86NOZGFE 7 Z5K0AOE D /ome 5enrico registrado por todos os membros do grupo de trabalho. 5K0AOP9K8(86NOZ=cE 7 Z5K0AOE D +ontroladores de :omnio * &ervidores de logon na rede. 5K0AOP9K8(86NOZ=eE 7 Z5K0AOE D Kesolvedores de /omes ,nternet #WINS%. Estes c$digos podem lhe ser <teis para localizar problemas mais complicados !ue possam ocorrer durante a configurao de um servidor. 18.14.3 Con/i,urando c+ientes e' :o'nio Aara configurar !ual!uer um dos cliente abaixo para fazer parte de um domnio de rede, necess"rio apenas !ue tenha em mos os seguintes dados; /ome do controlador de domnio A:+ /ome do domnio /ome de usu"rio e senha !ue foram cadastrados no servidor. 8cesso administrador no &EKM,:OK A:+ #&8'(8, /9, etc%. +ria uma conta de m"!uina no domnio #no caso da m"!uina ser um 1indo2s /9, 1indo2s 3A, 1indo2s ?) ou 6inux%. Mea +ontas de m"!uinas de domnio, &eo =H.S.J para maiores detalhes. +omo o 1indo2s F.==, 1indo2s >J, 1indo2s >H, 1indo2s 'E no possuem uma conta de m"!uina, eles nunca sero um membro real de um domnio, podendo sofrer um name spoofing e terem a identidade roubada. 'esmo assim, eles tero pleno acesso aos recursos do domnio e uma configurao mais f"cil !ue os demais clientes. +om estes dados em mos, selecione na lista abaixo o nome do cliente !ue desea integrar no grupo de trabalho; 1indo2s >3, &eo =H.=R.?.= 1indo2s 3A Nome Edition, &eo =H.=R.?.? 1indo2s 3A Arofessional Edition, &eo =H.=R.?.F 1indo2s 3A &erver Edition, &eo =H.=R.?.R 1indo2s /9 1or)&tation, &eo =H.=R.?.J 1indo2s /9 &erver, &eo =H.=R.?.I 1indo2s ?GGG Arofessional, &eo =H.=R.?.S 1indo2s ?GGG &erver, &eo =H.=R.?.H 6inux, &eo =H.=R.?.> 0BS1 O 1indo2s ?GGG apresenta algumas dificuldades em entrar na rede do &8'(8 ?.?, sendo necess"rio o uso do &8'(8 9/5 ?.?.x para aceitar o logon de estaes 1indo2s ?GGG. 18.14.3.1 Dindo(s -C Estas configuraes so v"lidas para clientes 1indo2s >J, 1indo2s >JO&K*?, 1indo2s >H. +aso utilize o Windows 95 #!ual!uer uma das sries% aconselh"vel atualizar a stac) 9+A*,A e /et(E0, para corrigir alguns problemas !ue podem deixar sua m"!uina vulner"vel na verso !ue acompanha o 1in&oc) do 1indo2s >J. Aara tornar uma m"!uina parte do domnio, siga os seguintes passos; Entre nas propriedades de rede no Aainel de +ontrole ,nstale o +liente para redes 'icrosoft #caso no estea instalado%. ,nstale o Arotocolo 9+A*,A. Moc4 tambm pode instalar o protocolo /et(,O&, mas utilizaremos o suporte /et(,O& sobre 9+A*,A !ue o usado pelo SAMBA alm de ter um melhor desempenho, permitir integrao com servidores 1,/&, etc. +li!ue em C+liente para redes 'icrosoftC, mar!ue a opo CEfetuar logon no domnio do 1indo2s /9C. +olo!ue o nome do domnio !ue ir" configurar o cliente para fazer parte na caixa C:omnio do 1indo2s /9C #por exemplo, CsuporteC%. /a parte de baixo da caixa de di"logo, voc4 poder" escolher como ser" o mtodo para restaurar as conexes de rede. ,nicialmente, recomendo !ue utilize a CEfetuar logon e restaurar as conexes de redeC !ue mais <til para depurar problemas #possveis erros sero mostrados logo !ue fizer o logon no domnio%. 8de!ue esta configurao as suas necessidades !uando estiver funcionando ;% +li!ue em CArotocolo 9+A*,AC e em Aropriedades. +li!ue na tab C/et(,O&C e mar!ue a opo C:eseo ativar o /et(,O& atravs do 9+A*,AC. +aso esta caixa estea em cinza, ento est" tudo certo tambm. +li!ue na tab C,dentificaoC e colo!ue l" o nome !ue identificar" o computador #at =J caracteres%. :igite o nome de um grupo de trabalho !ue a m"!uina far" parte no campo C5rupo de 9rabalhoC #por exemplo C2or)groupC, CsuporteC, etc%. Este campo somente ser" usado caso o logon no domnio /9 no sea feito com sucesso. /o campo C:escrio do +omputadorC, colo!ue algo !ue identifi!ue a m"!uina na rede #por exemplo, C+omputador da "rea de suporteC%. +li!ue na tab C+ontrole de 8cessoC e mar!ue o C+ontrole de acesso a nvel de usu"rio e especifi!ue o nome da m"!uina !ue serve a lista de usu"rios, !ue normalmente a mesma do A:+. +li!ue em OY at reiniciar o computador. Luando for mostrada a tela pedindo o nome*senha, preencha com os dados da conta de usu"rio !ue criou no servidor. /o campo domnio, colo!ue o domnio !ue esta conta de usu"rio pertence e tecle ZEnterE. Moc4 ver" o script de logon em ao #caso estea configurado% e a m"!uina cliente agora faz parte do domniob 9ente acessar um outro computador da rede e navegar atravs do ambiente de rede. +aso a lista de m"!uinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato; CcccomputadorC 18.14.3.2 Dindo(s CF Ho'e ;dition /o possvel fazer o Windows XP Home Edition ser parte de um domnio, por causa de limitaes desta verso. 18.14.3.3 Dindo(s CF Fro/essiona+ ;dition Arimeiro, siga todos os passos para ingressar a m"!uina em um grupo de trabalho como documentado em 1indo2s 3A Arofessional Edition, &eo =H.=R.?.F. 8tualize o registro para permitir a entrada no domnio; +opie o seguinte conte<do para o ar!uivo WinXP-Dom.reg; REGEDIT4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\pa rameters "RequireSignOrSeal"=dword:00000000 "SignSecureChannel"=dword:00000000 Execute o comando regedit WinXP-Dom.reg no cliente 3A. Entre nos tens #em se!_encia% Aainel de controle*-erramentas 8dministrativas* Aoltica de segurana local*polticas locais e depois em Copes de seguranaC. /a anela de opes de segurana, desative as opes CEncriptar digitalmente ou assinar um canal seguro #sempre%C, C:esativar modificaes de senha na conta de m"!uinaC e CKe!uer chave de seo forte #1indo2s ?GGG ou superior%.C Keinicie a m"!uina. 8p$s reiniciar a m"!uina, volte na tela de alterao de identificao de m"!uina na rede. +li!ue com o mouse em C:omnioC e digite o nome do domnio na caixa de di"logo. /a tela seguinte, ser" lhe pedido o nome de usu"rio e senha com poderes administrativos !ue podem inserir*remover m"!uinas do domnio. +li!ue em OY e aguarde a mensagem confirmando sua entrada no domnio. &er" necess"rio reiniciar a m"!uina ap$s concluir este passo. 18.14.3.4 Dindo(s CF Ser*er ;dition &iga os procedimentos documentados em 1indo2s 3A Arofessional Edition, &eo =H.=R.F.F 18.14.3. Dindo(s 5G DorIStation Mea os passos em 1indo2s /9 &erver, &eo =H.=R.F.I. 18.14.3.$ Dindo(s 5G Ser*er +li!ue no item Rede do painel de controle. /a tab Servios, confira se os servios Estao de trabalho, Interface de NetBIOS e Servios TCP/IP simples esto instalados. +aso no esteam, faa sua instalao usando o boto Adicionar nesta mesma anela. /a tab Protocolos, verifi!ue se os protocolos NetB253 e %40930 esto instalados. +aso no esteam, faa sua instalao clicando no boto Adicionar nesta mesma anela. /a tab identificao, cli!ue no boto Alterar /a anela !ue se abrir", colo!ue o nome do computador no campo Nome do Computador +li!ue em Dominio e escreva o nome do domnio !ue desea entrar. Aara criar uma conta de m.Euina no domnio, cli!ue em criar uma conta de computador no domnio e colo!ue na parte de baixo o nome do usu"rio sua senha. O usu"rio dever" ter poderes para adicionar m"!uinas no domnio. +aso a conta de m"!uina no sea criada, o 1indo2s /9 ser" como um 1indo2s >J*>H na rede, sem a segurana !ue seu nome /et(,O& no sea usado por outros #vea +ontas de m"!uinas de domnio, &eo =H.S.J%. +li!ue em OY at voltar. Aronto, seu computador agora faz parte do domnio. 18.14.3.) Dindo(s 2222 Fro/essiona+ &iga os passos descritos em 1indo2s ?GGG &erver, &eo =H.=R.F.H. 18.14.3.8 Dindo(s 2222 Ser*er Arimeiro, siga todos os passos para ingressar a m"!uina em um grupo de trabalho como documentado em 1indo2s ?GGG &erver, &eo =H.=R.?.H. 8p$s reiniciar a m"!uina, volte na tela de alterao de identificao de m"!uina na rede. +li!ue com o mouse em C:omnioC e digite o nome do domnio na caixa de di"logo. /a tela seguinte, ser" lhe pedido o nome de usu"rio e senha com poderes administrativos !ue podem inserir*remover m"!uinas do domnio. +li!ue em OY e aguarde a mensagem confirmando sua entrada no domnio. &er" necess"rio reiniciar a m"!uina ap$s concluir este passo. +aso no consiga trocar a senha do 1indo2s ?GGG no servidor A:+, desative a opo unix password sync. 18.14.3.- ?inuA Entre no sistema como usu"rio root. ,nstale o SAMBA caso no estea ainda instalado. Edite o ar!uivo de configurao do samba /etc/samba/smb.conf, ser" necess"rio modificar as seguintes linhas na seo !global"; [global] workgroup = nome_domnio security = domain password server = nome_pdc nome_bdc encrypt passwords = true Onde; o workgroup 7 /ome do domnio !ue desea fazer parte. o security 7 /vel de segurana. /esta configurao, utilize CdomainC. o password server 7 /ome da m"!uina A:+, (:+. 9ambm poder" ser usado *, assim o SAMBA tentar" descobrir o servidor A:+ e (:+ automaticamente, da mesma forma usada pelo Windows. o encrypt passwords 7 :iz se as senhas sero encriptadas ou no. &empre utilize senhas criptografadas para colocar uma m"!uina em um domnio. Keinicie o servidor SAMBA ap$s estas modificaes. Execute o comando; smbpasswd -j domnio -r PDC/BDC -U usuario_admin. Onde; o domnio 7 :omnio !ue desea fazer o logon o PDC/BDC 7 /ome da m"!uina A:+*(:+ do domnio. Em alguns casos, pode ser omitido. o usuario_admin 7 0su"rio com poderes administrativos para ingressara a m"!uina no domnio. &e tudo der certo, ap$s executar este comando, voc4 ver" a mensagem; Joined domain "domnio". &e sua configurao no funcionou, revise com ateno todos os tens acima. Merifi!ue se a conta de m"!uina foi criada no servidor e se o SAMBA na m"!uina cliente foi reiniciado. :e tambm uma olhada em Erros conhecidos durante o logon do cliente, &eo =H.=R.R. 0BS1O &8'(8 envia primeiramente um usu"rio*senha falso para verificar se o servidor reeita o acesso antes de enviar o par de nome*senha corretos. Aor este motivo, seu usu"rio pode ser blo!ueado ap$s um determinado n<mero de tentativas em alguns servidores mais restritivos. Aara acessar os recursos compartilhados, vea 6inux, &eo =H.=R.?.>. /ote !ue no obrigat$rio realizar as configuraes acima para acessar os recursos de uma m"!uina em domnio, basta apenas !ue autenti!ue com seu nome de usu"rio*senha no domnio e !ue ela sea autorizada pelo A:+. 18.14.4 ;rros con"ecidos durante o +o,on do c+iente Esta seo contm os erros mais comuns e a forma de correo da maioria dos problemas !ue ocorrem !uando um cliente &8'(8 tenta entrar em domnio. error creating domain user: NT_STATUS_ACCESS_DENIED 7 8 conta de m"!uina no domnio no foi criada. Mea +ontas de m"!uinas de domnio, &eo =H.S.J para mais detalhes. NT_STATUS_NO_TRUST_SAM_ACCOUNT 7 /o existe conta de m"!uina no Windows NT para autenticar uma m"!uina no domnio. Esta mensagem mostrada !uando a m"!uina &8'(8 cliente de um domnio /9. error setting trust account password: NT_STATUS_ACCESS_DENIED 7 8 senha para criao de conta na m"!uina est" incorreta ou a conta utilizada no tem permisses para ingressar uma m"!uina no domnio #vea+riando uma conta de administrador de domnio, &eo =H.S.I%. +aso estea usando um cliente &8'(8, verifi!ue se o parTmetro encrypt passwords est" ativado. A senha informada no est correta ou o acesso ao seu servidor de logon foi negado 7 Merifi!ue primeiro os logs de acessos do sistema. +aso o &8'(8 estea sendo executado via inetd, verifi!ue se a configurao padro restritiva e se o acesso est" sendo negado pelos ar!uivos do tcp 2rappers hosts.allow e hosts.deny. no existem servidores de logon no domnio 7 Merifi!ue se o parTmetro domain logons = yes foi usado para permitir o logon em domnio. 18.14. Fro,ra'as de na*e,ao ,r6/icos O smbclient, nmblookup e smbmount so ferramentas extremamente poderosas auxiliando bastante o administrador na tarefa de configurao de sua rede e resolver problemas. Aara o uso no dia a dia ou !uando no necess"ria a operao via console, voc4 pode utilizar uma das alternativas abaixo !ue so front7ends a estas ferramentas e facilitam o trabalho de navegao na rede. 18.14..1 +innei,"bor"ood +liente &8'(8 baseado em 59Y, muito leve e possibilita a navegao entre os grupos m"!uinas em forma de "rvore. Ele tambm permite a montagem de compartilhamentos remotos. +aso precise de recursos mais complexos e autenticao, recomendo o 9)&mb, &eo =H.=R.J.?. 18.14..2 GIS'b +liente &8'(8 baseado em 9+6*9Y. &eu ponto forte a navegao nos recursos da m"!uina ao invs da rede completa, possibilitando autenticao em domnio*grupo de trabalho, montagem de recursos, etc. 18.14.$ C+iente de con/i,urao ,r6/icos &o ferramentas !ue permitem a configurao do samba usando a interface gr"fica. ,sto facilita bastante o processo, principalmente se estiver em d<vidas em algumas configuraes, mas como todo bom administrador 0/,3 sabe, isto no substitui o conhecimento sobre o funcionamento de cada opo e austes e organizao feita diretamente no ar!uivo de configurao. 18.14.$.1 ,nosa'ba -erramenta de configurao gr"fica usando o 5/O'E. +om ele possvel definir configuraes localmente. Ele ocupa pouco espao em disco, e se voc4 gosta de 59Y, este o recomendado. 8s opes do &8'(8 so divididas em categorias facilitando sua localizao e uso. 18.14.$.2 s(at -erramenta de administrao via 2eb do samba. Este um daemon !ue opera na porta >G= da m"!uina onde o servidor samba foi instalado. 8 configurao feita atravs de !ual!uer navegador acessandohttp://ip_do_servidor:901 e logando7se como usu"rio root #o <nico com poderes para escrever no ar!uivo de configurao%. Esta ferramenta vem evoluindo bastante ao decorrer dos meses e a recomendada para a configurao do servidor &8'(8 remotamente. &eu modo de operao divide7se em b.sico e avanado. /o modo bsico, voc4 ter" disponvel as opes mais comuns e necess"rias para compartilhar recursos na rede. O modo avanado apresenta praticamente todos os parTmetros aceitos pelo servidor samba #restries, controle de acesso, otimizaes, etc.%. 18.1 ;Ae'3+os de con/i,urao do ser*idor SAMBA Os exemplos existentes nesta seo cobrem diferentes tipos de configurao do servidor, tanto em modo de compartilhamento com acesso p<blico ou um domnio restrito de rede. 9odos os exemplos esto bem comentados e explicativos, apenas pegue o !ue se en!uadre mais em sua situao para uso pr$prio e adaptaes. 18.1.1 9ru3o de Graba+"o co' acesso 3Qb+ico Este exemplo pode ser usado de modelo para construir uma configurao baseada no controle de acesso usando o nvel de segurana share e !uando possui compartilhamentos de acesso p<blico. Esta configurao indicada !uando necessita de compatibilidade com soft2ares /et(,O& antigos. # Arquivo de configurao do SAMBA criado por # Gleydson Mazioli da Silva <gleydson@debian.org> # para o guia Foca GNU/Linux Avanado - Captulo SAMBA # Este script pode ser copiado e distribudo livremente de # acordo com os termos da GPL. Ele no tem a inteno de # atender uma determinada finalidade, sendo usado apenas # para fins didticos, portanto fica a inteira responsabilidade # do usurio sua utilizao.
[global] # nome da mquina na rede netbios name = teste # nome do grupo de trabalho que a mquina pertencer workgroup = focalinux # nvel de segurana share permite que clientes antigos mantenham a compatibilidade # enviando somente a senha para acesso ao recurso, determinando o nome de usurio # de outras formas security = share # O recurso de senhas criptografadas no funciona quando usamos o nvel share # de segurana. O motivo disto porque automaticamente assumido que voc # est selecionando este nvel por manter compatibilidade com sistemas antigos # ou para disponibilizar compartilhamentos pblicos, onde encrypt passwords = false # Conta que ser mapeada para o usurio guest guest account = nobody # Como todos os compartilhamentos desta configurao so de acesso pblico # coloquei este parmetro na seo [global], assim esta opo afetar todos # os compartilhamentos. guest ok = 1 # Conjunto de caracteres utilizados para acessar os compartilhamentos. O padro # para o Brasil e pases de lngua latina o ISO 8859-1 character set = ISO8859-1
# Compartilha o diretrio /tmp (path = /tmp) com o nome "temporario" ([temporario]), # adicionada a descrio "Diretrio temporrio" com acesso leitura/gravao # (read only = no) e exibido na janela de navegao da rede (browseable = yes). [temporario] path = /tmp comment = Diretrio temporrio read only = no browseable = yes
# Compartilha o diretrio /pub (path = /pub) com o nome "publico" ([publico]). # A descrio "Diretrio de acesso pblico" associada ao compartilhamento # com acesso somente leitura (read only = yes) e exibido na janela de navegao # da rede (browseable = yes). [publico] path =/pub comment = Diretrio de acesso pblico read only = yes browseable = yes
# Compartilha todas as impressoras encontradas no /etc/printcap do sistema # Uma descrio melhor do tipo especial de compartilhamento "[printers]" # explicado no inicio do guia Foca Linux [printers] comment = All Printers path = /tmp create mask = 0700 printable = Yes browseable = No 18.1.2 9ru3o de Graba+"o co' acesso 3or usu6rio O exemplo abaixo descreve uma configurao a nvel de segurana por usu"rio onde existem compartilhamentos !ue re!uerem login e usu"rios especficos, e restries de ,As e interface onde o servidor opera. Esta configurao utiliza senhas em texto claro para acesso dos usu"rios, mas pode ser facilmente modificada para suportar senhas criptografadas. # Arquivo de configurao do SAMBA criado por # Gleydson Mazioli da Silva >gleydson@debian.org> # para o guia Foca GNU/Linux Avanado - Captulo SAMBA # Este script pode ser copiado e distribudo livremente de # acordo com os termos da GPL. Ele no tem a inteno de # atender uma determinada finalidade, sendo usado apenas # para fins didticos, portanto fica a inteira responsabilidade # do usurio sua utilizao.
[global] # nome da mquina na rede netbios name = teste # nome do grupo de trabalho que a mquina pertencer workgroup = focalinux # nvel de segurana user somente aceita usurios autenticados aps o envio # de login/senha security = user # utilizada senhas em texto claro nesta configurao encrypt passwords = false # Conta que ser mapeada para o usurio guest guest account = nobody # Permite restringir quais interfaces o SAMBA responder bind interfaces only = yes # Faz o samba s responder requisies vindo de eth0 interfaces = eth0 # Supondo que nossa interface eth0 receba conexes roteadas de diversas # outras redes, permite somente as conexes vindas da rede 192.168.1.0/24 hosts allow = 192.168.1.0/24 # A mquina 192.168.1.57 possui gateway para acesso interno, como medida # de segurana, bloqueamos o acesso desta mquina. hosts deny = 192.168.1.57/32
# Conjunto de caracteres utilizados para acessar os compartilhamentos. O padro # para o Brasil e pases de lngua latina o ISO 8859-1 character set = ISO8859-1
# As restries do PAM tero efeito sobre os usurios e recursos usados do SAMBA obey pam restriction = yes
# Mapeia o diretrio home do usurio autenticado. Este compartilhamento especial # descrito em mais detalhes no inicio do captulo sobre o SAMBA no Foca Linux. [homes] comment = Diretrio do Usurio create mask = 0700 directory mask = 0700 browseable = No
# Compartilha o diretrio win (path = /win) com o nome "win" ([win]). # A descrio associada ao compartilhamento ser "Disco do Windows", # o nome de volume precisa ser especificado pois usamos programas # que a proteo anti cpia o serial. Ainda fazemos uma proteo # onde qualquer usurio existente no grupo @adm automaticamente # rejeitado e o usurio "baduser" somente possui permisso de leitura # (read list = baduser). # [win] path = /win comment = Disco do Windows volume = 3CF434C invalid users = @adm browseable = yes read list = baduser
# Compartilha o diretrio /pub (path = /pub) com o nome "publico" ([publico]). # A descrio "Diretrio de acesso pblico" associada ao compartilhamento # com acesso somente leitura (read only = yes) e exibido na janela de navegao # da rede (browseable = yes). O parmetro public = yes permite que este # compartilhamento seja acessado usando o usurio "nobody" sem o fornecimento # de senha. [publico] path =/pub comment = Diretrio de acesso pblico read only = yes browseable = yes public = yes 18.1.3 :o'nio # Arquivo de configurao do SAMBA criado por # Gleydson Mazioli da Silva <gleydson@debian.org> # para o guia Foca GNU/Linux Avanado - Captulo SAMBA # Este script pode ser copiado e distribudo livremente de # acordo com os termos da GPL. Ele no tem a inteno de # atender uma determinada finalidade, sendo usado apenas # para fins didticos, portanto fica a inteira responsabilidade # do usurio sua utilizao.
[global] # nome da mquina na rede netbios name = teste # nome do grupo de trabalho que a mquina pertencer workgroup = focalinux # String que ser mostrada junto com a descrio do servidor server string = servidor PDC principal de testes # nvel de segurana user somente aceita usurios autenticados aps o envio # de login/senha security = user # Utilizamos senhas criptografadas nesta configurao encrypt passwords = true smb passwd file = /etc/samba/smbpasswd # Conta que ser mapeada para o usurio guest guest account = nobody # Permite restringir quais interfaces o SAMBA responder bind interfaces only = yes # Faz o samba s responder requisies vindo de eth0 interfaces = eth0
# como estamos planejando ter um grande nmero de usurios na rede, dividimos # os arquivos de log do servidor por mquina. log file = /var/log/samba/samba-%m-%I.log # O tamanho de CADA arquivo de log criado dever ser 1MB (1024Kb). max log size = 1000 # Escolhemos um nvel de OS com uma boa folga para vencer as eleies de # controlador de domnio local os level = 80 # Dizemos que queremos ser o Domain Master Browse (o padro auto) domain master = yes # Damos algumas vantagens para o servidor ganhar a eleio caso # acontea desempate por critrios preferred master = yes # Tambm queremos ser o local master browser para nosso segmento de rede local master = yes # Este servidor suportar logon de usurios domain logons = yes # Usurios que possuem poderes para adicionar/remover mquinas no domnio # (tero seu nvel de acesso igual a root) admin users = gleydson # Unidade que ser mapeada para o usurio local durante o logon (apenas # sistemas baseados no NT). logon drive = m: # Nome do script que ser executado pelas mquinas clientes logon script = logon.bat
# Ao que ser tomada durante o recebimento de mensagens do # Winpopup. message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
# Conjunto de caracteres utilizados para acessar os compartilhamentos. O padro # para o Brasil e pases de lngua latina o ISO 8859-1 character set = ISO8859-1
# As restries do PAM tero efeito sobre os usurios e recursos usados do SAMBA obey pam restriction = yes
# Mapeia o diretrio home do usurio autenticado. Este compartilhamento especial # descrito em mais detalhes no inicio do captulo sobre o SAMBA no Foca Linux. [homes] comment = Diretrio do Usurio create mask = 0700 directory mask = 0700 browseable = No
# Compartilha o diretrio win (path = /win) com o nome "win" ([win]). # A descrio associada ao compartilhamento ser "Disco do Windows", # o nome de volume precisa ser especificado pois usamos programas # que a proteo anti cpia o serial. Ainda fazemos uma proteo # onde qualquer usurio existente no grupo @adm automaticamente # rejeitado e o usurio "baduser" somente possui permisso de leitura # (read list = baduser). # [win] path = /win comment = Disco do Windows volume = 3CF434C invalid users = @adm browseable = yes read list = baduser
# Compartilha o diretrio /pub (path = /pub) com o nome "publico" ([publico]). # A descrio "Diretrio de acesso pblico" associada ao compartilhamento # com acesso somente leitura (read only = yes) e exibido na janela de navegao # da rede (browseable = yes). O parmetro public = yes permite que este # compartilhamento seja acessado usando o usurio "nobody" sem o fornecimento # de senha. [publico] path =/pub comment = Diretrio de acesso pblico read only = yes browseable = yes public = yes
# Compartilhamento especial utilizado para o logon de mquinas na rede [netlogon] path=/pub/samba/netlogon/logon.bat read only = yes