ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE – INTERCONEXION SAMBA ADMINISTRACION DE SERVIDORES...

ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE – INTERCONEXION ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE – INTERCONEXION SAMBASAMBA

ADMINISTRACION DE SERVIDORES LINUX

ENTERPRISE

Dictado por: Dictado por: Ing. Carlos Alcalá HelgueroIng. Carlos Alcalá HelgueroConsultas: Consultas: [email protected]@ucbcba.edu.bo

SERVIDOR DE INTERCONEXION WINDOWS SAMBA


SERVIDOR DE INTERCONEXION TOPICOS CLASE 7: TOPICOS CLASE 7: SERVIDOR DE INTERCONEXION WINDOWS: SAMBASERVIDOR DE INTERCONEXION WINDOWS: SAMBA

Introducción a Samba. Introducción a Samba. Instalación de paquetes necesarios.Instalación de paquetes necesarios. Configuración de recursos compartidos e Configuración de recursos compartidos e

impresoras. impresoras. Configuración avanzada de Samba como Configuración avanzada de Samba como

servidor WINS.servidor WINS. Comprobación del servicio de Samba + Comprobación del servicio de Samba +

WINS.WINS. Solución de problemas frecuentes.Solución de problemas frecuentes.


SERVIDOR DE INTERCONEXION SAMBA

INTRODUCCIONINTRODUCCION ¿Qué es Servidor de Interconexión con Windows?¿Qué es Servidor de Interconexión con Windows? SambaSamba es una implementación libre del protocolo de es una implementación libre del protocolo de

archivos compartidos de Microsoft Windows archivos compartidos de Microsoft Windows (antiguamente llamado SMB, renombrado recientemente a (antiguamente llamado SMB, renombrado recientemente a CIFS) para sistemas de tipo UNIX. De esta forma, es CIFS) para sistemas de tipo UNIX. De esta forma, es posible que ordenadores con Linux o Mac OS X se vean posible que ordenadores con Linux o Mac OS X se vean como servidores o actúen como clientes en redes de como servidores o actúen como clientes en redes de Windows. Samba también permite validar usuarios Windows. Samba también permite validar usuarios haciendo de Controlador Principal de Dominio (PDC), haciendo de Controlador Principal de Dominio (PDC), como miembro de dominio e incluso como un dominio como miembro de dominio e incluso como un dominio Active Directory para redes basadas en Windows; a parte Active Directory para redes basadas en Windows; a parte de ser capaz de servir colas de impresión, directorios de ser capaz de servir colas de impresión, directorios compartidos y autenticar con su propio archivo de compartidos y autenticar con su propio archivo de usuarios.usuarios.

Entre los sistemas tipo Unix en los que se puede ejecutar Entre los sistemas tipo Unix en los que se puede ejecutar Samba, están las distribuciones GNU/Linux, Solaris y las Samba, están las distribuciones GNU/Linux, Solaris y las diferentes variantes BSD entre las que podemos encontrar diferentes variantes BSD entre las que podemos encontrar el Mac OS X Server de Apple.el Mac OS X Server de Apple.



INTRODUCCIONINTRODUCCION HistoriaHistoria Samba fue desarrollado originalmente para Unix por Andrew Tridgell Samba fue desarrollado originalmente para Unix por Andrew Tridgell

utilizando un sniffer o capturador de tráfico para entender el protocolo utilizando un sniffer o capturador de tráfico para entender el protocolo a través de la ingeniería inversa. El nombre viene de insertar dos a través de la ingeniería inversa. El nombre viene de insertar dos vocales al protocolo estándar que Microsoft usa para sus redes, el SMB vocales al protocolo estándar que Microsoft usa para sus redes, el SMB o server message block. En un principio Samba tomó el nombre de o server message block. En un principio Samba tomó el nombre de smbserver pero tuvieron que cambiarlo por problemas con una marca smbserver pero tuvieron que cambiarlo por problemas con una marca registrada. Tridgell busco en el diccionario de su máquina Unix alguna registrada. Tridgell busco en el diccionario de su máquina Unix alguna palabra que incluyera las letras “s”, “m” y “b” con la orden grep hasta palabra que incluyera las letras “s”, “m” y “b” con la orden grep hasta que dio con Samba.que dio con Samba.

CaracterísticasCaracterísticas Samba es una implementación de una docena de servicios y una docena Samba es una implementación de una docena de servicios y una docena

de protoclos, entre los que están NetBIOS sobre TCP/IP (NetBT), SMB de protoclos, entre los que están NetBIOS sobre TCP/IP (NetBT), SMB (también conocido como CIFS), DCE/RPC o más concretamente, (también conocido como CIFS), DCE/RPC o más concretamente, MSRPC, el servidor WINS también conocido como el servidor de MSRPC, el servidor WINS también conocido como el servidor de nombres NetBIOS (NBNS), la suite de protocolos del dominio NT, con nombres NetBIOS (NBNS), la suite de protocolos del dominio NT, con su Logon de entrada a dominio, la base de datos del gestor de cuentas su Logon de entrada a dominio, la base de datos del gestor de cuentas seguras (SAM), el servicio Local Security Authority (LSA) o autoridad seguras (SAM), el servicio Local Security Authority (LSA) o autoridad de seguridad local, el servicio de impresoras de NT y recientemente el de seguridad local, el servicio de impresoras de NT y recientemente el Logon de entrada de Active Directory, que incluyen una versión Logon de entrada de Active Directory, que incluyen una versión modificada de Kerberos y una versión modificada de LDAP. Todos estos modificada de Kerberos y una versión modificada de LDAP. Todos estos servicios y protocolos son frecuentemente referidos de un modo servicios y protocolos son frecuentemente referidos de un modo incorrecto como NetBIOS o SMB.incorrecto como NetBIOS o SMB.



INTRODUCCIONINTRODUCCION Samba configura directorios Unix/Linux (incluyendo sus Samba configura directorios Unix/Linux (incluyendo sus

subdirectorios) como recursos para compartir a través de la subdirectorios) como recursos para compartir a través de la red. Para los usuarios de Microsoft Windows, estos recursos red. Para los usuarios de Microsoft Windows, estos recursos aparecen como carpetas normales de red.aparecen como carpetas normales de red.

Los usuarios de Linux pueden montar en sus sistemas de Los usuarios de Linux pueden montar en sus sistemas de archivos estás unidades de red como si fueran dispositivos archivos estás unidades de red como si fueran dispositivos locales, o utilizar la orden smbcilent para conectarse a ellas locales, o utilizar la orden smbcilent para conectarse a ellas muy al estilo del cliente de la línea de órdenes ftp. muy al estilo del cliente de la línea de órdenes ftp.

Cada directorio puede tener diferentes permisos de acceso Cada directorio puede tener diferentes permisos de acceso sobrepuestos a las protecciones del sistema de archivos que sobrepuestos a las protecciones del sistema de archivos que se esté usando en Linux. Por ejemplo, las carpetas home se esté usando en Linux. Por ejemplo, las carpetas home pueden tener permisos de lectura y escritura para cada pueden tener permisos de lectura y escritura para cada usuario, permitiendo que cada uno acceda a sus propios usuario, permitiendo que cada uno acceda a sus propios archivos; sin embargo deberemos cambiar los permisos de los archivos; sin embargo deberemos cambiar los permisos de los archivos localmente para dejar al resto ver nuestros archivos, archivos localmente para dejar al resto ver nuestros archivos, ya que con dar permisos de escritura en el recurso no será ya que con dar permisos de escritura en el recurso no será suficiente.suficiente.

La configuración de Samba se consigue editando un solo La configuración de Samba se consigue editando un solo archivo, accesible en archivo, accesible en /etc/smb.conf/etc/smb.conf o en o en /etc/samba/smb.conf/etc/samba/smb.conf..



INTRODUCCIONINTRODUCCION La interconectividad entre un equipo con GNU/Linux® La interconectividad entre un equipo con GNU/Linux®

instalado y el resto de los equipos en red en una oficina instalado y el resto de los equipos en red en una oficina con alguna versión de Windows® es importante, ya que con alguna versión de Windows® es importante, ya que esto nos permitirá compartir archivos e impresoras. Esta esto nos permitirá compartir archivos e impresoras. Esta interconectividad se consigue exitosamente a través de interconectividad se consigue exitosamente a través de SAMBA.SAMBA.

SAMBA es una conjunto de programas, originalmente SAMBA es una conjunto de programas, originalmente creados por Andrew Tridgell y actualmente mantenidos creados por Andrew Tridgell y actualmente mantenidos por The SAMBA Team, bajo la Licencia Publica General por The SAMBA Team, bajo la Licencia Publica General GNU, y que implementan en sistemas basados sobre GNU, y que implementan en sistemas basados sobre UNIX® el protocolo Server Message Block (o protocolo UNIX® el protocolo Server Message Block (o protocolo SMB). Este es algunas veces referido también como SMB). Este es algunas veces referido también como Common Internet File System (CIFS), LanManager o Common Internet File System (CIFS), LanManager o protocolo NetBIOS. Sirve como reemplazo total para protocolo NetBIOS. Sirve como reemplazo total para Windows® NT, Warp®, NFS® o servidores Netware®.Windows® NT, Warp®, NFS® o servidores Netware®.



SOFTWARE REQUERIDO.SOFTWARE REQUERIDO. Los procedimientos descritos en este manual han sido probados para Los procedimientos descritos en este manual han sido probados para

poder aplicarse en sistemas con Red Hat™ Enterprise Linux 4.0, o poder aplicarse en sistemas con Red Hat™ Enterprise Linux 4.0, o equivalentes o versiones superiores, y al menos Samba 3.0.7 o versiones equivalentes o versiones superiores, y al menos Samba 3.0.7 o versiones superiores.superiores.

Necesitará tener instalados los siguientes paquetes, que seguramente Necesitará tener instalados los siguientes paquetes, que seguramente vienen incluidos en los CD de instalación de la distribución predilecta vienen incluidos en los CD de instalación de la distribución predilecta (CentOS4.3):(CentOS4.3):

sambasamba samba-clientsamba-client samba-commonsamba-common

Pregunte al sistema si se encuentran instalados estos paquetes, utilizando Pregunte al sistema si se encuentran instalados estos paquetes, utilizando el siguiente mandato:el siguiente mandato:

rpm -q samba samba-client samba-common rpm -q samba samba-client samba-common

Si se utiliza Red Hat™ Enterprise Linux, solo bastará ejecutar lo siguiente Si se utiliza Red Hat™ Enterprise Linux, solo bastará ejecutar lo siguiente para instalar o actualizar el software necesario:para instalar o actualizar el software necesario:

up2date -i samba samba-clientup2date -i samba samba-client

Si utiliza White Box Enterprise Linux u otros clones de Red Hat™ Si utiliza White Box Enterprise Linux u otros clones de Red Hat™ Enterprise Linux o bien sistemas que utilicen yum, solo bastará ejecutar lo Enterprise Linux o bien sistemas que utilicen yum, solo bastará ejecutar lo siguiente para instalar o actualizar el software necesario:siguiente para instalar o actualizar el software necesario:

yum -y install samba samba-client yum -y install samba samba-client



CONFIGURACION.CONFIGURACION. Para la mayoría de los casos la configuración de Samba como Para la mayoría de los casos la configuración de Samba como

servidor de archivos es suficiente.servidor de archivos es suficiente. Alta de cuentas de usuario.Alta de cuentas de usuario. Es importante sincronizar las cuentas entre el servidor Samba y Es importante sincronizar las cuentas entre el servidor Samba y

las estaciones Windows®. Es decir, si en una máquina con las estaciones Windows®. Es decir, si en una máquina con Windows® ingresamos como el usuario “estudiante" con clave de Windows® ingresamos como el usuario “estudiante" con clave de acceso “passestudiante", en el servidor Samba deberá existir acceso “passestudiante", en el servidor Samba deberá existir también dicha cuenta con ese mismo nombre y la misma clave de también dicha cuenta con ese mismo nombre y la misma clave de acceso. Como la mayoría de las cuentas de usuario que se acceso. Como la mayoría de las cuentas de usuario que se utilizarán para acceder hacia samba no requieren acceso al utilizarán para acceder hacia samba no requieren acceso al interprete de mandatos del sistema, no es necesario asignar interprete de mandatos del sistema, no es necesario asignar clave de acceso con el mandato passwd y se deberá definir clave de acceso con el mandato passwd y se deberá definir /sbin/nologin o bien /bin/false como interpete de mandatos para /sbin/nologin o bien /bin/false como interpete de mandatos para la cuenta de usuario involucrada:la cuenta de usuario involucrada:

useradd -s /sbin/nologin useradd -s /sbin/nologin usuario-windowsusuario-windowssmbpasswd -a smbpasswd -a usuario-windowsusuario-windows



CONFIGURACION.CONFIGURACION. No hace falta se asigne una clave de acceso en el sistema con el No hace falta se asigne una clave de acceso en el sistema con el

mandato passwd puesto que la cuenta no tendrá acceso al mandato passwd puesto que la cuenta no tendrá acceso al interprete de mandatos.interprete de mandatos.

Si se necesita que las cuentas se puedan utilizar para acceder Si se necesita que las cuentas se puedan utilizar para acceder hacia otros servicios como serían Telnet, SSH, etc, es decir, que hacia otros servicios como serían Telnet, SSH, etc, es decir, que se permita acceso al interprete de mandatos, será necesario se permita acceso al interprete de mandatos, será necesario especificar /bin/bash como interprete de mandatos y además se especificar /bin/bash como interprete de mandatos y además se deberá asignar una clave de acceso en el sistema con el mandato deberá asignar una clave de acceso en el sistema con el mandato passwd:passwd:

useradd -s /bin/bash usuario-windowsuseradd -s /bin/bash usuario-windowspasswd usuario-windowspasswd usuario-windowssmbpasswd -a usuario-windows smbpasswd -a usuario-windows



CONFIGURACION.CONFIGURACION. El fichero lmhostsEl fichero lmhosts Es necesario empezar resolviendo localmente los nombres NetBIOS Es necesario empezar resolviendo localmente los nombres NetBIOS

asociándolos con direcciones IP correspondientes. Para fines prácticos asociándolos con direcciones IP correspondientes. Para fines prácticos el nombre NetBIOS debe tener un máximo de 11 caracteres. el nombre NetBIOS debe tener un máximo de 11 caracteres. Normalmente tomaremos como referencia en nombre corto de servidor Normalmente tomaremos como referencia en nombre corto de servidor o el nombre corto que se asigno como alias a la interfaz de red. Este lo o el nombre corto que se asigno como alias a la interfaz de red. Este lo estableceremos en el fichero /etc/samba/lmhosts, en donde estableceremos en el fichero /etc/samba/lmhosts, en donde encontraremos lo siguiente:encontraremos lo siguiente:

127.0.0.1 localhost 127.0.0.1 localhost

Debemos añadir entonces el nombre que hayamos elegido asociado a la Debemos añadir entonces el nombre que hayamos elegido asociado a la dirección IP que se tenga dentro de la red local. Opcionalmente podrá dirección IP que se tenga dentro de la red local. Opcionalmente podrá añadir también los nombres y dirección IP del resto de las máquinas añadir también los nombres y dirección IP del resto de las máquinas que conformen la red local. La separación de espacios se hace con un que conformen la red local. La separación de espacios se hace con un tabulador. Ejemplo:tabulador. Ejemplo:

127.0.0.1 127.0.0.1 localhostlocalhost192.168.1.5 192.168.1.5 maquinalinuxmaquinalinux192.168.1.6 192.168.1.6 isaacisaac192.168.1.7 192.168.1.7 finanzasfinanzas192.168.1.8 192.168.1.8 direccion direccion



CONFIGURACION.CONFIGURACION. Parámetros principales del fichero smb.conf.Parámetros principales del fichero smb.conf. Edite el fichero /etc/samba/smb.conf con cualquier editor de texto. Edite el fichero /etc/samba/smb.conf con cualquier editor de texto.

Dentro de este notará que la información que le será de utilidad viene Dentro de este notará que la información que le será de utilidad viene comentada con un símbolo # y los ejemplos con ; (punto y coma), siendo comentada con un símbolo # y los ejemplos con ; (punto y coma), siendo estos últimos los que tomaremos como referencia.estos últimos los que tomaremos como referencia.

Empezaremos por establecer el grupo de trabajo editando el valor del Empezaremos por establecer el grupo de trabajo editando el valor del parámetro workgroup asignando un grupo de trabajo deseado:parámetro workgroup asignando un grupo de trabajo deseado:

workgroup = CURSOLINUXworkgroup = CURSOLINUX

Opcionalmente puede establecer con el parámetro netbios name otro Opcionalmente puede establecer con el parámetro netbios name otro nombre distinto para el servidor si acaso fuese necesario, pero siempre nombre distinto para el servidor si acaso fuese necesario, pero siempre tomando en cuenta que dicho nombre deberá corresponder con el tomando en cuenta que dicho nombre deberá corresponder con el establecido en el fichero /etc/samba/lmhosts:establecido en el fichero /etc/samba/lmhosts:

netbios name = maquinalinux netbios name = maquinalinux

El parámetro server string es de carácter descriptivo. Puede utilizarse El parámetro server string es de carácter descriptivo. Puede utilizarse un comentario breve que de una descripción del servidor.un comentario breve que de una descripción del servidor.

server string = Servidor Samba %v en %L server string = Servidor Samba %v en %L



CONFIGURACION.CONFIGURACION. Parámetros útiles para la seguridad.Parámetros útiles para la seguridad. La seguridad es importante y esta se puede establecer primeramente La seguridad es importante y esta se puede establecer primeramente

estableciendo la lista de control de acceso que definirá que máquinas estableciendo la lista de control de acceso que definirá que máquinas o redes podrán acceder hacia el servidor. El parámetro hosts allow o redes podrán acceder hacia el servidor. El parámetro hosts allow sirve para determinar esto. Si la red consiste en la máquinas con sirve para determinar esto. Si la red consiste en la máquinas con dirección IP desde 192.168.1.1 hasta 192.168.1.254, el rango de dirección IP desde 192.168.1.1 hasta 192.168.1.254, el rango de direcciones IP que se definirá en hosts allow será 192.168.1. de direcciones IP que se definirá en hosts allow será 192.168.1. de modo tal que solo se permitirá el acceso dichas máquinas. Note por modo tal que solo se permitirá el acceso dichas máquinas. Note por favor el punto al final de cada rango. Edite ésta de manera que favor el punto al final de cada rango. Edite ésta de manera que quede del siguiente modo:quede del siguiente modo:

hosts allow = 192.168.3. hosts allow = 192.168.3. 127. 127.

El parámetro interfaces permite establecer desde que interfaces de El parámetro interfaces permite establecer desde que interfaces de red del sistema se escucharán peticiones. Samba no responderá a red del sistema se escucharán peticiones. Samba no responderá a peticiones provenientes desde cualquier interfaz no especificada. peticiones provenientes desde cualquier interfaz no especificada. Esto es útil cuando Samba se ejecuta en un servidor que sirve Esto es útil cuando Samba se ejecuta en un servidor que sirve también de puerta de enlace para la red local, impidiendo se también de puerta de enlace para la red local, impidiendo se establezcan conexiones desde fuera de la red local.establezcan conexiones desde fuera de la red local.

interfaces = 192.168.3.116/24 interfaces = 192.168.3.116/24



CONFIGURACION.CONFIGURACION. Impresoras en Samba.Impresoras en Samba. Las impresoras se comparten de modo predeterminado, así que solo hay que Las impresoras se comparten de modo predeterminado, así que solo hay que

realizar algunos ajustes. Si se desea que se pueda acceder hacia la impresora realizar algunos ajustes. Si se desea que se pueda acceder hacia la impresora como usuario invitado sin clave de acceso, basta con añadir public = Yes en la como usuario invitado sin clave de acceso, basta con añadir public = Yes en la sección de impresoras del siguiente modo:sección de impresoras del siguiente modo:

[printers][printers]comment = El comentario que guste.comment = El comentario que guste.path = /var/spool/sambapath = /var/spool/sambaprintable = Yesprintable = Yesbrowseable = Nobrowseable = Nopublic = Yes public = Yes Windows NT, 2000 y XP no tendrán problema alguno para acceder e imprimir Windows NT, 2000 y XP no tendrán problema alguno para acceder e imprimir

hacia las impresoras, sin embargo Windows 95, 98 y ME suelen tener hacia las impresoras, sin embargo Windows 95, 98 y ME suelen tener problemas para comunicarse con Samba para poder imprimir. Por tanto, si se problemas para comunicarse con Samba para poder imprimir. Por tanto, si se quiere evitar problemas de conectividad con dichos sistemas operativos hay quiere evitar problemas de conectividad con dichos sistemas operativos hay que agregar algunos parámetros que resolverán cualquier eventualidad:que agregar algunos parámetros que resolverán cualquier eventualidad:

[printers][printers]comment = Impresoras.comment = Impresoras.path = /var/spool/sambapath = /var/spool/sambaprintable = Yesprintable = Yesbrowseable = Nobrowseable = Nopublic = Yespublic = Yesprint command = lpr -P %p -o raw %s –rprint command = lpr -P %p -o raw %s –rlpq command = lpstat -o %plpq command = lpstat -o %plprm command = cancel %p-%j lprm command = cancel %p-%j



CONFIGURACION.CONFIGURACION. Impresoras en Samba.Impresoras en Samba. Se pude definir también a un usuario o bien un grupo Se pude definir también a un usuario o bien un grupo

(@grupo_que_sea) para la administración de las colas de las (@grupo_que_sea) para la administración de las colas de las impresoras:impresoras:

[printers][printers]comment = Impresoras.comment = Impresoras.path = /var/spool/sambapath = /var/spool/sambaprintable = Yesprintable = Yesbrowseable = Nobrowseable = Nopublic = Yespublic = Yesprint command = lpr -P %p -o raw %s –rprint command = lpr -P %p -o raw %s –rlpq command = lpstat -o %plpq command = lpstat -o %plprm command = cancel %p-%jlprm command = cancel %p-%jprinter admin = fulano, @opers_impresion printer admin = fulano, @opers_impresion

Con lo anterior se define que el usuario fulano y quien Con lo anterior se define que el usuario fulano y quien pertenezca al grupo opers_impresion podrán realizar tareas de pertenezca al grupo opers_impresion podrán realizar tareas de administración en las impresoras.administración en las impresoras.



CONFIGURACION.CONFIGURACION. Compartiendo directorios a través de Samba.Compartiendo directorios a través de Samba. Para los directorios o volúmenes que se irán a compartir, en el mismo Para los directorios o volúmenes que se irán a compartir, en el mismo

fichero de configuración encontrará distintos ejemplos para distintas fichero de configuración encontrará distintos ejemplos para distintas situaciones particulares. En general, puede utilizar el siguiente ejemplo situaciones particulares. En general, puede utilizar el siguiente ejemplo que funcionará para la mayoría:que funcionará para la mayoría:

[NOMBRE_RECURSO_COMPARTIDO][NOMBRE_RECURSO_COMPARTIDO]comment = Comentario que se le ocurracomment = Comentario que se le ocurrapath = /cualquier/ruta/que/desee/compartir path = /cualquier/ruta/que/desee/compartir

El volumen puede utilizar cualquiera de las siguientes opciones:El volumen puede utilizar cualquiera de las siguientes opciones:



CONFIGURACION.CONFIGURACION.

OPCIÓN DESCRIPCIÓN

guest ok Define si ser permitirá el acceso como usuario invitado. El valor puede ser Yes o No.

public Es un equivalente del parámetro guest ok, es decir define si ser permitirá el acceso como usuario invitado. El valor puede ser Yes o No.

browseable

Define si ser permitirá mostrar este recurso en las listas de recursos compartidos. El valor puede ser Yes o No.

writable Define si ser permitirá la escritura. Es el parámetro contrario de read only. El valor puede ser Yes o No. Ejemplos: «writable = Yes» es lo mismo que «read only = No». Obviamente «writable = No» es lo mismo que «read only = Yes»

valid users Define que usuarios o grupos pueden pueden acceder. Los valores pueden ser nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: fulano, mengano, @administradores



CONFIGURACION.CONFIGURACION.

write list Define que usuarios o grupos pueden acceder con permiso de escritura. Los valores pueden ser nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: fulano, mengano, @administradores

admin users Define que usuarios o grupos pueden acceder con permisos administrativos para el recurso. Es decir, podrán acceder hacia el recurso realizando todas las operaciones como super-usuarios. Los valores pueden ser nombres de usuarios separados por comas o bien nombres de grupo antecedidos por una @. Ejemplo: fulano, mengano, @administradores

directory mask

Es lo mismo que directory mode. Define que permiso en el sistema que tendrán los subdirectorios creados dentro del recurso. Ejemplos: 1777

create mask Define que permiso en el sistema que tendrán los nuevos ficheros creados dentro del recurso. Ejemplo: 0644



CONFIGURACION.CONFIGURACION. En el siguiente ejemplo se compartirá a través de Samba el En el siguiente ejemplo se compartirá a través de Samba el

recurso denominado «ftp», el cual está localizado en el recurso denominado «ftp», el cual está localizado en el directorio /var/ftp/pub del disco duro. Se permitirá el acceso a directorio /var/ftp/pub del disco duro. Se permitirá el acceso a cualquiera pero será un recurso de solo lectura salvo para los cualquiera pero será un recurso de solo lectura salvo para los usuarios administrador y fulano. Todo directorio nuevo que sea usuarios administrador y fulano. Todo directorio nuevo que sea creado en su interior tendrá permiso 755 y todo fichero que sea creado en su interior tendrá permiso 755 y todo fichero que sea puesto en su interior tendrá permiso 644.puesto en su interior tendrá permiso 644.

[ftp][ftp]comment = Directorio del servidor FTPcomment = Directorio del servidor FTPpath = /var/ftp/pubpath = /var/ftp/pubguest ok = Yesguest ok = Yesread only = Yesread only = Yeswrite list = fulano, administradorwrite list = fulano, administradordirectory mask = 0755directory mask = 0755create mask = 0644 create mask = 0644



CONFIGURACION.CONFIGURACION. Ocultando y denegando acceso a ficheros.Ocultando y denegando acceso a ficheros. No es conveniente que los usuarios acceder o bien puedan ver la No es conveniente que los usuarios acceder o bien puedan ver la

presencia de ficheros ocultos en el sistema, es decir ficheros presencia de ficheros ocultos en el sistema, es decir ficheros cuyo nombre comienza con un punto, particularmente si cuyo nombre comienza con un punto, particularmente si acceden a su directorio personal en el servidor Samba acceden a su directorio personal en el servidor Samba (.bashrc, .bash_profile, .bash_history, etc.). Puede utilizarse el (.bashrc, .bash_profile, .bash_history, etc.). Puede utilizarse el parámetro hide dot files para mantenerlos ocultos.parámetro hide dot files para mantenerlos ocultos.

hide dot files = Yes hide dot files = Yes

En algunos casos puede ser necesario denegar el acceso a cierto En algunos casos puede ser necesario denegar el acceso a cierto tipo de ficheros del sistema. El parámetro veto files se utiliza tipo de ficheros del sistema. El parámetro veto files se utiliza para especificar la lista, separada por diagonales, de aquellas para especificar la lista, separada por diagonales, de aquellas cadenas de texto que denegarán el acceso a los ficheros cuyos cadenas de texto que denegarán el acceso a los ficheros cuyos nombres contengan estas cadenas. En el siguiente ejemplo, se nombres contengan estas cadenas. En el siguiente ejemplo, se denegará el acceso hacia los ficheros cuyos nombres incluyan la denegará el acceso hacia los ficheros cuyos nombres incluyan la palabra «Security» y los que tengan extensión o terminen en palabra «Security» y los que tengan extensión o terminen en «.tmp»:«.tmp»:

veto files = /*Security*/*.tmp/ veto files = /*Security*/*.tmp/



CONFIGURACION.CONFIGURACION. Opciones para cliente o servidor WinsOpciones para cliente o servidor Wins Puede habilitar convertirse en servidor WINS o bien utilizar un Puede habilitar convertirse en servidor WINS o bien utilizar un

servidor WINS ya existente. Se puede ser un servidor WINS o servidor WINS ya existente. Se puede ser un servidor WINS o un cliente WINS, pero no ambas cosas a al vez.un cliente WINS, pero no ambas cosas a al vez.

Si se va ser el servidor WINS, debe habilitarse lo siguiente:Si se va ser el servidor WINS, debe habilitarse lo siguiente:

wins support = Yes wins support = Yes

Si se va a utilizar un servidor WINS ya existente, debe Si se va a utilizar un servidor WINS ya existente, debe descomentar la siguiente línea y especificar que dirección IP descomentar la siguiente línea y especificar que dirección IP utiliza dicho servidor WINS:utiliza dicho servidor WINS:

wins server = 192.168.1.1 wins server = 192.168.1.1



CONFIGURACION.CONFIGURACION. Opciones específicas para Controlador Primario de Dominio (PDC).Opciones específicas para Controlador Primario de Dominio (PDC). Si se va a configurar Samba como Controlador Primario de Dominio, se Si se va a configurar Samba como Controlador Primario de Dominio, se

debe especificar todos los parámetros descritos a continuación.debe especificar todos los parámetros descritos a continuación. Si se quiere que las claves de acceso del sistema y Windows se Si se quiere que las claves de acceso del sistema y Windows se

mantengan sincronizadas, es necesario descomentar las siguiente líenas:mantengan sincronizadas, es necesario descomentar las siguiente líenas:unix password sync = Yesunix password sync = Yespasswd program = /usr/bin/passwd %upasswd program = /usr/bin/passwd %upasswd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\npasswd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n*passwd:*all*authentication*tokens*updated*successfully* *passwd:*all*authentication*tokens*updated*successfully* El parámetro local master define al servidor como examinador del El parámetro local master define al servidor como examinador del

dominio (o master browser); El parámetro domain master define al dominio (o master browser); El parámetro domain master define al servidor maestro del dominio; El parámetro preferred master define al servidor maestro del dominio; El parámetro preferred master define al servidor como maestro del domino preferido en caso de haber más servidor como maestro del domino preferido en caso de haber más servidores presentes en el mismo dominio como controladores de dominio; servidores presentes en el mismo dominio como controladores de dominio; El parámetro time server se utiliza para definir que las estaciones El parámetro time server se utiliza para definir que las estaciones deberán sincronizar la hora con el servidor al unirse al dominio; El deberán sincronizar la hora con el servidor al unirse al dominio; El parámetro domain logons define que el servidor permitirá a las estaciones parámetro domain logons define que el servidor permitirá a las estaciones autenticar contra Samba.autenticar contra Samba.

local master = Yeslocal master = Yesdomain master = Yesdomain master = Yespreferred master = Yespreferred master = Yestime server = Yestime server = Yesdomain logons = Yes domain logons = Yes



CONFIGURACION.CONFIGURACION. La configuración de Controlador Primario de Dominio requiere La configuración de Controlador Primario de Dominio requiere

además definir donde se almacenarán los perfiles de los usuarios. además definir donde se almacenarán los perfiles de los usuarios. Windows 95, 98 y ME requieren se defina con el parámetro logon Windows 95, 98 y ME requieren se defina con el parámetro logon home, en tanto que Windows NT, 2000 y XP requieren se haga con home, en tanto que Windows NT, 2000 y XP requieren se haga con el parámetro logon path. Para efectos prácticos y de previsión, el parámetro logon path. Para efectos prácticos y de previsión, utilice ambos parámetros y defina la unidad H para dicho volumen:utilice ambos parámetros y defina la unidad H para dicho volumen:

logon path = \\%L\Profiles\%Ulogon path = \\%L\Profiles\%Ulogon home = \\%L\%U\.profilelogon home = \\%L\%U\.profile

logon drive = H:logon drive = H:

Si se va a utilizar Samba como Controlador Primario de Dominio, Si se va a utilizar Samba como Controlador Primario de Dominio, es necesario establecer el guión que ejecutarán las estaciones es necesario establecer el guión que ejecutarán las estaciones Windows al conectarse hacia el servidor. Esto se hace a través del Windows al conectarse hacia el servidor. Esto se hace a través del parámetro logon script el cual puede definir o bien un guión a parámetro logon script el cual puede definir o bien un guión a utilizar por cada usuario (%u.bat) o bien por cada máquina utilizar por cada usuario (%u.bat) o bien por cada máquina (%m.bat) o bien de modo general para todos (logon.cmd). Para no (%m.bat) o bien de modo general para todos (logon.cmd). Para no complicar las cosas, defina inicialmente un guión general para complicar las cosas, defina inicialmente un guión general para todos del siguiente modo:todos del siguiente modo:

logon script = logon.cmd logon script = logon.cmd



CONFIGURACION.CONFIGURACION. El fichero /var/lib/samba/netlogon/logon.cmd deberá contener El fichero /var/lib/samba/netlogon/logon.cmd deberá contener

algo como lo siguiente:algo como lo siguiente:

REM windows client logon scriptREM windows client logon scriptREMREMnet time \\mi-servidor /SET /YESnet time \\mi-servidor /SET /YESnet use H: \\mi-servidor\homes /PERSISTENT:NO net use H: \\mi-servidor\homes /PERSISTENT:NO

El Controlador Primario de Dominio va a necesitar también se El Controlador Primario de Dominio va a necesitar también se definan los guiones a ejecutar para distintas tareas como alta de definan los guiones a ejecutar para distintas tareas como alta de máquinas, usuarios y grupos así como la baja de estos.máquinas, usuarios y grupos así como la baja de estos.

add user script = /usr/sbin/useradd %uadd user script = /usr/sbin/useradd %uadd machine script = /usr/sbin/useradd -d /dev/null -g 100 -s add machine script = /usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -c "Cuenta de máquina" -M %u/bin/false -c "Cuenta de máquina" -M %udelete user script = /usr/sbin/userdel %udelete user script = /usr/sbin/userdel %udelete group script = /usr/sbin/groupdel %gdelete group script = /usr/sbin/groupdel %gadd user to group script = /usr/bin/gpasswd -a %u %gadd user to group script = /usr/bin/gpasswd -a %u %gset primary group script = /usr/sbin/usermod -g %g %uset primary group script = /usr/sbin/usermod -g %g %u



CONFIGURACION.CONFIGURACION. El parámetro add user script sirve para definir lo que se deberá ejecutar en el El parámetro add user script sirve para definir lo que se deberá ejecutar en el

trasfondo en el sistema para crear una nueva cuenta de usuario. El parámetro trasfondo en el sistema para crear una nueva cuenta de usuario. El parámetro add machine script es particularmente importante porque es el mandato utilizado add machine script es particularmente importante porque es el mandato utilizado para dar de alta cuentas de máquinas (trust accounts o cuentas de confianza) de para dar de alta cuentas de máquinas (trust accounts o cuentas de confianza) de modo automático. El parámetro delete user script es para definir lo propio para modo automático. El parámetro delete user script es para definir lo propio para eliminar usuarios, delete group script para eliminar grupos, add user to group eliminar usuarios, delete group script para eliminar grupos, add user to group para añadir usuarios a grupos y set primary group script para establecer un para añadir usuarios a grupos y set primary group script para establecer un grupo como el principal para un usuario.grupo como el principal para un usuario.

Directorio para Netlogon y perfiles en Controlador Primario de Dominio Directorio para Netlogon y perfiles en Controlador Primario de Dominio (PDC).(PDC).

Si se va a utilizar Samba como Controlador Primario de Dominio, es necesario Si se va a utilizar Samba como Controlador Primario de Dominio, es necesario definir los recursos donde residirá netlogon y también donde se almacenarán los definir los recursos donde residirá netlogon y también donde se almacenarán los perfiles de los usuarios:perfiles de los usuarios:

[netlogon][netlogon]comment = Network Logon Servicecomment = Network Logon Servicepath = /var/lib/samba/netlogonpath = /var/lib/samba/netlogonwrite list = @administradores, @admins_dominiowrite list = @administradores, @admins_dominioguest ok = Yesguest ok = Yesbrowseable = Yesbrowseable = Yes

[Profiles][Profiles]path = /var/lib/samba/profilespath = /var/lib/samba/profilesread only = Noread only = Noguest ok = Yesguest ok = Yescreate mask = 0600create mask = 0600directory mask = 0700 directory mask = 0700



CONFIGURACION.CONFIGURACION. Genere con el mandato mkdir los directorios /var/lib/samba/profiles Genere con el mandato mkdir los directorios /var/lib/samba/profiles

y /var/lib/samba/netlogon. El directorio /var/lib/samba/profiles y /var/lib/samba/netlogon. El directorio /var/lib/samba/profiles deberá pertenecer a root y al grupo users y tener permiso 1777 a deberá pertenecer a root y al grupo users y tener permiso 1777 a fin de permitir crear el directorio de perfil correspondiente para fin de permitir crear el directorio de perfil correspondiente para cada usuario.cada usuario.

mkdir -p -m 1777 /var/lib/samba/profilesmkdir -p -m 1777 /var/lib/samba/profilesmkdir -p /var/lib/samba/netlogonmkdir -p /var/lib/samba/netlogonchgrp users /var/lib/samba/profiles chgrp users /var/lib/samba/profiles

Iniciar el servicio y añadirlo al arranque del sistema.Iniciar el servicio y añadirlo al arranque del sistema. Si iniciará Samba por primera vez ejecute lo siguiente:Si iniciará Samba por primera vez ejecute lo siguiente:/sbin/service smb start /sbin/service smb start

Si va a reiniciar el servicio, ejecute lo siguiente:Si va a reiniciar el servicio, ejecute lo siguiente:/sbin/service smb restart /sbin/service smb restart

Para que Samba inicie automáticamente cada vez que inicie el Para que Samba inicie automáticamente cada vez que inicie el servidor solo ejecute el siguiente mandato:servidor solo ejecute el siguiente mandato:

/sbin/chkconfig smb on /sbin/chkconfig smb on



ACCEDIENDO HACIA SAMBA.ACCEDIENDO HACIA SAMBA. Modo texto.Modo texto. Smbclient.Smbclient. Indudablemente el método más práctico y seguro es el mandato Indudablemente el método más práctico y seguro es el mandato

smbclient. Este permite acceder hacía cualquier servidor Samba smbclient. Este permite acceder hacía cualquier servidor Samba o Windows® como si fuese el mandato ftp en modo texto.o Windows® como si fuese el mandato ftp en modo texto.

Para acceder al cualquier recurso de alguna máquina Para acceder al cualquier recurso de alguna máquina Windows® o servidor SAMBA determine primero que volúmenes Windows® o servidor SAMBA determine primero que volúmenes o recursos compartidos posee está. utilice el mandato smbclient o recursos compartidos posee está. utilice el mandato smbclient del siguiente modo:del siguiente modo:

smbclient -U usuario -L HOST_IP_MAQUINAsmbclient -U usuario -L HOST_IP_MAQUINA

Lo cual le devolvería más menos lo siguiente:Lo cual le devolvería más menos lo siguiente:



ACCEDIENDO HACIA SAMBA.ACCEDIENDO HACIA SAMBA.



ACCEDIENDO HACIA SAMBA.ACCEDIENDO HACIA SAMBA. La siguiente corresponde a la sintaxis básica para poder navegar La siguiente corresponde a la sintaxis básica para poder navegar

los recursos compartidos por la máquina Windows® o el servidor los recursos compartidos por la máquina Windows® o el servidor SAMBA:SAMBA:

smbclient //alguna_maquina/recurso -U usuario smbclient //alguna_maquina/recurso -U usuario

Ejemplo:Ejemplo:smbclient //LINUX/FTP -U jbarrios smbclient //LINUX/FTP -U jbarrios Después de ejecutar lo anterior, el sistema solicitará se Después de ejecutar lo anterior, el sistema solicitará se

proporcione la clave de acceso del usuario jbarrios en el equipo proporcione la clave de acceso del usuario jbarrios en el equipo denominado LINUX.denominado LINUX.

smbclient //LINUX/FTP -U jbarriossmbclient //LINUX/FTP -U jbarriosadded interface ip=192.168.1.254 bcast=192.168.1.255added interface ip=192.168.1.254 bcast=192.168.1.255nmask=255.255.255.0nmask=255.255.255.0Password:Password:Domain=[miusuario] OS=[Unix] Server=[Samba 2.2.1a]Domain=[miusuario] OS=[Unix] Server=[Samba 2.2.1a]smb: \> smb: \>

Pueden utilizarse virtualmente los mismos mandatos que en el Pueden utilizarse virtualmente los mismos mandatos que en el interprete de ftp, como serían get, mget, put, del, etc.interprete de ftp, como serían get, mget, put, del, etc.



ACCEDIENDO HACIA SAMBA.ACCEDIENDO HACIA SAMBA. Modo gráficoModo gráfico Desde el entorno de GNOME.Desde el entorno de GNOME. Si utiliza GNOME 2.x o superior, éste incluye un módulo para Nautilus Si utiliza GNOME 2.x o superior, éste incluye un módulo para Nautilus

que permite acceder hacia los recursos compartidos a través de Samba que permite acceder hacia los recursos compartidos a través de Samba sin necesidad de modificar cosa alguna en el sistema. Solo hay que hacer sin necesidad de modificar cosa alguna en el sistema. Solo hay que hacer clic en Servidores de red en el menú de GNOME.clic en Servidores de red en el menú de GNOME.



ACCEDIENDO HACIA SAMBA.ACCEDIENDO HACIA SAMBA. Modo gráficoModo gráfico Desde Windows.Desde Windows. Por su parte, desde Windows deberá ser posible acceder sin problemas Por su parte, desde Windows deberá ser posible acceder sin problemas

hacia Samba como si fuese hacia cualquier otra máquina con Windows. hacia Samba como si fuese hacia cualquier otra máquina con Windows. Vaya, ni Windows ni el usuario notarán siquiera la diferencia.Vaya, ni Windows ni el usuario notarán siquiera la diferencia.

UNIENDO MÁQUINAS AL DOMINIO DEL CONTROLADOR UNIENDO MÁQUINAS AL DOMINIO DEL CONTROLADOR PRIMARIO DE DOMINIO.PRIMARIO DE DOMINIO.

El controlador de dominio permite utilizar a Samba como servidor de El controlador de dominio permite utilizar a Samba como servidor de autenticación y servidor de archivos que además permite almacenar el autenticación y servidor de archivos que además permite almacenar el perfil, preferencias y documentos del usuario en el servidor perfil, preferencias y documentos del usuario en el servidor automáticamente sin la intervención del usuario.automáticamente sin la intervención del usuario.

Creando manualmente cuentas de máquinasCreando manualmente cuentas de máquinas Bajo algunas circunstancias será necesario crear cuentas de máquinas Bajo algunas circunstancias será necesario crear cuentas de máquinas

(trust accounts o cuentas de confianza) a fin de permitir unirse al (trust accounts o cuentas de confianza) a fin de permitir unirse al dominio. el procedimiento es simple:dominio. el procedimiento es simple:

/usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -c "Cuenta de máquina" -/usr/sbin/useradd -d /dev/null -g 100 -s /bin/false -c "Cuenta de máquina" -M maquina-windows$M maquina-windows$

smbpasswd -a maquina-windows$ smbpasswd -a maquina-windows$ Es de resaltar que las cuentas de máquinas deben incluir Es de resaltar que las cuentas de máquinas deben incluir

obligatoriamente un símbolo $ al final del nombre.obligatoriamente un símbolo $ al final del nombre.



CONTROLADOR DE DOMINIOCONTROLADOR DE DOMINIO Windows 95/98/ME y Windows XP HomeWindows 95/98/ME y Windows XP Home Ya que los sistemas con Windows 95/98/ME y Windows XP Home Ya que los sistemas con Windows 95/98/ME y Windows XP Home

no incluyen una implementación completa como miembros de no incluyen una implementación completa como miembros de dominio, no se requieren cuentas de confianza. El procedimiento dominio, no se requieren cuentas de confianza. El procedimiento para unirse al dominio es el siguiente:para unirse al dominio es el siguiente:

Acceder hacia Menú de inicio → Configuraciones → Panel de Acceder hacia Menú de inicio → Configuraciones → Panel de control → Redcontrol → Red

Seleccione la pestaña de ConfiguraciónSeleccione la pestaña de Configuración Seleccione «Cliente de redes Microsoft»Seleccione «Cliente de redes Microsoft» Haga clic en el botón de propiedadesHaga clic en el botón de propiedades Seleccione Acceder a dominio de Windows NT y especifique el Seleccione Acceder a dominio de Windows NT y especifique el

dominio correspondiente.dominio correspondiente. Clic en todos los botones de «Aceptar» y reinicie el sistemaClic en todos los botones de «Aceptar» y reinicie el sistema Acceda con cualquier usuario que haya sido dado de alta en el Acceda con cualquier usuario que haya sido dado de alta en el

servidor Samba y que además cuente con una clave de acceso servidor Samba y que además cuente con una clave de acceso asignada con smbpasswd.asignada con smbpasswd.



CONTROLADOR DE DOMINIO.CONTROLADOR DE DOMINIO. Windows NTWindows NT Crear manualmente la cuenta de máquina como se describió Crear manualmente la cuenta de máquina como se describió

anteriormente.anteriormente. Acceder hacia Menú de inicio → Configuraciones → Panel de Acceder hacia Menú de inicio → Configuraciones → Panel de

control → Red.control → Red. Seleccionar la pestaña de «Identificación».Seleccionar la pestaña de «Identificación». Clic en el botón de «Cambiar».Clic en el botón de «Cambiar». Ingrese el nombre del dominio y el nombre del sistema. No Ingrese el nombre del dominio y el nombre del sistema. No

selecione «Crear una cuenta de máquina en el Dominio».selecione «Crear una cuenta de máquina en el Dominio». Clic en «Aceptar»Clic en «Aceptar» Espere algunos segundos.Espere algunos segundos. Deberá mostrarse un mensaje emergente de confirmación que Deberá mostrarse un mensaje emergente de confirmación que

dice «Bienvenido a MI-DOMINIO»dice «Bienvenido a MI-DOMINIO» Reinicie el sistemaReinicie el sistema Acceda con cualquier usuario que haya sido dado de alta en el Acceda con cualquier usuario que haya sido dado de alta en el




CONTROLADOR DE DOMINIO.CONTROLADOR DE DOMINIO. Windows 2000/2003 y Windows XP ProfesionalWindows 2000/2003 y Windows XP Profesional Clic derecho en el icono de «Mi PC».Clic derecho en el icono de «Mi PC». Seleccionar «Propiedades»Seleccionar «Propiedades» Haga clic en la pestaña de «Identificación de red» o «Nombre del Haga clic en la pestaña de «Identificación de red» o «Nombre del

sistema».sistema». Clic en el botón de «Propiedades».Clic en el botón de «Propiedades». Clic en el botón «Miembro de dominio»Clic en el botón «Miembro de dominio» Ingrese el nombre del dominio y el nombre de la máquina y haga clic Ingrese el nombre del dominio y el nombre de la máquina y haga clic

en el botónde «Aceptar»en el botónde «Aceptar» Aparecerá un diálogo que preguntará por una cuenta y clave de aceso Aparecerá un diálogo que preguntará por una cuenta y clave de aceso

con privilegios de administración en el servidor. Especifique la root y con privilegios de administración en el servidor. Especifique la root y la clave de acceso que asignó a la cuenta de root con el mandato la clave de acceso que asignó a la cuenta de root con el mandato smbpasswd (NO LA CLAVE DE ACCESO DE ROOT EN EL SISTEMA).smbpasswd (NO LA CLAVE DE ACCESO DE ROOT EN EL SISTEMA).

Espere algunos segundos.Espere algunos segundos. Deberá mostrarse un mensaje emergente de confirmación que dice Deberá mostrarse un mensaje emergente de confirmación que dice

«Bienvenido a MI-DOMINIO»«Bienvenido a MI-DOMINIO» Reinicie el sistemaReinicie el sistema Acceda con cualquier usuario que haya sido dado de alta en el Acceda con cualquier usuario que haya sido dado de alta en el


ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE – INTERCONEXION SAMBA ADMINISTRACION DE SERVIDORES...

Documents

Transcript of ADMINISTRACION DE SERVIDORES LINUX ENTERPRISE – INTERCONEXION SAMBA ADMINISTRACION DE SERVIDORES...