Failiserveri seadistamine Samba4 näitel09. May '15

Sissejuhatus

Samba4 pole tarkvara pelgalt domeenikontrolleri jaoks, vaid pakub ka failiserveri teenust 1. Teoorias saaks sama masinat panna korraga pakkuma failiserveri ja domeenikontrolleri teenust, kuid see pole soovitatud. Selle asemel peaks domeenikontrolleri ja failiserveri paigutama kas eraldi virtuaalmasinatesse või vähemalt konteineritesse.

Important

Enne kui jätkad liida masin winbind abil domeeni.

1

https://wiki.samba.org/index.php/Setup_a_Samba_AD_Member_Server

Paigaldus

Tee kindlaks, et Samba server ja virtuaalfailisüsteemi moodulid oleks paigaldatud:

apt-get install samba samba-vfs-modules

Täienda Samba seadistuste faili /etc/samba/smb.conf:

[test]
path = /srv/test
writable = yes

[movies]
path = /srv/movies

Loo kataloogid:

mkdir -p /srv/movies /srv/test
chown -R administrator:"domain admins" /srv/movies /srv/test
chmod 770 -R /srv/movies /srv/test

Laadi uus konfiguratsioon:

service smbd restart

Silumine

Probleemide korral peata ajutiselt smbd teenus ning käivita smbd silumisrežiimis:

service smbd stop
smbd -i -d 3
service smbd start

Testimine Ubuntus

Testimiseks kasuta mõnda domeeni liidetud masinat. Eelnevalt veendu, et Kerberosega oleks autenditud vastu domeenikontrollerit:

kinit kasutajanimi@EXAMPLE.ORG

Kasuta Samba käsurea vahendeid võrguketaste nimekirja küsimiseks:

smbclient -L fileserver.example.org -k

Järgnev veateade tähendab, et eelnevalt pole Kerberosega autenditud vastu domeenikontrollerit.

cli_session_setup_kerberos: spnego_gen_krb5_negTokenInit failed: No such file or directory
session setup failed: NT_STATUS_UNSUCCESSFUL

System Message: ERROR/3 (./pages/lan/fileserver.rst, line 96)

Unknown directive type "comment".

.. comment:: Kui *smbclient* küsib parooli on midagi valesti Kerberosega, siinkohal *-k* tähendab et *smbclient* püüab failiserveris autentida Kerberosega

Alternatiivselt võid kasutada kataloogipuu lehitsejat. Vajutades Ctrl-L avaneb aadressiriba, kuhu sisestades aadressi kujul smb://failiserver.example.org/jagatud-kataloogi-nimi/ avatakse kataloogipuu failiserverist:

img/caja-address-bar.png

Ctrl-L avab aadressiriba nii Ubuntus töölaual kui ka paljudel teistel.

Kui failiserver on õigesti domeeni liidetud ning tööjaamast pileti küsimine õnnestub tekib klist alla CIFS 2 kirje:

Valid starting       Expires              Service principal
27.05.2015 07:44:04  27.05.2015 17:44:04  krbtgt/EXAMPLE.ORG@EXAMPLE.ORG
        renew until 28.05.2015 07:44:02
27.05.2015 07:44:13  27.05.2015 17:44:04  cifs/fileserver.example.org@EXAMPLE.ORG
        renew until 28.05.2015 07:44:02

Testimine Windowsis

Windowsi faililehitsejas avab aadressiriba Ctrl-L, kuid Windowsi puhul on aadressikuju \\failiserver.example.org\jagatud-kataloogi-nimi

img/windows-explorer-smb-share.png

Ctrl-L avab aadressiriba ka Windowsis

Failiõigused

Kuna Windowsi failiõigused erinevad pisut traditsioonilistest POSIX failiõigustest ning POSIX ACL-idest peab Samba erisused salvestama kuskile. Samba konfiguratsiooni globaalses sektsioonis vfs objects = acl_xattr ütleb, et need tuleks salvestada failisüsteemi extended attribuutidesse. Kui failisüsteemina on kasutatud ZFS-i siis säärasel failisüsteemil peaks kõik tarviliku juba saama kirjutada ACL-idesse. Linuxi all failiõiguste kaemiseks:

stat /srv/test
getfacl /srv/test
attr -l /srv/test
2

https://technet.microsoft.com/en-us/library/cc939973.aspx

SMB Kerberos LDAP samba4 training