Как узнать версию samba

Как проверить версию SMB в Windows 10/8/7

SMB или Протоколы блокировки сообщений сервера используются для подключения компьютера к внешнему серверу. Windows 10 поставляется с поддержкой этих протоколов, но они отключены в OOBE. В настоящее время Windows 10 также поддерживает SMBv1, SMBv2 и SMBv3. Разные серверы в зависимости от их конфигурации требуют разных версий SMB для подключения к компьютеру. Но в случае, если вы используете Windows 8.1 или Windows 7, вы можете проверить, включена ли она тоже. Это то, что мы собираемся сделать сегодня.

Как проверить версию SMB в Windows

Способы проверки, какая версия SMB установлена ​​на Сервере.

Мы будем использовать следующие методы, чтобы проверить, какая версия SMB установлена ​​на вашем компьютере:

1] Метод PowerShell

Если вы хотите проверить, какую версию SMB вы используете, вы можете просто ввести следующую команду в PowerShell:

SMB v1 Windows 10 и Windows 8.1

SMB v2 для Windows 10 и Windows 8.1

SMB v1 для Windows 7

SMB v2 для Windows 7

2] Метод редактора реестра

Введите regedit в поле Начать поиск и нажмите Enter. После открытия редактора реестра перейдите к следующему

Если для него установлено значение 0, оно отключено.

И в любом другом случае он включен.

Способы проверить, какая версия SMB установлена ​​на клиентах.

Мы будем использовать следующие методы, чтобы проверить, какая версия SMB установлена ​​на вашем компьютере:

1] Метод PowerShell

Итак, если вы хотите проверить, какая версия SMB вы используете, вы можете просто ввести следующее в командной строке с привилегиями уровня администратора,

SMB v1 Windows 10 и Windows 8.1

SMB v2 для Windows 10 и Windows 8.1

2] Метод редактора групповой политики

Стоит отметить, что этот метод не будет работать в Windows 10 Home или аналогичной редакции Windows 8 или Windows 7.

Откройте окно «Выполнить», введите gpedit.msc и нажмите Enter, чтобы открыть редактор локальной групповой политики. Перейдите по следующему пути:

Конфигурация компьютера> Настройки Windows

В разделе Реестр найдите элемент реестра со следующими свойствами:

Действие: обновление

Улей: HKEY_LOCAL_MACHINE

Путь к ключу: SYSTEM \ CurrentControl \ services \ mrxsmb10

Название значения. Начало

Тип значения: REG_DWORD

Данные о стоимости. 4

Если значение данных установлено в 4, SMB отключен.

Для детального чтения посетите microsoft.com.

Источник

Операционные системы Astra Linux

Оперативные обновления и методические указания

Операционные системы Astra Linux предназначены для применения в составе информационных (автоматизированных) систем в целях обработки и защиты 1) информации любой категории доступа 2) : общедоступной информации, а также информации, доступ к которой ограничен федеральными законами (информации ограниченного доступа).

1) от несанкционированного доступа;
2) в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (статья 5, пункт 2).

Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».

На web-сайтах https://astralinux.ru/ и https://wiki.astralinux.ru представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения.

Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!

Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.

Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить в статье Подключение репозиториев с пакетами в ОС Astra Linux и установка пакетов.

В целях обеспечения соответствия сертифицированных операционных систем Astra Linux Special Edition требованиям, предъявляемым к безопасности информации, ООО «РусБИтех-Астра» осуществляет выпуск очередных и оперативных обновлений.

Очередные обновления (версии) предназначены для:

Оперативные обновления предназначены для оперативного устранения уязвимостей в экземплярах, находящихся в эксплуатации, и представляют собой бюллетень безопасности, который доступен в виде:

Ввиду совершенствования нормативно-правовых документов в области защиты информации и в целях обеспечения соответствия информационных актуальным требованиям безопасности информации, а также обеспечения их долговременной эксплуатации, в том числе работоспособности на современных средствах вычислительной техники, рекомендуется на регулярной основе планировать проведение мероприятий по применению очередных и оперативных обновлений операционной системы.

Источник

6.2 Служба samba

Общие сведения о Samba

Данный продукт представляет собой комплект серверного и клиентского программного обеспечения для осуществления связи UNIX-машин с сетями Microsoft и LanManager, которые сами по себе представляют собой подклассы сетей SMB.

Samba использует протокол «NetBIOS over TCP/IP», что позволяет ей успешно взаимодействовать с такими реализациями SMB, как входящие в OS/2 3-4, Windows 9X-ME, NT3.5-4/2000/XP/Vista/7, UNIX-системами с Samba и, возможно, другими подобными. Samba не может работать без использования TCP/IP (на NetBIOS и NetBEUI). Об этом не стоит забывать при проектировании сетей.

Для работы в сетях SMB необходимы:

Все это есть в пакетах samba-client, samba-client-cups, samba-common, samba, samba-swat, входящих в состав дистрибутива.

При использовании SMB доступны следующие ресурсы:

Первые три пункта поддерживаются Samba в полном обьеме, последний — частично, но это направление стремительно развивается и весьма полно реализовано в Samba, описанной ниже.

Также доступен весьма объемный комплект документации в пакете samba-doc; большинство ссылок данного раздела будут указывать именно на содержимое этого пакета.

Краткий обзор каталогов и файлов

Все файлы конфигурации и авторизации Samba расположены в каталоге /etc/samba и его подкаталогах. Рассмотрим их несколько подробнее.

Список выполняемых файлов Samba можно получить командой:

и подробно ознакомиться с каждым, прочитав соответствующие разделы документации.

Далее описаны самые важные и наиболее часто используемые компоненты.

Следует отметить, что у скрипта /etc/init.d/smb есть два режима рестарта — restart и reload, которые радикально отличаются следующими особенностями.

restart производит полный рестарт процессов smbd и nmbd со сбросом текущих соединений. Как правило, клиенты сами производят автоматический реконнект к ресурсам, однако если в момент рестарта были открыты файлы, то возможны проблемы с клиентскими приложениями (например, MS Office и 1C).

reload заставляет smbd и nmbd только лишь перечитывать файлы конфигурации без рестарта и сброса соединений. При этом старые соединения продолжают существовать по старым правилам, а ко всем новым соединениям будут применены уже новые правила на основании файлов конфигурации.

Настройка

В большинстве случаев настройка Samba заключается в редактировании основного конфигурационного файла /etc/samba/smb.conf и управлении пользователями с помощью smbpasswd.

Под таковым понимается компьютер, предоставляющий в сеть файловые ресурсы. Фактически это простейший независимый файловый сервер, имеющий собственную базу авторизации пользователей.

Для того, что бы создать такой сервер, необходимо лишь немного подправить стандартный конфигурационный файл smb.conf (подставить требуемые имя рабочей группы и имена ресурсов) и создать учетные записи пользователей, как описано в ниже, а также учесть рекомендации по безопасности, изложенные в конце раздела.

Вот основные записи в smb.conf, которые создадут нам «обычный сервер».

[global]

Секция [global] определяет общие настройки серверной части Samba в целом для всех ресурсов.

Имя рабочей группы

Уровень определения прав доступа на уровне пользователей

Приоритет данного сервера среди других компьютеров рабочей группы: определяет, кто именно будет главной машиной, отвечающей за отображение ресурсов сети.

Для сравнения, у Win9X os level = 34, а у NT4 os level = 64. os level = 65

Очевидно, что раз нет домена — нет и мастера.

Не стоит становиться сервером паролей для окрестных машин.

Обычно в простейшей сети WINS не нужен, мы его отключаем и у себя тоже.

Далее надо определить, какие именно каталоги предоставим в сеть. Для каждого ресурса существует отдельная секция.

Самый простейший вариант для обычных ресурсов — обычный каталог с именем public:

Имя ресурса, видимое в сети

[public]

Комментарий, видимый в сети как комментарий к ресурсу

Путь к каталогу ресурса

Отметка о доступе на чтение всем авторизованным пользователям (в том числе и гостевым, если они определены)

Запрещение работы на запись всем пользователям

Разрешение работы на запись всем пользователям, входящим в системную группу staff

Подобным образом можно создать различные сетевые ресурсы сервера с различными правами доступа.

Поскольку Samba исполняется не в chroot, внутри ресурсов можно использовать любые символические ссылки на расположенные локально и в сети (NFS, SMB, Coda и т.д.) файловые обьекты, что очень удобно в плане администрирования системы.

Особые ресурсы — например, домашние каталоги пользователей:

имя ресурса, которое автоматически будет заменено именем домашнего каталога пользователя, под которым подключился клиент и именно название его домашнего каталога будет отображено в сети как имя ресурса. Для получения доступа к этому ресурсу клиент должен предоставить серверу соответствующие имя и пароль, все прочие пользователи к этому ресурсу доступа не имеют вовсе.

[homes]

Комментарий, видимый в сети как комментарий к ресурсу:

Признак невидимости — данный ресурс виден в сети только тому пользователю, который является его владельцем. К этому ресурсу можно обратиться непосредственно задав его имя, но в браузинге сети он будет виден только владельцу:

Разрешение на запись:

Имя ресурса, которое будет видно в сети. Кроме него, в сети будут также видны и локальные принтеры под теми же именами, что и в системе по команде lpq.

[printers]

Комментарий, который игнорируется:

Путь к каталогу, в котором располагается спул принтеров, предоставляемых в сеть через Samba:

Невидимость ресурса в браузинге, он подменяется системным ресурсом:

Разрешение на печать для гостевого захода:

Запрещение на запись, поскольку в спул пишет сама Samba, а не пользователь.

Признак того, что это именно принтер, а не файловый ресурс:

Маска для создания файлов заданий на печать:

Команды, выполняемые Samba для того, чтобы напечатать документ.

Использование драйвера клиента, применяется для не-UNIX клиентов.

Использование драйвера CUPS на стороне сервера (на стороне клиентов используется generic PostScript драйвер):

Следующие команды являются стандартными при установке printing=cups, их можно изменить в случае необходимости.

Сервер в составе существующего домена NT

Подключите вновь созданную машину Samba с именем COMP к существующему домену DOM, администратором которого является пользователь Administrator и PDC этого домена реализован на другом компьютере.

Первым делом необходимо убедиться, что машины с таким же именем, как и та, которую вы собираетесь подключить, в домене еще нет. В противном случае эту машину необходимо удалить из состава домена средствами самого PDC или выбрать другое имя.

На машине COMP в /etc/samba/smb.conf необходимо внести следующие изменения:

[global]

После чего необходимо остановить Samba-сервер, если он работает, командой:

Теперь необходимо послать запрос на PDC с целью авторизации нового члена домена с помощью следующей команды:

и в ответ на запрос ввести пароль пользователя Administrator — тот самый, с которым этот пользователь зарегистрирован в домене.

Если получено сообщение:

все работает; иначе в smb.conf надо написать:

повторить последнюю команду и по подробным логам разбираться, что не так. При таком уровне log level в log.smbd содержится подробный отчет об обмене с PDC. Вполне возможно, что были допущены ошибки в написании имен или ошибочно введен пароль; также возможны какие-либо неполадки на стороне PDC.

С этого момента, когда к Samba обратился пользователь «user123» с паролем «passw», она:

Сначала ищет его в /etc/samba/smbpasswd, если пароль и имя совпадают — пускает, иначе отказывает в авторизации или считает гостем (в зависимости от настройки);

Обычно при работе в домене на рядовых рабочих станциях /etc/samba/smbpasswd должен быть абсолютно пустым либо содержать только административные учетные записи, с доменом никак не связанные.

Данная логика работы применима только в том случае, если не используется winbind. Для того, чтобы доменные пользователи автоматически оказывались в /etc/passwd при первом же удачном обращении (правильность паролей была подтверждена PDC), в /etc/samba/smb.conf необходимо написать одну строку:

[global]

соответственно каталоги /home/domain и /etc/skel_domain, а также группа 600 должны уже существовать. Все конкретные имена и опции useradd можно менять в зависимости от конкретных применений.

По директиве add user script, которая активизируется в тех случаях, когда пользователь еще не зарегистрирован на данной машине, можно вызывать не только /usr/sbin/useradd с ключами, но и любые другие программы.

При этом не стоит забывать и о безопасности — программы, запущенные при помощи add user script, будут выполняться от всемогущего в пределах системы пользователя root, а параметры их вызова частично определяются пользователем, что потенциально опасно!

Теперь можно включить сервер Samba командой:

и работать в домене сети Windows на правах рядового члена домена.

Сервер как PDC домена

Для создания Primary Domain Controller (PDC) необходимо в smb.conf внести/изменить следующие записи

[global]

Имя сервера; если данный параметр не определен, то он примет значение, соответствующее имени хоста:

Режим работы системы авторизации сервера:

Разрешение на использование шифрованных паролей:

Путь к локальному файлу паролей:

Стать мастер-браузером для домена:

Сразу при старте постараться стать мастер-браузером домена:

Быть сервером паролей домена:

Расположение профайла пользователей домена:

Административная группа домена, присутствие в списке пользователя administrator весьма желательно, без этого данный пользователь не получит административных прав на клиентских машинах Windows:

Быть WINS-сервером. WINS-сервер имеет смысл когда в сети более 10 машин, работающих по протоколу SMB. Наличие такого сервера в сложных сетях существенно снижает широковещательный трафик:

Порядок разрешения имен NetBIOS, по аналогии с записью в /etc/host.conf для разрешения имен DNS. Значение wins имеет смысл только при наличии в сети wins-сервера, в противном случае оно замедлит работу:

Также необходимо создать ресурсы для работы домена.

Ресурс netlogon необходим для работы PDC и домена в целом. Он просто должен существовать.

[netlogon]

Данный ресурс необходим для создания и хранения профайлов пользователей домена:

[Profiles]

При создании пользователя домена в /var/lib/samba/profiles автоматически создается каталог с именем, идентичным имени создаваемого пользователя и принадлежащий ему (с правами 0700). В этом каталоге будут храниться личные настройки пользователя.

Для того чтобы включить клиентскую машину в домен, необходимо произвести следующие действия:

Первый метод — вручную.

Прежде всего, необходимо создать локального пользователя системы с именем, соответствующим NetBIOS-name подключаемой к домену машины. К имени на конце добавляется символ »$». Для добавления машины с именем machine_name необходимо от имени пользователя root выполнить следующие команды:

Теперь, когда создан пользователь (символ »S» в конце имени означает что это NetBIOS-имя компьютера, а не имя пользователя), можно добавить его в домен, выполнив от имени root команду:

Теперь компьютер подключен к домену.

Второй метод — автоматический.

Работу по созданию машинного акаунта можно переложить на Samba, включив в smb.conf следующую запись:

[global]

Теперь Samba будет принимать от клиентских машин запросы на включение в домен и автоматически регистрировать их аналогично NT Server.

С этого момента начинает существовать домен и PDC на базе Samba-сервера. Пользователи могут входить под своими именами и паролями с любой машины домена с сохранением настроек, а также самостоятельно менять свои пользовательские пароли без помощи администратора сети.

Учетные записи пользователей

Все учетные записи хранятся в файле /etc/samba/smbpasswd.

Учетные записи пользователей, используемые Samba, делятся на две категории:

Следует учитывать, что для того, чтобы создать и использовать любую учетную запись в /etc/samba/smbpasswd, предварительно необходимо создать соответствующую запись в /etc/passwd. Общее правило — для каждого пользователя в /etc/samba/smbpasswd обязательно должен существовать пользователь в /etc/passwd. Обратное утверждение неверно.

Для управления учетными записями предназначена утилита smbpasswd; полный список ее возможностей можно узнать из соответствующей man-страницы, здесь же рассмотрим наиболее частые методы использования.

Создание нового пользователя:

Смена пароля у существующего пользователя:

Удаление существующего пользователя:

Приостановление учетной записи без удаления:

Подключение данного компьютера к существующему домену:

Использование winbind

Сервис winbind является новым средством, предназначенным для более полной интеграции Samba в домены Windows; он появился, начиная с Samba 2.2.0. Данный сервис считывает свою конфигурацию из /etc/samba/smb.conf и динамически взаимодействует с PDC домена, автоматически синхронизируя списки пользователей и групп домена и машины Samba. Таким образом, winbind является весьма удобным средством для автоматического поддержания актуальности базы пользователей домена на рабочих станциях Samba.

Работа данного сервиса происходит без изменения содержимого каких-либо авторизационных файлов в /etc и при перезагрузке машины доменные пользователи появляются в системе только после запуска winbindd. Если во время работы остановить winbindd, то доменные пользователи и группы не исчезнут из системы до перезагрузки, однако динамического обновления списков имен и паролей происходить не будет.

Для того чтобы при рестарте компьютера (или только сервиса winbindd) не нарушались соответствия внутренних UID и доменных SID, он сохраняет текущее состояние списков в файлах /var/cache/samba/winbindd*.tdb.

Для нормального функционирования winbindd в файле /etc/samba/smb.conf обязательно должны быть обьявлены следующие директивы:

[global]

Диапазон номеров локальных пользователей, который будет использован для динамического создания пользователей домена:

Диапазон номеров локальных групп пользователей, который будет использован для динамического создания групп пользователей домена:

Символ-разделитель, используемый для составления доменных имен пользователей и располагающийся между именем домена и именем пользователя:

Интервал времени (в секундах) между запросами winbind к PDC в целях синхронизации списков пользователей и групп:

Шаблон имени домашних каталогов доменных пользователей, автоматически присваиваемых каждому пользователю. Сами каталоги, однако, динамически не создаются. Вместо переменой %D подставляется имя домена, а вместо %U подставляется имя пользователя:

Командный интерпретатор, назначаемый по умолчанию для пользователей, авторизованных через winbindd.

Также необходимо внести изменения в файле /etc/nsswich.conf в разделы passwd и group, вписав директиву winbind — например, таким образом:

С этого момента можно использовать имена доменных пользователей в /etc/samba/smb.conf с целью разграничения доступа, в правах на файлы и каталоги, для подключения к сетевым ресурсам данного хоста со стороны других хостов.

Обычный клиент

Клиентские функции Samba представлены средствами просмотра сетевого окружения и монтирования файловых систем /usr/bin/smbclient и /usr/bin/smbmount соответственно. Также доступны mount.smb и mount.smbfs, являющиеся символическими ссылками на /usr/bin/smbount.

При запуске эти программы считывают текущую конфигурацию из файла /etc/samba/smb.conf и используют доменные функции в случае, если машина подключена к домену Windows.

Также файловые системы возможно монтировать системной командой mount, указав в качестве типа файловой системы smbfs, и использовать эти записи в /etc/fstab для автоматического монтирования при загрузке системы.

Например, для того что бы смонтировать в каталог /mnt/disk ресурс public с машины SMALLSERVER под именем cooluser, нужно выполнить команду:

Регистр написания имен компьютеров, ресурсов и пользователей роли не играет. Для того, что бы получить список Samba-ресурсов данной машины и список машин рабочей группы или домена достаточно выполнить команду:

Более подробные сведения можно прочесть в man-страницах по smbclient и smbmount.

Клиент в составе существующего домена NT

Подключение происходит аналогично рассмотренному подключению сервера в составе существующего домена NT. Далее вся работа происходит точно так же, как описано в предыдущем пункте.

Принт-сервер на CUPS

По умолчанию Samba сконфигурирована на использование CUPS в качестве спулера печати. Подразумевается, что CUPS уже настроен и запущен. В /etc/samba/smb.conf присутствуют следующие директивы:

[global]

Также необходимо создать ресурс [printers] — его создание и назначение директив подробно описано в подпункте Обычный сервер в части «Особые ресурсы».

Особенности локализации клиента и сервера

Для того, чтобы все компоненты Samba правильно работали с русскими именами файловых объектов и ресурсов, в /etc/samba/smb.conf необходимо добавить следующие директивы:

[global]

Далее приводятся наборы значений этих директив и системных кодировок, наиболее часто используемых в России, Белорусии и на Украине:

В двух последних случаях 1251U — специальное обозначение внутри Samba для комбинации «локально 1251 — удаленно 1125». В Samba определение удаленной кодировки делается по имени локальной.

Также необходимо проследить, чтобы на тех компьютерах Windows, с которыми предполагается взаимодействие через Samba, были установлены соответствующие системные настройки локализации. В противном случае велика вероятность, что вместо кириллических символов будут отображены знаки »?» либо другие символы.

Указанные директивы /etc/samba/smb.conf воздействуют на работу всех компонентов Samba — и серверных, и клиентских. На данный момент поддерживаются кириллические написания имен — файлов, каталогов и ресурсов.

Некоторые вопросы безопасности

Данный раздел относится в основном к серверной части Samba.

Прежде всего необходимо определить, какие интерфейсы должны прослушиваться Samba в ожидании запроса на соединение (по умолчанию прослушиваются все имеющиеся в системе).

Например, для того, чтобы ограничить прослушивание локальным хостом и первой сетевой картой, необходимо написать в /etc/samba/smb.conf:

[global]

Далее можно ограничить диапазоны адресов, с которых позволительно обращаться к данному серверу. Действие данных директив аналогично воздействию /etc/hosts.allow и /etc/hosts.deny на xinetd и ssh: если IP-адрес хоста не подпадает под разрешающее правило, то соединение не будет установлено вовсе. Для того, что бы ограничить доступ двумя подсетями и локальной системой, дополнительно исключив при этом один хост, можно написать:

[global]

Все вышеперечисленные директивы ограничивают соединения на уровне интерфейсов и IP-адресов до какой либо авторизации. Следующие директивы управляют режимом авторизации пользователей.

Во избежание перехвата чувствительных данных при передаче их по сети открытым текстом принято шифровать пароли. Samba и все версии Windows, начиная с версии Win98, по умолчанию используют шифрование паролей. Данная директива включает его в Samba:

[global]

Файл переопределений имен пользователей является весьма мощным средством управления пользовательскими акаунтами, однако при неразумном использовании это средство опасно и поэтому по умолчанию отключено. Внимательно ознакомьтесь с содержимым файла /etc/samba/smbusers прежде, чем использовать его.

[global]

username map = /etc/samba/smbusers

Особенности использования samba 3.0

Samba 3.0 имеет заметные отличия от более ранних версий; наиболее выдающимися из них являются улучшенная по сравнению с версией 2.2 поддержка Unicode, поддержка гораздо большего количества кодовых страниц, новая утилита администрирования net, призванная заменить smbpasswd.

Задание кодовых страниц

Для задания кодировок используются следующие новые параметры smb.conf:

где — любая кодировка, поддерживаемая iconv. Список возможных кодировок можно узнать, выполнив команду:

Параметры client code page и character set больше не поддерживаются. Параметр unix charset указывает кодировку, в которой будут храниться файлы на диске, в которой заданы параметры в smb.conf.

Параметр dos charset указывает кодировку, в которой Samba будет общаться с клиентами, не поддерживающими Unicode. Все версии Windows, начиная с 95, понимают Unicode — но все же стоит установить dos charset = cp866, что соответствует client code page = 866 в более старых версиях.

Параметр display charset указывает, в какой кодировке должны выводить информацию программы, непосредственно обменивающиеся информацией с пользователем, например smbclient, net, wbinfo и другие.

Утилита net

Утилита net призвана заменить smbpasswd и обеспечивает гораздо большие возможности по получению информации о сети и управлению сетью. Формат команд утилиты очень похож на формат одноименной команды Windows NT/2000.

Основные применения команды net:

Управление машиной с Samba из Microsoft Management Console

Начиная с версии 2.2, Samba имеет возможнось удаленного администрирования из MMC (Microsoft Management Console). Эта возможность полезна, когда Samba является членом NT-домена или AD. Администратор домена может создавать, удалять и изменять сетевые ресурсы на UNIX-машине с запущенной Samba.

Для управления ресурсами служат параметры /etc/samba/smb.conf:

[global]

Параметр указывает скрипт, который будет вызван при попытке создания нового ресурса в MMC. Скрипту передается четыре параметра:

Скрипт должен завершаться с кодом 0 в случае успешного создания и ненулевым в случае ошибки.

Параметр указывает скрипт, который будет вызван при попытке изменения существующего ресурса в MMC. Скрипту передается четыре параметра:

Скрипт должен завершаться с кодом 0 в случае успешного создания и ненулевым в случае ошибки.

Параметр указывает скрипт, который будет вызван при попытке удаления существующего ресурса в MMC (Stop sharing). Скрипту передается два параметра:

Скрипт должен завершаться с кодом 0 в случае успешного создания и ненулевым в случае ошибки.

Чтобы скрипты могли изменять конфигурационные файлы Samba, они должны выполняться с правами root. Для этого нужно установить отображение пользователей домена, имеющих право изменять ресурсы, в root. Это можно сделать либо с помощью файла /etc/samba/smbusers, прописав там строку вида:

либо с помощью параметра admin users в /etc/samba/smb.conf:

После этого при создании нового ресурса можно будет просматривать и выбирать все директории ниже /drives/c.

Работа в среде Active Directory

Для объединения компьютеров в домены Widows 2000 Server использует схему, отличную от NT- доменов, которая называется Active Directory; эта схема обладает гораздо большей масштабируемостью и позволяет централизованно администрировать машины, входящие в домен. Active Directory базируется на протоколе авторизации Kerberos, при котором имя пользователя и пароль не передаются по сети, а используется механизм так называемых билетов, выдаваемых сервером на определенное время. Получив билет, машина, входящая в домен, может авторизоваться на других машинах домена без участия сервера.

Установка Samba

Samba 3.0, в отличие от более ранних версий Samba, имеет возможность работать в сетях Wndows, работающих в режиме Active Directory (или Windows 2000 native mode). Если требуется эта функциональность, следует установить samba3 samba2.

Active Directory имеет другую схему именования доменов, компьютеров и пользователей, основанную на DNS. Допустим, существует сеть с именем my.firm.com и компьютерами host1.my.firm.com, host2.my.firm.com, host3.my.firm.com; тогда домен Active Directory будет называться my.firm.com, а пользователи Active Directory будут иметь имена вида user@my.firm.com.

Настройка

/etc/krb5.conf должен содержать, по крайней мере, следующие строки:

[realms]

где MY.FIRM.COM — имя домена (или «царства», в терминологии Kerberos; задается обязательно в верхнем регистре), а your.kerberos.server — имя или IP-адрес KDC (Kerberos Domain Controller), аналог PDC (Primary Domain Controller) в доменах Windows NT — например, server.my.firm.com или 192.168.117.11.

Правильность указания параметров можно проверить, выполнив команду (замените имя пользователя на актуальное — например, administrator@MY.FIRM.COM):

и убедившись, что пароль был принят сервером. REALM всегда задается в верхнем регистре.

Также нужно убедиться, что возможно получить имя KDC по его IP адресу (так называемый Reverse DNS lookup). Имя KDC должно либо совпадать с NetBIOS-именем компьютера (имя машины в сети Windows без указания домена) либо состоять из NetBIOS-имени и имени домена. Если получить имя KDC по адресу невозможно, вы получите ошибку «local error» при попытке войти в домен.

Если DNS не поддерживает Reverse lookup либо KDC не зарегистрирован в DNS, вы можете указать соответствие IP-адреса и имени в /etc/hosts.

Редактирование /etc/samba/smb.conf:

Для работы в Active Directory smb.conf должен содержать следующие параметры:

Регистрация компьютера в Active Directory домене

Убедитесь что Samba не запущена. Если запущена, ее нужно остановить:

Чтобы включить компьютер в домен, выполните команду:

где administrator — имя пользователя домена, имеющего право создавать новые учетные записи.

Теперь можно запустить необходимые службы:

Проверка правильной работы в Active Directory

Для работы с компьютерами, зарегистрированными в Active Directory, не требуется указывать имя пользователя и пароль. Попробуйте выполнить команду:

Вы должны получить список доступных ресурсов, при этом smbclient не должен запрашивать имя пользователя и пароль.

Чтобы проверить, что доступ к ресурсам вашей машины возможен с других машин домена, вы можете попробовать выполнить все ту же команду:

и получить список доступных ресурсов. Можно также попробовать открыть какой-нибудь ресурс на вашей машине с Windows-машины, входящей в домен. В любом случае, имя пользователя и пароль запрашиваться не должны.

Некоторые особенности работы в Active Directory

В отличие от доменов Windows NT, авторизация в Active Directory производится не по имени и паролю, а c помощью билетов протокола Kerberos. Из-за этого работа с smbclient может поначалу показаться необычной.

где username — ваше имя в Active Directory домене REALM.

Так что если smbclient вдруг перестает подключаться к доменным ресурсам, попробуйте обновить билет — скорее всего, дело именно в этом.

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

Источник