Настройка NTP на резервном контроллере домена dc2.skynet.murom
Отключите сервис chrony:
# systemctl stop chronyd && systemctl disable chronyd
Запустите сервис NTP:
# systemctl start ntpd && systemctl enable ntpd
В файл /etc/ntp.conf на резервном контроллере добавьте строки:
server dc1.skynet.murom iburst prefer server 0.pool.ntp.org iburst server 1.pool.ntp.org iburst server 2.pool.ntp.org iburst
Проверка:
# ntpq -p remote refid st t when poll reach delay offset jitter ========================================================================== *dc1.skynet.murom 62.33.136.11 2 u - 64 1 0.272 0.177 0.618 cello.corbina.n 194.58.202.20 2 u - 64 1 14.088 2.191 0.673 62.183.87.106 194.190.168.1 2 u 1 64 1 48.239 9.129 10.577
Некоторые опции Samba
Рассмотрим некоторые полезные опции, которые могут пригодится при настройке Samba.
1. hosts allow
Параметр задает список разрешенных хостов или сетей, с которых можно подключаться к серверу. Если его прописать в секцию с настройкой шары, то он будет действовать только для нее, если прописать в , то для всех общих папок.
Пример использования параметра.
hosts allow = comp1, 192.168.1., 192.168.160.0/255.255.252.0
* в нашем примере мы разрешим доступ только для компьютера comp1, компьютеров из сетей 192.168.1.0/24 и 192.168.160.0/22.
2. hosts deny
Параметр аналогичный hosts allow, только он наоборот — запрещает доступ для хостов и сетей. Например:
hosts deny = comp2, 192.168.2., 192.168.164.0/255.255.252.0
hosts deny = ALL EXCEPT 192.168.3.
3. interfaces
По умолчанию samba использует все сетевые интерфейсы, кроме локальной петли (127.0.0.1). Параметр interfaces позволит указать, на каком сетевом адаптере файловый сервер должен принимать запросы. Пример:
interfaces = ens32 192.168.1.15/24 192.168.2.15/255.255.255.0
4. Force User/Group
Опции force user и force group позволяют задать пользователя и группу, от которых будет работать подключение пользователя к samba. Параметр может оказаться полезным для создания шары из каталога с уже назначенным владельцем, которого мы не хотим менять.
Прописывается для шары:
force user = apache
force group = apache
* данная настройка позволит подключаться к шаре под пользователем apache.
Настройка прав доступа на файлы в Samba
Сделаю небольшое пояснение по правам доступа в файловом сервере samba. Вопрос этот сложный и объемный. Ему можно посвятить и отдельную статью. Но для полноты картины по настройке самбы, расскажу самое основное.
Как я уже ранее сказал, изменять права доступа к каталогам на файловом сервере можно с помощью команды setfacl. Давайте сейчас посмотрим на права доступа, которые установлены:
С такими правами что-то создавать в папке сможет только пользователь admin51, а пользователи домена смогут только просматривать файлы и каталоги. Сделаем более прикладной вариант. Добавим права доступа на чтение и запись еще одной доменной группе — gr_it.
Обращаю внимание, что иногда при копировании команд setfacl они не отрабатывают, выдавая не очень понятную ошибку:
Наберите команду с клавиатуры, либо просто удалите и наберите снова ключ -m, он почему-то при копировании часто дает эту ошибку.
Смотрим, что получилось:
То, что надо. Теперь пользователи группы gr_it имеют полные права на шару. Создадим одним таким пользователем папку test1 на нашей шаре и посмотрим, какие права она получит.
Права на папку имеет только ее создатель и больше никто. Для того, чтобы наследовались права с вышестоящего каталога, необходимо на этот вышестоящий каталог добавить дефолтные права доступа. Примерно вот так.
Смотрим, что получилось:
Создадим теперь тем же пользователем еще одну папку test2 и проверим ее права.
Применилось наследование с вышестоящих папок. Не забывайте про дефолтные права и учитывайте их при настройке прав доступа на файловом сервере.
Для удобной и корректной работы с правами доступа я обычно для крупных, корневых директорий выставляю права аккуратно через setfacl в консоли. Какие-то мелкие изменения по пользователям и группам в более низших иерархиях директорий делаю через windows acl с какой-нибудь виндовой машины.
Еще важно знать одну особенность выставления прав доступа в linux. В моей практике часто требуется дать какому-нибудь пользователю доступ в одну директорию, которая располагается там, где у пользователя нет вообще никаких прав
В windows эта проблема решается просто — даются права на конкретную папку, а пользователю кладется ярлык на эту папку. В итоге он имеет доступ к нужной директории и больше никуда.
В linux так сделать не получится. Для того, чтобы дать таким образом доступ на отдельную директорию пользователю, необходимо, чтобы по всем вышестоящим директориям у него были права на исполнение, то есть X. Их придется выставлять вручную по всем вышестоящим папкам. Результат будет такой же, как и в винде — пользователь получит доступ на чтение только в указанную папку, но для этого придется выполнить больше действий. Если не знаешь этот нюанс, можно потратить много времени, прежде чем поймешь, в чем проблема.
Анонимный доступ
mkdir /srv/guest
Назначим пользователя и группу nobody владельцем и группой для папки /srv/guest. Данный пользователь и группа автоматически присваиваются samba анонимным пользователям.
chown -R nobody:nobody /srv/guest
Укажем права на директорию, разрешающие пользователю и группе читать и писать в папку.
chmod 775 /srv/guest
Настройте конфигурацию samba. Файл конфигурации samba находится в /etc/samba/smb.conf. Он состоит из разделов. Приведите его к следующему виду:
workgroup = WORKGROUP server string = Samba Server %v netbios name = redos security = user passdb backend = tdbsam map to guest = bad user #опция bad user означает, что доступ будет предоставлен от имени пользователя nobody comment = Share with anonymous access path = /srv/guest browsable = yes writable = yes guest ok = yes
Структура Samba-групп
Samba-группы могут быть следующих типов:
- (номер типа группы )
- (номер типа группы )
- (номер типа группы )
Группы, созданные по умолчанию:
-
Доменные группы — глобальные группы, которые действуют в домене.
- — администраторы домена (полные права на компьютерах в домене).
- — гости домена (минимальные права).
- — пользователи домена.
- — компьютеры домена.
-
Локальные группы — группы, действующие локально на данном компьютере.
Локальные группы отсутствуют -
Встроенные группы — группы встроенные в систему.
- — администраторы (полные права).
- — операторы учетных записей. Создание и управление пользовательской учетной информацией, создание и управление группами, резервное копирование файлов и каталогов.
- — операторы архивов. Резервное копирование, восстановление из резервной копии, остановка системы.
- — операторы печати. Управление принтерами, резервное копирование.
- — репликаторы. Эта группа используется службой репликации File Replication на контроллерах домена.
- — операторы системы. Изменение системного времени, останов системы, останов с удаленной системы, резервное копирование, восстановление из резервной копии, блокирование сервера, преодоление блокировки сервера, форматирование жесткого диска, управление сетевыми каталогами, управление принтерами.
Пример создания доменной группы test. По умолчанию создается доменная группа, тип группы — .
cl-groupadd test samba
* Группа 'test' добавлена в Samba сервис
Пример создания встроенной группы Power Users — пользователей, имеющих дополнительные права.
cl-groupadd -g 547 —rid 547 -t 5 ‘Power Users’ samba
* Группа 'Power Users' добавлена в Samba сервис
Где:
-
— идентификатор группы
547(Group ID) -
— уникальный идентификатор
547(RID) -
— тип группы
5(встроенная группа)
Заключение
Я рассмотрел основные моменты по самбе:
- Простая настройка с доступом по ip или системными пользователями.
- Настройка samba с интеграцией с AD и windows acl.
- Логирование доступа к файлам.
Онлайн курс Основы сетевых технологий
Теоретический курс с самыми базовыми знаниями по сетям. Курс подходит и начинающим, и людям с опытом. Практикующим системным администраторам курс поможет упорядочить знания и восполнить пробелы. А те, кто только входит в профессию, получат на курсе базовые знания и навыки, без воды и избыточной теории. После обучения вы сможете ответить на вопросы:
- На каком уровне модели OSI могут работать коммутаторы;
- Как лучше организовать работу сети организации с множеством отделов;
- Для чего и как использовать технологию VLAN;
- Для чего сервера стоит выносить в DMZ;
- Как организовать объединение филиалов и удаленный доступ сотрудников по vpn;
- и многое другое.
Уже знаете ответы на вопросы выше? Или сомневаетесь? Попробуйте пройти тест по основам сетевых технологий. Всего 53 вопроса, в один цикл теста входит 10 вопросов в случайном порядке. Поэтому тест можно проходить несколько раз без потери интереса. Бесплатно и без регистрации. Все подробности на странице .
Заключение
При помощи Samba мы создали мультиплатформенные сетевые ресурсы и протестировали доступ к ним. Ресурсы Samba очень распространены и могут использоваться различными приложениями. Например, VLC Player может проигрывать музыку и видео из ваших ресурсов Samba, а утилита резервного копирования BackupPC — записывать туда резервные копии.
- https://1cloud.ru/help/network/nastroika-samba-v-lokalnoj-seti
- https://interface31.ru/tech_it/2019/06/nastroyka-faylovogo-servera-samba-na-platforme-debian-ubuntu.html
- https://admin812.ru/kak-ustanovit-i-nastroit-samba-v-ubuntu.html
- https://andreyex.ru/ubuntu/kak-ustanovit-i-nastroit-server-samba-na-ubuntu-16-04-dlya-obshhego-dostupa-k-fajlam/
- https://ITProffi.ru/ustanovka-i-nastrojka-samba-servera-i-klientov/