Amministrazione di Samba 3.0 (3.0.14a)

Scritto da Alessandro Tani (alessandro.tani@homeworks.it)

- Pubblicato il giorno 8 Agosto 2005 -

Questo documento rappresenta un compendio di tutto ciò che è necessario conoscere su SAMBA per poterlo amministrare e gestire. Il materiale riportato è in parte prelevato dai documenti ufficiali relativi a SAMBA (reperibili al sito www.samba.org) ed in parte frutto della mia esperienza nell'utilizzo di SAMBA.

1. Prerequisiti

2. Installazione Samba

3. Configurazione di Samba

4. Aggiornamenti SAMBA

5. Gestione degli utenti

6. Gestione delle macchine

7. Gestione delle Stampanti

8. Gestione del File System

9. Comandi di amministrazione

10. Variabili di Samba (versione 3.0.14a)

1. Prerequisiti

1.1 Impostazioni sulla sicurezza

Per aumentare il livello di sicurezza impostare l'appartenze di default degli utenti al solo gruppo uucp:

useradd --save-defaults -g uucp
useradd --show-defaults

Fare in modo che valgano le seguenti impostazioni:

Controllare il file /etc/login.defs per vedere se le impostazioni sono state effettuate correttamente. Modificare il parametro umask che si trova nel file /etc/profile nel seguente modo: umask 017 In questo modo viene rispettata la corretta gestione dei permessi degli utenti nelle cartelle condivise.

1.2 Suggerimenti

Per visualizzare meglio il layout del comando ls conviene inserire username di lunghezza inferiore agli 8 caratteri. Sono ammessi utenti col simbolo grammaticale '.' (questo non è vero per la distribuzione Red Hat 9 Professional).

Partizionamento server Samba

Le cartelle utilizzata da Samba sono:

Suddivideremo le dimensioni delle aziende in base al numero di persone che utilizzano un computer. Secondo questa convenzione, avremo:

Allo stesso modo, supporemo che il numero massimo di uffici o reparti di una azienda ne identifichi anche le dimensioni, per cui:

Secondo questa convenzione, conviene tarare il server Samba nel seguente modo:

Pertanto:

 Cartella                       Piccola Azienda                 Media Azienda                   Grande Azienda
 -------------------------------------------------------------------------------------------------------------
 /var/lib/samba                 3GB                             6GB                             8GB
 /var/log/samba                 20MB                            40MB                            60MB
 /dati/profdata                 15GB                            500GB                           5000GB (almeno)
 /dati/ufficio                  60GB                            200GB                           1000GB (almeno)
 /dati/Applicazioni             20GB                            30GB                            50GB (almeno)
 /dati/comune                   4GB                             6GB                             20GB (almeno)
 --------------------------------------------------------------------------------------------------------------
 Totale                         92GB (circa)                    742GB (circa)                   6138GB

2. Installazione Samba

2.1 Installazione su una SLES 9

Per installare Samba in una distribuzione SuSE Linux Enterprise Server 9 basta procedere come segue:

Per sapere come integrare Samba in OpenLDAP si possono consultare le seguenti guide LDAP User Authentication and File Server e Linux Samba OpenLDAP.

2.2 Configurazione BIND

Per prima cosa bisogna provvedere ad installare BIND. Accertarsi che il file /etc/named.conf esista. Lanciare lo script:

setup.bind

avendo prima cura di configurare i vari file template a cui lo script fa riferimento. Controllare la sintassi del file /etc/named.conf lanciando il comando:

named-checkconf

Per controllare invece la sintassi dei file di zona si può utilizzare il comando named-checkzone nel seguente modo:

named-checkzone DominioDNS PercorsoFileDiZona

3. Configurazione di Samba

3.1 Controllo configurazione del Samba Server

Per controllare la sintassi del file smb.conf si può utilizzare il comando:

testparam -s

Per vedere se Samba è in esecuzione utilizzare i seguenti comandi:

ps ax | grep mbd
ps ax | grep winbind

Per vedere se si riesce ad accedere in modo anonino al Samba server, digitare il comando:

smbclient -L localhost -U%

Provare a fare una connessione autenticata al Samba Server utilizzare il comando:

smbclient //<NomeNetBISOSSambaServer>/<NomeShare> -U <UtenteDominio>

3.2 Osservazioni sulle varie piattaforme di Linux

Ogni implementazione di Linux realizzata, presenta delle sue peculiarit� caratteristiche, le principali delle quali vengono evidenziate di seguito.

3.3 Esempi di file di configurazione

Di seguito si possono trovare i riferimenti ad alcuni file di esempio relativi alla configurazione di SAMBA.

4. Aggiornamenti SAMBA

4.1 Dalla versione 3.0.11 alla versione 3.0.13

Per poter passare in modo indolore dalla versione 3.0.11 di SAMBA alla versione 3.0.13 bisogna procedere nel seguente modo:

5. Gestione degli utenti

5.1 Gestione utenti di SAMBA

Quando si creano gli utenti da inserire all'interno di SAMBA, conviene ricordarsi di:

Per meglio svolgere questi compiti amministrativi conviene utilizzare uno script o degli strumenti in grado di semplificare questa operazione. Per aggiungere un utente al sistema si può utilizzare il comando: useradd -c "Commento realtivo all'utente" -m -G <GruppiAggiuntivi> -p <PasswordUtente> <NomeAccount>

Ad esempio:

useradd -c "Utente per l'amministrazione locale della macchina" -m -G cdrom,floppy -p Passw0rd ospite

Per gestire gli utenti Samba utilizza i seguenti comandi (questi comandi vanno bene anche per la distribuzione Red Hat 9 Professional):

Per maggiori informazioni sulla gestione degli account utente si può consultare il file: /etc/login.defs

Per sapere quali sono gli utenti che hanno sbagliato password si può consultare il file: /var/log/faillog

5.2 Gestione delle password (Linux)

Per gestire le password si deve utilizzare il comando: passwd

In particolare sono utili le seguenti opzioni:

5.3 Gestione delle password (Samba)

Sono utili i seguenti comandi:

5.4 Gestione del profilo degli utenti Windows

Ci sono dei problemi col Romaing Profile se l'utente utilizza Outlook in quanto, per costruzione, i file *.PST non possono stare all'interno di una cartella di rete (non locale). Per avere maggiori informazioni sulla gestione dei Roaming Profile conviene leggere il documento User Data and Settings Management. Conviene utilizzare i Roaming Profile solamente in ambienti di rete ben controllati e dopo un adeguato test di tutte le applicazioni degli utenti. Per utilizzare i Romaing Profile devono essere soddisfatte le seguenti condizioni:

Per risolvere il problema del file Desktop.ini conviene abilitare il flag Hidden del file in modo da renderlo sempre nascosto quando si crea il Default Profile.

Più in generale, per una postazione PC fissa, ovvero non un laptop, può risultare conveniente reindirizzare su server le seguenti cartelle:

Per disabilitare l'utilizzo dei Romaing Profile bisogna modificare il valore della variabile logon path ovvero:

Conviene eseguire queste impostazioni prima di creare gli account utente di SAMBA.

Per creare un unico profilo utente valido per tutti gli utenti del dominio si può procedere nel seguente modo (la realizzazione di un siffatto profilo va ben pensata quando ci sono degli utenti che utilizzano dei laptop). Per maggiori informazioni sulla realizzazione di un uncio profilo comune si può consultare la Knowledge Base KB168475.

  1. Assicurarsi che il profilo dell'utente Administrator locale della macchina esista. Non cancellare per alcun motivo questo profilo utente.
  2. Collegarsi ad una macchina come utente normale (ovvero appartenete al gruppo Domain Users o Users).
  3. Impostare il tipo di profilo che si vuole assegnare all'utente di default. Conviene ricordarsi di:
    • Limitare la dimensione dei Temporary Internet Files.
    • Configurare adeguatamente la barra dei menu di Internet Explorer. Aggiungere ad esempio il pulsante per l'anteprima di stampa.
    • Modificare in modo opportuno il comportamento di Windows Explorer. Ricordarsi di non far visualizzare i file nascosti e di far visualizzare invece l'estensione dei file conosciuti.
    • Assicurarsi che all'interno del menu Start siano riportate le applicazioni più utilizzate dagli utenti.
    • Impostare in modo adeguato lo sfondo e le icone sul Desktop.
    • Configurare il client di posta utilizzando un profilo generico.
    • Impostare una configurazione di minima di tutti gli applicativi utilizzati dagli utenti.
  4. Collegarsi alla macchina con un utente avente diritti amministrativi sulla macchina.
  5. Copiare il profilo realizzato nella cartella C:\Documents and Settings\Default User
  6. Fare una copia di backup del file NTUser.dat che si trova all'interno della cartella C:\Documents and Settings\Default User.
  7. Editare il file di registro col comando regedt32
  8. Caricare il file NTUser.dat dell'utente Default User col nome Default.
  9. Modificare il percorso delle cartelle dell'utente in base alle esigenze aziendali del cliente:
    • Entrare nella chiave di registry HKLM\Default\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder
    • Modificare le seguenti chiavi:
    • Windows 2000 Professional
      • Cache: %LOGONSERVER%\profdata\%USERNAME%\InternetFiles
      • Cookies: %LOGONSERVER%\profdata\%USERNAME%\Cookies
      • History: %LOGONSERVER%\profdata\%USERNAME%\History
      • Local AppData: %LOGONSERVER%\profdata\%USERNAME%\AppData (Non redizionare questa cartella se Microsoft Outlook è installato sulla macchina)
      • Local Settings: %LOGONSERVER%\profdata\%USERNAME%\LocalSettings
      • My Pictures: %LOGONSERVER%\profdata\%USERNAME%\MyPictures
      • Personal: %LOGONSERVER%\profdata\%USERNAME%\MyDocuments
      • Recent: %LOGONSERVER%\profdata\%USERNAME%\Recent
    • Windows XP Professional
      • Cache: %LOGONSERVER%\profdata\%USERNAME%\InternetFiles
      • Cookies: %LOGONSERVER%\profdata\%USERNAME%\Cookies
      • History: %LOGONSERVER%\profdata\%USERNAME%\History
      • Local AppData: %LOGONSERVER%\profdata\%USERNAME%\AppData (Non redizionare questa cartella se Outlook è installato sulla macchina)
      • Local Settings: %LOGONSERVER%\profdata\%USERNAME%\LocalSettings
      • My Pictures: %LOGONSERVER%\profdata\%USERNAME%\Immagini
      • Personal: %LOGONSERVER%\profdata\%USERNAME%\Documenti
      • Recent: %LOGONSERVER%\profdata\%USERNAME%\Recent
  10. Salvare le modifiche.
  11. Copiare la cartella C:\Documents and Settings\Default User all'interno della cartella \\<SambaServerPDC>\netlogon. Affinchè tutto funzioni all'interno dello share di rete \\<SambaServerPDC>\netlogon deve esistere una cartella chiamata Default User.

5.5 Impostazioni delle Group Policy Locali

Per migliorare da un lato la fruibilità del sistema anche agli utenti che non hanno diritti amministrativi sulla postaszione di lavoro e dall'altro per elevare il livello di sicurezza delle varie postazioni, conviene impostare i seguenti criteri di protezione locale:

  1. Modifica dell'ora di sistema operativo:
    • Windows 2000 Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Impostazioni Protezione -> Criteri Locali -> Assegnazione Diritti Utente
      • Selezionare la voce: Modifica dell'orario di sistema.
      • Aggiungere il gruppo locale Users
    • Windows XP Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Impostazioni di Windows -> Impostazioni Protezione -> Criteri Locali -> Assegnazione Diritti Utente
      • Selezionare la voce: Modifica dell'orario di sistema.
      • Aggiungere il gruppo locale Authenticated Users
  2. Non far visualizzare l'ultimo utente che si è collegato alla postazione di laovoro:
    • Windows 2000 Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Impostazioni Protezione -> Criteri Locali -> Opzioni di Protezione
      • Selezionare: Non visualizzare l'ultimo utente nella schermata di accesso.
      • Abilitare questa opzione
    • Windows XP Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Impostazioni di Windows -> Impostazioni Protezione -> Criteri Locali -> Opzioni di Protezione
      • Selezionare la voce: Accesso Interattivo: Non Visualizzare l'Ultimo Nome Utente.
      • Abilitare questa opzione
  3. Messaggio di avviso cambio della password
    • Windows 2000 Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Impostazioni Protezione -> Criteri Locali -> Opzioni di Protezione
      • Selezionare la voce: Richiedi cambio della password prima della scadenza
      • Impostare il valore a 7 giorni
    • Windows XP Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Impostazioni di Windows -> Impostazioni Protezione -> Criteri Locali -> Opzioni di Protezione
      • Selezionare la voce: Accesso Iterattivo: Richiedi cambio della password prima della scadenza
      • Impostare il valore a 7 giorni
  4. Impostazioni sui Roaming Profile
    • Windows 2000 Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Criteri Computer Locale -> Configurazione Computer -> Modelli Amministrativi -> Sistema -> Accesso
      • Selezionare la voce Elimina dalla cache le copie dei profili comuni
      • Abilitare questa opzione
      • Selezionare la voce Non controllare la proprietà utente della cartella profilo comune
      • Abilitare questa opzione
      • Andare nella sezione: Configurazione Utente -> Modelli Amministrativi -> Sistema -> Menu Avvio e Barra delle applicazioni
      • Selezionare la voce: Aggiungi Chiudi Sessione Al Menu Avvio
      • Abilitare la voce.
    • Windows XP Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Criteri Computer Locale -> Configurazione Computer -> Modelli Amministrativi -> Sistema -> Profili Utente
      • Selezionare la voce: Elimina dalla cache le copie dei profili comuni.
      • Abilitare questa opzione (Non abilitare questa opzione se Outlook è installato).
      • Selezionare la voce Non controllare la proprietà utente della cartella profilo comune.
      • Abilitare questa opzione.
  5. Esclusione di alcune cartelle dal Romaing Profile:
    • Windows 2000 Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Configurazione Utente -> Modelli Amministrativi -> Sistema -> Accesso/Fine Sessione
      • Selezionare la voce: Escludi directory nel profilo comune
      • Abilitare la voce ed inserire, in parte o in tutto, le seguenti cartelle: Impostazioni locali; Temporary Internet Files; History; Temp; Cookies; Documenti; Recent
    • Windows XP Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Configurazione Utente -> Modelli Amministrativi -%gt; Sistema -> Profili Utente
      • Selezionare la voce: Escludi directory nel profilo comune
      • Abilitare la voce ed inserire, in parte o in tutto, le seguenti cartelle: LocalSettings; InternetFiles; History; Temp; Cookies; Documenti; Immagini; Recent
  6. Impostazioni sul reindirizzamento delle cartelle su un server di rete:
    • Windows XP Professional:
      • Lanciare il comando: gpedit.msc
      • Andare nella sezione: Criteri Computer Locale -> Configurazione Utente -> Desktop
      • Selezionare la voce Proibisci di cambiare il percorso di Documenti
      • Abilitare questa voce.
      • Andare nella sezione: Configurazione Computer -> Modelli Amministrativi -> Sistema -> Accesso
      • Selezionare la voce: Attendi Sempre Disponibilità di Rete all'Avvio e all'Accesso
      • Abilitare questa opzione.
      • Andare nella sezione: Configurazione Utente -> Modelli Amministrativi -> Rete -> File Non In Linea
      • Selezionare la voce: Non Rendere Automaticamente Disponibili Non in Linea le Cartelle Reindirizzate.
      • Abilitare questa opzione.

6. Gestione delle macchine

6.1 Come far gestire le account delle macchine in SAMBA

Per gestire le macchine che fanno parte del dominio Samba utilizza il seguente comando:

/usr/sbin/useradd -c "<ComputerName>" -g computers -d /dev/null %u

Dove al posto della voce <ComputerName> va riportato il nome NetBIOS della postazione Windows.

7. Gestione delle Stampanti

7.1 Introduzione

Nella gestione delle stampanti via SAMBA, conviene sempre tenere a mente le seguenti regole:

Si ricordi infine che SAMBA non supporta il Printer Pooling. Per poter installare le stampanti conviene seguire le seguenti regole:

Per abilitare il supporto a CUPS è sufficiente aggiungere le seguenti istruzioni al file /etc/samba/smb.conf:

printing = cups
printcap name = cups

Per vedere se SAMBA è stato compilato col supporto per CUPS si può utilizzare il comando:

ldd /usr/sbin/smbd

e vedere se comapre la sigla:

libcups.so.2 => /usr/lib/libcups.so.2 (0x400d9000)

7.2 Creazione di una coda di stampa

Per facilitare questo compito da un lato e per rendere la gestione delle code di stampa più flessibile, conviene assegnare a ciascuna stampante un nome FQDN all'interno del DNS. Per creare una nuova coda di stampa si può utilizzare il seguente comando:

lpadmin -p <NomeCodaDiStampa> -v socket://<FQDNStampante>:9100 -E

Per abilitare la coda di stampa creata bisogna utilizzare il comando:

/usr/bin/enable <NomeCodaDiStampa>

Per consentire alla stampante di ricevere job di stampa, digitare il comando:

/usr/bin/accept <NomeCodaDiStampa>

Aprire il file /etc/cups/mime.convs e togliere il segno di commento # dalla voce:

application/octet-stream application/vnd.cups-raw 0 -

Aprire il file /etc/cups/mime.types e togliere il segno di commento # dalla voce:

application/octet-stream

In questo modo si abilita CUPS al supporto del RAW Printer.

7.3 Installazione driver

I driver di stampa di Windows si dividono in tre categorie:

Per installare i driver di stampa ci si deve collegare al server che esegue SAMBA come utente Root. Per collegarsi ad una coda di stampa sul server che esegue SAMBA, si può utilizzare il seguente comando:

runas /netonly /user:root "rundll32 printui.dll,PrintUIEntry /p /t3 /n \\<NomeServer>\<NomeCoda>"

Dove <NomeServer> è il nome del server che esegue SAMBA e <NomeCoda> è il nome della coda di stampa a cui ci si vuole collegare.

7.4 Impostazioni delle proprietà delle stampanti

Per impostare le proprietà di ciascuna stampante di rete di modo che esse siano valide per tutti gli utenti, si deve procedere come segue:

8. Gestione del File System

8.1 Gestione delle ACL

Per un problema di design all'interno di Samba (Bug #2619), quando s'impostano le Posix ACL bisogna attivare anche le seguenti configurazioni:

dos filemode = yes
store dos attributes = yes
map archive = no
map hidden = no
map system = no

Per montare un partizione con il supporto alle Posix ACL bisogna che all'interno del file /etc/fstab compaia un informazione simile a questa:

LABEL=/export/1    /export/1     ext3    defaults,acl,user_xattr 1 2

9. Comandi di amministrazione

9.1 Comandi di gestione dei demoni

Per gestire i demoni (distribuzioni SuSE) si può utilizzare il comando chkconfig, in particolare:

9.2 Comandi di gestione di SAMBA

La suite SAMBA mette a disposizione degli amministratori di rete tutta una serie di comandi in grado di aiutarli nella configurazione di SAMBA.

testparm

9.3 Comandi per la gestione delle stampanti

Esistono diversi comandi che SAMBA mette a disposizione per gestire le stampanti:

10. Variabili di Samba (versione 3.0.14a)

10.1 Client variables

10.2 User variables

10.3 Share variables

10.4 Server variables

10.5 Miscellaneous variables

© 2020 Home Works - all rights reserved
Questo sito ha superato il test W3C Validator HTML e CSS