3 Практична частина
3.1 Установка Linux Debian
Установка Debian починається з запису на диск образу установочного диска Debian. Debian випускає кілька варіантів дисків. Є такі варіанти:
businesscard (20-50 Mb) – образ, на якому присутній тільки інсталятор. Під час установки для отримання пакетів обов’язково потрібен Інтернет. Для стабільного випуску тут, для тестованого – тут
netinstall (135-175 Mb) – образ, на якому присутній інсталятор і базова система. Щоб встановити інше, потрібен Інтернет. Для стабільного випуску тут, для тестованого – тут
повні образи CD, DVD або BD.
Я використав повний образ, але для інших варіантів процес нічим не відрізняється.
Установка починається з початкового вікна вибору способу установки. Є графічний інсталятор, є текстовий. Вони відрізняються тільки зовнішнім виглядом, підтримкою мишки і набором підтримуваних мов. Є звичайний режим установки, а є експертний. Вони відрізняються кількістю поставлених питань. Новачкам без будь-яких незвичайних потреб краще підійде звичайний. Для цього потрібно вибрати Install або Graphic Install. Вибираємо Install (рисунок 3.1.1):
Рисунок 3.1.1 – Вибір режиму установки
Далі обираємо бажану мову (рисунок 3.1.2):
Рисунок 3.1.2 – Вибір мови установки
Після вибору мови потрібно обрати країну. Грунтуючись на обраній мові, інсталятор запропонує список країн. Якщо країни немає у списку, виберіть «інша» і виберіть зі списку потрібну (рисунок 3.1.3):
Рисунок 3.1.3 – Вибір країни
Наступний крок – вибір розкладки клавіатури (рисунок 3.1.4). Якщо вибрати не англійську, інсталятор спитає про бажану комбінацію клавіш для перемикання мови.
Рисунок 3.1.4 – Вибір розкладки клавіатури
Після налаштувань мови буде налаштування мережі. За замовчуванням інсталятор Debian використовує DHCP, щоб визначити налаштування мережі. Після того, як інсталятор завантажить свої компоненти з диска потрібно ввести ім’я комп’ютера (рисунок 3.1.5):
Рисунок 3.1.5 – Введення імені комп’ютера
Після цього треба вказати домен (рисунок 3.1.6):
Рисунок 3.1.6 – Введення домену
Після налаштувань мережі слідує налаштування облікових записів користувача. Спочатку треба ввести ім’я користувача (рисунок 3.1.7):
Рисунок 3.1.7 – Введення імені користувача
Далі потрібно ввести ім’я облікового запису (рисунок 3.1.8):
Рисунок 3.1.8 – Введення імені облікового запису
Після цього потрібно ввести пароль для нового користувача (рисунок 3.1.9) та підтвердити його (рисунок 3.1.10):
Рисунок 3.1.9 – Введення паролю для нового користувача
Рисунок 3.1.10 – Підтвердження паролю
Наступний крок після налаштувань облікових записів – розмітка дисків. Новачкам рекомендується вибирати автоматичну розмітку диска, але ми обираємо ручну розмітку (рисунок 3.1.11):
Рисунок 3.1.11 – Вибір способу розмітки диску
Так виглядає майстер ручної розмітки диску (рисунок 3.1.12):
Рисунок 3.1.12 – Ручна розмітка диску
На рисунку 3.1.12 видно, що є один жорсткий диск розміром 8,5 ГБ, на якому вже є первинна таблиця розділів на весь його об’єм. Нам потрібно розмітити це місце. Для цього обираємо його і налаштовуємо параметри розмітки: розмір розділу, його тип та треба вказати розташування нового розділу. Можна налаштувати розділ, якщо бажані налаштування відрізняються від налаштувань за замовчуванням (рисунок 3.1.13):
Рисунок 3.1.13 – Налаштування розділу
Результат розмітки (рисунок 3.1.14):
Рисунок 3.1.14 – Результат розмітки диску
Після завершення розмітки потрібно записати зміни на диск. Потрібно уважно перевірити список майбутніх дій, адже після підтвердження внесення змін зворотної дороги немає (рисунок 3.1.15):
Рисунок 3.1.15 – Підтвердження запису на диск
Після розмітки дисків встановлюється базова система. Цей процес не потребує участі користувача, потрібно лише почекати.
Далі потрібно вибрати спосіб перемикання розкладки клавіатури (рисунок 3.1.16):
Рисунок 3.1.16 – Вибір способу перемикання розкладки
Після вибору способу перемикання розкладки клавіатури потрібно налаштувати пакетний менеджер. На цьому етапі потрібно вказати дзеркало в мережі, яке буде ви користуватися для отримання пакетів та вказати налаштування proxi, якщо він використовується.
Наступний крок – вибір і установка програмного забезпечення (рисунок 3.1.17):
Рисунок 3.1.17 – Вибір програмного забезпечення
Після цього погоджуємося з установкою системного завантажувача Grub в головний завантажувальний запис та погоджуємося із завершенням установки.
На цьому установка Debian завершена. Тепер можна витягти всі диски і завантажитися у встановлену систему. Стартове вікно виглядає так (рисунок 3.1.18):
Рисунок 3.1.18 – Стартове вікно
Після установки системи потрібно настроїти мережу.
3.2 Налаштування мережних інтерфейсів на Linux Debian
Debian називає мережні карти на ім’я eth та номером. Віртуальні інтерфейси (loopback, vpn і т.п.) Debian іменує окремо, також по імені (наприклад, tun, tap) та номером за ним.
Наприклад, якщо у Вас в комп’ютері 2 мережевих карти, то називатися вони будуть за замовчуванням eth0 і eth1.
Слід врахувати, що ця операційна система перманентно прив’язує MAC-адресу фізичної мережевого інтерфейсу (мережевої карти) до номера ethX. Так, якщо у Вас була мережева карта в комп’ютері з ім’ям eth0 і Ви її поміняли, то, завантажившись після заміни Ви не побачите очікуваного eth0, а побачите вже eth1.
Переглянути закріплені карти і їх MAC можна за шляхом:
/etc/udev/rules.d/70-persistent-net.rules
Відредагувавши цей файл можна видалити старі мережеві карти зі списку Debian.
Довготривалі налаштування IP-адреси зберігаються у файлі /etc/network/interfaces. Для того, щоб відредагувати цей файл запускаємо Термінал та вводимо наступну команду (рисунок 3.2.1):
Рисунок 3.2.1 – Команда для відкриття файлу налаштування інтерфейсів
Загальний вигляд файлу зображений на рисунку 3.2.2:
Рисунок 3.2.2 – Загальний вигляд файлу налаштувань інтерфейсів
Для нормальної роботи мережі потрібно ввести наступні параметри:
тип IP-адреси – статичний;
IP-адреса – 192.168.204.1;
маска – 255.255.0.0.
Редагуємо файл interfaces (рисунок 3.2.3):
Рисунок 3.2.3 – Відредагований файл interfaces
Зберігаємо всі зміни та перезапускаємо роботу мережі (рисунок 3.2.4):
Рисунок 3.2.4 – Перезапуск роботи мережі
Та перевіряємо, чи вступили в силу зміни (рисунок 3.2.5):
Рисунок 3.2.5 – Перевірка налаштувань інтерфейсу
Як видно із рисунку 3.2.5, всі зміни вступили в силу.
3.3 Установка Windows XP
Установка Windows XP може бути запущена двома способами – безпосередньо з вже встановленої системи або через завантаження з диска. Другий спосіб є кращим, а в деяких випадках – єдино можливим.
Для того, щоб комп’ютер почав завантажуватися з інсталяційного диска, можливо, буде потрібно провести нескладні налаштування в BIOS. В BIOS треба вибрати оптичний привід в якості першого пристрою завантаження. Далі треба перезавантажити ПК та дочекатися, поки на екрані з’явиться напис «Press any key to boot from CD», що означає натиснути будь-яку клавішу для початку установки.
Після цього треба дочекатися екрану привітання (рисунок 3.3.1):
Рисунок 3.3.1 – Вікно привітання установки Windows
Обираємо перший пункт, для цього натискаємо клавішу Enter. Після цього з’являється вікно з ліцензійною угодою. Її потрібно уважно прочитати та прийняти.
Далі інсталятор починає пошук попередніх копій Windows, встановлених на вашому комп’ютері. Якщо такі будуть знайдені, то ви побачите екран зі списком цих систем і меню, в якому буде запропоновано:
відновити знайдену копію Windows, натиснувши клавішу R. Вибравши цей пункт, вам доведеться пройти через повну процедуру установки системи, в процесі якої всі системні файли старої копії будуть замінені новими з компакт-диска. Всі ваші дані, настройки і встановлені програми будуть збережені. Відновлення допомагає в разі пошкодження, видалення або підміни зараженими файлами, системних файлів Windows;
встановити нову копію Windows, натиснувши клавішу ESC.
Далі потрібно розбити жорсткий диск. Рекомендується розбивати його на декілька тематичних томів. Приклад приведений на рисунку 3.3.2:
Рисунок 3.3.2 – Розбиття жорсткого диску на томи
Після того, як жорсткий диск розбитий, треба вибрати том, на який буде встановлена система. Після цього вибору треба обрати спосіб форматування цього тому (рисунок 3.3.3):
Рисунок 3.3.3 – Вибір способу форматування
Після форматування відбувається копіювання системних файлів. Після цього комп’ютер перезавантажиться і на екрані з’явиться вже графічна оболонка інсталятора (рисунок 3.3.4):
Рисунок 3.3.4 – Графічна оболонка інсталятора
Наступний етап процесу установки інтуїтивно зрозумілий. В ньому треба ввести ключ продукту, ім’я комп’ютера, настроїти мережу та встановити дату та час.
Після всіх цих маніпуляцій установка Windows завершена.
3.4 Налаштування мережі на Windows
Для того, щоб налаштувати мережу на Windows потрібно вказати ім’я комп’ютера, робочу групу та настроїти TCP/IP.
Для початку треба змінити робочу групу та ім’я комп’ютера. Для цього клацаємо правою кнопкою миші на значку «Мій комп’ютер». Відкривається вікно налаштувань. Потрібно перейти на вкладку «Имя компьютера» (рисунок 3.4.1):
Рисунок 3.4.1 – Вкладка «Имя компьютера»
Далі натискаємо кнопку «Изменить» та змінюємо ім’я комп’ютера та робочу групу (рисунок 3.4.2):
Рисунок 3.4.2 – Зміна імені комп’ютера та робочої групи
Натискаємо ОК та перезавантажуємо комп’ютер для того, щоб зміни вступили в силу.
Після налаштувань імені та робочої групи треба налаштувати TCP/IP. Для цього клацаємо правою кнопкою на значок «Сетевое окружение» та вибираємо «Свойства». Відкриється вікно з доступними мережними підключеннями (рисунок 3.4.3):
Рисунок 3.4.3 – Доступні мережні підключення
Клацаємо 2 рази на «Подключение по локальной сети». Відкриється вікно, зображене на рисунку 3.4.4:
Рисунок 3.4.4 – Стан підключення
Далі натискаємо кнопку «Свойства». Відкриється вікно, в якому треба вибрати «Протокол интернета (TCP/IP)» (рисунок 3.4.5):
Рисунок 3.4.5 – Характеристики підключення по локальній мережі
Натискаємо кнопку «Свойства» та вписуємо потрібні налаштування (рисунок 3.4.6):
Рисунок 3.4.6 – Налаштування IP-адреси
На цьому налаштування мережі завершено.
Мені за основу треба взяти дві аудиторії – №204 та №206. В кожній аудиторії по десять комп’ютерів. Для кожної аудиторії є своя робоча група, унікальні імена комп’ютерів та IP-алреси.
Налаштування комп’ютерів для аудиторії №204 знаходяться в таблиці 3.4.1:
Таблиця 3.4.1 – Налаштування комп’ютерів аудиторії №204
|
№ |
Ім’я комп’ютера |
IP-адреса |
Робоча група |
|
1 |
c1-lab204 |
192.168.204.1 |
LAB204 |
|
2 |
c2-lab204 |
192.168.204.2 | |
|
3 |
c3-lab204 |
192.168.204.3 | |
|
4 |
c4-lab204 |
192.168.204.4 |
Продовження таблиці 3.4.1
|
№ |
Ім’я комп’ютера |
IP-адреса |
Робоча група |
|
5 |
c5-lab204 |
192.168.204.5 |
LAB204 |
|
6 |
c6-lab204 |
192.168.204.6 | |
|
7 |
c7-lab204 |
192.168.204.7 | |
|
8 |
c8-lab204 |
192.168.204.8 | |
|
9 |
c9-lab204 |
192.168.204.9 | |
|
10 |
c10-lab204 |
192.168.204.10 |
Налаштування комп’ютерів для аудиторії №206 знаходяться в таблиці 3.4.2:
Таблиця 3.4.2 – Налаштування комп’ютерів аудиторії №206
|
№ |
Ім’я комп’ютера |
IP-адреса |
Робоча група |
|
1 |
c1-lab206 |
192.168.206.1 |
LAB206 |
|
2 |
c2-lab206 |
192.168.206.2 | |
|
3 |
c3-lab206 |
192.168.206.3 | |
|
4 |
c4-lab206 |
192.168.206.4 | |
|
5 |
c5-lab206 |
192.168.206.5 | |
|
6 |
c6-lab206 |
192.168.206.6 | |
|
7 |
c7-lab206 |
192.168.206.7 | |
|
8 |
c8-lab206 |
192.168.206.8 | |
|
9 |
c9-lab206 |
192.168.206.9 | |
|
10 |
c10-lab206 |
192.168.206.10 |
Маска підмережі для всіх комп’ютерів – 255.255.0.0.
Основний шлюз – 192.168.202.0.
Бажаний DNS-сервер – 192.168.202.0.
Ці настройки ідентичні як в ОС Windows XP, так і в Linux Debian.
3.5 Віддалений доступ
Віддалений доступ дозволяє зв’язатися з іншим комп’ютером або мережею, розташованої на деякій відстані один від одного. Цю технологію, в основному, застосовують у великих корпораціях, де люди, що знаходяться на значній відстані один від одного, можуть зв’язуватися з комп’ютерної мережі.
Віддалений Інтернет-доступ працює за схожою технологією. Через віддалений Інтернет-доступ від Інтернет-провайдера користувач, що знаходиться вдома, може використовувати Інтернет для своїх потреб. Не тільки домашні користувачі, а також великі корпорації можуть мати доступ в Інтернет від віддаленого Інтернет-постачальника.
Найбільш поширений метод доступу в Інтернет – це dialup-з’єднання, що використовується найчастіше на настільних комп’ютерах і ноутбуках. При такому з’єднанні займається телефонна лінія, через яку передаються потрібні дані від основного сервера на настільний комп’ютер або ноутбук. Інший спосіб доступу до Інтернету – це виділена лінія між комп’ютером або мережею з головною локальною мережею Інтернет-постачальника. Хоча виділена лінія обходиться дорожче, швидкість передачі у виділеній лінії набагато більше, ніж у dialup-з’єднання. Також є й інші види доступу в Інтернет: цифрова мережа з інтегрованими послугами (ISDN), радіо-з’єднання, модемне і асиметрична цифрова абонентська лінія.
Сервер віддаленого доступу Інтернет-постачальника пов’язує комп’ютер і його програмне забезпечення, яке встановлюється і передається віддаленому Інтернет-з’єднання.
Також відома, як шлюз (у мережі передачі даних), служба віддаленого доступу включає в себе і брандмауер, який забезпечує безпечну передачу даних та інформації з одного кінця в інший [11].
Для рішення задачі віддаленого доступу був використаний мережевий протокол SSH.
3.5.1 SSH
Secure Shell, SSH – мережевий протокол, що дозволяє проводити віддалене управління комп’ютером і передачу файлів. Схожий за функціональністю з протоколом Telnet і rlogin, проте використовує алгоритми шифрування інформації, що передається.
Криптографічний захист протоколу SSH не фіксований, можливий вибір різних алгоритмів шифрування. Клієнти і сервери, що підтримують цей протокол, доступні для різних платформ. Крім того, протокол дозволяє не тільки використовувати безпечний віддалений shell на машині, але і туннелювати графічний інтерфейс — X Tunnelling (тільки для Unix-подібних ОС або застосунків, що використовують графічний інтерфейс X Window System). Так само ssh здатний передавати через безпечний канал (Port Forwarding) будь-який інший мережевий протокол, забезпечуючи (при належній конфігурації) можливість безпечної пересилки не тільки X-інтерфейсу, але і, наприклад, звуку.
3.5.1.1 Стандарти та програмні реалізації
Перша версія протоколу, SSH-1, була розроблена в 1995 році дослідником Тату Улененом з Технологічного університету Хельсінкі, Фінляндія. SSH-1 був написаний для забезпечення більшої конфіденційності, ніж протоколи rlogin, telnet і rsh. У 1996 році була розроблена безпечніша версія протоколу, SSH-2, несумісна з SSH-1. Протокол набув ще більшої популярності, і до 2000 року у нього було близько двох мільйонів користувачів. В даний час під терміном «SSH» зазвичай мається на увазі саме SSH-2, тому що перша версія протоколу огляду істотних недоліків зараз практично не застосовується.
У 2006 році протокол був затверджений робочою групою IETF в якості Інтернет-стандарту.
Поширені дві реалізації SSH: пропріетарна комерційна та безкоштовна вільна. Вільна реалізація називається OpenSSH. До 2006 року 80% комп’ютерів мережі Інтернет використовувало саме OpenSSH. Пропріетарна реалізація розробляється організацією SSH Inc., Вона безкоштовна для некомерційного використання. Ці реалізації містять практично однаковий набір команд.
Протокол SSH-2, на відміну від протоколу telnet, стійкий до атак прослуховування трафіку («сніфінг»), але нестійкий до атак «людина посередині». Протокол SSH-2 також стійкий до атак шляхом приєднання посередині (англ. session hijacking) – неможливо включитися у вже встановлену сесію або перехопити її.
Для запобігання атак «людина посередині» при підключенні до хосту, ключ якого ще не відомий клієнту, клієнтське ПО показує користувачеві "зліпок ключа" (key fingerprint). Рекомендується ретельно перевіряти показуваний клієнтським ПО "зліпок ключа" (key fingerprint) зі зліпком ключа сервера, бажано отриманим по надійним каналах зв’язку або особисто.
Підтримка SSH реалізована у всіх UNIX-подібних системах, і на більшості з них в числі стандартних утиліт присутні клієнт і сервер ssh. Існує безліч реалізацій SSH-клієнтів і для не-UNIX ОС. Велику популярність протокол отримав після широкого розвитку аналізаторів трафіку і способів порушення роботи локальних мереж, як альтернативне небезпечному протоколу Telnet рішення для управління важливими вузлами.
Для роботи по SSH потрібен SSH-сервер і SSH-клієнт. Сервер прослуховує з’єднання від клієнтських машин і при встановленні зв’язку виробляє аутентифікацію, після чого починає обслуговування клієнта. Клієнт використовується для входу на віддалену машину і виконання команд.
Для з’єднання сервер і клієнт повинні створити пари ключів – відкритих і закритих – і обмінятися відкритими ключами. Зазвичай використовується також і пароль [12].
В ОС Windows немає підтримки ssh, так що потрібно скористатися сторонньою утилітою PuTTy.
3.5.2 PuTTy
PuTTy – це популярний SSH-клієнт і Telnet (Telnet той же SSH, тільки без зашифрованою передачі даних (пакетів)), тобто програма для безпечного підключення до віддаленого комп’ютера (або до сервера) та виконання на ньому різних команд. PuTTY веде логи, дозволяє настроювати шрифти, кольори і дозвіл консолі, допускає збереження у своїй пам’яті ключів авторизації, підтримує роботу через проксі-сервер. При цьому утиліта є безкоштовною в розповсюдженні [13].
Для початку роботи треба запустити файл putty.exe. Після цього з’явиться вікно, представлене на рисунку 3.5.2.1. У полі Host Name (or IP address) вводимо IP адреса сервера. Порт залишаємо за замовчуванням 22.
Рисунок 3.5.2.1 – Ввід IP-адреси сервера
Для використання кирилиці в консолі потрібно встановити відповідне кодування. Для цього переходимо в пункт Translation і в спадаючому списку обираємо UTF-8 замість KOI8-U (рисунок 3.5.2.2):
Рисунок 3.5.2.2 – Вибір кодування
Далі для початку роботи натискаємо Open (рисунок 3.5.2.3):
Рисунок 3.5.2.3 – Початок роботи
Після цього відкривається консоль, де система просить ввести логін та пароль (рисунок 3.5.2.4):
Рисунок 3.5.2.4 – Відкрита консоль
У полі login as треба ввести логін для доступу по SSH та натиснути Enter. Після чого з’явиться напис Password. Треба ввести пароль для доступу по SSH. Під час введення пароля на екрані нічого не відображається (ні зірочок, нічого подібного). Просто після того як пароль введений треба натиснути Enter (рисунок 3.5.2.5):
Рисунок 3.5.2.5 – Консоль після правильного вводу логіну та паролю
Після успішного вводу логіну та паролю в консолі виводиться інформація про систему та з’являється символ ~$, який означає, що система готова для вводу команд.
3.6 Розділення ресурсів
Розділення ресурсів дозволяє економно використовувати ресурси, наприклад, управляти периферійними пристроями, такими, як принтери, зовнішні або внутрішні пристрої зберігання інформації, модеми з усіх підключених робочих станцій.
Для того, щоб використовувати у мережі одночасно комп’ютери з операційними системами Windows та Unix, організовувати обмін файлами між ними без окремого Windows-сервера служить мережевий протокол Samba.
3.6.1 Загальні відомості про Samba
Даний продукт являє собою комплект серверного та клієнтського програмного забезпечення для здійснення зв’язку UNIX-машин з мережами Microsoft™ і LanManager, які самі по собі являють собою підкласи мереж SMB.
Початково мережі SMB були розроблені фірмою IBM™, базувалися на протоколі NetBIOS, призначений насамперед для мереж Token Ring і були повною мірою реалізовані в OS/2 Warp LanServer. Пізніше в Windows 95 цей протокол був замінений на NetBEUI (декілька спрощена версія NetBIOS).
Трохи раніше в OS/2 Warp і NT 3.6 була реалізована більш зручна для складних гетерогенних мереж реалізація, працююча поверх TCP/IP – «NetBIOS over TCP/IP». Зважаючи на явні переваги даного підходу він використовується і понині. Коли де-небудь в Windows ви організовуєте роботу з мережевими ресурсами, що розділяються по TCP/IP, то насправді використовується «NetBIOS over TCP / IP» (про що, наприклад, в Win95 у властивостях TCP/IP в закладці NetBIOS є відповідна відмітка).
Samba також використовує протокол «NetBIOS over TCP/IP», що дозволяє їй успішно взаємодіяти з такими реалізаціями SMB, як вхідні в OS/2 3-4, Windows 9X-ME, NT 3.5-4/2000/XP, UNIX-системами з Samba і, можливо, іншими подібними. Менш очевидно те, що Samba не може працювати без використання TCP/IP (на NetBIOS і NetBEUI). Про це не варто забувати при проектуванні мереж.
Отже, для роботи в мережах SMB необхідні:
клієнт;
сервер;
засоби адміністрування.
Все це є в пакетах samba-client, samba-client-cups, samba-common, samba, samba-swat, що входять до складу дистрибутива.
При використанні SMB доступні наступні ресурси:
мережеві диски;
прямі шляхи до дисків;
принтери;
доменна авторизація та управління.
Перші три пункти підтримуються Samba в повному обсязі, останній – частково, але цей напрямок стрімко розвивається і дуже повно реалізовано в Samba 3.0, описаної нижче.
Також доступний вельми об’ємний комплект документації в пакеті samba-doc; більшість посилань даного розділу будуть вказувати саме на вміст цього пакета.
3.6.2 Огляд каталогів та файлів
Всі файли конфігурації та авторизації Samba розташовані в каталозі /etc/samba і його підкаталогах. Розглянемо їх трохи докладніше.
MACHINE.SID
системний ідентифікатор машини, формується автоматично при старті сервера і призначений для ідентифікації комп’ютера в домені мережі Microsoft™;
codepages/
каталог, що містить файли з таблицями перекодування;
lmhosts
те ж, що і /etc/hosts, але призначений для перетворення IP–NetBIOS. Як правило містить тільки один запис: 127.0.0.1 localhost. Але можна вважати вдалою ідеєю заносити туди хости з інших підмереж (коли з ряду причин неможливо надійно провести перетворення IP⇔NetBIOS ні широкомовними запитами, ні з використанням WINS) або навпаки – ключові сервера власного домену;
secrets.tdb
ключовий файл для ідентифікації машини в домені мережі Microsoft™. З точки зору безпеки має ту ж цінність, що і файли /etc/tcb/*/shadow – а тому права доступу повинні бути root.root 0600;
smb.conf
основний конфігураційний файл Samba. Він потрібний не тільки серверної частини, але і всім іншим компонентам цієї системи;
smbpasswd
аналог /etc/passwd і /etc/tcb/*/shadow – файл користувачів сервера Samba з паролями. З точки зору безпеки має ту ж цінність, що і /etc/tcb/*/shadow – а тому права доступу повинні бути root.root 0600. Відповідність користувачів Samba і системних виробляється на основі загального UID; даний файл використовується Samba за відсутності даних про користувача на PDC або за відсутності самого PDC;
smbusers
файл відповідностей імен мережевих і локальних користувачів SMB; це зручний метод для організації адміністративних та гостьових входів на сервер. Відповідність користувачів Samba і системних виробляється на основі символьних імен;
/var/log/samba/*
лог-файли серверної частини Samba. З них log.smbd, log.nmbd, log.winbind – журнали відповідних процесів, а всі інші – логи взаємодії сервера з окремими клієнтськими хостами у форматі іменування за замовчуванням log.<Client_NetBIOS_NAME>. При перевищенні заданого в smb.conf межі проводиться ротація логів і формуються файли *.old;
/var/spool/samba
каталог динамічного спулинга друку сервера Samba. На не сильно завантажених серверах друку він зазвичай порожній; наявність там безлічі файлів в той час, коли жоден з клієнтів не друкує – явна ознака збоїв сервера друку;
/var/cache/samba/*
файли (як правило, виконавчі бази даних), що формуються в процесі роботи різних компонентів Samba. Найбільш примітні:
browse.dat і wins.dat – текстові файли, їх назви говорять самі за себе;
winbindd*.tdb – бази даних доменних користувачів, формованих winbind (див. «Використання winbind»). Час від часу їх необхідно архівувати: якщо при апгрейді, «переїзді» чи перевстановлення сервера winbind згенерує ці файли з нуля, то відповідності системних і доменних символьних і числових імен зміняться і права доступу на відновлені з архіву файли опиняться завідомо переплутаними. Тому настійно рекомендується архівувати файли /var/cache/samba/winbindd*.Tdb;
/var/lib/samba/*
службові каталоги для адміністратора сервера.
Список виконуваних файлів Samba можна отримати командою:
$ rpm -ql `rpm -qa | grep samba` | grep bin/
і детально ознайомитися з кожним, прочитавши відповідні розділи документації [14].
3.6.3 Налаштування Samba
У більшості випадків настройка Samba полягає в редагуванні основного конфігураційного файлу /etc/samba/smb.conf та управлінні користувачами за допомогою smbpasswd.
Для того, щоб настроїти файл протокол Samba для потрібних нам задач, потрібно лише трохи підправити файл smb.conf. Повний лістинг файлу smb.conf знаходиться у додатку Б.
Ось основні записи в smb.conf.
Секція [global] визначає загальні установки серверної частини Samba в цілому для всіх ресурсів.
Ім’я робочої групи – lab204:
workgroup = lab204
Рівень визначення прав доступу на рівні користувачів:
security = user
Тепер треба визначити, які саме каталоги ми надамо в мережу. Для кожного ресурсу існує окрема секція. Для початку треба задати ім’я ресурсу, видиме в мережі. Для цього пишемо його в квадратних дужках:
[download]
Далі вводимо коментар, видимий в мережі як коментар до ресурсу:
comment = sharing Service
Після цього потрібно указати шлях до каталогу:
path = /home/share/downloading
Якщо параметр guest ok заданий як yes на загальному ресурсі, то для підключення до ресурсу не вимагається пароль. Будуть використовуватися привілеї guest account. Залишаємо за замовчуванням:
guest ok = no
Далі потрібно дозволити лише читання файлів в ресурсі:
read only = yes
або дозволити також запис, видалення та зміну файлів:
writable = yes
Після цього робимо видимими каталоги в даному ресурсі:
browseable = yes
Далі встановлюємо відповідні права доступу до файлів:
create mask = 0600
Також встановлюємо права доступу до каталогів:
directory mask = 0700
На цьому створення ресурсу завершено.
Всього я створив два ресурси з різними правами доступу. Один тільки для читання:
[download]
comment = sharing Service
path = /home/share/downloading
guest ok = no
read only = yes
browseable = yes
create mask = 0600
directory mask = 0700
Другий для читання і запису файлів та каталогів:
[upload]
comment = sharing Service
path = /home/share/uploading
guest ok = no
writable = yes
browseable = yes
create mask = 0777
directory mask = 0777
Далі потрібно відкрити доступ до принтерів. Спочатку вводимо ім’я ресурсу, яке буде видно в мережі. Крім нього, в мережі будуть також видно і локальні принтери під тими ж іменами, що і в системі по команді lpq:
[printers]
Вказуємо шлях до каталогу, в якому розташовується спула принтерів, що надаються в мережу через Samba:
path = /var/spool/samba
Далі задаємо невидимість ресурсу в браузингу, він підміняється системним ресурсом:
browseable = no
Заборона на друк для гостьового входу:
guest ok = no
Ознака того, що це саме принтер, а не файловий ресурс:
printable = yes
Маска для створення файлів завдань на друк:
create mode = 0700
Після налаштування файлу smb.conf потрібно додати користувача, який би міг користуватися всіма ресурсами, які описані в цьому файлі.
3.6.4 Додавання облікового запису користувача
Усі облікові записи зберігаються у файлі /etc/samba/smbpasswd.
Облікові записи користувачів, використовувані Samba діляться на дві категорії:
записи про комп’ютери, що входять до домену;
записи про користувачів, зареєстрованих на цьому сервері.
Слід враховувати, що для того, щоб створити і використовувати будь-який обліковий запис в /etc/samba/smbpasswd, попередньо необхідно створити відповідну запис в /etc/passwd. Загальне правило – для кожного користувача в /etc/samba/smbpasswd обов’язково повинен існувати користувач в /etc/passwd. Протилежне твердження невірно.
Для управління обліковими записами призначена утиліта smbpasswd; повний список її можливостей можна дізнатися з відповідної man-сторінки.
Для початку треба додати нового користувача в саму систему. Для цього відкриваємо термінал та пишемо наступну команду:
root@c10-lab204:/home/c10-lab204# adduser dima
Ця команда означає, що ми хочемо додати нового користувача – dima. Натискаємо Enter. На екрані з’являється відповідний запис про додавання нового користувача:
Добавляется пользователь «dima» ...
Добавляется новая группа «dima» (1002) ...
Добавляется новый пользователь «dima» (1002) в группу «dima» ...
Создаётся домашний каталог «/home/dima» ...
Копирование файлов из «/etc/skel» ...
Після цього система просить ввести пароль для користувача. Вводимо новий пароль та повторюємо його:
Введите новый пароль UNIX:
Повторите ввод нового пароля UNIX:
passwd: пароль успешно обновлён
Під час введення паролю на екрані нічого не відбувається.
Далі потрібно ввести інформацію про користувача. Це не обов’язково, тому можна пропустити декілька пунків:
Введите новое значение или нажмите ВВОД для выбора значения по умолчанию
Полное имя []: Dima
Номер комнаты []: 204
Рабочий телефон []:
Домашний телефон []:
Другое []:
Данная информация корректна? [Y/n] y
Після введення інформації система питає, чи коректна введена інформація. Підтверджуємо правильність введеної інформації. На цьому додавання нового користувача в систему завершено.
Тепер треба додати цього користувача в файл /etc/samba/smbpasswd. Для цього в терміналі вводимо наступну команду:
root@c10-lab204:/home/c10-lab204# smbpasswd -a dima
Ключ –a означає додавання нового користувача. Після цього треба ввести новий пароль для цього користувача:
New SMB password:
Retype new SMB password:
Added user dima.
Після правильного вводу паролю бачимо запис про те, що користувач dima успішно доданий. Після цього треба «включити» цей запис. Для цього пишемо наступну команду:
root@c10-lab204:/home/c10-lab204# smbpasswd -e dima
Enabled user dima.
Після цього бачимо відповідний напис про те, що користувач «увімкнений».
3.6.5 Доступ до ресурсів Linux через Windows
Для того, щоб отримати доступ до ресурсів Linux відкриваємо Пуск –Выполнить і вводимо IP-адресу потрібного нам комп’ютера через символи «\\» (рисунок 3.6.5.1):
Рисунок 3.6.5.1 – Ввід IP-адреси
Якщо ми заходимо на цей комп’ютер вперше, потрібно ввести логін та пароль користувача, який ми додали до файлу /etc/samba/smbpasswd (рисунок 3.6.5.2):
Рисунок 3.6.5.2 – Введення логіну та паролю
Після успішного вводу логіну та паролю відкривається початковий каталог, в якому розташовані усі каталоги та принтери, до яких ми відкрили доступ (рисунок 3.6.5.3):
Рисунок 3.6.5.3 – Початковий каталог
Тепер потрібно перевірити, чи працюють права доступу до файлів. Спочатку спробуємо видалити файл з ресурсу download (рисунок 3.6.5.4):
Рисунок 3.6.5.4 – Спроба видалення файлу з ресурсу download
Як видно із рисунку 3.6.5.4 файл не вдалося видалити, тому що немає доступу.
Тепер перевіримо, чи можна видалити та записати файл в ресурсі upload (рисунок 3.6.5.5):
Рисунок 3.6.5.5 – Ресурс upload
Видалимо один файл з ресурсу та запишемо інший. Результат на рисунку 3.6.5.6:
Рисунок 3.6.5.6 – Результат зміни в ресурсі upload
Як видно з рисунків, всі зміни в файлі smb.conf вступили в силу.