SAMBA - INSTALACJA, KONFIGURACJA, ADMINISTRACJA

WSTĘP

INSTALACJA

$>cd /usr/install
$>wget -c -o log.txt ftp://giswitch.sggw.waw.pl/pub/unix/samba/samba-2.0.9.tar.gz
$>tar -zxvf samba-2.0.9.tar.gz
$>cd samba-2.0.9/source
$>./configure --localstatedir=/var/log/samba --sysconfdir=/etc
$>make && make install && make clean

$>cd /etc
$>cat inetd.conf | grep netbios

/etc/inetd.conf:
 # Enable the following two entries to enable samba netbios startup from inetd
 # (from the Samba documentation) netbios settings:
 netbios-ssn stream tcp nowait root /usr/local/samba/bin/smbd smbd
 netbios-ns dgram udp wait root /usr/local/samba/bin/nmbd nmbd

$>killall -HUP inetd
$>netstat -a | grep netbios

 tcp        0      0 *.netbios-ssn         *.*         LISTEN
 udp        0      0 venom.netbios-dgm     *.*
 udp        0      0 venom.netbios-ns      *.*
 udp        0      0 *.netbios-dgm         *.*
 udp        0      0 *.netbios-ns          *.*

KONFIGURACJA

$>grep -v ^\# printcap
hpdj|lp|Atramentowka HP DeskJet:\
        :sh:rw:sf:mx#0\
        :lp=/dev/lpt0:sd=/var/spool/output/lpd:lf=/var/log/lpd-errs:

$>cat /etc/smb.conf

###################################################################
# sekcja globalnej konfiguracji Samby
# (c)2000,2001 bs@vt.pl
#
[global]
comment = Polaczenie z venom ...
log file = /var/log/samba/%I.log
dont descend = /dev,/proc,/root,/stand,/bin,/dist,/etc,/lkm,/mnt,/sbin,/sys,/usr

# opcje dla 10/100Mbit Half/Full Duplex
# takie ustawienie daje maksymalną szybkość w LAN 
# w zależności od specyfiki konkretnej sieci, może wymagać modyfikacji
socket options = TCP_NODELAY SO_SNDBUF=16384 SO_RCVBUF=16384 IPTOS_LOWDELAY

# włączenie tych dwóch opcji zwiększa zwykle szybkość Samby o kilkanaście procent
# choć z moich analiz wynika, że praca z bazami danych jest trochę szybsza bez tego
read raw = yes
write raw = yes

# buforowanie katalogów
getwd cache = yes

# buforowanie zapisu plików zdecydowanie poprawia prędkość
# ale stwarza niebezpieczeństwo że Samba "nie zdąży" zrzucić buforów na dysk
# przy np. padzie zasilania (bez ups'a) plik taki będzie uszkodzony
# coś za coś, stosować z umiarem ;)
write cache size = 65536

# nadajemy Sambie nazwę w sieci windows
netbios name = venom

# chcemy mieć w miarę szczegółowe logi z dostępu do plików i zasobów 
debug level = 2
debug timestamp = no
timestamp logs = True

# wielkość logów na peceta w KB, logi automatycznie przycinane przez Sambę
# czyli w rzeczywistości mamy zawsze po dwa pliki: oryginał i oryginał.bak
max log size = 5000

# chcemy aby Samba "słuchała" tylko na jednej z kilku naszych kart sieciowych
bind interfaces only = True
interfaces = 10.0.0.1/255.255.255.0
hosts allow = localhost, 10.0.0.0/255.255.255.0

# tutaj konfigurujemy sposób obsługi drukowania
printing = bsd
printcap name = /etc/printcap
map archive = no
status = yes
public = no
read only = no
lpq cache time = 10

# tutaj ustawiamy opcje dotyczące konwersji nazw plików, wielkości liter itp.
preserve case = yes
short preserve case = yes
strip dot = no
hide dot files = yes

# strona kodowa na pecetach
client code page = 852

# strona kodowa na uniksie
character set = iso8859-2

# tryb poziomu bezpieczeństwa zasobów 
# (user=wymagane konto na uniksie oraz konto samby)
security = user
guest ok = no
browseable = yes

# domyślny tryb tworzenia plików -rw------
create mode = 0700

# to odpowiada za superdostęp którego jednak nie chcemy :)
# admin users = root

# przydatne
unix realname = yes

# każdy dozwolony zapis do pliku zmienia timestamp pliku (jak w dos)
dos file times = yes

# ustawiamy grupę roboczą naszej sieci
workgroup = vtest

# zrzucamy połączenie po czasie 15minut w przypadku braku otwartych plików
# lub braku odpowiedzi z peceta
dead time = 15
keep alive = 15

# parametry ilości otwarych plików, zasobów itp.
mangled stack = 100
shared mem size = 1048576
max open files = 500

# chcemy aby Samba obsługiwała wyświetlanie wszystkich zasobów sieci, oraz udostępniała 
# tzw roaming profiles (jak w NT)
domain master = yes
local master = yes
preferred master = yes

# ponieważ mamy tylko jedną podsieć, "cross subnet browsing" 
# nie będzie nam potrzebny. Być może zrobimy drugą podsieć, zatem włączymy usługę WINS
wins support = yes
os level = 64

# niech nasza Samba działa "prawie" jak NT
nt smb support = yes
nt pipe support = yes
nt acl support = no

# Logowanie do domeny dla Windows 3.x, 95, 98,
# przechowywanie profili użytkowników na serwerze
# włączenie skryptów logowania mapujących np. dyski, drukarki itp.
domain logons = yes
logon script = startup.bat
logon path = \\%L\%U

# chcemy żeby wszystkie pecety synchronizowały datę i czas zgodnie
# z naszym serwerem (jak w NetWare)
time server = True

# kolejność w jakiej Samba robi rozwiązywanie nazw netbiosowych pecetów
name resolve order = wins bcast hosts lmhosts

# nie chcemy, aby hasło windows'a = hasłu uniksa
# bowiem wymaga to specyficznego skonfigurowania procedury synchronizacji
# zależnej od konkretnego uniksa
unix password sync = false
update encrypted = no
passwd program = /usr/bin/passwd %u
passwd chat debug = false
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *updating*done*

# chcemy, żeby hasła były szyfrowane (jak w Windows 98, NT),
# Windows 95 wymaga przestawienia na taką pracę
# poprzez modyfikację rejestru. Odpowiednie pliki *.reg są dostępne w źródłach Samby.
# Tryb pracy z szyfrowanymi hasłami Samby pozwala na zmianę 
# hasła sieciowego z poziomu "Panelu sterowania" w Windows.
encrypt passwords = yes
null passwords = false

# Komentarz widoczny w trybie szczegółów w "Otoczeniu sieci" Windows
server string = Serwer Venom

# Sekcje konfiguracji zasobów Samby

###################################################################
[homes]
# ta sekcja mapuje uniksowy katalog $HOME użytkownikowi
comment = Twoj wlasny katalog

# przykładowo, prawa na katalogach domowych użytkowników /home 
# powinny wyglądać tak:
# $>ls -l /home
# drwx------   3 piotrek  piotrek       512 22 Sty  2000 piotrek

# prawa do plików i katalogów tylko dla właściciela
create mode = 0700
directory mode = 0700
public = no
writable = yes

# ścieżka do zasobu (czyli $HOME z /etc/passwd)
path = /home/%u
browseable = no

# zezwalamy na agresywne buforowanie plików przez Windows co
# daje znaczące zwiększenie szybkości Samby. 
# Bezsensownym jest stosowanie tego na zasobach bazodanowych itp. 
# "oplock" = "opportunistic lock"
oplocks = True
level2 oplocks = True

# przykładowo zabraniamy oplock'ów na plikach *.dbf i *.DBF
# veto oplock files = /*.DBF/*.dbf/

###################################################################
[netlogon]
# ta sekcja udostępni zasób dla wszystkich, przy logowaniu do serwera
# w którym trzymamy globalny logonskrypt, 
# pliki założeń Windows Policy (config.pol) - patrz dokumentacja Windows,
# a w szczególności program poledit.exe. Windows przy logowaniu nakłada
# parametry i ograniczenia pobierane z pliku config.pol na logującego się
# użytkownika. Modyfikowany jest rejestr tego użytkownika.
# prawa na katalogu powinny być takie:
# drwxr-xr-x   2 root     wheel         512 14 Sty  2000 netlogon

comment = Net Logon Service
path = /home/netlogon

case sensitive = no
create mode = 0755
directory mode = 0770
guest ok = yes

# nie potrzebujemy blokowania plików bo zasób jest tylko do odczytu
locking = no
writable = no
share modes = no

browseable = yes

# pozwalamy jednak na zapis do niego użytkownikom w uniksowej grupie inf,
# patrz plik /etc/group
write list = @inf

###################################################################
[hpdj]
# tutaj udostępnimy drukarkę sieciową
# nazwa [hpdj] musi być identyczna jak w /etc/printcap

# tu wrzucane będą pliki tymczasowe wydruków, następnie kasowane
# po przesłaniu na drukarkę przez daemona lpd
path = /home/tmp
comment = HP Desk Jet 600
writable = yes
printable = yes
create mode = 0700
read only = yes

# ta drukarka jest tylko dla użytkowników uniksowej grupy pub
write list = @pub

# oraz wyłącznie z serwera i tych pecetów
hosts allow = 10.0.0.1 10.0.0.100 10.0.0.110

# tą komendą Samba będzie drukować 
print command = /usr/bin/lpr -r -h -P %p %s

###################################################################
[pub]
# Zrobimy zasób dostępny dla wszystkich z naszej sieci Windows,
# posiadających konto na serwerze
# prawa na tym katalogu powinny być takie:
# drwxrwx---   2 root   pub           512 25 Sie 22:59 pub

path = /home/pub
volume = pub
comment = Katalog dla lokalnych
browseable = yes

# prawa muszą być także dla grupy, bowiem nikt z członków grupy 
# nie mógłby nic zrobić z plikami innego członka grupy
create mode = 0770
directory mode = 0770

write list = @pub
oplocks = True
level2 oplocks = True

# dajemy dostęp do niego tylko z części sieci
hosts allow = 10.0.0.1/255.255.255.240

###################################################################
[goscie]
# Zróbmy katalog dla innej grupy 

path = /home/goscie
volume = goscie
comment = Katalog dla wszystkich
browseable = yes
create mode = 0770
directory mode = 0770
write list = @goscie
oplocks = True
level2 oplocks = True

###################################################################
[bazy]
# Specjalna sekcja na potrzeby systemów bazodanowych, finansowo 
# księgowych itp. Dostęp współdzielony bez oplock'ów 

path = /home/bazy
volume = bazy
comment = Katalog baz danych
browseable = yes
create mode = 0770
directory mode = 0770
write list = @bazy

# zakaz stosowania agresywnego buforowania przez windows
oplocks = False
dos filetime resolution = True

###################################################################
[cdrom]
# Czasem trzeba coś zainstalować na pecetach z udostępninego 
# i podmontowanego cdromu na uniksie :)
# drwxr-xr-x   2 root  wheel      512 15 Kwi 17:45 cdrom

path = /cdrom
volume = cdrom
comment = Naped CDROM
read only = yes
fake oplocks = yes
locking = no
writable = no
share modes = no

###################################################################
[programy]
# a tu trzymamy różne programy dla pecetów
path = /home/programy
volume = programy
comment = Programy uzytkowe i nietylko
#read only = yes
create mode = 0775
directory mode = 0775
#fake oplocks = yes
oplocks = True
level2 oplocks = True
#locking = yes
#writable = no
#share modes = no

# oczywiście prawo zapisu ma tylko uniksowa grupa programy 
write list = @programy

# czytać pliki może uniksowa grupa pub i goscie
read list = @pub, @goscie
hosts allow = 10.0.0.0/255.255.255.0

###################################################################
[www]
# użytkownicy naszej sieci wolą robić strony www lokalnie,
# na swoich komputerach, pracując z zamapowanego dysku serwera i
# strasznie nie lubią zabawy z użyciem ftp do wkopiowywania 
# stron na serwer, tak więc Sambo! Do dzieła!
# prawa na tym katalogu powinny być takie:
# drwxr-xr-x   4 root   pub        512 27 Sie 09:23 www
# a wewnątrz katalogi użytkowników dostępne ze świata poprzez 
# Apache Web Serwer (co wymaga odpowiedniej konfiguracji apacza)
# articles            40 root       wheel    lrwxr-xr-x
# ~books              37 root       wheel    lrwxr-xr-x
# ~faq                18 root       wheel    lrwxr-xr-x
# ~handbook           23 root       wheel    lrwxr-xr-x
# ~samba              28 root       wheel    lrwxr-xr-x
# ~sharedoc           20 root       wheel    lrwxr-xr-x
# /tom              1024 tom       nobody    drwxr-x---
# /www.pit.com.pl    512 mikek     nobody    drwxr-x---
# index.html         688 webmaster webmaster -rw-rw-r--
# ...
#
path = /home/www
volume = www
comment = Dla stron WWW
create mode = 0775
directory mode = 0775
write list = @pub
oplocks = false
level2 oplocks = false

###################### KONIEC KONFIGURACJI ########################
###################################################################

KONFIGURACJA SIECI

# skrócenie domyślnych czasów utrzymywania list zasobów w sieci
# domyślny czas utrzymywania nazw Netbios przez Sambę
max ttl = 10800
# domyślne czasy utrzymywania nazw Netbios przez WINS
max wins ttl = 36000
min wins ttl = 18000

# domain master browser + WINS serwer
local master = yes
preferred master = yes
wins support = yes
os level = 64

# lokalny serwer oddziału firmy
domain master = no
local master = yes
preferred master = yes

# adres serwera głównego, na którym jest nasz WINS
wins server = 10.0.0.1
max ttl = 10800
max wins ttl = 36000
min wins ttl = 18000
os level = 32
name resolve order = wins bcast hosts

PROFILE

@echo off
REM Główny startup.bat w katalogu netlogon
REM \\venom\netlogon\startup.bat powinien mieć np. takie prawa:
REM -rw-rw-r--  1 root  wheel  277  4 Sie 10:58 startup.bat
REM

REM Synchronizacja daty i czasu z serwerem
net time \\venom /set /yes

REM mapowanie dysków
net use u: /home /yes
net use p: \\venom\pub /yes
net use r: \\venom\programy /yes
net use s: \\venom\goscie /yes
net use y: \\venom\cdrom /yes

REM Jeśli jest prywatny to go uruchamiamy
if exist u:\startup.bat call u:\startup.bat

@echo off
REM Plik startowy indywidualny użytkownika
REM powinien być w katalogu $HOME użytkownika i mieć prawa:
REM -rw-------  1 pit  pit   106  3 Lip 18:51 startup.bat
REM mapowania dysków wykonywane w tym pliku, 
REM przykrywają mapowania wykonane w globalnym startup.bat
REM

net use k: \\venom\bazy /yes
net use w: \\venom\www /yes

REM mapowanie drukarki
net use LPT3 \\venom\hpdj /yes

DOMENY PDC

# konfig dla pracy z kontrolerem domeny NT
security = domain

#password server =  
password server = 10.0.0.200 10.0.0.201
encrypt passwords = yes

socket options = TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT

# os level = 0 załatwia sprawę współzawodnictwa z Windows NT master browse
# do wymaganego minimum
os level = 0

#domain controller = 
domain controller = 10.0.0.200

#wins server = 
wins server = <10.0.0.200>
dns proxy = no 

UŻYTKOWNICY

$>smbpasswd -a adam
added interface ip=10.0.0.1 bcast=10.0.0.255 nmask=255.255.255.0
New SMB password:
Retype new SMB password:
User adam does not exist in system password file (usually /etc/passwd). 
Cannot add account without a valid local system user.
Failed to modify password entry for user adam

$>smbpasswd -a pit
added interface ip=10.0.0.1 bcast=10.0.0.255 nmask=255.255.255.0
New SMB password:
Retype new SMB password:
$>

$>cd /usr/local/samba
$> ls -ld private
drwx------  2 root  wheel   512 14 Sty  2000 private

$>cd private
$>ls -l
-rw-r--r--  1 root  wheel   41 14 Sty  2000 MACHINE.SID
-rw-------  1 root  wheel  557  9 Wrz 14:40 smbpasswd
$>cat smbpasswd
pit:2004:DD02BA4D905304F3AAD3B435B51404EE:BE21EF1208C298133C9CB4AD2791E55A:[U  ]:LCT-3989BF65:

$>smbstatus
Samba version 2.0.9
Service   uid   gid    pid    machine
----------------------------------------------
pit       pit   pit    3854   stone (10.0.0.100) Wed May  9 13:48:48 2000
hpdj      pit   pit    3854   stone (10.0.0.100) Wed May  9 14:10:13 2000
www       pit   pit    3854   stone (10.0.0.100) Wed May  9 15:15:19 2000
bazy      pit   pit    3854   stone (10.0.0.100) Wed May  9 15:15:33 2000

Locked files:
Pid   DenyMode   R/W    Oplock	        Name
--------------------------------------------------
3854  DENY_NONE  RDWR   NONE            /home/bazy/mag/MAG_02/ZAM_PART.DBF  Wed May  9 15:16:52 2000
3854  DENY_NONE  RDWR   NONE            /home/bazy/mag/MAG_02/OBROTY.DBF    Wed May  9 15:16:52 2000
3854  DENY_NONE  RDWR   NONE            /home/bazy/mag/CENNIK1.NTX          Wed May  9 15:16:52 2000
3854  DENY_NONE  RDWR   NONE            /home/bazy/mag/CENY_DW3.NTX         Wed May  9 15:16:52 2000
3854  DENY_WRITE RDWR   EXCLUSIVE+BATCH /home/pit/startup.bat               Wed May  9 15:15:27 2000
3854  DENY_NONE  RDONLY EXCLUSIVE+BATCH /home/pit/S.TXT                     Wed May  9 14:16:27 2000

Share mode memory usage (bytes):
   1042512(99%) free + 5176(0%) used + 888(0%) overhead = 1048576(100%) total

"level2 oplocks = True"

SZYBKOŚĆ

Serwerek AMD-K6 233MHz 32MB RAM 20GB HDD IBM 5400rpm FreeBSD 3.5 Samba 2.0.9

Sieć:      | 10Mbit Half Duplex  | 100Mbit FullDuplex
-----------|---------------------|----------------------
Transfery: | 800.000 bajtów/sek. | 3.200.000 bajtów/sek.

Test wykonany poprzez zwyczajne kopiowanie około 200MB plików systemu magazynowego.
Protokoły CIFS Samby są w stanie uzyskać około 80% przepustowości sieci.
Transfer maksymalny na sieci 100Mbit nie został osiągnięty z braku szybszych dysków :)

ZAKOŃCZENIE