1. Najskôr nastavíme nasledujúce hodnoty nastavení v časti [global] súboru /etc/samba/smb.conf:

      workgroup = NIECO
      ...
      security = user
   

   Parameter security je takmer na konci časti [global] a je v predvolenom stave zapoznámkovaný, preto ho odpoznámkujeme. Nastavenie pracovnej skupiny NIECO prispôsobíme nášmu prostrediu.

2. Vytvoríme novú časť na konci súboru alebo odkomentujeme jeden z existujúcich príkladov zdieľaného priečinka:

   [zdielanie]
       comment = Zdieľanie pomocou súborového servera Ubuntu 
       path = /srv/samba/zdielanie
       browsable = yes
       guest ok = yes
       read only = no
       create mask = 0755
   

   • comment: krátky popis zdieľania. Zmeňte ho podľa potrieb.

   • path: cesta k priečinku, ktorý chceme zdielať.

     V tomto príklade sme použili cestu v tvare /srv/samba/zdielany_priecinok, pretože podľa štandardu Filesystem Hierarchy Standard (FHS) je priečinok /srv určený práve na takýto typ dát. Technicky môže byť priečinok, ktorý chceme pomocou Samby zdieľať, kdekoľvek v súborovom systéme za predpokladu, že sú správne nastavené práva, ale odporúča sa dodržiavanie štandardov.

   • browsable: povolí klientom Windows prehliadať obsah zdielaného priečinka pomocou programu Windows Explorer.

   • guest ok: umožňuje klientom pripojiť sa bez zadania hesla.

   • read only: určuje či je zdieľanie iba na čítanie alebo či sa do neho dá aj zapisovať. Právo na zápis je povolené, iba ak je nastavená hodnota no, tak ako je to v našom príklade. Ak je hodnota yes, potom je zdieľanie určené iba na čítanie.

   • create mask: určuje práva na nové súbory, ktoré sa nastavia pri ich vytvorení.

3. Teraz, keď je systém Samba nastavený, je potrebné vytvoriť priečinok a nastaviť práva. V príkazovom riadku zadáme:

   sudo mkdir -p /srv/samba/zdielanie
   sudo chown nobody.nogroup /srv/samba/zdielanie/
   

   	Prepínač -p povie príkazu mkdir aby vytvoril všetky priečinky na zadanej ceste, ak ešte nie sú vytvorené. Priečinok zdielanie zmente podľa svojich potrieb.

4. Nakoniec reštartujeme službu samba, aby sa prejavila nová konfigurácia:

   sudo /etc/init.d/samba restart
   

• Podrobnejšie informácie o nastavení systému Samba sa nachádzajú na stránke Samba HOWTO Collection

• Príručka je dostupná aj vo verzii pre tlač.

• Ďalším dobrým zdrojom je O'Reillyho Using Samba.

• Tiež stránka Ubuntu Wiki Page.

• Podrobnejšie informácie o nastavení systému Samba sa nachádzajú na stránke Samba HOWTO Collection

• Príručka je dostupná aj vo verzii pre tlač.

• Ďalším dobrým zdrojom je O'Reillyho Using Samba.

• Viac informácií o nastavovaní systému CUPS nájdeme na stránke CUPS Website.

• security = user: pri pripojení k zdieľanému prostriedku vyžaduje od klientov, aby zadali používateľské meno a heslo. Používateľské kontá v systéme Samba sú iné ako systémové kontá, ale pomocou balíka libpam-smbpass sa dajú zosynchronizovať systémoví používatelia a ich heslá s databázou používateľov systému Samba.

• security = domain: tento mód umožní serveru Samba, aby sa pre klientov Windows javil ako primárny radič domény - Primary Domain Controller (PDC), záložný radič domény - Backup Domain Controller (BDC) alebo členský server domény - Domain Member Server (DMS). Viac informácii je v časti Samba ako radič domény.

• security = ADS: umožňuje serveru Samba pripojiť sa do domény Active Directory ako bežný člen. Viac informácii sa nachádza v časti Integrácia systému Samba do Active Directory.

• security = server: tento mód zostal zo staršej verzie systému Samba a umožňuje systému stať sa členským serverom. Kvôli bezbečnostným problémom by nemal byť používaný. Viac informácii sa nachádza na stránke Server Security.

• security = share: umožňuje klientom, aby sa pripojili k zdieľaným prostriedkom bez zadania používateľského mena a hesla.

Skupina definuje skupinu počítačov alebo používateľov, ktorí majú rovnaké prístupové práva k určitým sieťovým prostriedkom a umožňujú naraz riadiť prístup k tomuto prostriedku. Napríklad ak zadefinujeme skupinu zakaznici, a ktorá bude obsahovať používateľov peter, danka a robert, a druhú skupinu podpora, ktorá bude obsahovať používateľov danka, jurko a vinco a určitý sieťový prostriedok bude nastavený tak aby umožňoval prístup skupine podpora, k prostriedku budú mať prístup danka, jurko a vinco a používatelia peter, a robert k prostriedku prístup mať nebudú. Pretože danka je členom oboch skupín, bude mať prístup k prostriedkom jednej skupiny aj k prostriedkom druhej skupiny. Ostatný členovia skupín budú mať prístup iba k prostriedkom svojej skupiny.

V predvolenom stave Samba hľadá definíciu skupín v súbore /etc/group, podľa ktorého určí ktorý používatelia patria do daných skupín. Viac informácií o pridávaní a odstraňovaní používateľov sa nachádza v časti "Pridávanie a odstraňovanie používateľov”.

Keď sa chceme niektorú skupinu použiť v konfiguračnom súbore systému Samba /etc/samba/smb.conf, aby sme odlíšili skupinu od používateľov, vložíme pred názov skupiny znak "@". Napríklad ak chceme použiť skupinu s názvom sysadmin v určitej časti súboru /etc/samba/smb.conf, zadáme názov skupiny @sysadmin.

Oprávnenia k súborom definujú prístupové práva počítačov alebo používateľov k jednotlivým zdielaným priečinkom a súborom. Tieto oprávnenia sa pre jednotlivé priečinky dajú nastaviť v súbore /etc/samba/smb.conf.

Napríklad ak sme definovali zdieľane s názvom zdieľanie a chceme skupine používateľov zakaznici umožniť iba čítanie ale súčasne chceme skupine sysadmin a používateľovi vinco povoliť aj právo na zápis, potom v súbore /etc/samba/smb.conf pridáme do časti [zdielanie] nasledujúce riadky:

read list = @zakaznici
write list = @sysadmin, vinco

Iný spôsob nastavenia práv pre systém Samba je pridelenie administrátorských oprávnení na jednotlivé zdieľané zdroje. Používatelia, ktorí majú administrátorské oprávnenia môžu čítať, zapisovať alebo modifikovať akékoľvek informácie, ktoré sa nachádzajú v zdieľanom prostriedku, ku ktorému má pridelené práva administrátor.

Napríklad ak chceme prideliť používateľovi maria, prideliť práva správcu k priečinku zdielanie otvoríme súbor /etc/samba/smb.conf file a pridáme nasledujúci riadok do časti [zdielanie]:

admin users = maria

Po uložení súboru /etc/samba/smb.conf reštartujeme systém Samba aby sa zmeny prejavili:

sudo /etc/init.d/samba restart

	Aby platili nastavenia read list a write list bezpečnostný mód systému Samba nesmie byť nastavený na security = share

Teraz keď sme systém Samba nastavili aby obmedzoval prístup jednotlivých skupín a používateľov, je potrebné upraviť aj oprávnenia súborového systému.

Tradičné Linuxové nastavenie práv pre súborový systém nezodpovedá tzv. Access Control Lists (ACLs) zoznamom na riadenie prístup pre systém Windows NT. Našťastie POSIXové ACLs sú dostupné aj v systéme Ubuntu a poskytujú jemnejšie nastavenia. Ak napríklad chceme povoliť ACLs pre diskový oddiel pripojený do priečinka /srv so súborovým systémom EXT3, otvoríme /etc/fstab a pridáme možnosť acl:

UUID=66bcdd2e-8861-4fb0-b7e4-e61c569fe17d /srv  ext3    noatime,relatime,acl 0       1

Potom znova pripojíme diskový oddiel:

sudo mount -v -o remount /srv

	Predchádzajúci príklad predpokladá, že k /srv je pripojený samostatný diskový oddiel. Keby bol priečinok /srv iba jedným z priečinkov v súborovom systéme /, bolo by potrebné reštartovať celý systém.

Aby sa nastavenie systému Samba zhodovalo s nastaveniami, ktoré sme doteraz vykonali, t.j. aby skupina sysadmin mala právo na čítanie, zápis a spúšťanie súborov v priečinku /srv/samba/zdielanie, skupina zakaznici mala právo iba na čítanie a spúšťanie súborov a aby bol vlastníkom priečinka používateľ maria, zadáme nasledujúce príkazy do príkazového riadku:

sudo chown -R maria /srv/samba/zdielanie/
sudo chgrp -R sysadmin /srv/samba/zdielanie/
sudo setfacl -R -m g:zakaznici:rx /srv/samba/zdielanie/

	Príkaz setfacl pridelí právo na spúšťanie súborov na všetky súbory v priečinku /srv/samba/zdielanie, čo môžete ale nemusíte chcieť použiť.

Odteraz bude pre klientov systému Windows platiť nové nastavenie oprávnení. Viac informácií o POSIXových ACLs sa dozviete na man stránkach pre príkazy acl a setfacl.

• Podrobnejšie informácie o nastavení systému Samba sa nachádzajú na stránke Samba HOWTO Collection

• Príručka je dostupná aj vo verzii pre tlač.

• Ďalším dobrým zdrojom je O'Reillyho Using Samba.

• Kapitola 18 zo Samba HOWTO Collection je zameraná na bezpečnosť.

• Viac informácií o systéme Samba a riadení prístupov sa môžeme dozvedieť na stránke Samba ACLs page.

1. Najskôr nainštalujeme systém Samba a balík libpam-smbpass, ktorý slúži na synchronizáciu používateľov. Do príkazového riadka zadáme:

   sudo apt-get install samba libpam-smbpass
   

2. Ďalej otvoríme konfiguračný súbor systému Samba /etc/samba/smb.conf. Bezpečnostný režim security nastavíme na hodnotu user a pracovnú skupinu workgroup nastavíme podľa názvu našej organizácie:

      workgroup = NIECO
      ...
      security = domain
   

3. V zapoznámkovanej časti “Domains” odpoznámkujeme nasledujúce riadky:

      domain logons = yes
      logon path = \\%N\%U\profile
      logon drive = H:
      logon home = \\%N\%U
      logon script = logon.cmd
      add machine script = sudo /usr/sbin/useradd -n -g machines -c Machine -d /var/lib/samba -s /bin/false %u
   

   • domain logons: spôsobí, že sa Samba bude pri prihlasovaní tváriť ako radič domény.

   • logon path: umiestnenie domovského priečinka z pohľadu používateľa Windows. Tu je však potrebné odkomentovať aj nastavenie zdieľania v časti [profiles].

   • logon drive: určuje jednotku, pod akou používateľ uvidí svoj priečinok.

   • logon home: určuje umiestnenie domovského priečinka.

   • logon script: určuje skript, ktorý sa spustí na lokálnej stanici po prihlásení používateľa. Skript je potrebné umiestniť do zdieľaného priečinka [netlogon].

   • add machine script: skript, ktorý automaticky vytvorí tzv. dôveryhodné konto stanice - Machine Trust Account potrebné na to, aby sa počítač mohol pripojiť do domény.

     V tomto príklade tiež bude potrebné vytvoriť skupinu s názvom machines pomocou nástroja addgroup. Viac informácií sa nachádza v časti  “Pridávanie a odstraňovanie používateľov”.

   	Ak nechcete použiť tzv. cestovné profily (Roaming Profiles), ponechajte možnosti logon home a logon path zapoznámkované.

4. Odpoznámkujeme zdieľanie priečinka [homes], aby bolo možné pripojiť domovské priečinky:

   [homes]
      comment = Home Directories
      browseable = no
      read only = no
      create mask = 0700
      directory mask = 0700
      valid users = %S
   

5. Ak chceme server použiť ako radič domény, je potrebné nakonfigurovať aj zdieľanie priečinka [netlogon]. Stačí odkomentovať nasledujúce riadky:

   [netlogon]
      comment = Network Logon Service
      path = /srv/samba/netlogon
      guest ok = yes
      read only = yes
      share modes = no
   

   	Originálny priečinok netlogon je umiestnený na ceste /home/samba/netlogon, ale podľa štandardu Filesystem Hierarchy Standard (FHS) je na tento účel správnejšie použiť priečinok /srv.

6. Teraz vytvoríme priečinok netlogon a (zatiaľ) prázdny súbor s prihlasovacím skriptom logon.cmd:

   sudo mkdir -p /srv/samba/netlogon
   sudo touch /srv/samba/netlogon/logon.cmd
   

   Do tohto súboru môžeme zapísať akýkoľvek skript pozostávajúci z príkazov systému Windows, ktorý upraví prostredie klienta.

7. Keďže používateľ root je z bezpečnostných dôvodov zablokovaný, je potrebné priradiť niektorú zo systémových skupín ku Windows skupine s názvom  Domain Admins, inak sa nebudú dať pracovné stanice pripojiť do domény. Urobíme to pomocou nástroja net, ktorý takýmto spôsobom zapíšeme do príkazového riadka:

   sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
   

   	Skupinu sysadmin, ktorú sme my použili, zmeňte na takú, akú používate. Používatelia, ktorí sú členmi skupiny sysadmin, by mali byť členmi aj systémovej skupiny admin. Skupina admin umožňuje použitie príkazu sudo.

8. Nakoniec reštartuje systém Samba, aby sa nové nastavenie prejavilo:

   sudo /etc/init.d/samba restart
   

9. Odteraz bude možné klientské počítače so systémom Windows pripojiť do domény tak, ako keby sa pripájali do domény na serveri Windows NT4.

1. Najskôr nainštalujeme balíky samba a libpam-smbpass. V príkazovom riadku zadáme:

   sudo apt-get install samba libpam-smbpass
   

2. Otvoríme súbor /etc/samba/smb.conf a zmeníme nasledujúce riadky v časti [global]:

      workgroup = NIECO
      ...
      security = user
   

3. V časti Domains odkomentujeme riadky:

      domain logons = yes
      domain master = no
   

4. Uistíme sa, že používateľ má právo čítať súbory v priečinku /var/lib/samba. Napríklad ak chceme používateľom v skupine admin povoliť použitie nástroja scp zadáme:

   sudo chgrp -R admin /var/lib/samba
   

5. Teraz synchronizujeme kontá pomocou nástroja scp, ktorým ich skopírujeme z priečinka /var/lib/samba z PDC:

   sudo scp -r menopouzivatela@pdc:/var/lib/samba /var/lib
   

   	Miesto menopouzivatela zadajte používateľa a miesto pdc zadajte názov stanice alebo IP adresu počítača, ktorý je PDC.

6. Nakoniec reštartujeme systém samba:

   sudo /etc/init.d/samba restart
   

• Ak chceme pripojiť priečinok zdieľaný systémom Windows zadáme nasledujúci príkaz:

  mount.cifs //fs01.nieco.sk/zdielanie bod_pripojenia
  

  Je tiež možné pristupovať k zdieľaným prostriedkom, ktoré ni sú súčasťou domény AD, ale v tom prípade bude potrebné zadať používateľské meno a heslo.

• Ak chceme pripojiť priečinok už pri zavádzaní systému, pridáme záznam do súboru /etc/fstab. Záznam môže vyzerať napríklad takto:

  //192.168.0.5/zdielanie /mnt/windows cifs auto,username=stefan,password=tajne,rw 0        0
  

• Iný spôsob akým môžeme skopírovať súbory zo systému Windows je použitie nástroja smbclient. Zoznam súborov v zdieľanom priečinku systému Windows získame po zadaní:

  smbclient //fs01.nieco.sk/zdielanie -k -c "ls"
  

• Kópiu súboru získame po zadaní:

  smbclient //fs01.nieco.sk/zdielanie -k -c "get subor.txt"
  

  Tento príkaz skopíruje súbor s názvom subor.txt do aktuálneho priečinka.

• Kópiu lokálneho súboru odošleme do zdielaného priečinka zadaním:

  smbclient //fs01.nieco.sk/zdielanie -k -c "put /etc/hosts hosts"
  

  Tento príkaz skopíruje súbor /etc/hosts to do //fs01.nieco.sk/zdielanie/hosts.

• Voľba -c, ktorú sme použili, umožňuje spustiť pomocou nástroja smbclient zadaný príkaz. Tento spôsob spúšťania je užitočný pri vytváraní skriptov. Ak chceme vstúpiť do príkazového riadka smb: \>, ktorý je podobný príkazovému riadku FTP, v ktorom môžeme normálne spúšťať príkazy, zadáme len:

  smbclient //fs01.nieco.sk/zdielanie -k
  

• prístup do Active Directory cez používateľa, ktorý má dostatočné oprávnenia na to, aby sme sa cez neho mohli pripojiť do domény.

• plne kvalifikované doménové meno  (FQDN) domény, ku ktorej sa chceme pripojiť. Ak naša AD doména nemá klasický tvar domény, ako napríklad nieco.sk, je možné že má tvar menodomeny.local.

• DNS pre správne nastavenie domény. V ostrom nasadení AD by táto položka nemala chýbať. Systém Microsoft DNS je potrebný na to, aby klientské stanice vedeli zistiť, či je doména Active Directory dostupná.

  Ak ešte nemáme v sieti Windows DNS server, bližšie informácie nájdeme v časti “Microsoft DNS”.

• lwinet: Vráti informácie o sieti a doméne.

• lwimsg: Umožňuje interakciu s démonom likewise-winbindd.

• lwiinfo: Zobrazí informácie o jednotlivých súčastiach domény.

• Ak sa počítač nechce pripojiť do domény, je potrebné pre istotu dvakrát skontrolovať, či je adresa servera Microsoft DNS zapísaná ako prvá v súbore /etc/resolv.conf. Záznam vyzerá napríklad takto:

  nameserver 192.168.0.1
  

• Viac informácii o procese pripájania do domény získame, ak použijeme spolu s nástrojom domainjoin-cli prepínač --loglevel verbose alebo --advanced:

  sudo domainjoin-cli --loglevel verbose join nieco.sk Administrator
  

• Ak má používateľ problém pripojiť sa do Active Directory, viac informácií získa v súbore /var/log/auth.log.

• Pri pripájaní systému Ubuntu Desktop do domény môže byť potrebné upraviť súbor /etc/nsswitch.conf najmä, ak doména AD používa v mene koncovku .local. V takom prípade je potrebné vymazať záznamy "mdns4" z nastavenia hosts. Napríklad:

  hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
  

  Zmeníme na:

  hosts: files dns [NOTFOUND=return]
  

  Potom reštartujeme sieťových démonov príkazom:

  sudo /etc/init.d/networking restart
  

  Teraz by sa už malo dať pripojiť do domény Active Directory.

• Klikneme na tlačítko Start → Nástroje pro správu → Správa serverů. To otvorí nástroj Správa rolí tohto serveru.

  1. Klikneme na Přidat nebo odebrat roli

  2. Klikneme na Další

  3. Vyberieme "DNS Server"

  4. Klikneme na Další

  5. Klikneme na Další

  6. Vyberieme "Vytvořit zónu dopředného vyhledávaní" ak už nie je označená.

  7. Klikneme na Další

  8. Uistite sa, že je prepínač v polohe "Tento server udržuje zónu" a klikneme na Další.

  9. Zadáme meno našej domény a klikneme na Další

  10. Necháme označené "Povolit jen dynamické aktualizace" a klikneme na Další

  11. Zadáme IP adresy DNS serverov, ktorým má náš server preposielať požiadavky alebo označíme "Ne, nepředávat dotazy" a klikneme na Další.

  12. Klikneme na Dokončit

  13. Klikneme na Dokončit

  Systém DNS je teraz nainštalovaný a neskôr ho môžeme nastaviť použitím DNS snap-in modulu Microsoft Management Console.

• Teraz nastavíme Server tak, aby používal sám sebe pri zisťovaní DNS požiadaviek:

  1. Klikneme na tlačitko Start

  2. Ovládací panely

  3. Síťová připojení

  4. Pravým tlačítkom myši klikneme na "Připojení k místní síti tohoto serveru"

  5. Klikneme na Vlastnosti

  6. Dvojklikom otvoríme "Protokol sítě Internet (TCP/IP)"

  7. Zadáme IP adresu nášho servera ako "Upřednostňovaný server DNS"

  8. Klikneme na OK

  9. Znova klikneme na OK aby sa nastavenia uložili