Ak teda všetko vyšlo tak ako malo, je naša stanica so Sambou viditeľná v okolitých počítačoch Windows, ale ak sa pokúsite k nej pristúpiť, aby ste videli zdieľané adresáre, zistíte, že systém po Vás chce zadať meno a heslo. Je to preto, že sme nastavili bezpečnostnú úroveň na user, čiže Samba bude autentifikovať každého pristupujúceho používateľa, a to na základe mena a hesla. Pre zaistenie autentifikácie si Samba uchováva vlastnú databázu používateľov, ktorá však (pri tomto stupni zabezpečenia) vyžaduje aj systémové účty. Inými slovami, potrebujete mať vytvorený účet aj v systéme aj v Sambe.
Databáza používateľov Samby môže byť uložená rôznymi spôsobmi a nastavuje sa pomocou voľby passdb backend v súbore smb.conf. Východzou hodnotou je smbpasswd, ale ak ste pozorne skúmali náš vzorový konfiguračný súbor, videli ste nastavenie tdbsam. Ukladanie do smbpasswd je spôsob ukladania informácií o účtoch so bežného textového súboru, naproti tomu ukladanie pomocou tdbsam ukladá informácie do TDB databázy (trivial database). Tento spôsob je vhodný pre siete s maximálne 250 používateľmi (odporúčanie Samba tímu – potom je vhodné ldapsam) a oproti štandardnému smbpasswd poskytuje dodatočné možnosti nastavenia (prispôsobenia) účtu.
Takže nastal čas pripraviť používateľov. Ale kým sa bezhlavo pustíme do ich pridávania,je dobré si premyslieť niekoľko vecí. Najprv, či sa budeme k Sambe (do domény) pripájať aj počítače s Windows 95/98. Ak áno, je potrebné do globálnej časti smb.conf pridať riadok:
lanman auth = yes
Toto nastavenie nepoužívajte, ak nepotrebujete pristupovať zo spomínaných starých systémoch Windows, pretože má mnoho nevýhod a v dnešnej dobe je už určite prekonané. Ak ste už mali v Sambe pridaných nejakých používateľov pred nastavením LANMAN autentifikácie, bude potrebné ich heslá nastaviť znova, inak bude prístup z Win95/98 odopretý.
Ďalšou vecou, ktorú je dobré si premyslieť dopredu je rozdelenie používateľov do skupín. Správne zoskupenie používateľov určite znižuje náročnosť správy servera Samba a pre potreby tohoto návodu použijem rozdelenie na štyri skupiny:
Nič Vám však nebráni rozdeliť používateľov aj podrobnejšie, či úplne inak. Takže najprv pristúpime k vytvoreniu týchto skupín. Jedná sa o štandardné používateľské skupiny v systéme, preto aj na nich vytvorenie použijeme štandardný systémový nástroj groupadd:
groupadd admini
groupadd trucitelia
groupadd ucitelia
groupadd studenti
Po vytvorení skupín možno pristúpiť k vytváraniu účtov a ich následnému priradeniu do skupín. Pre tento príklad vytvoríme po jednom účte, ktorý bude zaradený do príslušnej skupiny (ešte nič nepridávajte, najprv prečítajte celú kapitolu):
useradd -m -s /bin/false -c "Samba administrátor" -G admini administrator
useradd -m -s /bin/false -c "Samba triedny učiteľ" -G trucitelia trucitel
useradd -m -s /bin/false -c "Samba základný učiteľ" -G ucitelia ucitel
useradd -m -s /bin/false -c "Samba základný študent" -G studenti student
Čo tento siahodlhý príkaz vlastne robí? Samozrejme pridáva do systému používateľa, ktorého prihlasovacie meno je celkom na konci príkazu. Pomocou voľby -m nariaďujeme vytvoriť domovský adresár (predvolene v /home), voľbou -s nastavujeme neexistujúci prihlasovací shell (používatelia nepotrebujú systémový prístup, len účet), voľbou -c nastavujeme komentár a voľbou -G priraďujeme účet aj do príslušnej skupiny. Tento spôsob vytvorenia účtov ponechá heslo používateľa nenastavené a kvôli Sambe ho nastavovať netreba, iba ak by používateľ potreboval z nejakého iného dôvodu (email, ftp, či shell).
Po vytvorení systémových účtov možno začať pridávať účty do databázy Samby. K tomu si môžete vybrať z dvoch nástrojov, a to smbpasswd alebo pdbedit. S oboma nástrojmi dosiahnete rovnaký výsledok, pričom druhý z nich je prednostne určený pre správu databázy tdbsam (spomínal som pokročilé možnosti), ale pre pridanie účtov si vystačíme so smbpasswd (pretože pdbedit vypisuje dodatočné informácie):
smbpasswd -a administrator
smbpasswd -a trucitel
smbpasswd -a ucitel
smbpasswd -a student
Ak chcete používať pdbedit, jednoducho zmeňte meno príkazu, syntax je rovnaká. Na rozdiel od pridávania systémových používateľov, teraz už je potrebné aj heslo, ktoré si príkaz vždy dva krát (pre overenie) vyžiada. Po pridaní používateľov a nastavení hesiel môžme vyskúšať zo staníc s Windows prístup na zdieľaný počítač PDC. Teraz by ste mali mať možnosť vidieť jeden zdieľaný prostriedok – domovský adresár prihláseného používateľa.
Pri správe používateľských účtov si s ich pridávaním nevystačíme, pretože ľudia prichádzajú i odchádzajú, potrebujeme účty aj odstraňovať. Odstraňovanie si môžeme hneď aj vyskúšať pretože pri inštalácii si Samba importovala všetky existujúce systémové účty, môžeme všetky nepotrebné odstrániť. začneme teda výpisom všetkých existujúcich účtov pomocou nástroja pdbedit.
pdbedit -L
backup:34:backup
nobody:65534:nobody
lp:7:lp
Debian-exim:101:
root:0:root
daemon:1:daemon
mail:8:mail
statd:102:
news:9:news
bin:2:bin
uucp:10:uucp
identd:103:
proxy:13:proxy
sys:3:sys
dnsmasq:105:dnsmasq,,,
sshd:104:
sync:4:sync
list:38:Mailing List Manager
games:5:games
irc:39:ircd
www-data:33:www-data
gnats:41:Gnats Bug-Reporting System (admin)
man:6:man
libuuid:100:
Ak sa poriadne pozriete na tieto účty, iste prídete na to, že odobrať možno všetky (okrem účtu root, ktorý neskôr bude treba). Existencia týchto účtov v Sambe nie je nijako nebezpečná, len zbytočná. Zo Samby tieto účty odstránime pomocou príkazu smbpasswd alebo pdbedit. V tomto prípade je stručnejší pdbedit, ale opäť je syntax rovnaká, parameter -x nasledovaný menom účtu:
pdbedit -x libuuid
Odstránenie účtu si môžete skontrolovať opätovným vypísaním všetkých účtov. Rovnako ako tieto účty, je možné odstrániť aj účty, ktoré sme už do Samby pridali my sami, lenže pribúda ešte jedna úloha. Tou úlohou je odstránenie účtu aj zo systémovej databázy. Pamätáte sa? Pre vytvorenie účtu v Sambe sme museli najprv vytvoriť účet v systéme. Samozrejme vyššie spomínané účty chceme v systéme ponechať, tak ich mazať nebudeme, ale ak odíde nejaký zamestnanec, budeme ho chcieť zo systému odstrániť úplne. K tomu použijeme príkaz userdel, ktorému pridáme ešte voľbu -r, aby odstránil aj domovský priečinok používateľa, ktorého odstraňujeme.
userdel -r meno_účtu
Niekedy je vhodné si pred samotným odstránením účtu poznačiť UID odstraňovaného používateľa a po odstránení účtu (a domovského adresára) si nechať vypísať všetky súbory, ktoré vlastní tento (vlastne už neexistujúci) používateľ. Možno už nebudú potrebné. Ale tomuto sa tu venovať nebudem.
Ďalšou často používanou úlohou správy používateľov je zmena hesla účtu. Poznáte to, používateľ sa začne sťažovať, že niekto v jeho mene robí zmeny (prezradené heslo) alebo prosto svoje heslo zabudol... Zmena (nastavenie) hesla je potrebná aj pre všetky importované účty (ak si ich ponecháte), pretože ich import prebehol bez hesla.
Zmena hesla existujúceho účtu je veľmi jednoduchá, tu nám už ostáva iba nástroj smbpasswd. Jeho použitie je jednoduché, stačí mu zadať meno používateľa, ktorému chceme heslo zmeniť:
smbpasswd student
New SMB password:
Retype new SMB password:
a rovnako ako pri vytváraní účtu, dva krát zadať nové heslo. Pre ďalšie podrobnosti Vás odkážem na manuálové stránky nástrojov smbpasswd a pdbedit.
Článok (seriál) je prevzatý zo Sprievodcu dedinčana svetom IT, zo súhlasom autora (mňa) a je zverejnený pod licenciou Creative Commons Attribution-Share Alike 3.0 Unported License (CC-by-sa). Inými slovami, tu zverejnené informácie môžete rozmnožovať, rozširovať, vystavovať dielo a odvodené diela za podmienky uvedenia autora a použitia rovnakej licencie, a to aj na komerčné účely.