Documente Academic
Documente Profesional
Documente Cultură
ndice
1. Introduccin 2. Acceso remoto y transferencia de cheros
2.1. 2.2. Servicio de telnet y ftp . . . . . . . . . . . . . . . . . . . . . . SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2 2
3 5
8
9 11 13
4. Servicios de directorio
4.1. Servicio de Informacin de Red NIS . . . . . . . . . . . . . . .
14
15
20
21 22 23 28 29 32 33
34
34 35 36 38
1.
Introduccin
Dos tipos de servicios: 1. Servicios de Internet: Servicios de ejecucin remota: telnet, ssh Servicios de transferencia de cheros: ftp, sftp Servicio de DNS Servicio de Proxy Servicio de correo electrnico: SMTP, POP, . . . Servicio Web 2. Servicios de intranet Sistemas de archivos de red (NFS) Servicio de informacin de red (NIS) Servicio de directorio (LDAP) Comparticin Windows/Linux (Samba) Los servicios de DNS, Web, Proxy y e-mail se tratan en la asignatura Administracin Avanzada de Sistemas e Redes
2.
2.
telnet
ftp
se desaconseja
Reemplazarlos por 1.
2.
scp, sftp
tada
scp
2.1.
similar a
cp
sftp
similar a
ftp
inetd
(o
xinetd) /etc/inetd.conf
telnet
cuando tipo
stream
tcp
nowait
telnetd
/usr/sbin/in.telnetd
nowait
inetd: xinetd
TCP Wrapper
(programa
tcpd)
/etc/hosts.allow
/etc/hosts.deny
Servicio de telnet
Instalacin de un servidor telnet Descargar el paquete
telnetd /etc/inetd.conf
El paquete actualiza el
Desinstalar el paquete
telnetd,
/etc/inetd.conf
Servicio de FTP
Transere cheros a/desde un host remoto Permite usuarios registrados o annimos (
anonymous )
Utiliza dos puertos: 21 (conexin de control) y 20 (conexin de datos) Dos modos de funcionamiento: 1. Activo (modo por defecto en el comando ftp)
El servidor inicia la conexin de datos desde su puerto 20 a un puerto > 1023 del cliente Problema con los rewalls en el cliente
2. Pasivo (modo recomendable, por defecto en navegadores) El cliente inicia las conexiones de control y datos No se utiliza el puerto 20 No tiene problema con los rewall
ftpd /etc/inetd.conf
El paquete actualiza el
Por defecto usa TCP wrappers Podemos denegar el acceso ftp a ciertos usuarios incluyndolos en el chero
/etc/ftpusers
4
2.2.
standalone
Servidores FTP virtuales (varios servidores de FTP annimos en el mismo host) Usuarios FTP virtuales (cuentas ftp diferentes de las cuentas del sistema) Facilidades para registro y monitorizacin de accesos Facilidades para controlar y limitar accesos Comunicacin encriptada
SSH
SSH: Shell seguro Permite comunicarnos de forma segura con un servidor remoto
sftp)
rlogin, telnet
ftp
Paquetes Debian:
Ciente:
openssh-client openssh-server
Servidor:
/etc/shosts.equiv
Mtodo absolutamente desaconsejado 2. Igual que el anterior pero la clave pblica del host remoto debe aparecer en
/etc/ssh_known_hosts
~/.ssh/known_hosts
No demasiado seguro (si el host remoto se ve comprometido, el servidor local queda comprometido) 3. La clave pblica del usuario remoto debe estar en
~/.ssh/authorized_keys
El usuario remoto debe tener acceso a su clave privada Mtodo ms seguro, pero un poco incomodo 4. Acceso mediante contrasea (modo por defecto) Menos seguro que el anterior
Opcin
M
2 2 2 2 3 3 4
Dfto. Signicado
no no yes no yes yes yes no
Si Si
~/.shosts
Ignora el chero Autenticacin Autenticacin usuario (SSH-1)
~/.rhosts
~/.ssh/known_hosts
clave clave pblica pblica de de
de de
usuario (SSH-2) Autenticacin mediante contrasea Usa PAM para autenticacin 2,3,4
/etc/ssh/sshd_config
Opcin
Port Protocol ListenAddress PermitRootLogin X11Forwarding Para ms opciones
Dfto. Signicado
22 2,1 Todas Puerto (puede ser interesante cambiarlo a >1024) Protocolo aceptado (ms seguro slo 2) Direccin local por la que escucha Permite acceder al root Permite forwarding X11
yes no
man sshd_config
sftp
cutar el comando, p.e.
Opcin
Hosts Port Protocol Cipher[s] ForwardX11
Dfto. Signicado
22 2,1
implica todos) Puerto por defecto Protocolo usado por defecto Mecanismos de cifrado usados Reenvo X11 y
no
Para ms opciones
man ssh_config
man ssh
Otros comandos
ssh-keygen generacin y gestin de claves pblicas/privadas para SSH
Permite claves RSA o DSA (DSA slo SSH-2, por defecto RSA-2) Ficheros (para SSH-2)
passphrase
-p
de longitud arbitraria
ssh-agent
passphrase
eval $(ssh-agent)
Dene las variables
SSH_AUTH_SOCK
SSH_AGENT_PID
ssh-add
Uso:
~/.ssh/identity,
~/.ssh/id_rsa, ~/.ssh/id_dsa
passphrases
Pueden aadirse mltiples claves En una conexin se prueban las diferentes claves hasta que coincide
Algunas opciones:
de la identidad
Introducido por Sun MicroSystems en 1985, y soportado por todos los Unixes
NFSv4 ms reciente (RFC 3530, incluido en kernel 2.6, ltima revisin 4.1)
servidor en espacio de usuario: ms lento y con problemas servidor en modo kernel: ms rpido, menos caractersticas (versin por defecto)
nistration Handbook (2a ed.), Evi Nemeth et.al. Linux NFS-HOWTO nfs.sourceforge.net
3.1.
Caractersticas principales
Ejemplo de funcionamiento
Procesos implicados
NFS se basa en RPC ( el servicio activo
portmap
convierte nmeros de programas RPC en nmeros de puertos utiliza el puerto 111 necesario para aplicaciones que usen RPC el comando
rpcinfo
en Debian, paquete
portmap
rpc.nfsd:
y resolver las peticiones de acceso del cliente a archivos situados en el directorio remoto)
rpc.mountd:
te NFS y chequea para mirar si coincide con un sistema de cheros actualmente exportado, y si el cliente tiene permisos sucientes para montar dicho directorio
rpc.rquotad: rpc.statd:
proporciona un servicio de noticacin de reinicio, cuando NFS cae; lo usa el servicio de bloqueo de cheros
lockd
10
portmap,
ni los demonios
rpc.mountd
rpc.statd
rpcsec_gss
(cliente
rpc.gssd,
servidor
rpc.svcgssd):
autenti-
3.2.
Servidor NFS
1. Instalar el paquete
nfs-kernel-server
nfs-common
y para
nfs-kernel-server proporciona rpc.nfsd, rpc.mountd, NFSv4 rpc.svcgssd nfs-common proporciona rpc.lockd, rpc.statd, rpc.gssd y rpc.idmapd
2. Congurar los directorios a exportar: chero Ejemplo de chero
y para NFSv4
/etc/exports
/etc/exports
/projects
proj*.usc.es
rw/ro
lectura
root_squash
usuario
annimo
nobody,
con UID/GID
no_root_squash
11
all_squash mapea todos los usuarios al usuario annimo squash_uids/squash_gids especica una lista de UIDs
GIDs que se deberan trasladar al usuario annimo
del usuario
annimo
(por
subtree_check/no_subtree_check
si se exporta un subdi-
rectorio (no un lesystem completo) el servidor comprueba que el chero solicitado est en el rbol de directorios exportado
sync modo sncrono: requiere que todas las escrituras se completen antes de continuar; es opcin por defecto
secure
debajo de 1024
insecure
puerto
Para ms opciones
man exports
exportfs
ver
3. Iniciar el demonio:
showmount
nfsstat
12
Cliente NFS
El cliente NFS en Linux est integrado en el nivel del Sistema de Ficheros Virtual (VFS) del kernel no necesita un demonio particular de gestin (en otros UNIX, demonio
biod )
Instalacin: 1. Instalar (si no est ya instalado) el paquete 2. Montar los directorios remotos con en
nfs-common
fstab
mount
193.144.84.1:/home
Automount se usa frecuentemente con NFS (ver la parte de Autofs en Tema 3: Montado de los sistemas de cheros: Autofs) Opciones particulares de montado con NFS:
rsize=n /wsize=n
los clientes NFS cuando realizan peticiones de lectura/escritura (pueden ajustarse para optimizar)
hard
cuando el servidor falle; cuando el servidor est disponible, el programa continuar como si nada (opcin ms recomendable)
soft cuando una peticin no tiene respuesta del servidor en un tiempo jado por timeo=t el cliente devuelve un cdigo de error al proceso
que realiz la peticin (puede dar problemas) Para ver ms opciones, ver
nfs(5)
3.3.
13
Usa el UID/GID del usuario en el cliente para gestionar los permisos en el servidor:
Un usuario con acceso a root en un cliente podra acceder a los cheros de cualquier usuario en el servidor (no a los de root, si se usa la opcin
root_squash)
Precauciones bsicas: 1. Usar NFS slo en Intranets seguras, donde los usuarios no tengan acceso de administrador en sus sistemas 2. Evitar el acceso a NFS desde fuera de la Intranet Bloquear los puertos TCP/UDP 111 ( 3. Usar NFSv4 con
4. Usar versiones seguras de NFS (Secure NFS) u otros sistemas de cheros (p.e. Self-certifying File System, SFS) Ver NFS howto y http://www.cert.org/tech_tips/unix_conguration_guidelines.html#A13
4.
Servicios de directorio
Necesidad de mantener una conguracin nica a travs de mltiples sistemas Comparticin de los cheros de conguracin Ficheros a compartir:
etc.
rdist
rsync
14
administrativa (usuarios, grupos, contraseas, etc.) centralizada Necesidad de uno (o varios) servidores que almacenen fsicamente dicha informacin y que la comunique al resto cuando sea necesario Normalmente se usa un esquema cliente/servidor
p.e. un usuario se conecta en un sistema cliente y este valida las credenciales del usuario en el servidor
En Windows 2000, la implementacin del concepto de dominio se realiza mediante el denominado Directorio Activo (
Active directory )
4.1.
Yellow Pages
Muy popular como sistema de administracin de dominios en UNIX A principios de los aos 90, versin NIS+ para Solaris 2.x
muy diferente de NIS incorpora soporte para encriptacin y autenticacin de datos complejo y poco soportado
Para ms informacin:
The Linux NIS(YP)/NYS/NIS+ HOWTO Debian NIS HOWTO Introduccin a NIS y NFS
15
temas (/etc/passwd,
mapas
taBase Management )
las DBM
Da-
en una red debe haber al menos una mquina actuando como un servidor NIS maestro
Los clientes hablan directamente con el servidor NIS para leer la informacin almacenada en sus bases de datos DBM Pueden existir servidores NIS esclavos:
tienen copias de las bases de datos NIS reciben estas copias del servidor NIS maestro cada vez que se realizan cambios a las bases de datos maestras
una red puede tener mltiples servidores NIS, cada uno sirviendo a un dominio NIS diferente
16
ypserv ypbind
descarga un mapa desde servidor maestro (en los esclavos) ejecutado en el maestro, hace que los esclavos actualicen sus
yppush
ypwhich ypcat
cambia el campo GECOS en la base de datos de NIS cambia el login shell en la base de datos de NIS
17
Servidor maestro
1. Instalar el paquete
nis
a)
Indicar un nombre de dominio NIS (que no tiene que corresponder con el dominio de RED) El nombre de dominio puede cambiarse con
domainname
b)
La conguracin puede tardar, ya que intenta iniciarse como cliente NIS y se queda buscando un servidor
2. Cambiar el chero
/etc/default/nis NISSERVER=master
aadir el nmero de la red
/etc/ypserv.securenets
255.255.255.0
4. Ejecutar
192.168.0.0
para iniciar el servidor
/usr/sbin/ypserv
/var/yp/Makefile
permite congurar caractersticas generales as como las tablas a partir de las cuales se crean los mapas NIS haciendo en
make en ese directorio se crean los mapas que se guardan /var/yp/dominio make
para actualizar los mapas NIS
cada vez que se modique alguna tabla (p.e. aadiendo un nuevo usuario), debemos hacer 6. Ejecutar
mo servidor maestro no aadir ningn servidor NIS ms (Ctrl-D) 7. Podemos comprobar que funciona bien haciendo un de los mapas (p.e.
ypcat passwd)
ypcat
de alguno
8. Por ltimo, el servidor debe congurarse tambin como cliente seguir los pasos de la siguiente seccin
18
Cliente NIS
1. Eliminar de los cheros locales los usuarios, grupos y otra informacin que queramos que sea accesible por NIS (slo en los clientes) 2. Instalar el paquete
nis
/etc/yp.conf
group
shadow
passwd,
por NIS:
El formato y opciones de ese chero lo vimos en el Tema 5: Ficheros de conguracin de red Alternativamente, se puede dejar el modo nal de los cheros indicar que vamos a usar NIS este mtodo permite incluir/excluir determinados usuarios ver NIS-HOWTO: Setting up a NIS Client using Traditional NIS
Fichero /etc/netgroup
NIS introduce el concepto de
netgroups
grupos de usuarios, mquinas y redes que pueden ser referenciadas como un conjunto se denen en el chero NIS maestro Formato de una entrada en
host
19
NIS_domain
Pueden dejarse entradas en blanco o con un guin: Una entrada en blanco implica cualquier valor, p.e.
(doc19, , )
doc19
Una entrada con un guin (-) implica campo sin valor, p.e.
(-, pepe, )
Ejemplo de un chero
indica el usuario
pepe
y nada ms
/etc/netgroup
(-,pepe,) (-,heidis,) (-,jnguyen,) (-,mpham,) (numark,-,) (vestax,-,) (denon,-,) (technics,-,) (mtx,-,) (-,boson,) (-,jyom,) (-,weals,) (-,jaffe,) sysadmins research servers clients
pueden usarse en varios cheros del sistema para denir
netgroups
compat, p.e. aadiendo +@sysadminds en /etc/passwd permiso de acceso a los usuarios denidos como sysadmins /etc/exports, para indicar grupos de mquinas a las que allhosts(rw,root_squash,sync) /etc/hosts.allow
y
en el chero
/home
en los cheros Wrappers etc.
/etc/hosts.deny
de los TCP
5.
20
X.500: Estndares de la ITU-T para servicios de directorio Dene, entre otros, un protocolo de acceso a directorios llamado DAP (
Opera directamente sobre TCP/IP Actualmente, la mayora de servidores de directorio X.500 incorporan LDAP como uno de sus protocolo de acceso
Microsoft Server 2003 Active Directory Novell eDirectory Oracle Internet Directory IBM Tivoli Directory Server Apache Directory Server 389 Directory Server Red Hat Directory Server OpenLDAP
Ms informacin sobre LDAP 1. LDAP Linux HOWTO 2. IBM RedBooks: Understanding LDAP - Design and Implementation 3. Recursos, ayudas, . . . : ldapman.org
5.1.
OpenLDAP
Implementacin
open source
21
slurpd - demonio de replicacin y actualizacin de LDAP libreras que implementan el protocolo LDAP utilidades, herramientas, y clientes bsicos
5.2.
component ), etc.
los diferentes atributos de un nodo estn determinados por la clase a la que pertenece las clases permiten denir entradas con diferente informacin: clases para personas, para equipos, administrativas, etc. las clases se denen mediante cheros de
esquema (schema )
o
distinguished name )
nombre distinguido
dn
22
el
dn
cada nodo puede tener varios atributos, p.e. el nodo los siguientes atributos:
pepe
podra tener
dn: cn=Jose Pena,ou=People,dc=midominio,dc=com objectClass: account uid: pepe sn: Pena description: alumno mail: pepe@midominio.com
el formato en el que se muestran los atributos del objeto se denomina LDIF (
5.3.
23
el servidor mantendr la lista de usuarios y grupos del dominio en los clientes la autenticacin de usuarios y los permisos se basar en el servidor LDAP
slapd
(servidor OpenLDAP) y
(uti-
En la conguracin, elegir una contrasea para el administrador del LDAP (no tiene que ser la contrasea de root del sistema) El comando
slapcat
ldapsearch
a)
/etc/default/slapd
Permite, entre otras cosas, especicar las interfaces donde se desea que escuche ldap (por defecto, todas las interfaces usando TCP puerto 389, La variable
mecanismos de escu-
cha de slapd
Layer ),
usando
sockets UNIX
ldaps:/// (ldapi:///)
Indicar que acepte conexiones estndar en la red del cliente (ldap://172.23.20.1:389/), y reiniciar el servicio (service
slapd restart)
b)
/etc/ldap/sldap.conf slapd
man slapd.conf
c)
Fichero
/etc/ldap/ldap.conf
24
Permite especicar la base por defecto, el servidor LDAP, etc. (cambiarlo para poner nuestra conguracin, comprobar que tiene permisos 644) Para ms info, ver
Group
a)
estructura.ldif
en formato LDIF:
dn: ou=People,dc=midominio,dc=com objectClass: top objectClass: organizationalUnit ou: People dn: ou=Group,dc=midominio,dc=com objectClass: top objectClass: organizationalUnit ou: Group
b)
a)
Crear un chero como este, que tiene la informacin para un usuario y un grupo:
dn: cn=Jose Pena,ou=People,dc=midominio,dc=com objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount uid: pepe cn: Jose Pena uidNumber: 2000 gidNumber: 2000
25
homeDirectory: /home/pepe loginShell: /bin/bash gecos: Jose Pena, Despacho 22,, dn: cn=pepe,ou=Group,dc=midominio,dc=com objectClass: top objectClass: posixGroup cn: pepe gidNumber: 2000
dene un usuario
pepe
y un grupo
informacin si-
b)
c) d)
# ldapsearch -x uid=pepe
Aadir una contrasea al usuario: puede hacerse directamente metiendo un campo ferible hacerlo mediante el comando
slapd
nis.schema
26
core.schema
cosine.schema
inetorgperson.schema
sonal para los usuarios
sujo,
bdb,
Berkeley Database)
a) b)
puede indicarse todo el directorio mediante un asterisco (*) un subconjunto de entradas cuyo nombre distinguido contiene un cierto sujo (por ejemplo,
self el propietario de la entrada dn="..." el usuario representado por el nombre users cualquier usuario acreditado anonymous cualquier usuarios no acreditado * cualquier usuario none sin acceso auth utilizar la entrada compare comparar search bsqueda read lectura write modicacin
distinguido
<access_control>
para validarse
27
5.4.
shadow,
etc.)
MigrationTools
/etc/passwd
a LDAP
migrationtools /usr/share/migrationtools/migrate_common.ph
para que solo considere los usuarios y grupos del sistema 4. Utilizar los diferentes scripts del directorio
migrate_base.pl
tenemos)
etc. (ya lo
Script
migrate_passwd.pl migrate_group.pl migrate_hosts.pl migrate_fstab.pl ... /etc/hosts /etc/fstab
Migra
/etc/passwd y /etc/shadow /etc/group
Estos scripts generan cheros LDIF que podemos aadir a la base LDAP con
ldapadd
28
/etc/ldap/ldap.conf
la informacin sobre
Name Service Switch (chero /etc/nsswitch.conf) Instalar y congurar el mdulo de autenticacin (PAM, Pluggable Authentication Modules )
Los mdulos necesarios para esta conguracin pueden descargarse de la pgina de PADL (www.padl.com) o directamente como paquetes Debian
En la conguracin indicar como URI (ldap://ip_del_servidor ), el DN de la base del directorio LDAP, versin 3 de LDAP, y el password del administrador LDAP
/etc/libnss-ldap.secret,
si no se quiere tener ese chero con la clave, no indicar ninguna clave cuando nos la pide y en los cheros
/etc/pam_ldap.conf rootbinddn
y facilita esta conguracin
/etc/libnss-ldap.conf
authconfig
que
29
Congurar el Name
Service Switch
El NSS se encarga, entre otras, de realizar la correspondencia entre los nmeros y nombres de usuario permite gestionar los permisos de acceso de usuarios a cheros se congura a travs del chero
/etc/nsswitch.conf
la conguracin de ese chero la vimos en el tema 3 Pasos (despues de haber instalado el paquete 1. Modicar las lneas de
libnss-ldap):
esto indica al NSS que busque la informacin primero en los cheros y, si no la encuentra, en el servidor LDAP 2. Probar que funciona:
a) b)
/home/pepe
y cambiarle el propietario a
pepe
pepe
su - pepe
en el cliente
PAM (Pluggable
genrica que cualquier aplicacin puede utilizar para validar usuarios, utilizando por debajo mltiples esquemas de autenticacin alternativos (cheros locales, Kerberos, LDAP, etc.) permite aadir nuevos mecanismos de autenticacin (Kerberos, LDAP,. . . ) sin tener que modicar los servicios de entrada al sistema como
Authentication Module )
biblioteca de autenticacin
etc.
PAM utiliza mdulos que proporcionan autenticacin en los servicios de entrada al sistema:
30
Mdulos de autenticacin (auth): comprobacin de contraseas (utilizado por el proceso de son correctas)
login
Mdulos de cuentas (account): controlan que la autenticacin sea permitida (que la cuenta no haya caducado, que el usuario tenga permiso de iniciar sesiones a esa hora del da, etc.)
Mdulos de contrasea (password): permiten cambiar contraseas Mdulos de sesin (session): conguran y administran sesiones de usuarios (tareas adicionales que son necesitadas para permitir acceso, como el montaje de directorios, actualizacin del chero
lastlog,
etc.)
/etc/pam.d/
/lib/security
y los cheros de
Existe un chero de conguracin para cada servicio que usa PAM Tambin existen cheros comunes que son incluidos por los cheros de conguracin: y
libpam-ldap
pam-auth-update
2. Si queremos crear directorios home al vuelo (el home del usuario se crea al entrar por primera vez en su cuenta), crear el chero con el siguiente contenido
/usr/share/pam-configs/my_mk
Name: activate mkhomedir Default: yes Priority: 900 Session-Type: Additional Session: required pam_mkhomedir.so umask=0022 skel=/etc/skel
31
y ejecutar
pam-auth-update
a) b)
Paquete nscd
Se trata del
Hace cach para los nombres leidos del servidor LDAP para aumentar la eciencia
5.6.
cada vez que se produce un cambio en el directorio del maestro, el servicio log el demonio
dicacin correspondientes en todos los esclavos Para congurarlo debemos hacer que el maestro y los esclavos partan de un estado de directorio comn copiar manualmente la base de datos LDAP del maestro a todos los esclavos En el maestro y en los esclavos debemos modicar el chero Maestro:
/etc/ldap/slapd.conf
32
replica
el nombre del esclavo y una cuenta con permiso de escrtitura en el LDAP del esclavo (bindn)
replogfile
Esclavo:
/var/lib/ldap/replog
slurpd
updatedn
esa cuenta debe tener permisos de escritura en la base de datos del esclavo, y debe coindidir con la indicada en el campo del maestro
binddn
updateref
cualquier peticin directa de modicacin que venga de un cliente debe ser redireccionada al servidor maestro
5.7.
33
4. gq - cliente LDAP basado en GTK+/GTK2 (bastante simple) 5. cpu - herramientas de gestin para consola: proporciona comandos tipo
useradd/userdel
6.
6.1.
Funcionamiento de Samba
Samba implementa los protocolos NetBIOS y SMB NetBIOS: protocolo de nivel de sesin que permite establecer sesiones entre dos ordenadores SMB (
Server Message Block ): permite a los sistemas Windows compartir cheros e impresoras (llamado Common Internet File System, CIFS
34
Servicios de acceso remoto a cheros e impresoras Autenticacin y autorizacin Servicio de resolucin de nombres
Demonios Samba
Samba utiliza dos demonios:
smbd
nmdb
smdb
SMB, y proporciona autenticacin y autorizacin de acceso para clientes SMB; ofrece los dos modos de comparticin de recursos existentes en Windows
modo basado en usuarios o modo Windows NT o 2000) modo basado en recursos o modo 3.11/95)
user
share
(propio de Windows
nmbd permite que el sistema Unix participe en los mecanismos de resolucin de nombres propios de Windows (WINS), lo que incluye
anuncio en el grupo de trabajo gestin de la lista de ordenadores del grupo de trabajo contestacin a peticiones de resolucin de nombres anuncio de los recursos compartidos
smbclient
35
6.2.
samba
smbpasswd
testparm
smbclient smbfs
smbfs
samba
samba-common
6.3.
Conguracin de Samba
La conguracin de Samba se realiza en el chero
/etc/samba/smb.conf
establece las caractersticas del servidor Samba, as como los recursos que sern compartidos en la red Ejemplo sencillo:
[global] workgroup = MIGRUPO [homes] comment = Home Directories [pub] path = /espacio/pub
36
/etc/samba/smb.conf
zados por una palabra entre corchetes En cada seccin guran opciones de conguracin, de la forma
= valor,
la seccin
etiqueta
Existen tres secciones predenidas: Otras secciones (como para compartir Secciones predenidas:
global, homes
printers
[global]
ejemplo, el programa utilizado para que un usuario pueda cambiar su clave (passwd
program)
[homes]
dene automticamente un recurso de red por cada usuario conodel usuario en el ordenador en el que Samba est instalado dene un recurso compartido por cada nombre de impresora
cido por Samba; este recurso, por defecto, est asociado al directorio
home
[printers]
Niveles de Seguridad
Samba ofrece dos modos de seguridad, correspondientes a los dos modos de comparticin de recursos ya vistos Modo
por Samba, debe suministrar una contrasea de acceso asociada a dicho recurso Modo
user :
diante usuario y contrasea); una vez Samba valida al usuario, el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba El nivel de seguridad se especica con la opcin a la seccin
[global]
37
user, server, domain y ADS corresponden todos ellos al modo de user user: el encargado de validar al usuario es el sistema Unix donde
Nivel
Samba se ejecuta; es necesario que existan los mismos usuarios y con idnticas contraseas en los sistemas Windows y en el servidor Samba Nivel
server: Samba delega la validacin del usuario en otro ordenador, domain: el ordenador en el que se delega la validacin debe ser un
Controlador de Dominio (DC), o una lista de DCs; el sistema Samba acta como miembro de un dominio Nivel
ADS:
user
6.4.
testparm net
smb.conf
net
de DOS
smbpasswd
si se ejecuta como root tambin permite aadir y borrar usuarios del chero de contraseas de Samba
smbstatus smbclient
muestra las conexiones Samba activas permite a un usuario de un sistema Unix conectarse a re-
38