Frankenheimer
╬Bruderschaft ALC╬
Mein Mit-Azubi (EGGMANN) und ich mussten uns in einem Projekt etwas mit Linux beschäftigen, unter anderem ging es um die Einbindung eines Linux Clients in ein existierendes Windows Netzwerk und bevor die Dokumentation in einem Ordner vergammelt können wir sie auch zur Verfügung stellen.
Dieses How-To richtet sich besonders an Linux Einsteiger oder jene die es werden wollen. Es gibt viele Wege dies anders zu machen, wir haben versucht es möglichst einfach zu halten. Desweiteren wären wir dankbar wenn uns einige Linux-Experten bei evtl. auftauchenden Fragen von Usern mithelfen würden, denn auch wir sind quasi Linux-Anfänger.
Installation eines Samba-Servers über YAST
Yast kann man entweder über die Konsole über den Befehl Yast starten oder über die KDE Oberfläche. In unserem Fall haben wir uns für die Variante über die KDE Oberfläche entschieden. In dem Unterpunkt Netzwerkdienste befindet sich der Punkt Samba-Server.
Benötigte, aber nicht installierte Pakte müssen nun nachinstalliert werden.
Nachdem die Pakete erfolgreich installiert wurden muss man den Arbeitsgruppennamen oder die Domäne angeben, in der sich der Samba-Server später befinden soll.
In dem folgenden Fenster kann man bestimmen ob der Samba-Server als Primary Domain Controller (PDC), Backup Domain Controller oder überhaupt nicht als Domain Controller laufen soll. Anschließend wird ausgewählt, ob die für Samba relevanten Dienste automatisch beim Systemstart mitgestartet werden sollen. Unter dem Reiter Start ist diese Funktion vorhanden, die anderen Reiter haben wir unangetastet gelassen.
Nach Betätigen der Schaltfläche Beenden wird Samba auf dem Rechner installiert. Während der Installation muss man das Root-Passwort für Samba eingeben.
Die Installation des Samba-Servers wäre damit abgeschlossen. Zusätzlich muss nun noch der Samba-Client installiert werden. Über das gleiche Menü wie auch schon zuvor installieren wir nun den besagten Client.
Man muss lediglich die Arbeitsgruppe oder die Domäne auswählen, in der der Client arbeiten soll.
Da SWAT aus Sicherheitsgründen nicht automatisch mitgestartet wird muss man dies manuell einrichten. Dafür muss der Netzwerkdienst „inetd“ angepasst werden. In der oberen Hälfte des Menüs muss man den Punkt „Aktivieren“ auswählen. Anschließend sucht man in dem Auswahlfeld den Eintrag SWAT heraus. Mittels der Schaltfläche „Status wechseln“ ändert man den Status auf „An“.
Das Fenster kann nun über „Beenden“ geschlossen werden. Nun ist ein Neustart des Rechners erforderlich.
Über die Adresse http://localhost:901 ist die Verwaltung (SWAT) des Samba-Servers erreichbar. Es muss das bei der Samba Installation eingegebene Passwort angegeben werden.
_______________________________________________
Grundlegende Parameter zur Einbindung ins LAN
Nachdem SWAT nun gestartet ist kann nun mit der grundlegenden Konfiguration des Samba-Servers begonnen werden. SWAT greift unmittelbar auf die Datei „SMB.conf“ zu. Alle über SWAT vorgenommen Änderungen können auch direkt über diese Datei manuell bearbeitet werden.
Über dieses Fenster wird festgelegt, wie der Linux PC im Netzwerk erscheinen soll. Hier kann der Name der Arbeitsgruppe, der Netbios Name und weitere Parameter mit übergeben werden. Die im Bild sichtbaren Einstellungen sind Standardeinstellungen die vorgegeben werden. Diese Einträge sind auch über das Fenster „VIEW“ Sichtbar. Diese Einträge sowie zusätzliche Parameter sind im Abschnitt „[global]“ aufgeführt.
Sofern die Dienste „SMBD“ und „NMBD“ gestartet sind und der SWAT Dienst ebenfalls gestartet ist, sollte der PC bereits im Netzwerk unter den vorgegebenen Einträgen sichtbar sein. Auch hier sind standardmäßig einige Pfade/Verzeichnisse mit freigegeben.
___________________________________________________
Einrichten von Freigaben über SWAT
Man legt im Dateisystem einen Ordner an, bspw. den Ordner „test“. In diesem Order befindet sich die Datei „testtext.txt“. Wie gibt man diese nun über SWAT für andere Rechner im Netzwerk frei?
Man startet über den Browser SWAT und geht auf den Menüpunkt „Shares“. Hier kann man zuallererst den Freigabenamen bestimmen und klickt anschließend auf „Create Share“. In dem Drop-Down Feld ist nun die Freigabe vorhanden und kann mit „Choose Share“ ausgewählt werden. In dem erscheinenden Fenster gibt es eine Vielzahl von Konfigurationsmöglichkeiten. Auf verschiedene Freigabearten werden wir später eingehen.
Einrichten eines Gruppenverzeichnisses
Für die Einrichtung eines Gruppenverzeichnisses unter Samba müssen zunächst auf dem lokalen System Benutzer und Gruppen vorhanden sein die anschließend dem Samba-Server mitgeteilt werden müssen. Sofern diese noch nicht vorhanden sind, können diese einfach über Yast eingerichtet werden. Diese kann man unter dem Menüpunkt „Sicherheit und Benutzer“ anlegen. Wir haben uns für eine Testgruppe mit dem Namen „boss1“ und 2 Testuser mit den Namen „joe“ und „boss“ entschieden.
Für die Gruppe „boss1“ legen wir das Verzeichnis „/export/smb/boss1“ an. Für dieses Verzeichnis müssen noch einige Berechtigungen für die Gruppeneigentümer angepasst werden. Dies geschieht über folgende Befehle:
Anschließend fügen die beiden User per Konsolenbefehl dem Samba-Server hinzu. Dies geschieht über 2 Commands:
Die gleichen Befehle verwenden wir auch beim User „boss“.
Nun haben wir die Datei „smb.conf“ über den Vi-Editor bearbeitet und eine neue Freigabe hinzugefügt.
Versucht der Windows-Client nun, auf den Linux PC zuzugreifen, wird der Ordnerinhalt des PCs angezeigt. In diesem Fall ist hier das Verzeichnis BOSS1 interessant, das wir soeben angelegt haben. Versucht man nun den Inhalt anzuzeigen wird man aufgefordert sich zu authentifizieren. Nun stehen uns 2 Möglichkeiten zur Verfügung. Entweder wir verbinden uns als User „joe“ oder als User „boss“ mit den entsprechend angelegten Passwörtern.
Aus Sicherheitsgründen haben wir beim Verzeichnis „user“, dass alle Profile der angelegten User enthält mit dem Wert „browseable = no“ versehen, damit dieses nicht direkt im Netzwerk sichtbar ist.
Einrichten eines gemeinsamen Verzeichnisses
Nun erstellen wir ein Verzeichnis unter Samba dass für jeden User im lokalen Netzwerk frei zugänglich ist und in welchem jeder Schreib und Leserechte besitzt. Hierzu sind zwei Schritte notwendig. Zum einen muss eine Neue Freigabe über SWAT eingerichtet werden bei der das Attribut „browseable“ auf „yes“ gesetzt ist und auf dem Gäste zugriff haben.
Zum Anderen muss der freizugebene Ordner, in diesem Fall „share“ im Verzeichnis „/export/smb/“ angelegt werden. Zusätzlich müssen noch die Verzeichnisberechtigungen gesetzt werden.
Einrichten eines geschützten Verzeichnisses
Um ein Verzeichnis vor unerwünschten Zugriffen zu schützen, ist es ratsam einige Benutzerrechte bei der Freigabe unter Samba festzulegen. Um hier speziellen Usern oder Gruppen besondere Rechte zu vergeben ist es hier notwendig, dass diese sowohl unter Linux als auch unter Samba bekannt sind.
Anschließend erzeugt man eine neue Freigabe. Dies kann auch unter SWAT durchgeführt werden. Nachdem der Pfad angegeben wurde, auf dem die Freigabe verweisen soll kann die Freigabe dann z.B. so aussehen.
Hier gibt es 2 wichtige Parameter. Die Angabe „invalid users“ ist im Grunde genommen überflüssig und schützt nur explizit vor spezielle Nutzer und Gruppen, auch wenn diese unter „valid users „ stehen. Hauptsächlich als zweiter Schutz vor versehentlichen Freigaben gedacht. Der User „joe“ bekommt in diesem Beispiel keinen Zugriff auf den Ordner, User „boss“ hingegen schon. Da dieser als „admin user“ eingetragen ist bekommt er auch automatisch Lese/Schreibrechte. Die voreingestellten Attribute im Dateisystem gelten in diesem Fall nicht. Anders sieht es aus, wenn user „boss“ nicht als „admin user“ sondern lediglich als „valid user“ eingetragen ist. Hier wird lediglich über Samba die gültige Authentifizierung erkannt, es gelten aber weiterhin die Unix/Linux Dateirechte. Ist hier beispielsweise der Schreibzugriff verweigert, bekommt user „boss“ zwar Lese aber keine Schreibrechte.
Dieses How-To richtet sich besonders an Linux Einsteiger oder jene die es werden wollen. Es gibt viele Wege dies anders zu machen, wir haben versucht es möglichst einfach zu halten. Desweiteren wären wir dankbar wenn uns einige Linux-Experten bei evtl. auftauchenden Fragen von Usern mithelfen würden, denn auch wir sind quasi Linux-Anfänger.
Installation eines Samba-Servers über YAST
Yast kann man entweder über die Konsole über den Befehl Yast starten oder über die KDE Oberfläche. In unserem Fall haben wir uns für die Variante über die KDE Oberfläche entschieden. In dem Unterpunkt Netzwerkdienste befindet sich der Punkt Samba-Server.
Benötigte, aber nicht installierte Pakte müssen nun nachinstalliert werden.
Nachdem die Pakete erfolgreich installiert wurden muss man den Arbeitsgruppennamen oder die Domäne angeben, in der sich der Samba-Server später befinden soll.
In dem folgenden Fenster kann man bestimmen ob der Samba-Server als Primary Domain Controller (PDC), Backup Domain Controller oder überhaupt nicht als Domain Controller laufen soll. Anschließend wird ausgewählt, ob die für Samba relevanten Dienste automatisch beim Systemstart mitgestartet werden sollen. Unter dem Reiter Start ist diese Funktion vorhanden, die anderen Reiter haben wir unangetastet gelassen.
Nach Betätigen der Schaltfläche Beenden wird Samba auf dem Rechner installiert. Während der Installation muss man das Root-Passwort für Samba eingeben.
Die Installation des Samba-Servers wäre damit abgeschlossen. Zusätzlich muss nun noch der Samba-Client installiert werden. Über das gleiche Menü wie auch schon zuvor installieren wir nun den besagten Client.
Man muss lediglich die Arbeitsgruppe oder die Domäne auswählen, in der der Client arbeiten soll.
Da SWAT aus Sicherheitsgründen nicht automatisch mitgestartet wird muss man dies manuell einrichten. Dafür muss der Netzwerkdienst „inetd“ angepasst werden. In der oberen Hälfte des Menüs muss man den Punkt „Aktivieren“ auswählen. Anschließend sucht man in dem Auswahlfeld den Eintrag SWAT heraus. Mittels der Schaltfläche „Status wechseln“ ändert man den Status auf „An“.
Das Fenster kann nun über „Beenden“ geschlossen werden. Nun ist ein Neustart des Rechners erforderlich.
Über die Adresse http://localhost:901 ist die Verwaltung (SWAT) des Samba-Servers erreichbar. Es muss das bei der Samba Installation eingegebene Passwort angegeben werden.
_______________________________________________
Grundlegende Parameter zur Einbindung ins LAN
Nachdem SWAT nun gestartet ist kann nun mit der grundlegenden Konfiguration des Samba-Servers begonnen werden. SWAT greift unmittelbar auf die Datei „SMB.conf“ zu. Alle über SWAT vorgenommen Änderungen können auch direkt über diese Datei manuell bearbeitet werden.
Über dieses Fenster wird festgelegt, wie der Linux PC im Netzwerk erscheinen soll. Hier kann der Name der Arbeitsgruppe, der Netbios Name und weitere Parameter mit übergeben werden. Die im Bild sichtbaren Einstellungen sind Standardeinstellungen die vorgegeben werden. Diese Einträge sind auch über das Fenster „VIEW“ Sichtbar. Diese Einträge sowie zusätzliche Parameter sind im Abschnitt „[global]“ aufgeführt.
Sofern die Dienste „SMBD“ und „NMBD“ gestartet sind und der SWAT Dienst ebenfalls gestartet ist, sollte der PC bereits im Netzwerk unter den vorgegebenen Einträgen sichtbar sein. Auch hier sind standardmäßig einige Pfade/Verzeichnisse mit freigegeben.
___________________________________________________
Einrichten von Freigaben über SWAT
Man legt im Dateisystem einen Ordner an, bspw. den Ordner „test“. In diesem Order befindet sich die Datei „testtext.txt“. Wie gibt man diese nun über SWAT für andere Rechner im Netzwerk frei?
Man startet über den Browser SWAT und geht auf den Menüpunkt „Shares“. Hier kann man zuallererst den Freigabenamen bestimmen und klickt anschließend auf „Create Share“. In dem Drop-Down Feld ist nun die Freigabe vorhanden und kann mit „Choose Share“ ausgewählt werden. In dem erscheinenden Fenster gibt es eine Vielzahl von Konfigurationsmöglichkeiten. Auf verschiedene Freigabearten werden wir später eingehen.
Einrichten eines Gruppenverzeichnisses
Für die Einrichtung eines Gruppenverzeichnisses unter Samba müssen zunächst auf dem lokalen System Benutzer und Gruppen vorhanden sein die anschließend dem Samba-Server mitgeteilt werden müssen. Sofern diese noch nicht vorhanden sind, können diese einfach über Yast eingerichtet werden. Diese kann man unter dem Menüpunkt „Sicherheit und Benutzer“ anlegen. Wir haben uns für eine Testgruppe mit dem Namen „boss1“ und 2 Testuser mit den Namen „joe“ und „boss“ entschieden.
Für die Gruppe „boss1“ legen wir das Verzeichnis „/export/smb/boss1“ an. Für dieses Verzeichnis müssen noch einige Berechtigungen für die Gruppeneigentümer angepasst werden. Dies geschieht über folgende Befehle:
Code:
# chgrp boss1 /export/smb/boss1
# chmod 770 /export/smb/boss1
# chmod g+s /export/smb/boss1Anschließend fügen die beiden User per Konsolenbefehl dem Samba-Server hinzu. Dies geschieht über 2 Commands:
Code:
# smbpasswd – a joe ; legt einen neuen Samba-User an
# smbpasswd – e joe ; aktiviert den neuen Samba-UserDie gleichen Befehle verwenden wir auch beim User „boss“.
Nun haben wir die Datei „smb.conf“ über den Vi-Editor bearbeitet und eine neue Freigabe hinzugefügt.
Versucht der Windows-Client nun, auf den Linux PC zuzugreifen, wird der Ordnerinhalt des PCs angezeigt. In diesem Fall ist hier das Verzeichnis BOSS1 interessant, das wir soeben angelegt haben. Versucht man nun den Inhalt anzuzeigen wird man aufgefordert sich zu authentifizieren. Nun stehen uns 2 Möglichkeiten zur Verfügung. Entweder wir verbinden uns als User „joe“ oder als User „boss“ mit den entsprechend angelegten Passwörtern.
Aus Sicherheitsgründen haben wir beim Verzeichnis „user“, dass alle Profile der angelegten User enthält mit dem Wert „browseable = no“ versehen, damit dieses nicht direkt im Netzwerk sichtbar ist.
Einrichten eines gemeinsamen Verzeichnisses
Nun erstellen wir ein Verzeichnis unter Samba dass für jeden User im lokalen Netzwerk frei zugänglich ist und in welchem jeder Schreib und Leserechte besitzt. Hierzu sind zwei Schritte notwendig. Zum einen muss eine Neue Freigabe über SWAT eingerichtet werden bei der das Attribut „browseable“ auf „yes“ gesetzt ist und auf dem Gäste zugriff haben.
Zum Anderen muss der freizugebene Ordner, in diesem Fall „share“ im Verzeichnis „/export/smb/“ angelegt werden. Zusätzlich müssen noch die Verzeichnisberechtigungen gesetzt werden.
Einrichten eines geschützten Verzeichnisses
Um ein Verzeichnis vor unerwünschten Zugriffen zu schützen, ist es ratsam einige Benutzerrechte bei der Freigabe unter Samba festzulegen. Um hier speziellen Usern oder Gruppen besondere Rechte zu vergeben ist es hier notwendig, dass diese sowohl unter Linux als auch unter Samba bekannt sind.
Anschließend erzeugt man eine neue Freigabe. Dies kann auch unter SWAT durchgeführt werden. Nachdem der Pfad angegeben wurde, auf dem die Freigabe verweisen soll kann die Freigabe dann z.B. so aussehen.
Code:
[Geschuetzt]
comment = besonderer Zugriff
path = /etc
invalid users = joe
admin users = boss
read only = NoHier gibt es 2 wichtige Parameter. Die Angabe „invalid users“ ist im Grunde genommen überflüssig und schützt nur explizit vor spezielle Nutzer und Gruppen, auch wenn diese unter „valid users „ stehen. Hauptsächlich als zweiter Schutz vor versehentlichen Freigaben gedacht. Der User „joe“ bekommt in diesem Beispiel keinen Zugriff auf den Ordner, User „boss“ hingegen schon. Da dieser als „admin user“ eingetragen ist bekommt er auch automatisch Lese/Schreibrechte. Die voreingestellten Attribute im Dateisystem gelten in diesem Fall nicht. Anders sieht es aus, wenn user „boss“ nicht als „admin user“ sondern lediglich als „valid user“ eingetragen ist. Hier wird lediglich über Samba die gültige Authentifizierung erkannt, es gelten aber weiterhin die Unix/Linux Dateirechte. Ist hier beispielsweise der Schreibzugriff verweigert, bekommt user „boss“ zwar Lese aber keine Schreibrechte.
