Развертывание различных типов серверов#

Настройка веб-сервера Apache HTTP#

Введение в веб-сервер Apache HTTP#

Веб-сервер - это сетевая служба, которая предоставляет контент клиенту через Интернет. Обычно это означает веб-страницы, но могут быть представлены и любые другие документы. Веб-серверы также известны как HTTP-серверы, поскольку они используют транспортный протокол гипертекста (HTTP).

Apache HTTP Server httpd - это веб-сервер с открытым исходным кодом, разработанный Apache Software Foundation. В этом разделе рассматриваются некоторые из недавно добавленных функций и приводятся инструкции по обновлению предыдущих файлов конфигурации.

Заметные изменения в HTTP-сервере Apache#

Функции включают в себя:

• Поддержка HTTP/2 обеспечивается пакетом mod_http2, который является частью модуля httpd.

• Поддержка активации сокета systemd.

• Поддержка модулей:

  • mod_proxy_hcheck - модуль проверки работоспособности прокси;

  • mod_proxy_uwsgi - прокси-интерфейс шлюза веб-сервера (WSGI);

  • mod_proxy_fdpass - обеспечивает поддержку передачи сокета клиента другому процессу;

  • mod_cache_socache - HTTP-кеш, использующий, например, серверную часть memcache;

  • mod_md - службу сертификатов протокола ACME SSL/TLS;

• Следующие модули загружаются по умолчанию:

  • mod_request;

  • mod_macro;

  • mod_watchdog.

• Добавлен новый подпакет httpd-filesystem, который содержит базовую структуру каталогов для HTTP-сервера Apache, включая правильные разрешения для каталогов.

• Новый httpd-init.service заменяет скрипт %post для создания пары ключей mod_ssl с самоподписью.

• Автоматическая подготовка и обновление сертификатов TLS с использованием протокола Automatic Certificate Management Environment (ACME) поддерживается пакетом mod_md.

• HTTP-сервер Apache поддерживает загрузку сертификатов TLS и закрытых ключей из аппаратных токенов безопасности непосредственно из модулей PKCS#11. В результате конфигурация mod_ssl может использовать URL-адреса PKCS#11 для идентификации закрытого ключа TLS и, необязательно, сертификата TLS в директивах SSLCertificateKeyFile и SSLCertificateFile.

• Поддерживается директива ListenFree в файле /etc/httpd/conf/httpd.conf.

Аналогично директиве Listen, ListenFree предоставляет информацию об IP-адресах, портах или комбинациях IP-адресов и портов, которые прослушивает сервер. Однако в ListenFree опция сокета IP_FREEBIND включена по умолчанию. Следовательно, httpd разрешено привязываться к нелокальному IP-адресу или к IP-адресу, который еще не существует. Это позволяет httpd прослушивать сокет, не требуя, чтобы базовый сетевой интерфейс или указанный динамический IP-адрес были активны в то время, когда httpd пытается привязаться к нему.

Для получения более подробной информации о ListenFree смотрите следующую таблицу:

Таблица. Синтаксис, статус и модули директивы ListenFree

Используйте mod_ssl вместо mod_perl

• Тип базы данных аутентификации DBM по умолчанию, используемый HTTP-сервером Apache в SberLinux, был изменен с SDBM на db5.

• Модуль mod_wsgi для HTTP-сервера Apache обновлен до версии Python 3. Приложения WSGI поддерживаются только с Python 3 и должны быть перенесены с Python 2.

• Модуль многопроцессорной обработки (MPM), настроенный по умолчанию с HTTP-сервером Apache, изменился с многопроцессорной разветвленной модели (известной как prefork) на высокопроизводительную многопоточную модель event.

Любые сторонние модули, которые не являются потокобезопасными, должны быть заменены или удалены. Чтобы изменить настроенный MPM, отредактируйте /etc/httpd/conf.modules.d/00-mpm.conf файл. Смотрите справочную страницу httpd.service(8) для получения дополнительной информации.

• Минимальные UID и GID, разрешенные для пользователей suEXEC, равны 1000 и 500 соответственно (ранее 100 и 100%).

• Файл /etc/sysconfig/httpd больше не является поддерживаемым интерфейсом для настройки переменных среды для службы httpd. Справочная страница httpd.service(8) была добавлена для systemd службы.

• При остановке службы httpd по умолчанию используется «изящная остановка».

• Модуль mod_auth_kerb был заменен модулем mod_auth_gssapi.

Обновление конфигурации#

Чтобы обновить файлы конфигурации с версии HTTP-сервера Apache выберите один из следующих вариантов:

Если для установки переменных окружения используется файл /etc/sysconfig/httpd, создайте вместо него раскрывающийся файл systemd. Если используются какие-либо сторонние модули, убедитесь, что они совместимы с многопоточным MPM. Если используется suexec, убедитесь, что идентификаторы пользователя и группы соответствуют новому минимуму. Можно проверить конфигурацию на наличие возможных ошибок, используя следующую команду:

# apachectl configtest

Syntax OK

Файлы конфигурации Apache#

Когда httpd служба запущена, по умолчанию она считывает конфигурацию из местоположений, перечисленных в таблице ниже.

Таблица. Файлы конфигурации службы httpd

Хотя конфигурация по умолчанию подходит для большинства ситуаций, можно использовать и другие параметры конфигурации. Чтобы любые изменения конфигурации вступили в силу, перезапустите веб-сервер.

1. Чтобы проверить конфигурацию на наличие возможных ошибок, введите следующее в командной строке:

# apachectl configtest

Syntax OK

2. Чтобы упростить восстановление после ошибок, сделайте копию исходного файла перед его редактированием.

Управление службой httpd#

В этом разделе описано, как запустить, остановить и перезапустить httpd службу.

Предварительные условия:

• Установлен HTTP-сервер Apache.

Процедура:

• Чтобы запустить httpd службу, введите:

 systemctl start httpd

• Чтобы остановить httpd службу, введите:

# systemctl stop httpd

• Чтобы перезапустить httpd службу, введите:

# systemctl restart httpd

Настройка HTTP-сервера Apache с одним экземпляром#

В этом разделе описывается, как настроить HTTP-сервер Apache с одним экземпляром для обслуживания статического HTML-контента.

Следуйте процедуре, описанной в этом разделе, если веб-сервер должен предоставлять одинаковый контент для всех доменов, связанных с сервером. Если можно предоставлять разный контент для разных доменов, настройте виртуальные хосты на основе имен. Дополнительные сведения см. в разделе «Настройка виртуальных хостов Apache на основе имен».

Процедура:

1. Установите httpd пакет:

# yum install httpd

2. Откройте TCP-порт 80 в локальном межсетевом экране:

# firewall-cmd --permanent --add-port=80/tcp

# firewall-cmd --reload

3. Включите и запустите Обслуживание httpd:

# systemctl enable --now httpd

4. При необходимости добавьте HTML-файлы в каталог /var/www/html/.

Примечание: При добавлении содержимого в /var/www/html/ файлы и каталоги должны быть доступны для чтения пользователю, под которым httpd запускается по умолчанию. Владельцем контента может быть либо пользователь root и группа пользователей root, либо другой пользователь или группа по выбору администратора. Если владельцем содержимого является пользователь root и группа пользователей root, файлы должны быть доступны для чтения другими пользователями. Контекст SELinux для всех файлов и каталогов должен быть httpd_sys_content_t, который применяется по умолчанию ко всему содержимому в каталоге /var/www.

Этапы проверки:

Подключитесь с помощью веб-браузера к http://server_IP_or_host_name/.

Если каталог /var/www/html/ пуст или не содержит index.html или файл index.htm, Apache отображает тестовую страницу SberLinux. Если /var/www/html/ содержит HTML-файлы с другим именем, Можно загрузить их, введя URL-адрес этого файла, например http://server_IP_or_host_name/example.html.

Настройка виртуальных хостов Apache на основе имен#

Виртуальные хосты на основе имен позволяют Apache обслуживать различный контент для разных доменов, которые разрешаются по IP-адресу сервера.

Процедура в этом разделе описывает настройку виртуального хоста как для example.ru и example.net домен с отдельными корневыми каталогами документов. Оба виртуальных хоста обслуживают статический HTML-контент.

Предварительные условия:

• Клиенты и веб-сервер разрешают example.ru и example.net домен к IP-адресу веб-сервера.

• Обратите внимание, что необходимо вручную добавить эти записи на свой DNS-сервер.

Процедура:

1. Установите httpd пакет:

# yum install httpd

2. Отредактируйте файл /etc/httpd/conf/httpd.conf:

• Добавьте следующую конфигурацию виртуального хоста для example.ru домен:

 <VirtualHost *:80
   DocumentRoot "/var/www/example.ru/"
     ServerName example.ru
     CustomLog /var/log/httpd/example.ru_access.log combined
     ErrorLog /var/log/httpd/example.ru_error.log
 </VirtualHost

Эти параметры настраивают следующее:

• Все настройки в директиве <VirtualHost *:80 специфичны для этого виртуального хоста.

• DocumentRoot задает путь к веб-контенту виртуального хоста.

• ServerName задает домены, для которых этот виртуальный хост обслуживает контент.

Чтобы задать несколько доменов, добавьте параметр ServerAlias в конфигурацию и укажите дополнительные домены, разделенные пробелом в этом параметре.

• Пользовательский журнал задает путь к журналу доступа виртуального хоста.

• Журнал ошибок задает путь к журналу ошибок виртуального хоста.

Примечание: Apache использует первый виртуальный хост, найденный в конфигурации, также для запросов, которые не соответствуют ни одному домену, установленному в параметрах ServerName и ServerAlias. Это также включает запросы, отправленные на IP-адрес сервера.

3. Добавьте аналогичную конфигурацию виртуального хоста для example.net домена:

 <VirtualHost *:80
   DocumentRoot "/var/www/example.net/"
     ServerName example.net
     CustomLog /var/log/httpd/example.net_access.log combined
     ErrorLog /var/log/httpd/example.net_error.log
 </VirtualHost

4. Создайте корни документа для обоих виртуальных хостов:

# mkdir /var/www/example.ru/
# mkdir /var/www/example.net/

5. Если задаете пути в DocumentRoot параметры, которые не входят в /var/www/, установите httpd_sys_content_t контекст в обоих корнях документа:

# semanage fcontext -a -t httpd_sys_content_t "/srv/example.ru(/.*)?"
# restorecon -Rv /srv/example.ru/
# semanage fcontext -a -t httpd_sys_content_t "/srv/example.net(/.\*)?"
# restorecon -Rv /srv/example.net/

Эти команды устанавливают httpd_sys_content_t контекст на /srv/example.ru//srv/example.net/ каталог.

Обратите внимание, что необходимо установить policycoreutils-python-utils пакет для запуска restorecon команды.

6. Откройте порт 80 в локальном межсетевом экране:

# firewall-cmd --permanent --add-port=80/tcp
# firewall-cmd --reload

7. Включите и запустите обслуживание httpd:

# systemctl enable --now httpd

Этапы проверки:

1. Создайте отдельный файл примера в корне документа каждого виртуального хоста:

# echo "vHost example.ru" /var/www/example.ru/index.html# echo "vHost example.net" /var/www/example.net/index.html

2. Используйте браузер и подключитесь к http://example.ru. Веб-сервер показывает пример файла с example.ru виртуального хоста.

3. Используйте браузер и подключитесь к http://example.net. Веб-сервер показывает пример файла с example.net виртуального хоста.

Настройка проверки подлинности Kerberos для веб-сервера Apache HTTP#

Для выполнения аутентификации Kerberos на веб-сервере Apache HTTP SberLinux использует модуль Apache mod_auth_gssapi. Общий API служб безопасности (GSSAPI) - это интерфейс для приложений, которые делают запросы на использование библиотек безопасности, таких как Kerberos. Сервис gssproxy позволяет реализовать разделение привилегий для httpd сервера, что оптимизирует этот процесс с точки зрения безопасности.

Примечание: Модуль mod_auth_gssapi заменяет удаленный модуль mod_auth_kerb.

Предварительные условия:

• Пакеты httpd и gssproxy установлены.

• Веб-сервер Apache настроен и httpd служба запущена.

Настройка GSS-Proxy в среде IdM

Эта процедура описывает, как настроить GSS-прокси для выполнения аутентификации Kerberos на веб-сервере Apache HTTP.

Процедура:

1. Включите доступ к keytab HTTP/<ИМЯ_СЕРВЕРА @realm principal файлу, создав участника службы:

# ipa service-add HTTP/<SERVER_NAME

2. Извлеките таблицу ключей для участника, хранящуюся в /etc/gssproxy/http.keytab файле:

# ipa-getkeytab -s $(awk '/^server =/ {print $3}' /etc/ipa/default.conf) -k /etc/gssproxy/http.keytab -p HTTP/$(hostname -f)

Этот шаг устанавливает разрешения на 400, таким образом, только пользователь root имеет доступ к файлу keytab. Пользователь apache этого не делает.

3. Создайте файл /etc/gssproxy/80-httpd.conf со следующим содержимым:

[service/HTTP]

mechs = krb5

cred_store = keytab:/etc/gssproxy/http.keytab

cred_store = keytab:/etc/gssproxy/http.keytab

euid = apache

4. Перезапустите и включите службу gssproxy:

# systemctl restart gssproxy.service
# systemctl enable gssproxy.service

Настройка проверки подлинности Kerberos для каталога, совместно используемого веб-сервером Apache HTTP

Эта процедура описывает, как настроить проверку подлинности Kerberos для каталога /var/www/html/private/.

Предварительные условия:

Служба gssproxy настроена и запущена.

Процедура:

1. Настройте модуль mod_auth_gssapi для защиты каталога /var/www/html/private/:

<Location /var/www/html/private
AuthType GSSAPI
AuthName "GSSAPI Login"
Require valid-user
</Location

2. Создайте файл /etc/systemd/system/httpd.service со следующим содержимым:

.include /lib/systemd/system/httpd.service
[Service]
Environment=GSS_USE_PROXY=11

3. Перезагрузите конфигурацию системы:

# systemctl daemon-reload

4. Перезапустите httpd службу:

# systemctl restart httpd.service

Этапы проверки:

1. Получите Kerberos ticket:

# kinit

2. Откройте URL-адрес защищенного каталога в браузере.

Настройка шифрования TLS на HTTP-сервере Apache#

По умолчанию Apache предоставляет контент клиентам, используя незашифрованное HTTP-соединение. В этом разделе описывается, как включить шифрование TLS и настроить часто используемые параметры, связанные с шифрованием, на HTTP-сервере Apache.

Предварительные условия:

HTTP-сервер Apache установлен и запущен.

Добавление шифрования TLS на HTTP-сервер Apache

В этом разделе описывается, как включить шифрование TLS на HTTP-сервере Apache для example.ru домен.

Предварительные условия:

• HTTP-сервер Apache установлен и запущен.

• Закрытый ключ хранится в /etc/pki/tls/private/example.ru.key файле.

Для получения подробной информации о создании закрытого ключа и запроса на подписание сертификата (CSR), а также о том, как запросить сертификат у центра сертификации (CA), см. документацию CA. В качестве альтернативы, если центр сертификации поддерживает протокол ACME, Можно использовать модуль mod_md для автоматизации получения и предоставления сертификатов TLS.

• Сертификат TLS хранится в /etc/pki/tls/certs/example.ru.crt файле. Если используете другой путь, адаптируйте соответствующие шаги процедуры.

• Сертификат CA хранится в /etc/pki/tls/certs/ca.crt файле. Если используете другой путь, адаптируйте соответствующие шаги процедуры.

• Клиенты и веб-сервер преобразуют имя хоста сервера в IP-адрес веб-сервера.

Процедура:

1. Установите пакет mod_ssl:

# yum install mod_ssl

2. Отредактируйте файл / etc/httpd/conf.d/ssl.conf и добавьте следующие настройки в директиву <VirtualHost default:443:

• Установите имя сервера:

ServerName example.ru

Примечание: Имя сервера должно соответствовать записи, заданной в поле Common Name сертификата.

• При необходимости: если сертификат содержит дополнительные имена хостов в поле Subject Alt Names (SAN), можно настроить mod_ssl для обеспечения шифрования TLS также для этих имен хостов. Чтобы настроить это, добавьте параметр ServerAliases с соответствующими именами:

ServerAlias www.example.ru server.example.ru

• Задайте пути к закрытому ключу, сертификату сервера и сертификату CA:

SSLCertificateKeyFile "/etc/pki/tls/private/example.ru.key"
SSLCertificateFile "/etc/pki/tls/certs/example.ru.crt"
SSLCACertificateFile "/etc/pki/tls/certs/ca.crt"

3. По соображениям безопасности настройте, чтобы только пользователь root мог получить доступ к файлу закрытого ключа:

# chown root:root /etc/pki/tls/private/example.ru.key

# chmod 600 /etc/pki/tls/private/example.ru.key

Предупреждение: Если к закрытому ключу получили доступ неавторизованные пользователи, отмените сертификат, создайте новый закрытый ключ и запросите новый сертификат. В противном случае соединение TLS больше не является безопасным.

4. Откройте порт 443 в локальном межсетевом экране:

# firewall-cmd --permanent --add-port=443/tcp

# firewall-cmd --reload

5. Перезапустите httpd службу:

# systemctl restart httpd

Примечание: Если файл закрытого ключа защищен паролем, необходимо вводить этот пароль каждый раз при запуске службы httpd.

Этапы проверки:

Используйте браузер и подключайтесь к https://example.ru.

Настройка поддерживаемых версий протокола TLS на HTTP-сервере Apache

По умолчанию HTTP-сервер Apache на SberLinux использует общесистемную политику шифрования, которая определяет безопасные значения по умолчанию, и они также совместимы с последними браузерами. Например, политика по умолчанию определяет, что в apache включены только версии протоколов TLSv1.2 и TLSv1.3.

В этом разделе описывается, какие версии протокола TLS поддерживает HTTP-сервер Apache. Следуйте процедуре, если в среде требуется включить только определенные версии протокола TLS, например:

• Если среда требует, чтобы клиенты также могли использовать слабый протокол TLS1 (TLSv1.0) или TLS1.1.

• Если настроить, что Apache поддерживает только протокол TLSv1.2 или TLSv1.3.

Предварительные условия:

Шифрование TLS включено на сервере, как описано в разделе «Добавление шифрования TLS на HTTP-сервер Apache».

Процедура:

1. Отредактируйте файл /etc/httpd/conf/httpd.conf и добавьте следующий параметр в директиву <VirtualHost, для которой можно установить версию протокола TLS. Например, чтобы включить только протокол TLSv1.3:

SSLProtocol -All TLSv1.3

2. Перезапустите службу httpd:

# systemctl restart httpd

Этапы проверки:

1. Используйте следующую команду, чтобы убедиться, что сервер поддерживает TLSv1.3:

# openssl s_client -connect example.ru:443 -tls1_3

2. Используйте следующую команду, чтобы убедиться, что сервер не поддерживает TLSv1.2:

# openssl s_client -пример подключения.com:443 -tls1_2

Если сервер не поддерживает протокол, команда возвращает сообщение об ошибке:

140111600609088:error:1409442E:SSL routines:ssl3_read_bytes:tlsv1 alert protocol version:ssl/record/rec_layer_s3.c:1543:SSL alert number 70

3. При необходимости повторите команду для других версий протокола TLS.

Настройка поддерживаемых шифров на HTTP-сервере Apache

По умолчанию HTTP-сервер Apache использует общесистемную политику шифрования, которая определяет безопасные значения по умолчанию, и они также совместимы с последними браузерами. Список шифров, разрешенных общесистемной криптографией, см. в файле /etc/crypto-policies/back-ends/openssl.config.

В этом разделе описывается, как вручную настроить, какие шифры поддерживает HTTP-сервер Apache. Следуйте процедуре, если в среде требуются определенные шифры.

Предварительные условия:

Шифрование TLS включено на сервере, как описано в разделе «Добавление шифрования TLS на HTTP-сервер Apache».

Процедура:

1. Отредактируйте файл /etc/httpd/conf/httpd.conf и добавьте параметр SSLCipherSuite в директиву <VirtualHost, для которой необходимо установить шифры TLS:

SSLCipherSuite "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:!SHA1:!SHA256"

Этот пример включает только шифры EECDH +AESGCM, EDH+AESGCM, AES256+EECDH и AES256+EDH и отключает все шифры, которые используют код аутентификации сообщений SHA1 и SHA256 (MAC).

2. Перезапустите службу httpd:

# systemctl restart httpd

Этапы проверки:

Для отображения списка шифров, поддерживаемых HTTP-сервером Apache:

• Установите пакет nmap:

# yum install nmap

• Используйте утилиту nmap для отображения поддерживаемых шифров:

# nmap --script ssl-enum-ciphers -p 443 example.ru
  ...
  PORT    STATE SERVICE
  443/tcp open  https
  | ssl-enum-ciphers:
  |   TLSv1.2:
  |     ciphers:
  |       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
  |       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
  |       TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
  ...

Настройка аутентификации сертификата клиента TLS#

Проверка подлинности по сертификату клиента позволяет администраторам разрешать доступ к ресурсам на веб-сервере только тем пользователям, которые проходят проверку подлинности с использованием сертификата. В этом разделе описывается, как настроить проверку подлинности клиентского сертификата для каталога /var/www/html/Example/.

Если HTTP-сервер Apache использует протокол TLS 1.3, некоторым клиентам требуется дополнительная настройка. Например, в Firefox установите для параметра security.tls.enable_post_handshake_authв меню about:configзначение true.

Предварительные условия:

Шифрование TLS включено на сервере, как описано в разделе Добавление шифрования TLS на HTTP-сервер Apache.

Процедура:

1. Отредактируйте файл /etc/httpd/conf/httpd.conf и добавьте следующие параметры в директиву <VirtualHost, для которой можно настроить аутентификацию клиента:

<Directory "/var/www/html/Example/"
SSLVerifyClient require
</Directory

Параметр SSLVerifyClient require определяет, что сервер должен успешно проверить сертификат клиента, прежде чем клиент сможет получить доступ к содержимому в каталоге /var/www/html/Example/.

2. Перезапустите службу httpd:

# systemctl restart httpd

Этапы проверки:

1. Используйте утилиту curl для доступа к https://example.ru/Example/ URL без аутентификации клиента:

 $ curl https://example.ru/Example/
 curl: (56) OpenSSL SSL_read: error:1409445C:SSL routines:ssl3_read_bytes:tlsv13 **alert certificate required**, errno 0

Ошибка указывает на то, что веб-серверу требуется проверка подлинности по сертификату клиента.

2. Передайте закрытый ключ и сертификат клиента, а также сертификат CA в curl, чтобы получить доступ к тому же URL-адресу с проверкой подлинности клиента:

$ curl --cacert ca.crt --key client.key --cert client.crt https://example.ru/Example/

Если запрос выполнен успешно, curl отображает index.html файл, хранящийся в каталоге /var/www/html/Example/.

Установка HTTP-сервера Apache#

Чтобы снизить риски, связанные с запуском веб-приложений на веб-сервере, путем развертывания ModSecurity, установите пакеты mod_security и mod_security_crs для HTTP-сервера Apache. Пакет mod_security_crs предоставляет базовый набор правил (CRS) для модуля межсетевого экрана веб-приложений ModSecurity (WAF).

Процедура:

1. Установите пакеты mod_security, mod_security_crs и httpd:

# yum install -y mod_security мод_security_crs httpd

Запустите сервер httpd:

# systemctl restart httpd

Проверка:

2. Убедитесь, что межсетевой экран веб-приложений ModSecurity включен на HTTP-сервере Apache:

# httpd -M | grep security

Убедитесь, что каталог /etc/httpd/modsecurity.d/activated_rules/ содержит правила, предоставляемые mod_security_crs.

Работа с модулями#

Будучи модульным приложением, служба httpd распространяется вместе с рядом динамических общих объектов (DSO), которые могут быть динамически загружены или выгружены во время выполнения по мере необходимости. Эти модули расположены в /usr/lib64/httpd/modules/ каталоге.

Загрузка модуля

Чтобы загрузить определенный модуль DSO, используйте директиву LoadModule. Обратите внимание, что модули, предоставляемые отдельным пакетом, часто имеют свой собственный конфигурационный файл в /etc/httpd/conf.modules.d/ каталоге.

Загрузите DSO mod_ssl

LoadModule ssl_module модули/mod_ssl.so

После загрузки модуля перезапустите веб-сервер, чтобы перезагрузить конфигурацию.

Написание модуля

Чтобы создать новый модуль DSO, убедитесь, что установлен пакет httpd-devel. Для этого введите следующую команду от имени root:

# yum install httpd-devel

Этот пакет содержит включаемые файлы, файлы заголовков и утилиту APache eXtenSion (apxs), необходимую для компиляции модуля.

После написания можно создать модуль с помощью следующей команды:

# apxs -i -a -c module_name.c

Если сборка прошла успешно, можно загрузить модуль таким же образом, как и любой другой модуль, распространяемый с HTTP-сервером Apache.

Экспорт закрытого ключа и сертификатов из базы данных NSS для их использования в конфигурации веб-сервера Apache.

Эта процедура предполагает, что база данных NSS хранится в /etc/httpd/alias/, а экспортированный закрытый ключ и сертификаты хранятся в каталоге /etc/pki/tls/.

Предварительные условия:

Закрытый ключ, сертификат и сертификат центра сертификации (CA) хранятся в базе данных NSS.

Процедура:

1. Перечислите сертификаты в базе данных NSS:

  # certutil -d /etc/httpd/alias/ -L
  Certificate Nickname           Trust Attributes
                                 SSL,S/MIME,JAR/XPI

  Example CA                     C,,
  Example Server Certificate     u,u,u

На следующих шагах понадобятся псевдонимы сертификатов.

2. Чтобы извлечь закрытый ключ, необходимо временно экспортировать ключ в файл PKCS #12:

• Используйте псевдоним сертификата, связанного с закрытым ключом, чтобы экспортировать ключ в файл PKCS #12:

# pk12util -o /etc/pki/tls/private/export.p12 -d /etc/httpd/alias/ -n "Example Server Certificate"
Enter password for PKCS12 file: password
Re-enter password: password
pk12util: PKCS12 EXPORT SUCCESSFUL

Обратите внимание, что необходимо установить пароль для файла PKCS #12. Этот пароль понадобится на следующем шаге.

• Экспортируйте закрытый ключ из файла PKCS #12:

# openssl pkcs12 -in /etc/pki/tls/private/export.p12 -out /etc/pki/tls/private/server.key -nocerts -nodes
Enter Import Password: password
MAC verified OK

• Удалите временный файл PKCS #12:

# rm /etc/pki/tls/private/export.p12

3. Установите разрешения для /etc/pki/tls/private/server.key файла, чтобы гарантировать, что только пользователь root может получить доступ к этому файлу:

# chown root:root /etc/pki/tls/private/server.key
# chmod 0600 /etc/pki/tls/private/server.key

4. Используйте псевдоним сертификата сервера в базе данных NSS для экспорта сертификата CA:

# certutil -d /etc/httpd/alias/ -L -n "Example Server Certificate" -a -o /etc/pki/tls/certs/server.crt

Установите разрешения для /etc/pki/tls/certs/server.crt файла, чтобы гарантировать, что только пользователь root может получить доступ к этому файлу:

# chown root:root /etc/pki/tls/certs/server.crt
# chmod 0600 /etc/pki/tls/certs/server.crt

5. Используйте псевдоним сертификата CA в базе данных NSS для экспорта сертификата CA:

# certutil -d /etc/httpd/alias/ -L -n "Example CA" -a -o /etc/pki/tls/certs/ca.crt

6. Следуйте разделу «Настройка шифрования TLS на HTTP-сервере Apache», чтобы настроить веб-сервер Apache, и:

• Установите для параметра SSLCertificateKeyFile значение /etc/pki/tls/private / server.key

• Установите для параметра SSLCertificateFile значение /etc/pki/tls/certs / server.crt

• Установите для параметра SSLCACertificateFile значение /etc/pki/tls/certs / ca.crt

Дополнительные ресурсы

man httpd(8) — страница руководства для службы httpd, содержащая полный список ее параметров командной строки. man httpd.service(8) — страница руководства для файла модуля httpd.service, описывающая, как настроить и улучшить сервис. man httpd.conf(5) — страница руководства по настройке httpd, описывающая структуру и расположение файлов конфигурации httpd. man apachectl(8) — страница руководства для интерфейса управления HTTP-сервером Apache. Сведения о том, как настроить проверку подлинности Kerberos на HTTP-сервере Apache, см. в разделе «Использование GSS-прокси для работы Apache httpd». Использование Kerberos - это альтернативный способ принудительной авторизации клиента на HTTP-сервере Apache.

Установка и настройка NGINX#

NGINX - это высокопроизводительный и модульный сервер, который можно использовать, например, в качестве:

• веб-сервера;

• обратного прокси-сервера;

• балансировщика нагрузки.

В этом разделе описывается, как использовать NGINX в этих сценариях.

Установка и подготовка NGINX#

SberLinux использует потоки приложений для предоставления различных версий NGINX. В этом разделе описывается, как:

• выбрать поток и установить NGINX;

• открыть необходимые порты в межсетевом экране;

• включить и запустите nginx службу.

Используя конфигурацию по умолчанию, NGINX запускается как веб-сервер на порту 80 и предоставляет содержимое из каталога /usr/share/nginx/html/.

Веб-сервер и прокси-сервер nginx 1.22 доступны в виде потока модулей.

nginx поддерживает:

• SSL_sendfile() функцию при использовании OpenSSL 3.0.

• Библиотеку PCRE2.

• Конвейерную обработку POP3 и IMAP в mail прокси-модуле.

• Строки заголовка Auth-SSL-Protocol и Auth-SSL-Cipher, которые передаются почтовому прокси-серверу аутентификации.

• Дерективы ssl_conf_command и ssl_reject_handshake.

• Директиву proxy_cookie_flags с поддержкой переменных в следующих директивах: proxy_ssl_certificate, proxy_ssl_certificate_key, grpc_ssl_certificate, grpc_ssl_certificate_key uwsgi_ssl_certificate, uwsgi_ssl_certificate_key.

• Директиву listen в модуле stream с поддержкой параметра fastopen, который включает режим прослушивания сокетов TCP Fast Open.

• Mail директиву в max_errors прокси-модуле.

nginx всегда возвращает ошибку, если:

• Используется CONNECT метод.

• В запросе указываются оба заголовка, Content-Length и Transfer-Encoding.

• Имя заголовка запроса содержит пробелы или управляющие символы.

• Host Строка заголовка запроса содержит пробелы или управляющие символы.

nginx блокирует все запросы HTTP/1.0, содержащие Transfer-Encoding заголовок. А также устанавливает соединения HTTP/2 с использованием согласования протокола прикладного уровня (ALPN) и больше не поддерживает протокол Next Protocol Negotiation (NPN).

Чтобы установить nginx:1.22 stream, используйте следующую команду:

# yum module install nginx:1.22

Предварительные условия:

• Установлен SberLinux.

• Служба межсетевого экрана включена и запущена.

Процедура:

1. Отобразите доступные потоки модуля NGINX:

 # yum module list nginx
 Sberlinux for x86_64 - AppStream (RPMs)
 Name        Stream        Profiles        Summary
 nginx       1.14 [d]      common [d]      nginx webserver
 nginx       1.16          common [d]      nginx webserver
 ...

 Hint: [d]efault, [e]nabled, [x]disabled, [i]nstalle

2. Если необходимо установить поток, отличный от используемого по умолчанию, выберите поток:

# yum module enable nginx:stream_version

3. Установите nginx пакет:

# yum install nginx

4. Откройте порты, на которых NGINX должен предоставлять свои услуги в межсетевом экране. Например, чтобы открыть порты по умолчанию для HTTP (порт 80) и HTTPS (порт 443) firewalld, введите:

# firewall-cmd --permanent --add-port={80/tcp,443/tcp}
# firewall-cmd --reload

5. Включите nginx автоматический запуск службы при загрузке системы:

# systemctl enable nginx

6. При необходимости запустите nginx службу:

# systemctl start nginx

Если не нужно использовать конфигурацию по умолчанию, пропустите этот шаг и соответствующим образом настройте NGINX перед запуском службы.

Этапы проверки:

1. Используйте yum утилиту, чтобы убедиться, что nginx пакет установлен:

# yum list installed nginx
Installed Packages
nginx.x86_64 1:1.14.1-9.module+el8.0.0+4108+af250afe @sberlinux-for-x86_64-appstream-rpms

2. Убедитесь, что порты, на которых NGINX должен предоставлять свои услуги, открыты в межсетевом экране:

# firewall-cmd --list-ports
80/tcp 443/tcp

3. Убедитесь, что nginx служба включена:

# systemctl is-enabled nginx
enabled

Настройка NGINX в качестве веб-сервера, предоставляющего разный контент для разных доменов#

По умолчанию NGINX действует как веб-сервер, который предоставляет клиентам одинаковый контент для всех доменных имен, связанных с IP-адресами сервера. Эта процедура объясняет, как настроить NGINX:

для обслуживания запросов в example.ru домен с содержимым из /var/www/example.ru/ каталога; для обслуживания запросов в example.net домен с содержимым из /var/www/example.net/ каталога; для обслуживания всех других запросов, например, на IP-адрес сервера или на другие домены, связанные с IP-адресом сервера, с содержимым из /usr/share/nginx/html/ каталога.

Предварительные условия:

• Клиенты и веб-сервер разрешают example.ru и example.net домен к IP-адресу веб-сервера.

• Обратите внимание, что необходимо вручную добавить эти записи на свой DNS-сервер.

Процедура:

1. Отредактируйте файл /etc/nginx/nginx.conf:

• По умолчанию файл /etc/nginx/nginx.conf уже содержит всеобъемлющую конфигурацию. Если удалили эту часть из конфигурации, повторно добавьте следующий серверный блок в http-блок в файле /etc/nginx/nginx.conf:

server {
      listen       80 default_server;
      listen       [::]:80 default_server;
      server_name  _;
      root         /usr/share/nginx/html;
  }

Эти параметры настраивают следующее:

• Директива listen определяет, какие IP-адреса и порты прослушивает служба. В этом случае NGINX прослушивает порт 80 как по всем адресам IPv4, так и по IPv6. Параметр default_server указывает, что NGINX использует этот серверный блок по умолчанию для запросов, соответствующих IP-адресам и портам.

• Параметр server_name определяет имена хостов, за которые отвечает этот серверный блок. Установка имя_сервера в _ настраивает NGINX на принятие любого имени хоста для этого серверного блока.

• Директива root задает путь к веб-контенту для этого серверного блока.

• Добавьте аналогичный серверный блок для example.ru домен в http-блок:

server {
      server_name  example.ru;
      root         /var/www/example.ru/;
      access_log   /var/log/nginx/example.ru/access.log;
      error_log    /var/log/nginx/example.ru/error.log;
  }

• Директива access_log определяет отдельный файл журнала доступа для этого домена.

• Директива error_log определяет отдельный файл журнала ошибок для этого домена. Добавьте аналогичный серверный блок для example.net домен к http-блоку:

server {
      server_name  example.net;
      root         /var/www/example.net/;
      access_log   /var/log/nginx/example.net/access.log;
      error_log    /var/log/nginx/example.net/error.log;
  }

2. Создайте корневые каталоги для обоих доменов:

• mkdir -p /var/www/example.ru/

• mkdir -p /var/www/example.net/

3. Установите контекст httpd_sys_content_t для обоих корневых каталогов:

  # semanage fcontext -a -t httpd_sys_content_t "/var/www/example.ru(/.*)?"
  # restorecon -Rv /var/www/example.ru/
  # semanage fcontext -a -t httpd_sys_content_t "/var/www/example.net(/.\*)?"
  # restorecon -Rv /var/www/example.net/

Эти команды устанавливают контекст httpd_sys_content_t в каталогах /var/www/example.ru/ и /var/www/example.net/.

Обратите внимание, что для выполнения команд restorecon необходимо установить пакет policycoreutils-python-utils.

4. Создайте каталоги журналов для обоих доменов:

• mkdir /var/log/nginx/example.ru/

• mkdir /var/log/nginx/example.net/

5. Перезапустите nginx службу:

# systemctl restart nginx

Этапы проверки:

1. Создайте другой файл примера в корне документа каждого виртуального хоста:

# echo "Content for example.ru" /var/www/example.ru/index.html
# echo "Content for example.net" /var/www/example.net/index.html
# echo "Catch All content" /usr/share/nginx/html/index.html

2. В любом браузере подключитесь к http://example.ru. Веб-сервер показывает пример содержимого из /var/www/example.ru/index.html файла.

3. В любом браузере подключитесь к http://example.net. Веб-сервер показывает пример содержимого из /var/www/example.net/index.html файла.

4. В любом браузере подключитесь к http://IP_address_of_the_server. Веб-сервер показывает пример содержимого из /usr/share/nginx/html/index.html файла.

Добавление шифрования TLS на веб-сервер NGINX#

В этом разделе описывается, как включить шифрование TLS на веб-сервере NGINX для example.ru домен.

Предварительные условия:

• Закрытый ключ хранится в файле /etc/pki/tls/private/example.ru.key.

• Сертификат TLS хранится в файле /etc/pki/tls/certs/example.ru.crt. Если используете другой путь, адаптируйте соответствующие шаги процедуры.

• Сертификат CA был добавлен к файлу сертификата TLS сервера.

• Клиенты и веб-сервер преобразуют имя хоста сервера в IP-адрес веб-сервера.

• Порт 443 открыт в локальном межсетевом экране.

Для получения подробной информации о создании закрытого ключа и запроса на подписание сертификата (CSR), а также о том, как запросить сертификат у центра сертификации (CA).

Процедура:

1. Отредактируйте файл / etc/nginx/nginx.conf и добавьте следующий серверный блок к http-блоку в конфигурации:

server {
     listen              443 ssl;
     server_name         example.ru;
     root                /usr/share/nginx/html;
     ssl_certificate     /etc/pki/tls/certs/example.ru.crt;
     ssl_certificate_key /etc/pki/tls/private/example.ru.key;
  }

2. По соображениям безопасности настройте, чтобы только пользователь root мог получить доступ к файлу закрытого ключа:

# chown root:root /etc/pki/tls/private/example.ru.key
# chmod 600 /etc/pki/tls/private/example.ru.key

Предупреждение: Если к закрытому ключу получили доступ неавторизованные пользователи, отмените сертификат, создайте новый закрытый ключ и запросите новый сертификат. В противном случае соединение TLS больше не является безопасным.

3. Перезапустите nginx службу:

# systemctl restart nginx

Этапы проверки:

Используйте браузер и подключитесь к https://example.ru.

Настройка NGINX в качестве обратного прокси для HTTP-трафика#

Можно настроить веб-сервер NGINX так, чтобы он действовал как обратный прокси-сервер для HTTP-трафика. Например, можно использовать эту функциональность для пересылки запросов в определенный подкаталог на удаленном сервере. С точки зрения клиента, клиент загружает контент с хоста, к которому он обращается. Однако NGINX загружает фактическое содержимое с удаленного сервера и пересылает его клиенту.

Эта процедура объясняет, как перенаправить трафик в каталог /example на веб-сервере по URL https://example.ru.

Предварительные условия:

При необходимости шифрование TLS включено на обратном прокси-сервере.

Процедура:

1. Отредактируйте файл /etc/nginx/nginx.conf и добавьте следующие настройки в серверный блок, который должен обеспечивать обратный прокси:

location /example {
proxy_pass https://example.ru;
}

Блок location определяет, что NGINX передает все запросы в каталоге /example в https://example.ru.

2. Установите для логического параметра httpd_can_network_connect SELinux значение 1, чтобы SELinux позволил NGINX пересылку трафика:

# setsebool -P httpd_can_network_connect 1

3. Перезапустите службу nginx:

# systemctl restart nginx

Этапы проверки:

Используйте браузер и подключитесь к http://host_name/example, где отобразится содержание https://example.ru

Настройка NGINX в качестве балансировщика нагрузки HTTP#

Можно использовать функцию обратного прокси-сервера NGINX для балансировки нагрузки на трафик. Эта процедура описывает, как настроить NGINX в качестве балансировщика нагрузки HTTP, который отправляет запросы на разные серверы, основываясь на том, какой из них имеет наименьшее количество активных подключений. Если оба сервера недоступны, процедура также определяет третий хост по причинам резервного копирования.

Предварительные условия:

NGINX установлен.

Процедура:

1. Отредактируйте файл /etc/nginx/nginx.conf и добавьте следующие настройки:

  http {
      upstream backend {
          least_conn;
          server server1.example.ru;
          server server2.example.ru;
          server server3.example.ru backup;
      }

      server {
          location / {
              proxy_pass http://backend;
          }
      }
  }

Директива least_conn в группе хостов с именем backend определяет, что NGINX отправляет запросы на server1.example.ru или server2.example.ru, в зависимости от того, какой хост имеет наименьшее количество активных подключений. NGINX использует server3.example.ru только в качестве резервной копии на случай, если два других хоста недоступны.

С директивой proxy_pass, установленной на http://backend, NGINX действует как обратный прокси-сервер и использует серверную группу хостов для распределения запросов на основе настроек этой группы.

Вместо метода балансировки нагрузки least_conn можно указать:

• отсутствие способа использовать циклический перебор и равномерно распределять запросы по серверам;

• ip_hash для отправки запросов с одного клиентского адреса на один и тот же сервер на основе хеша, вычисленного из первых трех октетов IPv4-адреса или всего IPv6-адреса клиента;

• хеш для определения сервера на основе пользовательского ключа, который может быть строкой, переменной или комбинацией того и другого. Согласованный параметр настраивает, что NGINX распределяет запросы по всем серверам на основе определенного пользователем значения хешированного ключа.

• случайные отправки запросов на случайно выбранный сервер.

2. Перезапустите службу nginx:

# systemctl restart nginx

Использование samba в качестве сервера#

samba реализует протокол Server Message Block (SMB) в SberLinux. Протокол SMB используется для доступа к ресурсам на сервере, таким как общие папки с файлами и общие принтеры. Кроме того, Samba реализует протокол удаленного вызова процедур распределенной вычислительной среды (DCE RPC), используемый Microsoft Windows.

Можно запустить samba как:

• член домена Active Directory (AD) или NT4;

• автономный сервер;

• основной контроллер домена NT4 (PDC) или резервный контроллер домена (BDC).

Примечание: SberLinux поддерживает режимы PDC и BDC только в существующих установках с версиями Windows, которые поддерживают домены NT4. SberLinux рекомендует не настраивать новый домен samba NT4, поскольку операционные системы Microsoft, более поздние, чем Windows 7 и Windows Server 2008 R2, не поддерживают домены NT4.

SberLinux не поддерживает запуск samba в качестве контроллера домена AD (DC).

Независимо от режима установки, можно дополнительно предоставлять общий доступ к каталогам и принтерам. Это позволяет samba выступать в качестве файлового сервера и сервера печати.

Понимание различных сервисов и режимов samba#

В этом разделе описываются различные службы, включенные в samba, и различные режимы, которые можно настроить.

Сервисы samba

samba предоставляет следующие услуги:

smbd

Эта служба предоставляет услуги обмена файлами и печати с использованием протокола SMB. Кроме того, служба отвечает за блокировку ресурсов и аутентификацию подключающихся пользователей. Для аутентификации участников домена smbd требуется winbindd. Служба smb systemd запускает и останавливает демон smbd.

Чтобы использовать службу smbd, установите пакет samba.

nmbd

Эта служба предоставляет имя хоста и разрешение IP-адреса с использованием NetBIOS по протоколу IPv4. В дополнение к разрешению имен служба nmbd позволяет просматривать сеть SMB для поиска доменов, рабочих групп, хостов, общих файловых ресурсов и принтеров. Для этого служба либо сообщает эту информацию непосредственно широковещательному клиенту, либо пересылает ее в локальный или главный браузер. Служба nmb systemd запускает и останавливает демон nmbd.

Обратите внимание, что современные SMB-сети используют DNS для разрешения клиентов и IP-адресов. Для Kerberos требуется рабочая настройка DNS.

Также можно указать распознаватель DNS при использовании ipaclient роли для установки IdM-клиента с переменными ipaclient_configure_dns_resolver и ipaclient_dns_servers. Следовательно, ipaclient роль изменяет resolv.conf файл и утилиты NetworkManager и systemd-resolved для настройки DNS-распознавателя на клиенте аналогично тому, что ansible-freeipa роль ipaserver выполняет на сервере IdM. В результате настройка DNS при использовании роли ipaclient для установки IdM-клиента более эффективна.

Чтобы воспользоваться сервисом nmbd, установите пакет samba.

winbindd

Эта служба предоставляет интерфейс для коммутатора службы имен (NSS) для использования пользователей и групп домена AD или NT4 в локальной системе. Это позволяет, например, пользователям домена проходить аутентификацию в службах, размещенных на сервере samba, или в других локальных службах. Служба winbind systemd запускает и останавливает демон winbindd.

Если samba настроена в качестве участника домена, winbindd должен быть запущен перед службой smbd. В противном случае пользователи и группы домена будут недоступны для локальной системы.

Чтобы использовать службу winbindd, установите пакет samba-winbind.

Службы безопасности samba. Сценарии, когда службы samba и клиентские утилиты samba загружают и перезагружают свою конфигурацию

Параметр безопасности в разделе [global] в файле /etc/samba/smb.conf управляет тем, как samba проверяет подлинность пользователей, подключающихся к сервису. В зависимости от режима, в котором устанавливается samba, для параметра должны быть установлены разные значения:

Для участника домена AD установите security = ads

В этом режиме samba использует Kerberos для аутентификации пользователей AD.

Дополнительные сведения о настройке samba в качестве участника домена см. в разделе Настройка samba в качестве сервера-участника домена AD.

На автономном сервере установите security = user

В этом режиме samba использует локальную базу данных для аутентификации подключающихся пользователей.

Дополнительные сведения о настройке samba в качестве автономного сервера см. в разделе Настройка samba в качестве автономного сервера.

На PDC NT4 или BDC установите security = user

В этом режиме samba проверяет подлинность пользователей в локальной базе данных или базе данных LDAP.

Для участника домена NT4 установите security = domain

В этом режиме samba проверяет подлинность подключения пользователей к NT4 PDC или BDC. Нет возможности использовать этот режим для участников домена AD.

Дополнительные сведения о настройке samba в качестве участника домена см. в разделе Настройка Samba в качестве сервера-участника домена AD.

По умолчанию samba хранит списки управления доступов (ACL) в расширенном атрибуте security.NTACL. Можете настроить имя атрибута с помощью параметра acl_xattr:<security_acl_name> в файле /etc/samba/smb.conf. Обратите внимание, что заданный атрибут не находится в защищенном месте, как security.NTACL. Следовательно, пользователи с локальным доступом к серверу смогут изменять содержимое пользовательского атрибута и компрометировать списки управления доступов.

Безопасное редактирование конфигурации samba

Ниже описано, когда службы и утилиты samba загружают и перезагружают свою конфигурацию:

• Службы samba перезагружают свою конфигурацию:

  • Автоматически каждые 3 минуты.

  • По запросу вручную, например, при запуске команды smbcontrol all reload-config.

• Клиентские утилиты samba считывают свою конфигурацию только при их запуске.

Обратите внимание, что для вступления в силу определенных параметров, таких как безопасность, простой перезагрузки недостаточно - требуется перезапуск smb службы.

Проверка конфигурации samba#

Службы samba автоматически перезагружают свою конфигурацию каждые 3 минуты. Эта процедура описывает, как отредактировать конфигурацию samba таким образом, чтобы службы не загружали изменения повторно до того, как проверится конфигурация с помощью testparm утилиты.

Предварительные условия:

samba установлена.

Процедура:

1. Создайте копию файла /etc/samba/smb.conf:

# cp /etc/samba/smb.conf /etc/samba/samba.conf.copy

2. Отредактируйте скопированный файл и внесите нужные изменения.

3. Проверьте конфигурацию в файле /etc/samba/samba.conf.copy:

# testparm -s /etc/samba/samba.conf.copy

Если testparm сообщает об ошибках, исправьте их и запустите команду снова.

4. Переопределите файл /etc/samba/smb.conf новой конфигурацией:

# mv /etc/samba/samba.conf.copy /etc/samba/smb.conf

5. Подождите, пока службы samba автоматически перезагрузят свою конфигурацию, или вручную перезагрузите конфигурацию:

# smbcontrol all reload-config

Проверка файла smb.conf с помощью утилиты testparm

Утилита testparm проверяет правильность конфигурации samba в файле /etc/samba/smb.conf. Утилита обнаруживает недопустимые параметры и значения, а также неправильные настройки, например, для сопоставления идентификаторов. Если testparm сообщает об отсутствии проблем, службы samba успешно загрузят файл /etc/samba/smb.conf. Обратите внимание, что testparm не может проверить, что настроенные службы будут доступны или будут работать должным образом.

Примечание: Рекомендуем проверять файл /etc/samba/smb.conf с помощью testparm после каждой модификации этого файла.

Предварительные условия:

• samba установлена.

• Файл /etc/samba/smb.conf завершает работу.

Процедура:

1. Запустите утилиту testparm от имени пользователя root:

# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Unknown parameter encountered: "log levell"
Processing section "[example_share]"
Loaded services file OK.
ERROR: The idmap range for the domain * (tdb) overlaps with the range of DOMAIN (ad)!

Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions

# Global parameters
[global]
...

[example_share]
...

В выводе предыдущего примера сообщается о несуществующем параметре и неверной конфигурации сопоставления идентификаторов.

2. Если testparm сообщает о неправильных параметрах, значениях или других ошибках в конфигурации, устраните проблему и запустите утилиту снова.

Настройка samba как отдельного сервера#

Можно настроить samba как сервер, который не является членом домена. В этом режиме установки samba аутентифицирует пользователей в локальной базе данных, а не в центральном контроллере домена. Кроме того, можно включить гостевой доступ, чтобы пользователи могли подключаться к одной или нескольким службам без проверки подлинности.

Настройка конфигурации сервера для автономного сервера

В этом разделе описывается, как настроить конфигурацию сервера для автономного сервера samba.

Процедура:

1. Установите пакет samba:

# yum install samba

2. Отредактируйте файл /etc/samba/smb.conf и задайте следующие параметры:

  [global]
      workgroup = Example-WG
      netbios name = Server
      security = user

      log file = /var/log/samba/%m.log
      log level = 1

Эта конфигурация определяет автономный сервер с именем Server в рабочей группе Example-WG. Кроме того, эта конфигурация позволяет вести журнал на минимальном уровне (1), а файлы журнала будут храниться в каталоге /var/log/samba/. samba расширит макрос %m в параметре файла журнала до имени NetBIOS подключающихся клиентов. Это позволяет создавать индивидуальные файлы журналов для каждого клиента.

3. При необходимости настройте общий доступ к файлам или принтерам.

4. Проверьте файл /etc/samba/smb.conf:

# testparm

5. Если настроены общие ресурсы, требующие проверки подлинности, создайте учетные записи пользователей.

6. Откройте необходимые порты и перезагрузите конфигурацию межсетевого экрана с помощью утилиты firewall-cmd:

# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload

7. Включите и запустите smb службу:

# systemctl enable --now smb

Создание и включение локальных учетных записей пользователей

Чтобы разрешить пользователям проходить аутентификацию при подключении к общему ресурсу, необходимо создать учетные записи на хосте samba как в операционной системе, так и в базе данных samba. samba требует учетной записи операционной системы для проверки списков управления доступом (ACL) к объектам файловой системы и учетной записи samba для аутентификации подключающихся пользователей.

Если используется параметр passdb backend = tdbsam по умолчанию, samba хранит учетные записи пользователей в базе данных /var/lib/samba/private/passdb.tdb.

Процедура в этом разделе описывает, как создать локального пользователя samba с именем example.

Предварительные условия:

samba установлен и настроен как автономный сервер.

Процедура:

1. Создайте учетную запись операционной системы:

# useradd -M -s /sbin/nologin example

Эта команда добавляет пример учетной записи без создания домашнего каталога. Если учетная запись используется только для аутентификации в samba, назначьте команду /sbin/nologin в качестве командной строки, чтобы предотвратить локальный вход учетной записи.

2. Установите пароль для учетной записи операционной системы, чтобы включить его:

# passwd example
Enter new UNIX password: password
Retype new UNIX password: password
passwd: password updated successfully

samba не использует пароль, установленный в учетной записи операционной системы, для аутентификации. Однако необходимо установить пароль для включения учетной записи. Если учетная запись отключена, samba отказывает в доступе, если этот пользователь подключается.

3. Добавьте пользователя в базу данных samba и установите пароль для учетной записи:

# smbpasswd -a example
New SMB password: password
Retype new SMB password: password
Added user example.

Используйте этот пароль для аутентификации при использовании этой учетной записи для подключения к общему ресурсу samba.

4. Включите учетную запись samba:

# smbpasswd -e example
Enabled user example.

Понимание и настройка сопоставления samba ID#

Домены Windows различают пользователей и группы по уникальным идентификаторам безопасности (SID). Однако Linux требует уникальных идентификаторов UID и GID для каждого пользователя и группы. Если запущена samba как участник домена, служба winbindd отвечает за предоставление операционной системе информации о пользователях и группах домена.

Чтобы служба winbindd предоставляла уникальные идентификаторы для пользователей и групп в Linux, необходимо настроить сопоставление идентификаторов в файле /etc/samba/smb.conf для:

• локальной базы данных (домен по умолчанию);

• домена AD или NT4, членом которого является сервер samba;

• каждого доверенного домена, из которого пользователи должны иметь доступ к ресурсам на этом сервере samba.

samba представляет различные интерфейсы сопоставления идентификаторов для конкретных конфигураций. Наиболее часто используемыми являются следующие (см. таблицу ниже):

Планирование диапазонов идентификаторов samba

Независимо от того, сохраняется ли UID и GID для Linux в AD или настраивается samba для их генерации, для каждой конфигурации домена требуется уникальный диапазон идентификаторов, который не должен перекрываться ни с одним из других доменов.

Предупреждение: Если будут установлены перекрывающиеся диапазоны идентификаторов, samba не сможет работать корректно. Можно назначить только один диапазон для каждого домена. Поэтому оставьте достаточно места между диапазонами доменов. Это позволяет расширить диапазон позже, если домен увеличится. Если позже домену будет назначен другой диапазон, права собственности на файлы и каталоги, ранее созданные этими пользователями и группами, будут потеряны.

• Домен по умолчанию

В доменной среде можно добавлять одну конфигурацию сопоставления идентификаторов для каждого из следующих:

• Домен, членом которого является сервер samba.

• Каждый доверенный домен, который должен иметь доступ к серверу samba.

Однако для всех остальных объектов samba присваивает идентификаторы из домена по умолчанию. Это включает в себя:

• Локальных пользователей и группы samba.

• Встроенные учетные записи и группы samba, такие как BUILTIN\Administrators

Примечание: необходимо настроить домен по умолчанию, как описано в этом разделе, чтобы Samba работала правильно.

Серверная часть домена по умолчанию должна быть доступна для записи, чтобы постоянно сохранять назначенные идентификаторы.

Для домена по умолчанию можно использовать один из следующих внутренних интерфейсов:

tdb

При настройке домена по умолчанию для использования серверной части tdb задайте диапазон идентификаторов, достаточно большой, чтобы включать объекты, которые будут созданы в будущем и не будут являться частью сопоставления идентификаторов домена.

Например, установите следующее в разделе [global] в файле /etc/samba/smb.conf:

idmap config * : backend = tdb
idmap config * : range = 10000-999999

autorid

Когда настраивается домен по умолчанию для использования серверной части autorid, добавление дополнительных идентификаторов для доменов необязательно.

Например, установите следующее в разделе [global] в файле /etc/samba/smb.conf:

idmap config * : backend = autorid
idmap config * : range = 10000-999999

Использование серверной части отображения идентификатора tdb

Служба winbindd по умолчанию использует серверную часть сопоставления идентификаторов tdb с возможностью записи для хранения таблиц идентификаторов безопасности (SID), UID и GID. Сюда входят локальные пользователи, группы и встроенные участники.

Используйте этот серверный интерфейс только для домена * по умолчанию. Например:

idmap config * : backend = tdb
idmap config * : range = 10000-999999

Использование серверной части сопоставления идентификатора объявления

В этом разделе описывается, как настроить участника samba AD для использования серверной части сопоставления идентификаторов объявлений.

Серверная часть ad ID mapping реализует API, доступный только для чтения, для считывания информации об учетной записи и группе из AD. Это обеспечивает следующие преимущества:

• Кроме того, все настройки пользователей и групп хранятся централизованно.

• Идентификаторы пользователей и групп согласованы на всех серверах samba, которые используют этот серверный интерфейс.

• Идентификаторы не хранятся в локальной базе данных, которая может быть повреждена, и поэтому права собственности на файлы не могут быть потеряны.

Примечание: Серверная часть сопоставления идентификаторов ad не поддерживает домены Active Directory с односторонним доверием. Если идет настройка участника домена в Active Directory с односторонним доверием, используйте вместо этого один из следующих интерфейсов сопоставления идентификаторов: tdb, rid или autorid.

Серверная часть ad считывает из AD следующие атрибуты (см. таблицу ниже):

[a] loginShell - оболочка входа samba, samba считывает этот атрибут только в том случае, если задан ДОМЕН конфигурации idmap:unix_nss_info = yes. [b] unixHomeDirectory - оболочка входа в samba [c] primaryGroupID - samba считывает этот атрибут только в том случае, если установлен домен конфигурации idmap:unix_primary_group = yes.

Предварительные условия:

• Как пользователи, так и группы должны иметь уникальные идентификаторы, установленные в AD, и идентификаторы должны находиться в пределах диапазона, настроенного в файле /etc/samba/smb.conf. Объекты, идентификаторы которых находятся за пределами диапазона, не будут доступны на сервере Samba.

• Пользователи и группы должны иметь все необходимые атрибуты, установленные в AD. Если требуемые атрибуты отсутствуют, пользователь или группа не будут доступны на сервере Samba. Требуемые атрибуты зависят от конфигурации.

Предварительные условия:

• Установлена samba.

• Конфигурация samba, за исключением сопоставления идентификаторов, существует в файле /etc/samba/smb.conf.

Процедура:

1. Отредактируйте раздел [global] в файле /etc/samba/smb.conf:

• Добавьте конфигурацию сопоставления идентификаторов для домена по умолчанию *, если он не существует. Например:

idmap config * : backend = tdb
idmap config * : range = 10000-999999

• Включите серверную часть сопоставления идентификаторов объявлений для домена AD:

idmap config DOMAIN : backend = ad

• Задайте диапазон идентификаторов, назначаемых пользователям и группам в домене AD. Например:

idmap config DOMAIN : range = 2000000-2999999

Примечание: Диапазон не должен перекрываться с какой-либо другой конфигурацией домена на этом сервере. Кроме того, диапазон должен быть установлен достаточно большим, чтобы включать все идентификаторы, назначенные в будущем.

• Задайте значение, чтобы samba использовала схему RFC 2307 при чтении атрибутов из AD:

idmap config DOMAIN : schema_mode = rfc2307

• Чтобы разрешить samba считывать оболочку входа в систему и путь к домашнему каталогу пользователей из соответствующего атрибута AD, установите:

idmap config DOMAIN : unix_nss_info = yes

В качестве альтернативы можно задать единый для всего домена путь к домашнему каталогу и оболочку входа, которая применяется ко всем пользователям. Например:

template shell = /bin/bash
template homedir = /home/%U

• По умолчанию samba использует primaryGroupID атрибут объекта user в качестве основной группы пользователя в Linux. В качестве альтернативы можно настроить samba на использование значения, установленного в атрибуте gidNumber, вместо этого:

idmap config DOMAIN : unix_primary_group = yes

2. Проверьте /etc/samba/smb.conf файл:

# testparm

3. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Использование серверной части сопоставления идентификаторов rid

В этом разделе описывается, как настроить участника домена samba для использования серверной части сопоставления идентификаторов rid.

samba может использовать относительный идентификатор (RID) SID Windows для создания идентификатора в SberLinux.

Примечание: RID - это последняя часть SID. Например, если SID пользователя равен S-1-5-21-5421822485-1151247151-421485315-30014, тогда 30014 - это соответствующий RID.

Серверная часть сопоставления идентификаторов rid реализует API, доступный только для чтения, для вычисления информации об учетной записи и группе на основе алгоритмической схемы сопоставления для доменов AD и NT4. Когда идет настройка серверной части, необходимо установить самый низкий и самый высокий RID в idmap config DOMAIN : range параметре. samba не будет сопоставлять пользователей или группы с более низким или более высоким RID, чем задано в этом параметре.

Примечание: Как серверная часть, доступная только для чтения, rid не может назначать новые идентификаторы, например, для встроенных групп. Поэтому не используйте этот серверный интерфейс для домена * по умолчанию.

Преимущества использования серверной части rid

• Все пользователи и группы домена, у которых есть RID в пределах настроенного диапазона, автоматически доступны для участника домена.

• Не нужно вручную назначать идентификаторы, домашние каталоги и оболочки входа.

Недостатки использования серверной части rid

• Всем пользователям домена назначается одна и та же оболочка входа и домашний каталог. Однако можно использовать переменные.

• Идентификаторы пользователей и групп одинаковы для всех членов домена samba, только если все они используют серверную часть rid с одинаковыми настройками диапазона идентификаторов.

• Не получится исключить доступность отдельных пользователей или групп для участника домена. Исключаются только пользователи и группы за пределами настроенного диапазона.

• Основываясь на формулах, которые служба winbindd использует для вычисления идентификаторов, повторяющиеся идентификаторы могут возникать в многодоменных средах, если объекты в разных доменах имеют одинаковый RID.

Предварительные условия:

• samba установлена.

• Конфигурация samba, за исключением сопоставления идентификаторов, существует в файле /etc/samba/smb.conf.

Процедура:

1. Отредактируйте раздел [global] в файле /etc/samba/smb.conf:

• Добавьте конфигурацию сопоставления идентификаторов для домена по умолчанию *, если он не существует. Например:

idmap config * : backend = tdb
idmap config * : range = 10000-999999

• Включите серверную часть сопоставления идентификаторов rid для домена:

idmap config DOMAIN : backend = rid

• Установите диапазон, который достаточно велик, чтобы включить все RID, назначенные в будущем. Например:

idmap config DOMAIN : range = 2000000-2999999

samba игнорирует пользователей и группы, чьи RID в этом домене не входят в диапазон.

Примечание: Диапазон не должен перекрываться с какой-либо другой конфигурацией домена на этом сервере. Кроме того, диапазон должен быть установлен достаточно большим, чтобы включать все идентификаторы, назначенные в будущем. Дополнительные сведения см. в разделе «Планирование диапазонов идентификаторов samba».

• Задайте оболочку и путь к домашнему каталогу, которые будут назначены всем подключенным пользователям. Например:

template shell = /bin/bash
template homedir = /home/%U

2. Проверьте файл /etc/samba/smb.conf:

# testparm

3. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Использование серверной части сопоставления идентификаторов autorid

В этом разделе описывается, как настроить участника домена samba для использования серверной части autorid сопоставления идентификаторов.

Серверная часть autorid работает аналогично серверной части rid сопоставления идентификаторов, но может автоматически назначать идентификаторы для разных доменов. Это позволяет использовать autorid серверную часть в следующих ситуациях:

• Только для домена по умолчанию.

• Для домена по умолчанию и дополнительных доменов, без необходимости создавать конфигурации сопоставления идентификаторов для каждого из дополнительных доменов.

• Только для определенных доменов.

Примечание: Если используется autorid для домена по умолчанию, добавление дополнительной конфигурации сопоставления идентификаторов для доменов необязательно.

Преимущества использования серверной части autorid

• Все пользователи и группы домена, чьи вычисленные UID и GID находятся в пределах настроенного диапазона, автоматически доступны для участника домена.

• Не нужно вручную назначать идентификаторы, домашние каталоги и оболочки входа.

• Никаких повторяющихся идентификаторов, даже если несколько объектов в многодоменной среде имеют один и тот же RID.

Недостатки использования серверной части autorid

• Идентификаторы пользователей и групп не совпадают у всех членов домена samba.

• Всем пользователям домена назначается одинаковая оболочка входа и домашний каталог. Однако можно использовать переменные.

• Не получится исключить доступность отдельных пользователей или групп в члене домена. Исключаются только пользователи и группы, вычисляемый UID или GID которых находится за пределами настроенного диапазона.

Предварительные условия:

samba установлена.

Конфигурация samba, за исключением сопоставления идентификаторов, существует в файле /etc/samba/smb.conf.

Процедура:

1. Отредактируйте [global]раздел в файле /etc/samba/smb.conf:

• Включите серверную часть autorid сопоставления идентификаторов * для домена по умолчанию:

idmap config * : backend = autorid

• Задайте диапазон, который достаточно велик, чтобы назначить идентификаторы для всех существующих и будущих объектов. Например:

idmap config * : range = 10000-999999

samba игнорирует пользователей и группы, чьи вычисляемые идентификаторы в этом домене не входят в диапазон.

Предупреждение: После того, как установлен диапазон и samba начнет его использовать, можно увеличить только верхний предел диапазона. Любое другое изменение диапазона может привести к назначению новых идентификаторов и к потере прав собственности на файлы.

• При необходимости задайте размер диапазона. Например:

idmap config * : rangesize = 200000

samba присваивает это количество непрерывных идентификаторов для каждого объекта домена до тех пор, пока не будут приняты все идентификаторы из диапазона, заданного в idmap config * : range параметре.

Примечание: Если установлен размер диапазона, необходимо соответствующим образом адаптировать диапазон. Диапазон должен быть кратен размеру диапазона.

• Задайте оболочку и путь к домашнему каталогу, которые будут назначены всем сопоставленным пользователям. Например:

template shell = /bin/bash
template homedir = /home/%U

При необходимости добавьте дополнительную конфигурацию сопоставления идентификаторов для доменов. Если конфигурация для отдельного домена недоступна, samba вычисляет идентификатор, используя внутренние настройки autorid в ранее настроенном *домене по умолчанию.

2. Проверьте файл /etc/samba/smb.conf:

# testparm

3. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Настройка samba в качестве рядового сервера домена AD#

Если используется домен AD или NT4, используйте samba для добавления сервера SberLinux в качестве участника домена, чтобы получить следующее:

• Доступ к ресурсам домена на других членах домена.

• Аутентификация пользователей домена в локальных службах, таких как sshd.

• Общий доступ к каталогам и принтерам, размещенным на сервере, для работы в качестве сервера файлов и печати.

Присоединение системы SberLinux к домену AD

samba Winbind - это альтернатива демону служб безопасности системы (SSSD) для подключения системы SberLinux к Active Directory (AD). В этом разделе описывается, как подключить систему SberLinux к домену AD с помощью realmd для настройки samba Winbind.

Процедура:

1. Если для AD требуется устаревший тип шифрования RC4 для аутентификации Kerberos, включите поддержку этих шифров в SberLinux:

# update-crypto-policies --set DEFAULT:AD-SUPPORT

2. Установите следующие пакеты:

# yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \samba-winbind samba-common-tools samba-winbind-krb5-locator

3. Чтобы предоставить общий доступ к каталогам или принтерам на члене домена, установите samba пакет:

# yum install samba

4. Создайте резервную копию существующего файла конфигурации Samba /etc/samba/smb.conf Samba:

# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

5. Подключитесь к домену. Например, чтобы присоединиться к домену с именем ad.example.ru:

# realm join --membership-software=samba --client-software=winbind ad.example.ru

Используя предыдущую команду, утилита realm автоматически совершает следующие процедуры:

• Добавляет модуль winbind для поиска пользователей и групп в файл /etc/nsswitch.conf;

• Обновляет файлы конфигурации подключаемого модуля аутентификации (PAM) в каталоге /etc/pam.d/;

• Запускает службу winbind и позволяет службе запускаться при загрузке системы.

6. При необходимости задайте альтернативный серверный интерфейс сопоставления идентификаторов или индивидуальные параметры сопоставления идентификаторов в файле /etc/samba/smb.conf.

7. Убедитесь, что служба winbind запущена:

**# systemctl status winbind**
...
Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago

Примечание: Чтобы разрешить samba запрашивать информацию о пользователях домена и группах, перед запуском smb должна быть запущена служба winbind.

8. Если установлен пакет samba для совместного использования каталогов и принтеров, включите и запустите службу smb:

# systemctl enable --now smb

При необходимости, если проверяется подлинность локальных учетных записей в Active Directory, включите подключаемый модуль winbind_krb5_localauth.

Этапы проверки:

1. Отобразите сведения о пользователе рекламы, например учетную запись администратора рекламы в домене рекламы:

# getent passwd "AD\administrator"
AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bash

2. Запросите членов группы пользователей домена в домене AD:

# getent group "AD\Domain Users"
AD\domain users:x:10000:user1,user2

3. При необходимости убедитесь, что можно использовать пользователей и группы домена при настройке разрешений для файлов и каталогов. Например, чтобы установить владельца /srv/samba/example.txt файл в AD\administrator и группу в AD\Domain Users:

# chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt

4. Убедитесь, что проверка подлинности Kerberos работает должным образом:

• На части домена AD получите тикет на AD:/bin/bash:

# kinit administrator@AD.EXAMPLE.RU

• Отобразите кешированный тикет Kerberos:

# klist
Ticket cache: KCM:0
Default principal: administrator@AD.EXAMPLE.COM

Valid starting       Expires              Service principal
01.11.2018 10:00:00  01.11.2018 20:00:00  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
        renew until 08.11.2018 05:00:00

5. Отобразите доступные домены:

# wbinfo --all-domains
BUILTIN
SAMBA-SERVER
AD

Использование подключаемого модуля локальной авторизации для MIT Kerberos

Служба winbind предоставляет пользователям Active Directory доступ к члену домена. В определенных ситуациях администраторы хотят разрешить пользователям домена проходить аутентификацию в локальных службах, таких как SSH-сервер, которые запущены на члене домена. При использовании Kerberos для аутентификации пользователей домена включите подключаемый модуль winbind_krb5_localauth для корректного сопоставления участников Kerberos с учетными записями Active Directory через службу winbind.

Например, если для атрибута sAMAccountName пользователя Active Directory установлено значение EXAMPLE и пользователь пытается войти в систему с именем пользователя в нижнем регистре, Kerberos возвращает имя пользователя в верхнем регистре. Как следствие, записи не совпадают, и аутентификация завершается ошибкой.

Используя подключаемый модуль winbind_krb5_localauth, имена учетных записей отображаются правильно. Обратите внимание, что это относится только к аутентификации GSSAPI, а не к получению первоначального тикета, предоставляющего тикет (TGT).

Предварительные условия:

• samba настроен как член Active Directory.

• SberLinux проверяет подлинность попыток входа в систему с помощью Active Directory.

• Служба winbind запущена.

Процедура:

Отредактируйте файл /etc/krb5.conf и добавьте следующий раздел:

[plugins]
localauth = {
     module = winbind:/usr/lib64/samba/krb5/winbind_krb5_localauth.so
     enable_only = winbind
}

Включение типа шифрования AES в Active Directory с помощью объекта групповой политики

В этом разделе описывается, как включить тип шифрования AES в Active Directory (AD) с помощью объекта групповой политики (GPO). Для некоторых функций SberLinux, таких, как запуск сервера samba на клиенте IdM, требуется этот тип шифрования.

Предварительные условия:

• Получен AD пользователь, который может редактировать групповые политики.

• Установлена консоль управления групповой политикой.

Процедура:

1. Откройте консоль управления групповой политикой.

2. Нажмите правой кнопкой мыши политику домена по умолчанию и выберите Изменить. Откроется редактор управления групповой политикой.

3. Перейдите в раздел Конфигурация компьютера → Политики → Настройки Windows → Параметры безопасности → Локальные политики → Параметры безопасности.

4. Дважды нажмите Сетевая безопасность: где настройте типы шифрования, разрешенные для политики Kerberos.

5. Выберите AES256_HMAC_SHA1 и, при необходимости, выберите будущие типы шифрования.

6. Нажмите кнопку ОК.

7. Закройте редактор управления групповой политикой.

8. Повторите действия для политики контроллера домена по умолчанию.

9. Подождите, пока контроллеры домена Windows (DC) автоматически не применят групповую политику. В качестве альтернативы, чтобы применить объект групповой политики вручную к контроллеру домена, введите следующую команду, используя учетную запись с правами администратора:

C:\ gpupdate /force /target:computer

Настройка общего файлового ресурса samba, использующего списки управления доступом POSIX#

Как служба Linux, samba поддерживает общие ресурсы с ACL POSIX. Они позволяют управлять разрешениями локально на сервере samba с помощью утилит, таких как chmod. Если общий ресурс хранится в файловой системе, поддерживающей расширенные атрибуты, можно определить списки управления доступом для нескольких пользователей и групп.

Добавление общего ресурса, использующего списки контроля доступа POSIX

В этом разделе описывается, как создать общий ресурс с именем example, который предоставляет содержимое каталога /srv/samba/example/ и использует списки управления доступом POSIX.

Предварительные условия:

samba была настроена в одном из следующих режимов, как:

• Автономный сервер;

• Член домена.

Процедура:

1. Создайте папку, если она не существует. Например:

# mkdir -p /srv/samba/example/

2. Если необходимо запустить SELinux в принудительном режиме, установите контекст samba_share_t в каталоге:

# semanage fcontext -a -t samba_share_t "/srv/samba/example(/.*)?"
# restorecon -Rv /srv/samba/example/

3. Установите списки управления доступом файловой системы в каталоге.

4. Добавьте пример общего доступа в файл /etc/samba/smb.conf. Например, чтобы добавить общий ресурс с поддержкой записи:

[example]
    path = /srv/samba/example/
    read only = no

Примечание: Независимо от списков управления доступом файловой системы; если не установите значение read only = no, samba совместно использует каталог в режиме только для чтения.

5. Проверьте файл /etc/samba/smb.conf:

# testparm

6. Откройте необходимые порты и перезагрузите конфигурацию межсетевого экрана с помощью утилиты firewall-cmd:

# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload

7. Перезапустите службу smb:

# systemctl restart smb

Настройка стандартных списков ACL Linux для общего ресурса samba, использующего списки ACL POSIX

Стандартные списки управления доступом в Linux поддерживают настройку разрешений для одного владельца, одной группы и для всех других неопределенных пользователей. Можно использовать утилиты chown, chgrp и chmod для обновления списков управления доступом. Если требуется точный контроль, то используйте более сложные списки управления доступом POSIX.

Следующая процедура устанавливает владельца каталога /srv/samba/example/ пользователем root, предоставляет права на чтение и запись группе пользователей домена и запрещает доступ всем остальным пользователям.

Предварительные условия:

Общий ресурс samba, для которого необходимо установить списки управления доступом, существует.

Процедура:

# chown root:"Domain Users" /srv/samba/example/
# chmod 2770 /srv/samba/example/

Примечание: Включение бита set-group-ID (SGID) в каталоге автоматически устанавливает группу по умолчанию для всех новых файлов и подкаталогов на группу каталога, вместо обычного поведения, когда она устанавливается в основную группу пользователя, создавшего новую запись каталога.

Настройка расширенных списков контроля доступа для общего ресурса samba, использующего списки контроля доступа POSIX

Если файловая система, в которой хранится общий каталог, поддерживает расширенные списки управления доступом, можно использовать их для установки сложных разрешений. Расширенные списки управления доступом могут содержать разрешения для нескольких пользователей и групп.

Расширенные списки управления доступом POSIX позволяют настраивать сложные списки управления доступом для нескольких пользователей и групп. Однако можно установить только следующие разрешения:

• Нет доступа;

• Доступ на чтение;

• Доступ на запись;

• Полный контроль.

Если требуются детализированные разрешения Windows, такие, как создание папки/добавление данных, настройте общий ресурс на использование списков управления доступом Windows. Смотрите раздел Настройка общего ресурса, использующего списки управления доступом Windows.

Следующая процедура показывает, как включить расширенные списки управления доступом для общего ресурса. Кроме того, он содержит пример настройки расширенных списков управления доступом.

Предварительные условия:

Общий ресурс samba, для которого можно установить списки управления доступом, существует.

Процедура:

1. Включите следующий параметр в разделе общего ресурса в файле /etc/samba/smb.conf, чтобы включить наследование расширенных списков управления доступом:

inherit acls = yes

2. Перезапустите smb службу:

# systemctl restart smb

3. Установите списки управления доступом в каталоге. Например:

Пример. Настройка расширенных списков управления доступом

Следующая процедура устанавливает разрешения на чтение, запись и выполнение для группы администраторов домена, разрешения на чтение и выполнение для группы пользователей домена и запрещает доступ всем остальным в каталоге /srv/samba/example/:

• Отключите автоматическое предоставление разрешений основной группе учетных записей пользователей:

# setfacl -m group::--- /srv/samba/example/
# setfacl -m default:group::--- /srv/samba/example/

Основная группа каталога дополнительно сопоставляется с основной группой динамического СОЗДАТЕЛЯ. Когда используете расширенные списки управления доступом POSIX на общем ресурсе samba, этот участник добавляется автоматически, и его не получится удалить.

1. Установите разрешения для каталога:

• Предоставьте разрешения на чтение, запись и выполнение группе администраторов домена:

# setfacl -m group:"DOMAIN\Domain Admins":rwx /srv/samba/example/

• Предоставьте разрешения на чтение и выполнение группе пользователей домена:

# setfacl -m group:"DOMAIN\Domain Users":r-x /srv/samba/example/

• Установите разрешения для другой записи ACL, чтобы запретить доступ пользователям, которые не соответствуют другим записям ACL:

# setfacl -R -m other::--- /srv/samba/example/

Эти настройки применимы только к этому каталогу. В Windows эти списки управления доступом отображаются в режиме только для этой папки.

2. Чтобы разрешить наследование разрешений, установленных на предыдущем шаге, новыми объектами файловой системы, созданными в этом каталоге:

# setfacl -m default:group:"DOMAIN\Domain Admins":rwx /srv/samba/example/
# setfacl -m default:group:"DOMAIN\Domain Users":r-x /srv/samba/example/
# setfacl -m default:other::--- /srv/samba/example/

С этими настройками режим только для этой папки для участников установлен для этой папки, вложенных папок и файлов.

samba сопоставляет разрешения, установленные в процедуре, со следующими списками управления доступом Windows (см.таблицу ниже):

[a] samba сопоставляет разрешения для этого участника с другой записью ACL.

[b] samba сопоставляет владельца каталога с этой записью.

[c] samba сопоставляет основную группу каталога с этой записью.

[d] Для новых объектов файловой системы создатель автоматически наследует разрешения этого участника.

[e] Пакет samba с владельцем acl creator, настраивающим или удаляющим этих участников из списков управления доступом, которые не поддерживаются на общих ресурсах, использующих списки управления доступом POSIX.

[f] Создатель и владелец acl samba win.

[g] Для новых объектов файловой системы основная группа создателя автоматически наследует разрешения этого участника.

Установка разрешений для общего ресурса, использующего списки управления доступом POSIX#

При желании, чтобы ограничить или предоставить доступ к общему ресурсу samba, можно установить определенные параметры в разделе общего ресурса в файле /etc/samba/smb.conf.

Примечание: Разрешения на основе общего доступа определяют, может ли пользователь, группа или хост получить доступ к общему ресурсу. Эти настройки не влияют на списки управления доступом файловой системы.

Используйте настройки на основе общих ресурсов для ограничения доступа к общим ресурсам, например, для запрета доступа с определенных хостов.

Предварительные условия:

Был настроен общий доступ к спискам управления доступом POSIX.

Настройка доступа к общему ресурсу на основе пользователей и групп

Управление доступом на основе пользователей и групп позволяет предоставлять или запрещать доступ к общему ресурсу определенным пользователям и группам.

Предварительные условия:

Общий ресурс samba, для которого можно установить пользовательский или групповой доступ, существует.

Процедура:

1. Например, чтобы разрешить всем членам группы пользователей домена доступ к общему ресурсу, в то время как доступ запрещен для учетной записи пользователя, добавьте следующие параметры в конфигурацию общего ресурса:

valid users = +DOMAIN\"Domain Users"
invalid users = DOMAIN\user

Параметр недопустимых пользователей имеет более высокий приоритет, чем параметр допустимых пользователей. Например, если учетная запись пользователя является членом группы пользователей домена, доступ к этой учетной записи запрещен при использовании предыдущего примера.

2. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Настройка доступа к общему ресурсу на основе хоста

Управление доступом на основе хоста позволяет предоставлять или запрещать доступ к общему ресурсу на основе имен хостов клиента, IP-адресов или диапазона IP-адресов.

Следующая процедура объясняет, как включить IP-адрес 127.0.0.1, диапазон IP-адресов 192.0.2.0/24 и client1.example.ru хоста для доступа к общему ресурсу и дополнительно запретить доступ для client2.example.ru хоста:

Предварительные условия:

Общий ресурс samba, для которого можно установить доступ на основе хоста, существует.

Процедура:

1. Добавьте следующие параметры в конфигурацию общего ресурса в файле /etc/samba/smb.conf:

hosts allow = 127.0.0.1 192.0.2.0/24 client1.example.ru
hosts deny = client2.example.ru

Параметр hosts deny имеет более высокий приоритет, чем hosts allow. Например, если client1.example.ru разрешает IP-адрес, указанный в параметре hosts allow, доступ с этого хоста запрещен.

2. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Настройка общего ресурса, использующего списки управления доступом Windows#

samba поддерживает настройку списков управления доступом Windows для общих ресурсов и объектов файловой системы. Это позволяет:

• Использовать детализированные списки управления доступом Windows.

• Управлять разрешениями на общий доступ и списками управления доступом файловой системы с помощью Windows.

• В качестве альтернативы - настроить общий ресурс на использование списков управления доступом POSIX.

Предоставление привилегии SeDiskOperatorPrivilege

Только пользователи и группы, которым предоставлена привилегия SeDiskOperatorPrivilege, могут настраивать разрешения для общих ресурсов, использующих списки управления доступом Windows.

Процедура:

1. Например, чтобы предоставить привилегию SeDiskOperatorPrivilege группе DOMAIN\Domain Admins:

# net rpc rights grant "DOMAIN\Domain Admins" SeDiskOperatorPrivilege -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
Successfully granted rights.

Примечание: В доменной среде предоставьте права SeDiskOperatorPrivilege группе доменов. Это позволяет централизованно управлять привилегиями путем обновления членства пользователя в группе.

2. Чтобы перечислить всех пользователей и группы, которым предоставлены права SeDiskOperatorPrivilege:

 # net rpc rights list privileges SeDiskOperatorPrivilege -U "DOMAIN\administrator"
 Enter administrator's password:
 SeDiskOperatorPrivilege:
   BUILTIN\Administrators
   DOMAIN\Domain Admins

Включение поддержки Windows ACL

Чтобы настроить общие ресурсы, поддерживающие списки управления доступом Windows, необходимо включить эту функцию в samba.

Предварительные условия:

Общий пользовательский ресурс настроен на сервере samba.

Процедура:

1. Чтобы включить его глобально для всех общих ресурсов, добавьте следующие настройки в раздел [global] файла /etc/samba/smb.conf:

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

В качестве альтернативы можно включить поддержку ACL Windows для отдельных общих ресурсов, добавив вместо этого те же параметры в раздел общего ресурса.

2. Перезапустите службу smb:

# systemctl restart smb

Добавление общего ресурса, использующего списки управления доступом Windows

В этом разделе описывается, как создать общий ресурс с именем example, который совместно использует содержимое каталога /srv/samba/example/ и использует списки управления доступом Windows.

Процедура:

1. Создайте папку, если она не существует. Например:

# mkdir -p /srv/samba/example/

2. Если запущен SELinux в принудительном режиме, установите контекст samba_share_t в каталоге:

# semanage fcontext -a -t samba_share_t "/srv/samba/example(/.*)?"
# restorecon -Rv /srv/samba/example/

3. Добавьте пример общего доступа в файл /etc/samba/smb.conf. Например, добавьте общий ресурс с поддержкой записи:

[example]

path = /srv/samba/example/

read only = no

Примечание: Независимо от списков управления доступом файловой системы; если не установите значение read only = no, samba совместно использует каталог в режиме только для чтения.

4. Если не включена поддержка ACL Windows в [global] разделе для всех общих ресурсов, добавьте следующие параметры в [example] раздел, чтобы включить эту функцию для этого общего ресурса:

vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes

5. Проверьте файл /etc/samba/smb.conf:

# testparm

6. Откройте необходимые порты и перезагрузите конфигурацию межсетевого экрана с помощьюfirewall-cmd утилиты:

# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload

7. Перезапустите службу smb:

# systemctl restart smb

Управление разрешениями общего доступа и ACL файловой системы для общего ресурса, использующего ACL Windows

Управление разрешениями общего ресурса и списками управления доступом файловой системы общего ресурса, использующего списки управления доступом Windows Чтобы управлять разрешениями общего доступа и списками управления доступом к файловой системе на общем ресурсе samba, использующем списки управления доступом Windows, используйте приложения Windows, такие, как Управление компьютером. Дополнительные сведения см. в документации Windows. В качестве альтернативы используйте утилиту smbcacls для управления списками доступа.

Примечание: Чтобы изменить разрешения файловой системы в Windows, необходимо использовать учетную запись, которой предоставлена привилегия SeDiskOperatorPrivilege.

Управление ACL на общем ресурсе SMB с помощью smbcacls#

Утилита smbcacls может перечислять, устанавливать и удалять списки управления доступом для файлов и каталогов, хранящихся на общем ресурсе SMB. Можно использовать smbcacls для управления ACL файловой системы:

• На локальном или удаленном сервере samba, использующем расширенные списки управления доступом Windows или POSIX ACL.

• В SberLinux для удаленного управления списками доступа к общему ресурсу, размещенному в Windows.

Записи контроля доступа

Каждая запись ACL объекта файловой системы содержит записи управления доступом (ACE) в следующем формате:

security_principal:access_right/inheritance_information/permissions

Пример. Записи для контроля доступа

Если у группы пользователей AD\Domain есть разрешения на изменение, которые применяются к этой папке, вложенным папкам и файлам в Windows, список доступа содержит следующий ACE:

AD\Domain Users:ALLOWED/OI|CI/CHANGE

ACE содержит следующие части:

Участник безопасности

Участник безопасности - это пользователь, группа или SID, к которым применяются разрешения в списке управления доступом.

Право доступа

Право доступа определяет доступ к объекту: предоставлен или запрещен.

Значение может быть РАЗРЕШЕНО или ОТКЛОНЕНО.

Информация о наследовании

Осуществляет следующие значения, представленные в таблице ниже:

Таблица. Значения наследования

Кроме того, значения могут быть объединены следующим образом, как представлено в таблице ниже:

Таблица. Комбинации параметров наследования

Это значение может быть либо шестнадцатеричным значением, представляющим одно или несколько разрешений Windows, либо псевдонимом smbcacls:

Шестнадцатеричное значение, представляющее одно или несколько разрешений Windows.

В следующей таблице отображаются расширенные разрешения Windows и их соответствующее значение в шестнадцатеричном формате:

Таблица. Разрешения Windows и соответствующее им значение smbcacls в шестнадцатеричном формате

Несколько разрешений могут быть объединены в одно шестнадцатеричное значение с помощью побитовой операции.

Псевдоним smbcacls. В следующей таблице отображаются доступные псевдонимы:

Таблица. Существующие псевдонимы smbcacls и соответствующие им разрешения Windows

Примечание: Можно комбинировать однобуквенные псевдонимы при настройке разрешений. Например, можно настроить RD на применение разрешения Windows на чтение и удаление. Однако не получится комбинировать несколько псевдонимов, состоящих из одной буквы, как и комбинировать псевдонимы и шестнадцатеричные значения.

Отображение ACL с помощью smbcacls

Чтобы отобразить списки управления доступом на общем ресурсе SMB, используйте утилиту smbcacls. Если запущен smbcacls без какого-либо параметра операции, такого как –add, утилита отображает ACL объекта filesystemobject.

Процедура:

Например, чтобы перечислить списки управления доступом корневого каталога общего ресурса //server/example:

# smbcacls //server/example / -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
REVISION:1
CONTROL:SR|PD|DI|DP
OWNER:AD\Administrators
GROUP:AD\Domain Users
ACL:AD\Administrator:ALLOWED/OI|CI/FULL
ACL:AD\Domain Users:ALLOWED/OI|CI/CHANGE
ACL:AD\Domain Guests:ALLOWED/OI|CI/0x00100021

Вывод команды отображает:

REVISION: Внутренняя редакция дескриптора безопасности Windows NT ACL

CONTROL

: Управление дескриптором безопасности

OWNER

: Имя или SID владельца дескриптора безопасности

GROUP

: имя или SID группы дескриптора безопасности

ACL. Дополнительные сведения см. в разделе Записи контроля доступа.

Расчет маски ACE

В большинстве ситуаций, когда добавляете или обновляете ACE, используете псевдонимы smbcacls, перечисленные в существующих псевдонимах smbcacls, и соответствующие им разрешения Windows.

Однако, если можно установить расширенные разрешения Windows, перечисленные в разделе Разрешения Windows, и соответствующее им значение smbcacls в шестнадцатеричном формате, необходимо использовать побитовую операцию ИЛИ для вычисления правильного значения. Можно использовать следующую команду командной строки для вычисления значения:

# echo $(printf '0x%X' $(( hex_value_1 | hex_value_2 | ... )))

Добавление, обновление и удаление ACL с помощью smbcacls

В зависимости от параметра, который передаете утилите smbcacls, можно добавлять, обновлять и удалять списки управления доступом из файла или каталога.

Добавление списка доступа

Чтобы добавить ACL в корень общего ресурса //server/example, который предоставляет разрешения на изменение для этой папки, вложенных папок и файлов группе пользователей AD\Domain:

# smbcacls //server/example / -U "DOMAIN\administrator --add ACL:"AD\Domain Users":ALLOWED/OI|CI/CHANGE

Обновление списка доступа аналогично добавлению нового списка доступа. Обновите ACL, переопределяя ACL с помощью параметра –modify с помощью существующего участника безопасности. Если smbcacls находит участника безопасности в списке ACL, утилита обновляет разрешения. В противном случае команда завершается с ошибкой:

ACL for SID principal_name not found

Например, чтобы обновить разрешения группы пользователей AD\Domain и настроить их на чтение для этой папки, вложенных папок и файлов:

# smbcacls //server/example / -U "DOMAIN\administrator --modify ACL:"AD\Domain Users":ALLOWED/OI|CI/READ

Удаление списка доступа

Чтобы удалить ACL, передайте параметр --delete с точным ACL утилите smbcacls. Например:

# smbcacls //server/example / -U "DOMAIN\administrator --delete ACL:"AD\Domain Users":ALLOWED/OI|CI/READ

Разрешение пользователям совместно использовать каталоги на сервере samba#

На сервере samba можно настроить, чтобы пользователи могли совместно использовать каталоги без прав root.

Включение функции обмена пользователями

Прежде чем пользователи смогут совместно использовать каталоги, администратор должен включить общие ресурсы пользователей в samba.

Например, чтобы разрешить только членам локальной группы примеров создавать общие ресурсы пользователей.

Процедура:

1. Создайте локальную группу примеров, если она не существует:

# groupadd example

2. Подготовьте каталог для samba для хранения определений общего доступа пользователя и правильно установите его разрешения. Например:

• Создайте каталог:

# mkdir -p /var/lib/samba/usershares/

• Установите разрешения на запись для группы примеров:

# chgrp example /var/lib/samba/usershares/

# chmod 1770 /var/lib/samba/usershares/

• Установите фиксированный бит, чтобы запретить пользователям переименовывать или удалять файлы, хранящиеся другими пользователями в этом каталоге.

3. Отредактируйте файл /etc/samba/smb.conf и добавьте следующее в [global] раздел:

• Задайте путь к каталогу, который настроен для хранения определений общего доступа пользователя. Например:

usershare path = /var/lib/samba/usershares/

• Установите, сколько пользовательских общих ресурсов samba позволяет создавать на этом сервере. Например:

usershare max shares = 100

Если используете значение по умолчанию 0 для параметра usershare max shares, пользовательские общие ресурсы будут отключены.

• При необходимости задайте список абсолютных путей к каталогам. Например, чтобы настроить, что samba разрешает общий доступ только к подкаталогам каталога /dataи /srv, установите:

usershare prefix allow list = /data /srv

Список дополнительных параметров, связанных с общим доступом пользователей, которые можно установить, см. в разделе USERSHARES на справочной странице smb.conf(5).

4. Проверьте файл /etc/samba/smb.conf:

# testparm

5. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Пользователи могут создавать общие ресурсы пользователей.

Добавление пользовательского ресурса

После того как включена функция общего доступа к пользователям в samba, пользователи могут предоставлять общий доступ к каталогам на сервере samba без прав root, выполнив команду net usershare add.

Краткое описание команды добавления общего доступа к сети:

net usershare add share_name path [[ comment ] | [ ACLs ]] [ guest_ok=y|n ]

Примечание: Если установлены списки управления доступом при создании общего ресурса пользователя, необходимо указать параметр комментария перед списками управления доступом. Чтобы задать пустой комментарий, используйте пустую строку в двойных кавычках.

Обратите внимание, что пользователи могут разрешить гостевой доступ только к общему ресурсу пользователя, если администратор установил usershare allow guests = yes в разделе [global] в файле /etc/samba/smb.conf.

Отображение информации о существующих общих ресурсах пользователей

Пользователи могут ввести команду net usershare info на сервере samba для отображения общих ресурсов пользователей и их настроек.

Предварительные условия:

Общий пользовательский ресурс настраивается на сервере samba.

Процедура:

1. Для отображения всех пользовательских общих ресурсов, созданных любым пользователем:

$ net usershare info -l
[share_1]
path=/srv/samba/
comment=
usershare_acl=Everyone:R,host_name\user:F,
guest_ok=y
...

Чтобы перечислить только общие ресурсы, созданные пользователем, выполняющим команду, опустите параметр -l.

2. Чтобы отобразить только информацию о конкретных общих ресурсах, передайте команде название общего ресурса или подстановочные знаки. Например, для отображения информации об общих ресурсах, имя которых начинается с share_:

$ net usershare info -l share_

Список общих ресурсов пользователей

Если необходимо перечислить только доступные общие ресурсы пользователей без их настроек на сервере samba, используйте команду net usershare list.

Предварительные условия:

Общий пользовательский ресурс настраивается на сервере samba.

Процедура:

1. Чтобы перечислить общие ресурсы, созданные любым пользователем:

$ net usershare list -l
share_1
share_2
...

Чтобы перечислить только общие ресурсы, созданные пользователем, выполняющим команду, опустите параметр -l.

2. Чтобы перечислить только определенные общие ресурсы, передайте команде имя общего ресурса или подстановочные знаки. Например, чтобы перечислить только общие ресурсы, имя которых начинается с share_:

$ net usershare list -l share_

Удаление пользовательского ресурса

Чтобы удалить общий ресурс пользователя, используйте команду net usershare delete от имени пользователя, создавшего общий ресурс, или от имени пользователя root.

Предварительные условия:

Общий пользовательский ресурс настроен на сервере samba.

Процедура:

$ net usershare delete share_name

Настройка общего ресурса для разрешения доступа без аутентификации#

В определенных ситуациях можно предоставить общий доступ к каталогу, к которому пользователи могут подключаться без проверки подлинности. Чтобы настроить это, включите гостевой доступ к общему ресурсу.

Предупреждение: Общие ресурсы, не требующие аутентификации, могут представлять угрозу безопасности.

Включение гостевого доступа к общему ресурсу

Если на общем ресурсе включен гостевой доступ, samba сопоставляет гостевые подключения с учетной записью операционной системы, заданной в параметре гостевой учетной записи. Гостевые пользователи могут получить доступ к файлам на этом общем ресурсе, если выполняется хотя бы одно из следующих условий:

• Учетная запись указана в списках управления доступом файловой системы.

• Разрешения POSIX для других пользователей это позволяют.

Процедура:

1. Отредактируйте файл /etc/samba/smb.conf:

• Если это первый гостевой общий ресурс, который настроен на этом сервере:

  • Установите для карты значение map to guest = Bad User в [global] разделе:

[global]
        ...
        map to guest = Bad User

С помощью этого параметра samba отклоняет попытки входа в систему с использованием неправильного пароля, если только имя пользователя не существует. Если указанное имя пользователя не существует и гостевой доступ к общему ресурсу включен, samba рассматривает подключение как гостевой вход.

• По умолчанию samba сопоставляет учетную запись гостя с учетной записью nobody в SberLinux. В качестве альтернативы можно создать другую учетную запись. Например:

[global]
        ...
        guest account = user_name

Учетная запись, установленная в этом параметре, должна существовать локально на сервере samba. По соображениям безопасности SberLinux рекомендует использовать учетную запись, которой не назначена действительная оболочка.

• Добавьте параметр guest ok = yes в раздел общего доступа [example]:

[example]
        ...
        guest ok = yes

2. Проверьте файл /etc/samba/smb.conf:

# testparm

3. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Настройка samba для клиентов macOS#

Модуль samba виртуальной файловой системы fruit (VFS) обеспечивает улучшенную совместимость с клиентами Apple server message block (SMB).

Оптимизация конфигурации samba для предоставления общего доступа к файлам для клиентов macOS

В этом разделе описывается, как настроить модуль fruit для всех общих ресурсов samba, размещенных на сервере, чтобы оптимизировать общие ресурсы samba для клиентов macOS.

Примечание: Рекомендуется включить модуль fruit глобально. Клиенты, использующие macOS, согласовывают расширения протокола Apple версии 2 блока сообщений сервера (SMB2) (AAPL), когда клиент устанавливает первое соединение с сервером. Если клиент сначала подключается к общему ресурсу без включенных расширений AAPL, клиент не использует расширения ни для какого общего ресурса сервера.

Предварительные условия:

samba настроен как файловый сервер.

Процедура:

1. Отредактируйте файл /etc/samba/smb.conf и включите модули fruit и streams_xattr VFS в разделе [global]:

vfs objects = fruit streams_xattr

Примечание: необходимо включить модуль fruit перед включением streams_xattr. Модуль fruit использует альтернативные потоки данных (ADS). По этой причине включите модуль streams_xattr.

2. Дополнительно, чтобы обеспечить поддержку macOS Time Machine в общем ресурсе, добавьте следующий параметр в конфигурацию общего ресурса в файле /etc/samba/smb.conf:

fruit:time machine = yes

3. Проверьте файл /etc/samba/smb.conf:

# testparm

4. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Использование утилиты smbclient для доступа к общему ресурсу SMB#

Утилита smbclient позволяет получать доступ к общим файлам на сервере SMB аналогично FTP-клиенту командной строки. Можно использовать его, например, для загрузки файлов в общий ресурс и из него.

Предварительные условия:

Пакет samba-client установлен.

Как работает интерактивный режим smbclient

Например, для аутентификации в примере общего ресурса, размещенного на сервере, используя учетную запись DOMAIN\user:

# smbclient -U "DOMAIN\user"
//server/exampleEnter domain\user's password:
Try "help" to get a list of possible commands.smb:
\

После успешного подключения smbclient к общему ресурсу утилита переходит в интерактивный режим и отображает следующее приглашение:

smb: \

Чтобы отобразить все доступные команды в интерактивной оболочке, введите:

smb: \ help

Чтобы отобразить справку по конкретной команде, введите:

smb: \ help command_name

Использование smbclient в интерактивном режиме

Если используется smbclient без параметра -c, утилита переходит в интерактивный режим. Следующая процедура показывает, как подключиться к общему ресурсу SMB и загрузить файл из подкаталога.

Процедура:

1. Подключитесь к общему ресурсу:

# smbclient -U "DOMAIN\user_name" //server_name/share_name

2. Перейдите в каталог /example/:

smb: \ d /example/

3. Перечислите файлы в каталоге:

smb: \example\  ls
  .                    D         0  Thu Nov 1 10:00:00 2018
  ..                   D         0  Thu Nov 1 10:00:00 2018
  example.txt          N   1048576  Thu Nov 1 10:00:00 2018

         9950208 blocks of size 1024. 8247144 blocks available

4. Скачайте example.txt файл:

smb: \example\ get example.txt
getting file \directory\subdirectory\example.txt of size 1048576 as example.txt (511975,0 KiloBytes/sec) (average 170666,7 KiloBytes/sec)

5. Отключитесь от общего доступа:

smb: \example\ exit

Использование smbclient в режиме сценариев

Если передается параметр -c в smbclient, можно автоматически выполнять команды на удаленном общем ресурсе SMB. Это позволяет использовать smbclient в скриптах.

Следующая процедура показывает, как подключиться к общему ресурсу SMB и загрузить файл из подкаталога.

Процедура:

Используйте следующую команду для подключения к форме, перейдите в каталог примеров, загрузите example.txt файл:

# smbclient -U DOMAIN\user_name //server_name/share_name -c "cd /example/ ; get example.txt ; exit"

Настройка samba в качестве сервера печати#

Если настроена samba в качестве сервера печати, клиенты в сети могут использовать samba для печати. Кроме того, клиенты Windows могут, если они настроены, загружать драйвер с сервера samba.

Предварительные условия:

samba была настроена в одном из следующих режимов:

• Автономный сервер.

• Участник домена.

Служба Samba spoolssd

Samba spoolss - это сервис, который интегрирован в службу smbd. Включите spoolss в конфигурации samba, чтобы значительно повысить производительность на серверах печати с большим количеством заданий или принтеров.

Без spoolssd служба samba разветвляет процесс smbd и инициализирует кеш printcap для каждого задания печати. В случае большого количества принтеров служба smbd может перестать отвечать на запросы в течение нескольких секунд во время инициализации кеша. Служба spoolssd позволяет запускать предварительно разветвленные процессы smbd, которые обрабатывают задания печати без каких-либо задержек. Основной процесс spoolss smbd использует небольшой объем памяти, а также разветвляет и завершает дочерние процессы.

Следующая процедура объясняет, как включить службу spoolss.

Процедура:

1. Отредактируйте раздел [global] в файле /etc/samba/smb.conf:

• Добавьте следующие параметры:

rpc_server:spoolss = external

rpc_daemon:spoolssd = fork

• При желании можно установить следующие параметры, как в таблице ниже:

2. Проверьте файл /etc/samba/smb.conf:

# testparm

3. Перезапустите службу smb:

# systemctl restart smb

После перезапуска службы samba автоматически запускает дочерние smbd процессы:

# ps axf
...
30903 smbd
30912  \_ smbd
30913      \_ smbd
30914      \_ smbd
30915      \_ smbd
...

Включение поддержки сервера печати в samba

В этом разделе объясняется, как включить поддержку сервера печати в samba.

Процедура:

На сервере samba настройте CUPS и добавьте принтер в серверную часть CUPS. Дополнительные сведения о настройке принтеров в CUPS см. в документации, предоставленной в веб-консоли CUPS (https://print_server_host_name:631/help) на сервере печати.

Примечание: samba может пересылать задания печати в CUPS только в том случае, если CUPS установлен локально на сервере печати samba.

1. Отредактируйте файл /etc/samba/smb.conf:

• Если необходимо включить службу spoolssd, добавьте следующие параметры в раздел [global]:

rpc_server:spoolss = external
rpc_daemon:spoolssd = fork

• Чтобы настроить серверную часть печати, добавьте раздел [printers]:

[printers]
        comment = All Printers
        path = /var/tmp/
        printable = yes
        create mask = 0600

Примечание: Имя общего ресурса [printers] жестко задано и не может быть изменено.

3. Проверьте файл /etc/samba/smb.conf:

# testparm

4. Откройте необходимые порты и перезагрузите конфигурацию межсетевого экрана с помощью утилиты firewall-cmd:

# firewall-cmd --permanent --add-service=samba
# firewall-cmd --reload

5. Перезапустите службу smb:

# systemctl restart smb

После перезапуска службы samba автоматически предоставляет общий доступ ко всем принтерам, настроенным в серверной части CUPS. Если необходимо вручную предоставить общий доступ только к определенным принтерам, см. раздел Предоставление общего доступа к определенным принтерам вручную.

Общий доступ к определенным принтерам вручную

Если настроена samba в качестве сервера печати, по умолчанию samba предоставляет общий доступ ко всем принтерам, настроенным в серверной части CUPS. Следующая процедура объясняет, как предоставить общий доступ только к определенным принтерам.

Предварительные условия:

Сервер samba настроен как сервер печати

Процедура:

1. Отредактируйте файл /etc/samba/smb.conf:

• В разделе [global] отключите автоматический общий доступ к принтеру, установив:

load printers = no

• Добавьте раздел для каждого принтера, которым нужно поделиться. Например, чтобы предоставить общий доступ к принтеру с именем example в серверной части CUPS в качестве Example-Printer в samba, добавьте следующий раздел:

[Example-Printer]
        path = /var/tmp/
        printable = yes
        printer name = example

Отдельные каталоги для каждого принтера не нужны. Можно задать в параметре path для принтера тот же каталог буфера обмена, что и в разделе [print$].

2. Проверьте /etc/samba/smb.conf файл:

# testparm

3. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

Настройка автоматической загрузки драйверов принтеров для клиентов Windows на серверах печати samba#

Если используется сервер печати samba для клиентов Windows, можно загрузить драйверы и предварительно настроить принтеры. Если пользователь подключается к принтеру, Windows автоматически загружает и устанавливает драйвер локально на клиенте. Пользователю не требуются права локального администратора для установки. Кроме того, Windows применяет предварительно настроенные параметры драйвера, такие как количество лотков.

Предварительные условия:

samba настроен как сервер печати

Основная информация о драйверах принтера

В этом разделе содержится общая информация о драйверах принтера.

Поддерживаемая версия модели драйвера

samba поддерживает только модель драйвера принтера версии 3, которая поддерживается в Windows 2000 и более поздних версиях, а также в Windows Server 2000 и более поздних версиях. samba не поддерживает модель драйвера версии 4, представленную в Windows 8 и Windows Server 2012. Однако эти и более поздние версии Windows также поддерживают драйверы версии 3.

Драйверы с поддержкой пакетов

samba не поддерживает драйверы с поддержкой пакетов.

Подготовка драйвера принтера к загрузке

Прежде чем загрузить драйвер на сервер печати samba:

• Распакуйте драйвер, если он предоставлен в сжатом формате.

• Для некоторых драйверов требуется запустить приложение установки, которое устанавливает драйвер локально на хост Windows. В определенных ситуациях программа установки извлекает отдельные файлы во временную папку операционной системы во время выполнения программы установки. Чтобы использовать файлы драйверов для загрузки:

  1. Запустите программу установки.

  2. Скопируйте файлы из временной папки в новое место.

  3. Отмените установку. Обратитесь к производителю принтера за драйверами, поддерживающими загрузку на сервер печати.

Предоставление клиенту 32-разрядных и 64-разрядных драйверов для принтера

Чтобы предоставить драйвер для принтера как для 32-разрядных, так и для 64-разрядных клиентов Windows, необходимо загрузить драйвер с точно таким же именем для обеих архитектур. Например, если загружается 32-разрядный драйвер с именем Example PostScript и 64-разрядный драйвер с именем Example PostScript (v1.0), имена не совпадают. Следовательно, можно назначить принтеру только один из драйверов, и драйвер не будет доступен для обеих архитектур.

Предоставление пользователям возможности загружать и предварительно настраивать драйверы

Чтобы иметь возможность загружать и предварительно настраивать драйверы принтера, пользователю или группе необходимо предоставить привилегию SePrintOperatorPrivilege. Пользователь должен быть добавлен в группу администратора печати. SberLinux автоматически создает эту группу при установке пакета samba. Администратор печати Группе присваивается самый низкий доступный динамический системный идентификатор GID, который меньше 1000.

Процедура:

1. Например, чтобы предоставить привилегию SePrintOperatorPrivilege группе администраторов печати:

# net rpc rights grant "printadmin" SePrintOperatorPrivilege -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
Successfully granted rights.

Примечание: В доменной среде предоставьте SePrintOperatorPrivilegeгруппе доменов. Это позволяет централизованно управлять привилегиями путем обновления членства пользователя в группе.

2. Чтобы перечислить всех пользователей и группы, которым предоставлены привилегии SePrintOperatorPrivilege, выполните:

# net rpc rights list privileges SePrintOperatorPrivilege -U "DOMAIN\administrator"
Enter administrator's password:
SePrintOperatorPrivilege:
 BUILTIN\Administrators
 DOMAIN\printadmin

Настройка общего ресурса print$

Операционные системы Windows загружают драйверы принтера с общего ресурса с именем print$ с сервера печати. Это имя общего ресурса жестко задано в Windows и не может быть изменено.

Следующая процедура объясняет, как предоставить общий доступ к каталогу /var/lib/samba/drivers/ в качестве print$ и разрешить членам локальной группы printadmin загружать драйверы принтера.

Процедура:

1. Добавьте раздел [print$] в файл /etc/samba/smb.conf:

[print$]
        path = /var/lib/samba/drivers/
        read only = no
        write list = @printadmin
        force group = @printadmin
        create mask = 0664
        directory mask = 2775

Используйте эти настройки, когда:

• Только члены группы printadmin могут загружать драйверы принтера в общий ресурс.

• Группе вновь созданных файлов и каталогов будет присвоено значение printadmin.

• Разрешения для новых файлов будут установлены на 664.

• Разрешения для новых каталогов будут установлены на 2775.

2. Чтобы загружать только 64-разрядные драйверы для всех принтеров, включите этот параметр в раздел [global] в файле /etc/samba/smb.conf:

spoolss: architecture = Windows x64

Без этого параметра Windows отображает только драйверы, для которых загрузили 32-разрядную версию.

3. Проверьте файл /etc/samba/smb.conf:

# testparm

4. Перезагрузите конфигурацию samba

# smbcontrol all reload-config

5. Создайте группу printadmin, если она не существует:

# groupadd printadmin

6. Предоставьте группе printadmin привилегию SePrintOperatorPrivilege.

# net rpc rights grant "printadmin"
SePrintOperatorPrivilege
-U "DOMAIN\administrator"Enter DOMAIN\administrator's password:Successfully granted rights.

7. Если запускаете SELinux в принудительном режиме, установите контекст samba_share_t в каталоге:

# semanage fcontext -a -t samba_share_t "/var/lib/samba/drivers(/.)?"
# *restorecon -Rv /var/lib/samba/drivers/

8. Установите разрешения для каталога /var/lib/samba/drivers/:

• Если используете списки управления доступом POSIX, установите:

# chgrp -R "printadmin" /var/lib/samba/drivers/
# chmod -R 2775 /var/lib/samba/drivers/

• Если используете списки управления доступом Windows, установите (см. таблицу ниже):

Дополнительные сведения о настройке списков управления доступом в Windows см. в документации Windows.

Создание объекта групповой политики, чтобы клиенты могли доверять серверу печати samba.

По соображениям безопасности последние версии операционных систем Windows запрещают клиентам загружать драйверы принтера, не зависящие от пакетов, с ненадежного сервера. Если сервер печати является участником AD, можно создать объект групповой политики (GPO) в своем домене, чтобы доверять серверу samba.

Предварительные условия:

• Сервер печати samba является членом домена AD.

• Под управлением Windows, который используется для создания объекта групповой политики, должны быть установлены средства администрирования удаленного сервера Windows (RSAT).

• Дополнительные сведения см. в документации Windows.

Процедура:

1. Войдите в систему с Windows, используя учетную запись, которой разрешено редактировать групповые политики, например пользователя AD domain Administrator.

2. Откройте консоль управления групповой политикой.

3. Нажмите правой кнопкой мыши на домене AD и выберите Create a GPO in this domain, and Link it here (Создать объект групповой политики в этом домене и связать его здесь). samba создаст новый объект групповой политики.

Рисунок. Создание объекта групповой политики в этом домене

4. Введите имя объекта групповой политики, например, устаревшую политику драйвера принтера, и нажмите кнопку ОК. Новый объект групповой политики будет отображаться под записью домена.

5. Нажмите правой кнопкой мыши на недавно созданном объекте групповой политики и выберите Edit, чтобы открыть редактор управления групповой политикой.

6. Перейдите в раздел Computer Configuration → Policies → Administrative Templates → Printers.

7. В правой части окна дважды нажмите Point and Print Restriction, чтобы отредактировать политику:

• Включите политику и задайте следующие параметры:

  • Выберите пользователей, которые могут указывать и печатать только на эти серверы (Users can only point and print to these servers) и введите полное доменное имя (FQDN) сервера печати samba в поле рядом с этим параметром.

  • В разделе Security Prompts выберите Do not show warning or elevation prompt (Не показывать предупреждение или запрос на повышение прав).

  • Нажмите кнопку ОК.

8. Дважды нажмите пункт назначения пакета и серверы, одобренные для печати, чтобы отредактировать политику:

• Включите политику и нажмите кнопку Show (Показать).

• Введите полное доменное имя сервера печати samba.

• Закройте окно Show Contents и окно свойств политики, нажав кнопку ОК.

9. Закройте редактор управления групповой политикой Group Policy Management Editor.

10. Закройте консоль управления групповой политикой Group Policy Management Console.

После того как участники домена Windows применили групповую политику, драйверы принтера автоматически загружаются с сервера samba при подключении пользователя к принтеру.

Загрузка драйверов и предварительная настройка принтеров

Используйте приложение управления печатью на клиенте Windows для загрузки драйверов и предварительной настройки принтеров, размещенных на сервере печати samba. Дополнительные сведения см. в документации Windows.

Запуск samba на сервере с включенным режимом FIPS#

В этом разделе представлен обзор ограничений запуска samba с включенным режимом FIPS.

Ограничения использования samba в режиме FIPS

Следующие режимы и функции samba работают в режиме FIPS при указанных условиях:

• samba как член домена только в средах Active Directory (AD) или SberLinux Identity Management (IdM) с проверкой подлинности Kerberos, использующей шифры AES.

• samba в качестве файлового сервера на члене домена Active Directory. Однако для этого требуется, чтобы клиенты использовали Kerberos для аутентификации на сервере.

Из-за повышенной безопасности FIPS следующие функции и режимы samba не работают, если включен режим FIPS:

• Аутентификация NT LAN Manager (NTLM), поскольку шифры RC4 заблокированы;

• Протокол серверного блока сообщений версии 1 (SMB1);

• Режим автономного файлового сервера, поскольку он использует аутентификацию NTLM;

• Контроллеры домена в стиле NT4;

• Члены домена в стиле NT4;

• Изменение пароля на сервере samba. Можно выполнять изменения пароля только с помощью Kerberos для контроллера домена Active Directory;

Следующая функция не тестируется в режиме FIPS и, следовательно, не поддерживается SberLinux:

• Запуск samba в качестве сервера печати.

Использование samba в режиме FIPS

В этом разделе описывается, как включить режим FIPS на хосте SberLinux, на котором запущена samba.

Предварительные условия:

• samba настроен на хосте SberLinux.

• samba работает в режиме, который поддерживается в режиме FIPS.

Процедура:

1. Включите режим FIPS на SberLinux:

# fips-mode-setup --enable

2. Перезагрузите сервер:

# reboot

3. Используйте утилиту testparm для проверки конфигурации:

# testparm -s

Если команда отображает какие-либо ошибки или несовместимости, исправьте их, чтобы убедиться, что samba работает правильно.

Настройка производительности сервера samba#

В этой главе описывается, какие настройки могут повысить производительность samba в определенных ситуациях, а какие настройки могут оказать негативное влияние на производительность.

Предварительные условия:

samba настроен как файловый сервер или сервер печати.

Установка версии протокола SMB

Каждая новая версия SMB добавляет функции и улучшает производительность протокола. Последние операционные системы Windows и Windows Server всегда поддерживают последнюю версию протокола. Если samba также использует последнюю версию протокола, клиенты Windows, подключающиеся к samba, выигрывают от повышения производительности. В samba значение по умолчанию для протокола server max установлено на последнюю поддерживаемую стабильную версию протокола SMB.

Примечание: Чтобы всегда была включена последняя стабильная версия протокола SMB, не устанавливайте параметр server max protocol. Если параметр задается вручную, нужно изменять настройку с каждой новой версией протокола SMB, чтобы была включена последняя версия протокола.

Следующая процедура объясняет, как использовать значение по умолчанию в параметре протокола server max.

Процедура:

1. Удалите параметр протокола server max из раздела [global] в файле /etc/samba/smb.conf.

2. Перезагрузите конфигурацию samba.

# smbcontrol all reload-config

Настройка общих ресурсов с каталогами, содержащими большое количество файлов

Linux поддерживает имена файлов, чувствительные к регистру. По этой причине samba необходимо сканировать каталоги на наличие заглавных и строчных имен файлов при поиске или доступе к файлу. Можно настроить общий ресурс для создания новых файлов только в нижнем или верхнем регистре, что повышает производительность.

Предварительные условия:

samba настроен как файловый сервер

Процедура:

1. Переименуйте все файлы в общей папке в нижний регистр.

Примечание: Используя настройки в этой процедуре, файлы с именами, отличными от строчных, больше не будут отображаться.

2. Установите следующие параметры в разделе общего ресурса:

case sensitive = truedefault case = lowerpreserve case = noshort preserve case = no

3. Проверьте файл /etc/samba/smb.conf:

# testparm

4. Перезагрузите конфигурацию samba:

# smbcontrol all reload-config

После того как эти настройки применены, имена всех вновь созданных файлов на этом общем ресурсе будут написаны строчными буквами. Благодаря этим настройкам samba больше не нужно сканировать каталог на наличие прописных и строчных букв, что повышает производительность.

Настройки, которые могут негативно сказаться на производительности

По умолчанию ядро в SberLinux настроено на высокую производительность сети. Например, ядро использует механизм автоматической настройки размеров буфера. Установка параметра socket options в файле /etc/samba/smb.conf переопределяет эти настройки ядра. В результате установка этого параметра в большинстве случаев снижает производительность сети samba.

Чтобы использовать оптимизированные настройки из ядра, удалите параметр socket options из раздела [global] в /etc/samba/smb.conf.

Настройка samba для совместимости с клиентами, которым требуется версия SMB ниже версии по умолчанию.#

Samba использует разумное и безопасное значение по умолчанию для поддерживаемой ею версии минимального блока сообщений сервера (SMB).

Установка минимальной версии протокола SMB, поддерживаемой сервером samba

В Samba параметр протокола server min в файле /etc/samba/smb.confопределяет минимальную версию протокола блока сообщений сервера (SMB), поддерживаемую сервером samba. В этом разделе описывается, как изменить минимальную версию протокола SMB.

Предварительные условия:

Samba установлена и настроена.

Процедура:

1. Отредактируйте файл /etc/samba/smb.conf, добавьте параметр протокола сервера min и установите для параметра минимальную версию протокола SMB, которую должен поддерживать сервер. Например, чтобы установить минимальную версию протокола SMB на SMB3, добавьте:

server min protocol = SMB3

2. Перезапустите smb службу:

# systemctl restart smb

Часто используемые утилиты командной строки samba#

В этой главе описываются часто используемые команды при работе с сервером samba.

Использование команд net ads join и net rpc join

Используя подкоманду join утилиты net, можно присоединить samba к домену AD или NT4. Чтобы присоединиться к домену, необходимо вручную создать файл /etc/samba/smb.conf и при необходимости обновить дополнительные конфигурации, такие как PAM.

Процедура:

1. Вручную создайте файл /etc/samba/smb.conf со следующими настройками:

• Для участника домена AD:

[global]workgroup = domain_namesecurity = adspassdb backend = tdbsamrealm = AD_REALM

• Для участника домена NT4:

[global]workgroup = domain_namesecurity = userpassdb backend = tdbsam

2. Добавьте конфигурацию сопоставления идентификаторов для домена * по умолчанию и для домена, к которому можно присоединиться, в раздел [global] в /etc/samba/smb.conf файле.

3. Проверьте файл /etc/samba/smb.conf:

# testparm

4. Присоединитесь к домену в качестве администратора домена:

• Чтобы присоединиться к рекламному домену:

# net ads join -U "DOMAIN\administrator"

• Чтобы присоединиться к домену NT4:

# net rpc join -U "DOMAIN\administrator"

5. Добавьте источник winbind к записи базы данных passwd и group в /etc/nsswitch.conf файле:

passwd: files winbind
group: files winbind

6. Включите и запустите службу winbind:

# systemctl enable --now winbind

7. При необходимости настройте PAM с помощью утилиты authselect.

8. При необходимости для сред AD настройте клиент Kerberos.

Использование команды net rpc rights

В Windows можно назначить привилегии учетным записям и группам для выполнения специальных операций, таких как настройка списков доступа к общему ресурсу или загрузка драйверов принтера. На сервере samba можно использовать команду net rpc rights для управления привилегиями.

Список привилегий, которые можно установить

Чтобы перечислить все доступные привилегии и их владельцев, используйте команду список прав net rpc. Например:

# net rpc rights list -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
     SeMachineAccountPrivilege  **Add** machines to domain
      SeTakeOwnershipPrivilege  Take ownership of files or other objects
             SeBackupPrivilege  Back up files and directories
            SeRestorePrivilege  Restore files and directories
     SeRemoteShutdownPrivilege  Force shutdown from a remote system
      SePrintOperatorPrivilege  Manage printers
           SeAddUsersPrivilege  **Add** users and groups to the domain
       SeDiskOperatorPrivilege  Manage disk shares
           SeSecurityPrivilege  System security

Предоставление привилегий

Чтобы предоставить привилегии учетной записи или группе, используйте net rpc rights grant команду.

Например, предоставьте привилегию SePrintOperatorPrivilege группе DOMAIN\printadmin:

# net rpc rights grant "DOMAIN\printadmin" SePrintOperatorPrivilege -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
Successfully granted rights.

Аннулирование привилегий

Чтобы отозвать привилегии у учетной записи или группы, используйте net rpc rights revoke команду.

Например, чтобы отозвать привилегию SePrintOperatorPrivilege из группы DOMAIN\printadmin:

# net rpc rights remoke "DOMAIN\printadmin" SePrintOperatorPrivilege -U "DOMAIN\administrator"
Enter DOMAIN\administrator's password:
Successfully revoked rights.

Использование команды net rpc share

Команда net rpc share предоставляет возможность перечислять, добавлять и удалять общие ресурсы на локальном или удаленном сервере samba или Windows.

Listing shares

Чтобы перечислить общие ресурсы на сервере SMB, используйте команду net rpc share list (список общих ресурсов). При необходимости передайте параметр -S server_name команде, чтобы перечислить общие ресурсы удаленного сервера. Например:

# net rpc share list -U "DOMAIN\administrator" -S server_name
Enter DOMAIN\administrator's password:
IPC$
share_1
share_2
...

Примечание: Общие ресурсы, размещенные на сервере samba, для которых в разделе /etc/samba/smb.confустановлено значение browseable = no, в выходных данных не отображаются.

Добавление общего ресурса

Команда добавления общего ресурса net rpc позволяет добавить общий ресурс на SMB-сервер.

Например, чтобы добавить общий ресурс с именем example на удаленном сервере Windows, который совместно использует C:\example\ каталог:

# net rpc share **Add** example="C:\example" -U "DOMAIN\administrator" -S server_name

Примечание: необходимо опустить конечную обратную косую черту в пути при указании имени каталога Windows.

Чтобы использовать команду для добавления общего ресурса на сервер samba:

Пользователь, указанный в параметре -U, должен иметь привилегию SeDiskOperatorPrivilege, предоставленную на целевом сервере.

Необходимо написать скрипт, который добавляет раздел общего доступа к файлу /etc/samba/smb.conf и перезагружает samba. Сценарий должен быть задан в параметре команды Add share в файле /etc/samba/smb.conf [global] раздела .

Удаление общего ресурса

Команда удаления общего ресурса net rpc позволяет удалить общий ресурс с сервера SMB.

Например, чтобы удалить общий ресурс с именем example с удаленного сервера Windows, выполните:

# net rpc share delete example -U "DOMAIN\administrator" -S server_name

Чтобы использовать команду для удаления общего ресурса с сервера samba:

• Пользователю, указанному в параметре -U, должна быть предоставлена привилегия SeDiskOperatorPrivilege.

• Должен быть написан скрипт, который удаляет раздел общего ресурса из файла /etc/samba/smb.conf и перезагружает samba. Сценарий должен быть установлен в параметре команды удаления общего доступа в файле /etc/samba/smb.conf [global] раздела.

Использование команды net user

Команда net user позволяет выполнять следующие действия с AD DC или NT4 PDC:

• перечисление все учетные записи пользователей;

• добавление пользователей;

• удаление пользователей.

Примечание: Указание способа подключения, такого как ads для доменов AD или rpc для доменов NT4, требуется только при перечислении учетных записей пользователей домена. Другие связанные с пользователем подкоманды могут автоматически определять метод подключения.

Передайте команде параметр -U user_name, чтобы указать пользователя, которому разрешено выполнять запрошенное действие.

Список учетных записей пользователей домена

Отобразите список всех пользователей в домене AD:

# net ads user -U "DOMAIN\administrator"

Перечислите всех пользователей в домене NT4:

# net rpc user -U "DOMAIN\administrator"

Добавление учетной записи пользователя в домен

На участнике домена samba можно использовать команду net user add для добавления учетной записи пользователя в домен.

Например, добавьте учетную запись пользователя в домен.

1. Добавьте учетную запись:

# net user **Add** user password -U "DOMAIN\administrator"
User user added

2. При необходимости используйте оболочку удаленного вызова процедур (RPC), чтобы включить учетную запись в AD DC или NT4 PDC. Например:

# net rpc shell -U DOMAIN\administrator -S DC_or_PDC_name
Talking to domain DOMAIN (S-1-5-21-1424831554-512457234-5642315751)

net rpc user edit disabled user: no Set user's disabled flag from [yes] to [no]

net rpc exit

Удаление учетной записи пользователя из домена

На участнике домена samba можно использовать команду net user delete для удаления учетной записи пользователя из домена.

Например, чтобы удалить учетную запись пользователя из домена, выполните:

# net user delete user -U "DOMAIN\administrator"
User user deleted

Использование утилиты rpclient

Утилита rpcclient позволяет вручную выполнять функции удаленного вызова процедур Microsoft на стороне клиента (MS-RPC) на локальном или удаленном сервере SMB. Однако большинство функций интегрировано в отдельные утилиты, предоставляемые samba. Используйте rpcclient только для тестирования функций MS-PRC.

Предварительные условия:

Пакет samba-client установлен.

Например, можно использовать утилиту rpcclient для управления подсистемой спула принтера (SPOOLSS).

Пример. Назначение драйвера принтеру

# rpcclient server_name -U "DOMAIN\administrator" -c 'setdriver "printer_name" "driver_name"'
Enter DOMAIN\administrators password:
Successfully set printer_name to driver driver_name.

Использование приложения samba-regedit

Определенные настройки, такие как конфигурации принтера, хранятся в реестре на сервере samba. Можно использовать приложение samba-regedit на основе ncurses для редактирования реестра сервера samba.

Рисунок. Приложение samba-regedit на основе ncurses для редактирования реестра сервера Samba

Предварительные условия:

Пакет samba-client установлен.

Процедура:

Чтобы запустить приложение, введите:

# samba-regedit

Используйте следующие клавиши:

• Курсор вверх и курсор вниз: Перемещайтесь по дереву реестра и значениям.

• Enter: открывает ключ или редактирует значение.

• Tab: Переключение между панелью ключей и значений.

• Ctrl+C: закрывает приложение.

Использование утилиты smbcontrol

Утилита smbcontrol позволяет отправлять командные сообщения в smbd, nmbd, winbindd или во все эти службы. Эти управляющие сообщения предписывают службе, например, перезагрузить свою конфигурацию.

Процедура в этом разделе показывает, как перезагрузить конфигурацию служб smbd, nmbd, winbindd, отправив сообщение типа reload-config в пункт назначения all.

Предварительные условия:

Установлен samba-common-tools пакет.

Процедура:

# smbcontrol all reload-config

Использование утилиты smbpasswd

Утилита smbpasswd управляет учетными записями пользователей и паролями в локальной базе данных samba.

Предварительные условия:

Установлен пакет samba-common-tools.

Процедура:

1. Если запускаете команду от имени пользователя, smbpasswd изменяет пароль samba пользователя, который запускает команду. Например:

[user@server ~]$ smbpasswd
New SMB password: password
Retype new SMB password: password

2. Если запускаете smbpasswd от имени пользователя root, можно использовать утилиту, например, для:

• создания нового пользователя:

[root@server ~]# smbpasswd -a user_name
New SMB password: password
Retype new SMB password: password
Added user user_name.

Примечание: Прежде чем добавить пользователя в базу данных samba, необходимо создать учетную запись в локальной операционной системе.

• включения пользователя samba:

[root@server ~]# smbpasswd -e user_nameEnabled user user_name.

• отключения пользователя samba:

[root@server ~]# smbpasswd -x user_nameDisabled user user_name

• удаления пользователя:

[root@server ~]# smbpasswd -x user_name
Deleted user user_name.

Использование утилиты smbstatus

Утилита smbstatus сообщает:

• о подключении по PID каждого демона smbd к серверу samba. Этот отчет включает имя пользователя, основную группу, версию протокола SMB, информацию о шифровании и подписи;

• о соединении для каждого общего ресурса samba. Этот отчет включает в себя PID демона smbd, IP-адрес подключающейся машины, временную метку, когда было установлено соединение, информацию о шифровании и подписи;

• о списке заблокированных файлов. Записи отчета содержат дополнительные сведения, такие как типы оппортунистических блокировок (oplock).

Предварительные условия:

• Пакет samba установлен.

• Служба smbd запущена.

Процедура:

# smbstatus

Samba version 4.15.2
PID  Username              Group                Machine                            Protocol Version  Encryption  Signing
....-------------------------------------------------------------------------------------------------------------------------
963  DOMAIN\administrator  DOMAIN\domain users  client-pc  (ipv4:192.0.2.1:57786)  SMB3_02           -           AES-128-CMAC

Service  pid  Machine    Connected at                  Encryption  Signing:
....---------------------------------------------------------------------------
example  969  192.0.2.1  Thu Nov  1 10:00:00 2018 CEST  -           AES-128-CMAC

Locked files:
Pid  Uid    DenyMode   Access    R/W     Oplock      SharePath           Name      Time
....--------------------------------------------------------------------------------------------------------
969  10000  DENY_WRITE 0x120089  RDONLY  LEASE(RWH)  /srv/samba/example  file.txt  Thu Nov  1 10:00:00 2018

Использование утилиты smbtar

Утилита smbtar создает резервные копии содержимого общего ресурса SMB или его подкаталога и сохраняет содержимое в архиве tar. В качестве альтернативы можно записать содержимое на ленточное устройство.

Предварительные условия:

Пакет samba-client установлен.

Процедура:

Используйте следующую команду для резервного копирования содержимого каталога demo на //server/example/ share и сохранения содержимого в архиве /root/example.tar:

# smbtar -s server -x example -u user_name -p password -t /root/example.tar

Использование утилиты wbinfo

Утилита wbinfo запрашивает и возвращает информацию, созданную и используемую winbindd службой.

Предварительные условия:

Установлен пакет samba-winbind-clients.

Процедура:

Можно использовать wbinfo для:

• списка пользователей домена:

# wbinfo -u
AD\administrator
AD\guest
...

• списка групп доменов:

# wbinfo -g
AD\domain computers
AD\domain admins
AD\domain users
...

• отображения SID пользователя:

# wbinfo --name-to-sid="AD\administrator"

S-1-5-21-1762709870-351891212-3141221786-500 SID_USER (1)

• отображения информации о доменах и доверенных лицах:

# wbinfo --trusted-domains --verbose
Domain Name   DNS Domain            Trust Type  Transitive  In   Out
BUILTIN                             None        Yes         Yes  Yes
server                              None        Yes         Yes  Yes
DOMAIN1       domain1.example.ru   None        Yes         Yes  Yes
DOMAIN2       domain2.example.ru   External    No          Yes  Yes

• принудительного изменения пароля доверенной учетной записи на контроллере домена:

# wbinfo --change-secret-at=<domain_controller>

Дополнительные ресурсы#

Справочная страница: smb.conf(5).

Каталог /usr/share/docs/samba-version/ содержит общую документацию, примеры сценариев и файлы схемы LDAP, предоставленные проектом samba.

Настройка и управление DNS-сервером BIND#

BIND - это многофункциональный DNS-сервер, который полностью соответствует стандартам DNS Internet Engineering Task Force (IETF) и проектам стандартов. Например, администраторы часто используют BIND как:

• кеширование DNS-сервера в локальной сети;

• авторитетный DNS-сервер для зон;

• дополнительный сервер для обеспечения высокой доступности зон.

Установка BIND#

Чтобы обезопасить установку BIND, проделайте следующее:

• Запустите именованную службу без изменения корневой среды. В этом случае SELinux в принудительном режиме предотвращает использование известных уязвимостей безопасности BIND. По умолчанию SberLinux использует SELinux в принудительном режиме.

Примечание: Запуск BIND на SberLinux с SELinux в принудительном режиме более безопасен, чем запуск BIND в среде с измененным root.

• Запустите службу named-chroot в среде с измененным root.

Используя функцию изменения корневого каталога, администраторы могут определить, что корневой каталог процесса и его подпроцессов отличается от каталога /. Когда запускаете службу named-chroot, BIND переключает ее корневой каталог на /var/named/chroot/. Как следствие, служба использует команды mount --bind для создания файлов и каталогов, перечисленных в /etc/named-chroot. Файлы доступны в /var/named/chroot/, и процесс не имеет доступа к файлам за пределами /var/named/chroot/.

Для использования BIND:

• В обычном режиме используйте именованную службу.

• В среде с измененным root используйте службу named-chroot. Для этого необходимо дополнительно установить пакет named-chroot.

Настройка BIND в качестве кеширующего сервера имен#

По умолчанию DNS-сервер BIND разрешает и кеширует успешные и неудачные запросы. Затем служба отвечает на запросы к тем же записям из своего кеша. Это значительно повышает скорость поиска в DNS.

Предварительные условия:

IP-адрес сервера является статическим.

Процедура:

1. Установите bindbind-утилиты и пакеты:

# yum install bind bind-utils

Эти пакеты предоставляют BIND 9.11. Если требуется BIND 9.16, установите bind9.16bind9.16-utils утилиты и пакеты.

2. Если необходимо запустить BIND в среде с измененным root, установите bind-chroot пакет:

# yum install bind-chroot

Обратите внимание, что запуск BIND на хосте с SELinux в принудительном режиме, который установлен по умолчанию, является более безопасным.

3. Отредактируйте файл /etc/named.conf и внесите следующие изменения в options инструкцию:

• Обновите инструкции listen-on и listen-on-v6, чтобы указать, какие интерфейсы IPv4 и IPv6 BIND должны прослушиваться:

listen-on port 53 { 127.0.0.1; 192.0.2.1; };

listen-on-v6 port 53 { ::1; 2001:db8:1::1; };

• Обновите инструкцию разрешить запрос, чтобы настроить, с каких IP-адресов и диапазонов клиенты могут запрашивать этот DNS-сервер:

allow-query { localhost; 192.0.2.0/24; 2001:db8:1::/64; };

• Добавьте оператор allow-recursion, чтобы определить, с каких IP-адресов и диапазонов BIND принимает рекурсивные запросы:

allow-recursion { localhost; 192.0.2.0/24; 2001:db8:1::/64; };

Предупреждение: Не разрешайте рекурсию по общедоступным IP-адресам сервера. В противном случае сервер может стать частью крупномасштабных атак по усилению DNS.

• По умолчанию BIND разрешает запросы путем рекурсивного запроса от корневых серверов к авторитетному DNS-серверу. В качестве альтернативы можно настроить BIND для пересылки запросов на другие DNS-серверы, например, установленного провайдера. В этом случае добавьте инструкцию forwarders со списком IP-адресов DNS-серверов, на которые BIND должен пересылать запросы:

forwarders { 198.51.100.1; 203.0.113.5; };

В качестве запасного варианта BIND разрешает запросы рекурсивно, если серверы пересылки не отвечают. Чтобы отключить это поведение, добавьте forward only; оператор.

4. Проверьте синтаксис файла /etc/named.conf:

# named-checkconf

Если команда не выводит никаких выходных данных, синтаксис правильный.

5. Обновите правила межсетевого экрана, чтобы разрешить входящий DNS-трафик:

# firewall-cmd --permanent --add-service=dns# firewall-cmd --reload

6. Запустите и включите BIND:

# systemctl enable --now named

Если необходимо запустить BIND в среде с измененным root, используйте команду systemctl enable --now named-chroot для включения и запуска службы.

Проверка:

1. Используйте недавно настроенный DNS-сервер для разрешения домена:

# dig @localhost www.example.org
...
www.example.org.    86400    IN    A    198.51.100.34

;; Query time: 917 msec
...

В этом примере предполагается, что BIND выполняется на том же хосте и отвечает на запросы в интерфейсе localhost.

После первого запроса записи BIND добавляет запись в собственный кеш.

2. Повторите предыдущий запрос:

# dig @localhost www.example.org
...
www.example.org.    85332    IN    A    198.51.100.34

;; Query time: 1 msec
...

Из-за кешированной записи дальнейшие запросы к той же записи выполняются значительно быстрее, пока срок действия записи не истечет.

Следующие шаги:

Настройте клиентов в сети на использование этого DNS-сервера. Если DHCP-сервер предоставляет клиентам настройки DNS-сервера, соответствующим образом обновите конфигурацию DHCP-сервера.

Экспорт общих ресурсов NFS#

Как системный администратор, можно использовать сервер NFS для совместного использования каталога в системе по сети.

Введение в NFS#

В этом разделе объясняются основные концепции службы NFS.

Сетевая файловая система (NFS) позволяет удаленным хостам монтировать файловые системы по сети и взаимодействовать с этими файловыми системами так, как если бы они монтировались локально. Это позволяет консолидировать ресурсы на централизованных серверах в сети.

Сервер NFS обращается к файлу /etc/exports конфигурации, чтобы определить, разрешен ли клиенту доступ к любым экспортированным файловым системам. После проверки все операции с файлами и каталогами доступны пользователю.

Поддерживаемые версии NFS#

В этом разделе перечислены версии NFS, поддерживаемые в SberLinux, и их функции.

В настоящее время SberLinux поддерживает следующие основные версии NFS:

• NFS версии 3 (NFSv3) поддерживает безопасную асинхронную запись и более надежна при обработке ошибок, чем предыдущая NFSv2; она также поддерживает 64-разрядные размеры файлов и смещения, позволяя клиентам получать доступ к более чем 2 ГБ файловых данных.

• NFS версии 4 (NFSv4) работает через межсетевые экраны и в Интернете, больше не требует rpcbind службы, поддерживает списки управления доступом (ACL) и использует операции с отслеживанием состояния.

Версия NFS по умолчанию

Версия NFS по умолчанию в SberLinux. Клиенты NFS пытаются подключиться, используя NFSv4.2 по умолчанию, и возвращаются к NFSv4.1, когда сервер не поддерживает NFSv4.2. Позже монтирование возвращается к NFSv4.0, а затем к NFSv3.

Особенности минорных версий NFS

Копия на стороне сервера

Позволяет клиенту NFS эффективно копировать данные, не тратя впустую сетевые ресурсы, используя системный вызов copy_file_range().

Разреженные файлы Позволяет файлам иметь одно или несколько отверстий, которые представляют собой нераспределенные или неинициализированные блоки данных, состоящие только из нулей. Операция lseek() в NFSv4.2 поддерживает функции seek_hole() и seek_data(), которые позволяют приложениям отображать местоположение отверстий в разреженном файле.

Резервирование места Позволяет серверам хранения резервировать свободное пространство, что запрещает серверам исчерпывать пространство. NFSv4.2 поддерживает операцию allocate() для резервирования места, операцию deallocate( для освобождения места и операцию fallocate() для предварительного выделения или освобождения места в файле.

Помеченный NFS Обеспечивает соблюдение прав доступа к данным и позволяет устанавливать метки SELinux между клиентом и сервером для отдельных файлов в файловой системе NFS.

Улучшения макета Предоставляет операцию layoutstats(), которая позволяет некоторым параллельным серверам NFS (pNFS) собирать лучшую статистику производительности.

Ниже приведены особенности NFSv4.1:

• Повышает производительность и безопасность сети, а также включает поддержку PNFS на стороне клиента.

• Больше не требуется отдельное TCP-соединение для обратных вызовов, что позволяет серверу NFS предоставлять делегирование, даже когда он не может связаться с клиентом: например, при вмешательстве NAT или межсетевого экрана.

• Обеспечивает семантику ровно один раз (за исключением операций перезагрузки), предотвращая предыдущую проблему, из-за которой некоторые операции иногда возвращали неточный результат, если ответ был потерян и операция была отправлена дважды.

Протоколы TCP и UDP в NFSv3 и NFSv4#

Для NFSv4 требуется протокол управления передачей (TCP), работающий по IP-сети.

NFSv3 также мог использовать протокол пользовательских дейтаграмм (UDP). В SberLinux NFS через UDP больше не поддерживается. По умолчанию UDP отключен на сервере NFS.

Службы, необходимые NFS#

В этом разделе перечислены системные службы, необходимые для запуска сервера NFS или подключения общих ресурсов NFS. SberLinux запускает эти службы автоматически.

SberLinux использует комбинацию процессов поддержки и обслуживания на уровне ядра для обеспечения общего доступа к файлам NFS. Все версии NFS полагаются на удаленные вызовы процедур (RPC) между клиентами и серверами. Для совместного использования или монтирования файловых систем NFS следующие службы работают совместно в зависимости от того, какая версия NFS реализована:

nfsd Модуль ядра сервера NFS, который обслуживает запросы к общим файловым системам NFS.

rpcbind Принимает резервирование портов от местных служб RPC. Затем эти порты становятся доступными (или рекламируются), чтобы соответствующие удаленные службы RPC могли получить к ним доступ. Служба rpcbind отвечает на запросы служб RPC и устанавливает соединения с запрошенной службой RPC. Это не используется с NFSv4.

rpc.mountd Этот процесс используется сервером NFS для обработки запросов на подключение от клиентов NFSv3. Он проверяет, что запрошенный общий ресурс NFS в настоящее время экспортируется сервером NFS и что клиенту разрешен доступ к нему. Если запрос на монтирование разрешен, служба nfs-mountd отвечает со статусом успешного выполнения и предоставляет дескриптор файла для этого общего ресурса NFS обратно клиенту NFS.

rpc.nfsd Этот процесс позволяет определить явные версии NFS и протоколы, которые рекламирует сервер. Он работает с ядром Linux для удовлетворения динамических требований клиентов NFS, таких, как предоставление серверных потоков при каждом подключении клиента NFS. Этот процесс соответствует службе nfs-сервера.

lockd Это поток ядра, который выполняется как на клиентах, так и на серверах. Он реализует протокол Network Lock Manager (NLM), который позволяет клиентам NFSv3 блокировать файлы на сервере. Он запускается автоматически при каждом запуске сервера NFS и при каждом подключении файловой системы NFS.

rpc.statd Этот процесс реализует протокол RPC Network Status Monitor (NSM), который уведомляет клиентов NFS о перезапуске сервера NFS без его корректного отключения. Служба rpc-statd запускается автоматически службой nfs-server и не требует настройки пользователем. Это не используется с NFSv4.

rpc.rquotad Этот процесс предоставляет информацию о квотах для удаленных пользователей. Служба rpc-rquotad должна быть запущена пользователем при запуске nfs-сервера.

rpc.idmapd Этот процесс предоставляет клиентские и серверные вызовы NFSv4, которые сопоставляют между собой сетевые имена NFSv4 (строки в виде user@domain) и локальные идентификаторы пользователя и GID. Чтобы idmapd функционировал с NFSv4, необходимо настроить файл /etc/idmapd.conf. Как минимум, должен быть указан параметр домена, который определяет домен сопоставления NFSv4. Если домен сопоставления NFSv4 совпадает с доменным именем DNS, этот параметр можно пропустить. Клиент и сервер должны согласовать домен сопоставления NFSv4, чтобы сопоставление идентификаторов функционировало должным образом.

Только сервер NFSv4 использует файл rpc.idmapd, который запускается службой nfs-idmapd. Клиент NFSv4 использует утилиту nfsidmap на основе цепочки ключей, которая вызывается ядром по требованию для выполнения сопоставления идентификаторов. Если возникает проблема с nfsidmap, клиент возвращается к использованию rpc.idmapd.

Службы RPC с NFSv4 Протоколы монтажа и блокировки были включены в протокол NFSv4. Сервер также прослушивает хорошо известный TCP-порт 2049. Таким образом, NFSv4 не нуждается во взаимодействии со службами rpcbind, lockdи rpc-statd. Служба nfs-mountd по-прежнему требуется на сервере NFS для настройки экспорта, но не участвует в каких-либо операциях по проводам.

Форматы имени хоста NFS#

В этом разделе описываются различные форматы, которые можно использовать для указания хоста при подключении или экспорте общего ресурса NFS.

Можно указать хост в следующих форматах:

Одиночная машина

Любое из следующих:

• Полное доменное имя (которое может быть разрешено сервером);

• Имя хоста (которое может быть разрешено сервером);

• IP-адрес.

IP-сети

Допустим любой из следующих форматов:

• a.b.c.d/z, где a.b.c.d - сеть, а z - количество битов в маске сети; например, 192.168.0.0/24.

• a.b.c.d/netmask, где a.b.c.d - сеть, а netmask; например, 192.168.100.8/255.255.255.0.

Сетевые группы

Формат @group-name, где group-name - это имя сетевой группы NIS.

Конфигурация NFS-сервера#

В этом разделе описывается синтаксис и параметры двух способов настройки экспорта на сервере NFS:

• Редактирование файла конфигурации /etc/exports вручную;

• Использование утилиты exportfs в командной строке.

Файл конфигурации /etc/exports

Файл /etc/exports управляет тем, какие файловые системы экспортируются на удаленные хосты, и задает параметры. Он следует следующим правилам синтаксиса:

• Пустые строки игнорируются.

• Чтобы добавить комментарий, начните строку с хеш-метки (#).

• Можно обернуть длинные строки обратной косой чертой (\ слеш).

• Каждая экспортируемая файловая система должна находиться в отдельной строке.

• Любые списки авторизованных хостов, размещенные после экспортированной файловой системы, должны быть разделены пробелами.

• Параметры для каждого из хостов должны быть заключены в круглые скобки непосредственно после идентификатора хоста, без каких-либо пробелов, разделяющих хост и первую круглую скобку.

Экспортный ввод

Каждая запись для экспортируемой файловой системы имеет следующую структуру:

export host(options)

Также возможно указать несколько хостов вместе с конкретными параметрами для каждого хоста. Для этого перечислите их в той же строке, что и список, разделенный пробелами, с каждым именем хоста, за которым следуют соответствующие параметры (в скобках), как в следующем примере:

export host1(options1) host2(options2) host3(options3)

В этой структуре:

export Экспортируемый каталог.

host Параметры хоста или сети, к которым предоставляется общий доступ при экспорте.

options Параметры, которые будут использоваться для хоста.

Параметры по умолчанию Параметрами по умолчанию для экспортной записи являются:

ro Экспортированная файловая система доступна только для чтения. Удаленные хосты не могут изменять данные, совместно используемые в файловой системе. Чтобы разрешить хостам вносить изменения в файловую систему (то есть читать и записывать), укажите rw параметр.

sync Сервер NFS не будет отвечать на запросы до тех пор, пока изменения, внесенные предыдущими запросами, не будут записаны на диск. Чтобы вместо этого включить асинхронную запись, укажите async параметр.

wdelay Сервер NFS задержит запись на диск, если заподозрит, что другой запрос на запись неизбежен. Это может повысить производительность, поскольку уменьшает количество обращений к диску с помощью отдельных команд записи, тем самым уменьшая накладные расходы на запись. Чтобы отключить, укажите параметр no_wdelay, который доступен только в том случае, если также указан параметр синхронизации по умолчанию.

root_squash Это не позволяет пользователям root, подключенным удаленно (в отличие от локальных), иметь привилегии root; вместо этого сервер NFS присваивает им идентификатор nobody пользователя. Это эффективно "сокращает" полномочия удаленного пользователя root до самого низкого локального пользователя, предотвращая возможную несанкционированную запись на удаленный сервер. Чтобы отключить раздавливание корней, укажите no_root_squash параметр.

Чтобы удалить всех удаленных пользователей (включая root), используйте параметр all_squash. Чтобы указать идентификаторы пользователя и группы, которые сервер NFS должен назначить удаленным пользователям с определенного хоста, используйте параметры anonuid и anongid: (anonuid=uid,anongid=gid). Здесь uidи gid - это идентификационный номер пользователя и идентификационный номер группы соответственно. Параметры anonuid и anongidпозволяют создать специальную учетную запись пользователя и группы для совместного использования удаленными пользователями NFS.

По умолчанию списки контроля доступа (ACL) поддерживаются NFS в SberLinux. Чтобы отключить эту функцию, укажите параметр no_acl при экспорте файловой системы.

Параметры по умолчанию и переопределенные параметры

Каждое значение по умолчанию для каждой экспортируемой файловой системы должно быть явно переопределено. Например, если параметр rw не указан, то экспортированная файловая система будет доступна только для чтения. Ниже приведен пример строки из /etc/exports, которая переопределяет два параметра по умолчанию:

export host(anonuid=uid,anongid=gid)

В этом примере 192.168.0.3 может монтировать /another/exported/directory/ для чтения и записи, и все записи на диск являются асинхронными.

Утилита exportfs

Утилита exportfs позволяет пользователю root выборочно экспортировать или не экспортировать каталоги без перезапуска службы NFS. Когда заданы соответствующие параметры, утилита exportfs записывает экспортированные файловые системы в /var/lib/nfs/xtab файле. Поскольку служба nfs-mountd ссылается на файл xtab при определении прав доступа к файловой системе, изменения в списке экспортированных файловых систем вступают в силу немедленно.

Общие параметры экспорта файлов

Ниже приведен список часто используемых опций, доступных для exportfs:

-r Вызывает экспорт всех каталогов, перечисленных в /etc/exports, путем создания нового списка экспорта в /var/lib/nfs/etab. Этот параметр эффективно обновляет список экспорта с учетом любых изменений, внесенных в /etc/exports каталог.

-а Приводит к тому, что все каталоги экспортируются или не экспортируются, в зависимости от того, какие другие параметры передаются в exportfs. Если другие параметры не указаны, exportfs экспортирует все файловые системы, указанные в /etc/exports каталоге.

-o file-systems Указывает экспортируемые каталоги, которых нет в каталоге /etc/exports. Замените файловые системы дополнительными файловыми системами, подлежащими экспорту. Эти файловые системы должны быть отформатированы таким же образом, как они указаны в /etc/exports каталоге. Этот параметр часто используется для тестирования экспортированной файловой системы перед ее постоянным добавлением в список экспортируемых файловых систем.

-i Игнорирует /etc/exports; для определения экспортируемых файловых систем используются только параметры, заданные из командной строки.

-u Не экспортирует все общие каталоги. Команда exportfs -ua приостанавливает общий доступ к файлам NFS, сохраняя при этом работоспособность всех служб NFS. Чтобы повторно включить общий доступ к NFS, используйте exportfs -r команду.

-v Подробная операция, при которой экспортируемые или неэкспортируемые файловые системы отображаются более подробно при выполнении exportfs команды. Если утилите exportfs не переданы никакие параметры, она отобразит список экспортируемых в данный момент файловых систем.

NFS и rpcbind#

В этом разделе объясняется назначение службы rpcbind, которая требуется NFSv3.

Служба rpcbind сопоставляет службы удаленного вызова процедур (RPC) с портами, на которых они прослушиваются. Процессы RPC уведомляют rpcbind при запуске, регистрируя порты, которые они прослушивают, и номера программ RPC, которые ожидают обслуживания. Затем клиентская система связывается с rpcbind на сервере с определенным номером программы RPC. Служба rpcbind перенаправляет клиента на соответствующий номер порта, чтобы он мог взаимодействовать с запрошенной службой.

Поскольку службы на основе RPC полагаются на rpcbind для установления всех соединений с входящими клиентскими запросами, rpcbind должен быть доступен до запуска любой из этих служб.

Правила контроля доступа для rpcbind влияют на все службы на основе RPC. В качестве альтернативы можно указать правила управления доступом для каждого из демонов NFS RPC.

Установка NFS#

Эта процедура устанавливает все пакеты, необходимые для монтирования или экспорта общих ресурсов NFS.

Процедура:

Установите пакет nfs-utils:

# yum install nfs-utils

Запуск NFS-сервера#

Эта процедура описывает, как запустить сервер NFS, который необходим для экспорта общих ресурсов NFS.

Предварительные условия:

• Для серверов, поддерживающих соединения NFSv3, должна быть запущена rpcbind служба. Чтобы убедиться, что rpcbind служба активна, используйте следующую команду:

$ systemctl status rpcbind

• Если служба остановлена, запустите и включите ее:

$ systemctl enable --now rpcbind

Процедура:

Чтобы запустить сервер NFS и включить его автоматический запуск при загрузке, используйте следующую команду:

# systemctl enable --now nfs-server

Устранение неполадок NFS и rpcbind#

Поскольку служба rpcbind обеспечивает координацию между службами RPC и номерами портов, используемыми для связи с ними, полезно просматривать состояние текущих служб RPC с помощью rpcbind при устранении неполадок. Утилита rpcinfo показывает каждую службу на основе RPC с номерами портов, номером программы RPC, номером версии и типом протокола IP (TCP или UDP).

Процедура:

Чтобы убедиться, что для rpcbind службы включены соответствующие службы на основе NFS RPC, используйте следующую команду:

# rpcinfo -p

Если одна из служб NFS запускается неправильно, rpcbind не сможет сопоставить запросы RPC от клиентов для этой службы с правильным портом.

2. Во многих случаях, если NFS отсутствует в выводе rpcinfo службы, перезапуск NFS приводит к тому, что служба правильно регистрируется в rpcbind и начинает работать. Поэтому перезапустите rpcbind службу:

# systemctl restart nfs-server

Настройка сервера NFS для работы за межсетевым экраном#

Для NFS требуется служба rpcbind, которая динамически назначает порты для служб RPC и может вызывать проблемы при настройке правил межсетевого экрана. В следующих разделах описано, как настроить версии NFS для работы за межсетевым экраном, если необходимо поддерживать:

• NFSv3 Это включает в себя любые серверы, которые поддерживают NFSv3:

  • Серверы только для NFSv3;

  • Серверы, поддерживающие как NFSv3, так и NFSv4;

• NFSv4-only.

Настройка сервера с поддержкой NFSv3 для работы за межсетевым экраном

Следующая процедура описывает, как настроить серверы, поддерживающие NFSv3, для работы за межсетевым экраном. Сюда входят серверы только для NFSv3 и серверы, которые поддерживают как NFSv3, так и NFSv4.

Процедура:

1. Чтобы разрешить клиентам доступ к общим ресурсам NFS за межсетевым экраном, настройте межсетевой экран, выполнив следующие команды на сервере NFS:

firewall-cmd --permanent --add-service mountd
firewall-cmd --permanent --add-service rpc-bind
firewall-cmd --permanent --add-service nfs

2. Укажите порты, которые будут использоваться службой RPC nlockmgr в файле /etc/nfs.conf следующим образом:

[lockd]port=tcp-port-numberudp-port=udp-port-number

В качестве альтернативы можно указать nlm_tcpport и nlm_udpport в файле /etc/modprobe.d/lockd.conf.

3. Откройте указанные порты в межсетевом экране, выполнив следующие команды на сервере NFS:

firewall-cmd --permanent --add-port=<lockd-tcp-port>/tcp
firewall-cmd --permanent --add-port=<lockd-udp-port>/udp

4. Добавьте статические порты для rpc.statd, отредактировав раздел [statd] файла /etc/nfs.conf следующим образом:

[statd]port=port-number

5. Откройте добавленные порты в межсетевом экране, выполнив следующие команды на сервере NFS:

firewall-cmd --permanent --add-port=<statd-tcp-port>/tcp
firewall-cmd --permanent --add-port=<statd-udp-port>/udp

6. Перезагрузите конфигурацию межсетевого экрана:

firewall-cmd --reload

7. Сначала перезапустите службу rpc-statd, а затем перезапустите службу nfs-server:

<

# systemctl restart rpc-statd.service
# systemctl restart nfs-server.service

В качестве альтернативы, если указаны порты lockd в файле /etc/modprobe.d/lockd.conf:

• Обновите текущие значения /proc/sys/fs/nfs/nlm_tcpport и /proc/sys/fs/nfs/nlm_udpport:

# sysctl -w fs.nfs.nlm_tcpport=<tcp-port># sysctl -w fs.nfs.nlm_udpport=<udp-port>

• Перезапустите rpc-statd и nfs-server службы:

# systemctl restart rpc-statd.service# systemctl restart nfs-server.service

Настройка сервера только для NFSv4 для работы за межсетевым экраном

Следующая процедура описывает, как настроить сервер только для NFSv4 для работы за межсетевым экраном.

Процедура: