Контактная информация

По всем интересующим вас вопросам связывайтесь при помощи контактной информации приведенной на этой странице!

skype: metsof
email: accusser@gmail.com

В социальных сетях...

Форма обратной связи

Авторизация

Статьи об операционной системе Linux

Сайдбар

Основные функции Samba

11 янв. 2014

Samba — это пакет программ, помогающий интегрировать в одну сеть компьютеры Windows и Linux/UNIX. Название Samba — это переосмысленная аббревиатура SMB, которая, в свою очередь, обозначает протокол «блок сообщений сервера». В сфере Windows этот протокол используется для того, чтобы компьютеры, расположенные в одной сети, могли обращаться к данным друг друга, а также совместно использовать принтер.

С помощью Samba вы также можете предоставить для использования в сети файлы или каталоги с компьютеров с Linux. Пользователи, работающие с компьютерами Windows, Linux или Apple, смогут обращаться к этим файлам. Тонко дифференцированная система аутентификации и распределения прав определяет, кто имеет право на чтение и изменение файлов. Таким образом, Samba — это центральная узловая станция, предназначенная для обмена данными в локальной сети: на фирме, в организации или дома.

Часто Samba воспринимается как соединительное звено между мирами Windows и Linux. Но это слишком узкий подход: SMB часто применяется в средах, состоящих только из компьютеров с Linux или UNIX, так как упрощает работу: программы для просмотра файлов в Gnome и KDE по умолчанию поддерживают SMB, таким образом, с помощью CIFS вы можете подключать каталоги SMB непосредственно в дерево каталогов Linux и т. д. Если вы ищете UNIX-подобную альтернативу, которая работает не на основе Microsoft, то вам лучше всего использовать NFS. Но для применения NFS клиентские компьютеры должны иметь одинаковую пользовательскую конфигурацию, а это означает несовместимость с Windows.

В этом разделе будут рассмотрены основные функции Samba З.п с точки зрения сервера. Если вы хотите использовать многочисленные «продвинутые» функции, например аутентификацию через LDAP или использование Samba в качестве первичного контроллера домена, обратитесь к специальной литературе.

Основы


Прежде чем перейти к конфигурации сервера Samba, разберемся в концепциях, лежащих в основе этого сервера, и узнаем, что означают основные связанные с ним термины.

NetBIOS



SMB работает на базе протокола NetBIOS. NetBIOS — это сетевая базовая система ввода-вывода. Ее разработку начала компания IBM. Со временем протокол NetBIOS был существенно обновлен. Первоначально NetBIOS состояла из трех служб. О Служба имен. Этот метод обмена данными можно сравнить с DNS, используемым в UNIX/Linux. Управление именами может осуществляться с помощью сервера имен NetBIOS (NBNS) или децентрализованно. При использовании этого метода каждый запускающийся клиент посылает сообщение остальным клиентам сети и сообщает, под каким именем он начал работать.

Служба сеансов


Этот механизм обмена информацией, подобно TCP, обеспечивает аккуратный обмен данными между двумя компьютерами — в форме пакетов. При этом проверяется целостность пакетов, и пакеты, которые содержат ошибки или потерялись, запрашиваются заново.

Служба датаграмм


При использовании этого варианта службы сеансов система не проверяет, в порядке ли приходящие данные. Но у службы датаграмм есть и определенное достоинство — приходящие таким образом данные могут одновременно рассылаться на несколько компьютеров.

WINS


В Windows задачи NBNS решаются с помощью Службы имен Интернета для Windows (WINS). Сервер WINS можно настроить с помощью Samba или актуальной версии Windows (но не с Windows 9х). При этом, если в системе уже имеется сервер доменных имен, Samba может работать с ним.

Разрешение имен в Windows, в отличие от UNIX, может функционировать без применения специального сервера имен. Для этого необходимо рассылать всем компьютерам сети пакеты с датаграммами, поэтому такой метод становится все менее эффективным по мере того, как растут сети с Windows.

Имена компьютеров, используемые в NetBIOS и TCP/IP, не зависят друг от друга. Иными словами, возможен случай, когда компьютер, передавая данные по разным протоколам, будет при этом иметь разные имена. На практике таких случаев, разумеется, следует избегать. Различные имена не только вызывают путаницу, но и не позволяют использовать некоторые функции.

Просмотр сети и ресурсов


Откуда клиенту с Windows известно, какие еще компьютеры есть в сети? Для этого используется функция просмотра сетииресурсов. Под этим понимается управление компьютерами, находящимися в сети. Для того чтобы таким управлением не нужно было заниматься каждому компьютеру, управление передается так называемой главной системе просмотра ресурсов. В больших сетях также работает одна или несколько резервных систем просмотра ресурсов. Кроме того, при необходимости Samba может выступать в качестве системы просмотра сети иресурсов.

В системе не определяется жестко, какой именно компонент будет заниматься просмотром сети и ресурсов. Один из компьютеров в сети назначается для этой цели динамически — в зависимости от того, какие из компьютеров в настоящее время находятся в сети и какой из них наилучшим образом приспособлен для данных целей (как правило, это компьютер с новейшей версией операционной системы). Это совсем не означает, что система автоматически выберет WINS-сервер, если он вообще есть в сети. Таким образом, функция просмотра сети и ресурсов реализуется очень децентрализованно.

К сожалению, ПК с Windows далеко не всегда удается синхронизировать список компьютеров (browsing list) и реальное состояние сети. Причина этого заключается в том, что клиенты управляют кэшем, в котором в целях снижения нагрузки на сеть сохраняется последнее рабочее состояние локальной системы. Кэш не всегда удается обновить сразу — бывает, что на это требуется определенное время. Иначе говоря, если вы не видите с компьютера с Windows или другого компьютера, на котором работает Windows или Linux, но знаете, что искомый компьютер точно работает, то проблема заключается в несовершенстве функции просмотра сети (скорейшее решение такой проблемы, как это часто бывает при работе с Windows, — перезагрузка компьютера, который не удается найти).

Права доступа и системы обеспечения безопасности


Название «совместно используемые ресурсы» может обозначать и каталоги, и принтеры, которые предоставляются в пользование другим компьютерам через NetBIOS. Английский вариант термина — shares, кроме того, мы будем говорить о каталогах и объектах. Существуют различные способы управления доступом, определяющие, какими ресурсами может пользоваться тот или иной компьютер.

Защита на уровне доступа к совместно используемым ресурсам

При использовании простейшей формы управления правами доступа каждый каталог и принтер получает собственный пароль (разумеется, объекты могут предоставляться и без пароля). Такой метод все еще иногда применяется в некоторых небольших сетях. Самый очевидный недостаток — требуется очень много паролей: если каждому изЮ компьютеров должно быть предоставлено в пользование по три объекта, мы уже получаем 30 паролей. В больших сетях при применении такого метода достаточно скоро воцаряется хаос.

Защита рабочей группы


Данный метод, являющийся более совершенной формой предыдущего, позволяет взаимный доступ к объектам лишь при условии, что два компьютера относятся к одной и той же рабочей группе. Это повышает безопасность работы, но не кардинально: при отсутствии централизованного администрирования любой компьютер может «представиться» членом любой рабочей группы. Иначе говоря, защита на уровне доступа к совместно используемым ресурсам функционирует по децентрализованному одноранговому принципу (в противоположность методу клиент/сервер, применяемому на уровне пользователей и уровне доменов, который все сильнее тяготеет к централизации).

Защита на уровне пользователя


Для реализации такой защиты пользователь должен применять для входа на клиентский компьютер логин и пароль. В результате, если пользователь захочет взять для работы определенные данные с сервера Samba или другого ПК с Windows, основанием для доступа являются действующий логин и пароль этого пользователя. Кроме того, оба компьютера должны относиться к одной и той же рабочей группе.

Таким образом, мы уже не присваиваем пароль каждому сетевому объекту. Теперь логин и пароль связаны с пользователем (со списком пользователей, перечисленных по именам, либо со всеми пользователями, входящими в определенную группу). Если в Samba задействуется защита на уровне пользователя, то вам потребуется отдельная база данных, в которой будут храниться имена пользователей, групповая отнесенность и пароли.

Приведу пример: пользователь X работает на компьютере А. Чтобы X мог запрашивать данные с сервера Samba S,toX,AhS должны быть зарегистрированы в системе как пользователи (с одним и тем же именем и паролем). Теперь допустим, что компьютер Л сломался. Пользователь X переходит на компьютер В. Чтобы пользователь X мог получить доступ к своим данным на S с компьютера В, на компьютере В потребуется создать новую учетную запись — опять же с паролем.

Если пользователь X решит изменить свой пароль, такое же изменение потребуется выполнить на сервере S, а следовательно, и на всех клиентских компьютерах (А, В, С ит. д.). Другими словами, при таком построении сети децентрализованное управление паролями и децентрализованная аутентификация остаются непреходящими проблемами. О Защита на уровне доменов. В версии Windows NT 4 в мире сетей Microsoft появились так называемые домены. Концепция управления доступом очень напоминает защиту на уровне пользователя. Различия касаются способов управления базой пользовательских данных и метода осуществления аутентификации.

При входе в систему пользователь обращается к пользовательской базе данных, которая централизованно управляется сервером. Права доступа управляются с помощью так называемого регистрационного маркера. Входя в систему, клиент получает регистрационную информацию, которая остается действительной во всей сети до тех пор, пока пользователь не выйдет из сети. Он не замечает разницы, но внутри системы такое отличие становится фундаментальным и позволяет эксплуатировать сервер со значительно большей эффективностью.

Для обеспечения защиты на уровне доменов необходимо, чтобы в сети был первичный контроллер домена (PDC). В крупных сетях кроме PDC может использоваться несколько резервныхконтроллеров домена (BDC), чтобы вся система не останавливалась, если PDC выйдет из строя.

Active Directories


Для того чтобы упростить управление крупными сетями, Microsoft дополнила механизм защиты на уровне домена функцией Active Directory. Для аутентификации (вход в систему, управление паролями и т. д.) теперь применяется облегченный протокол доступа к каталогу (LDAP). С его помощью сеть и ее домены можно построить иерархически. Кроме того, управление именами компьютеров в такой ситуации выполняется с помощью сервера доменных имен, как это обычно делается в Linux, и без применения WINS.

На клиентском уровне Samba поддерживает все пять перечисленных систем защиты. В настоящее время сервер Samba еще не может выполнять роль «Active Directory — Домен — Сервер». Разработчики планируют внедрить необходимые дополнения в версии Samba 4. Пока сложно сказать, когда она выйдет. В этой книге мы рассмотрим только защиту на уровне пользователя. Таким образом, сервер Samba мы понимаем как изолированный (standalone) сервер.

ПРИМЕЧАНИЕ



В конфигурационном файле Samba имеется несколько параметров, определяющих, какую систему защиты будет использовать Samba. Важнейший из этих параметров — security. Обращаю ваше внимание на то, что его настройки могут не совпадать с перечисленными выше вариантами один к одному! По умолчанию действует настройка security=user, то есть защита на уровне пользователя. Но эта настройка сохраняется и при конфигурации PDC. Остальные параметры важны для того, чтобы Samba производила аутентификацию и при входе пользователей на компьютеры с Windows.

Централизованная или децентрализованная топология сервера



Если не учитывать систему защиты, существует две принципиально различные стратегии обмена данными между компьютерами в сети с применением Samba.

Централизованная топология. Центральный сервер Samba предоставляет всем пользователям доступ к каталогам. Задача администратора — настроить права доступа к отдельным каталогам так, чтобы в системе имелись и закрытые (частные) каталоги отдельных пользователей, и относительно открытые каталоги для обмена данными в пользовательских группах.

Преимущества такого варианта конфигурации заключаются в том, что данные централизованно сохраняются на сервере и отдельные пользователи не должны сами заниматься созданием сетевых каталогов. У этой конфигурации есть и недостатки: система получается недостаточно гибкой, любые изменения вносятся администратором. Кроме того, выход сервера из строя чреват катастрофическими последствиями для всей сети. О Децентрализованная топология. При использовании такого варианта каждый компьютер, который должен предоставить данные для совместной работы в сети, делает это сам. И в Windows, и в Linux (точнее говоря, в Gnome и KDE) система помогает в этом пользователю относительно простыми диалоговыми окнами. Преимущество такого варианта конфигурации — децентрализованный подход, при котором каждый отвечает сам за себя и не нуждается в помощи администратора. По мере роста сети конфигурация, разумеется, становится все более запутанной, централизованное резервное копирование оказывается практически неосуществимым.

Я придерживаюсь такого мнения, что на предприятии более целесообразно применять централизованную топологию сети. Если же вам нужно просто скопировать пару файлов с одного компьютера на другой в частной сети, то, конечно же, вполне хватит и временной децентрализованной конфигурации, настраиваемой через диалоговое окно общего доступа из Gnome или KDE. Основная проблема заключается в том, что такие диалоговые окна Gnome или KDE недоработаны и плохо функционируют.
Читайте так же:
Управление паролями в Samba

Подпишитесь на рассылку! Никакого спама, только обновления!!!

Комментарии (0)


    Услуги по MODX Revolution

    Посмотреть все услуги

    Техническая оптимизация сайта

    Подробнее & Заказать

    Создание сайта на MODX Revolution

    Подробнее & Заказать

    Перенос сайта на MODX Revolution

    Подробнее & Заказать

    Продвижение сайта на MODX

    Подробнее & Заказать