RSS
Blog
LPIC-3 Mixed Environments 3.0 Introducción # 03: 303 Configuración de recurso compartido de Samba

LPIC-3 Mixed Environments 3.0 Introducción # 03: 303 Configuración de recurso compartido de Samba

7 de septiembre de 2021 - por Fabian Thorns

Esta publicación de blog es la tercera de una serie que lo ayudará a prepararse para la nueva versión 3.0 del examen de entornos mixtos LPIC-3. En el publicaciones anteriores Creamos un laboratorio virtual, instalamos Samba y configuramos un dominio de Active Directory. El laboratorio también contiene un servidor de archivos como miembro del dominio. La publicación de esta semana trata sobre la configuración del recurso compartido del servidor de archivos.

Configuración del recurso compartido de archivos de Samba

Para comenzar, repasemos cómo se declaran las acciones. Por lo general, cada acción es una sección dedicada en el smb.conf expediente. El nombre del recurso compartido es el nombre de la sección entre corchetes. Dentro de cada archivo compartido, el camino La opción especifica qué parte del sistema de archivos del servidor es accesible a través del recurso compartido.

Primero que nada, determinemos quién puede conectarse al recurso compartido. los smb.conf opciones usuarios válidos y usuarios inválidos son el portero inicial que decide quién puede conectarse. Intentar configurar un recurso compartido para permitir o rechazar conexiones de usuarios específicos y probar que los usuarios están conectados o rechazados como se esperaba. Recuerde la notación de usuarios asignados desde su dominio, así como la capacidad de especificar grupos en estas opciones.

Permisos y acceso a archivos

Una vez que un usuario está conectado, el acceso a los archivos individuales requiere más permisos. Estos permisos se administran en varias capas. En primer lugar, Samba utiliza el lista de lectura y escribir lista opciones en smb.conf para determinar qué usuarios tienen qué tipo de acceso en general. Una vez que un usuario supera este obstáculo, el acceso a un archivo específico está sujeto a los permisos del sistema de archivos. La forma más simple de estos permisos son los propiedad y permisos de archivos clásicos, según lo gestionado por chown y chmod.

Al acceder a un recurso compartido, Samba utiliza la identidad del usuario conectado al recurso compartido para realizar operaciones en el sistema de archivos de Linux. Gracias a la asignación de ID en el servidor de archivos, cada usuario de dominio tiene un equivalente en la base de datos de usuarios del servidor de archivos de Linux.

Cuando varios usuarios acceden al mismo recurso compartido, es posible que terminen creando archivos a los que no pueden acceder mutuamente, debido a los diferentes propietarios de los archivos y los permisos asignados solo al usuario y grupo propietario. Una forma sencilla de forzar un propietario y permisos estándar es utilizar el smb.conf opciones crear máscara / crear modo, máscara de directorio / modo de directorio, forzar el modo de creación, forzar el modo de directorio, forzar usuarioy grupo de fuerza / grupo, que administra la propiedad y los permisos de los archivos almacenados en un recurso compartido independientemente del usuario que se conecta. Si desea practicar, cree un archivo compartido para su departamento de contabilidad y otorgue acceso a varios usuarios. Ahora configure el recurso compartido para exigir que todos los archivos pertenezcan al mismo grupo (tal vez cree un grupo de contabilidad en su AD y agregue los usuarios) y que el grupo pueda escribir en todos los archivos.

Listas de control de acceso

Más complejas que los permisos clásicos de Unix, las listas de control de acceso (ACL) le permiten establecer permisos individuales para usuarios y grupos específicos. Usos de Linux ACL POSIX extendidas, que son gestionados por getfacl y setfacl. Adopte el ejemplo anterior creando otro recurso compartido que use ACL para otorgar acceso a todos los miembros del grupo, sin que Samba imponga ninguna propiedad y permisos específicos. Revisa el smb.conf opción heredar acls y habilítelo si es necesario. La wiki de Samba contiene más información sobre POSIX ACL en archivos compartidos.

Está perfectamente bien usar POSIX ACL en el lado de Linux para administrar el acceso a archivos en un recurso compartido de Samba. Sin embargo, las ACL POSIX son diferentes de las ACL de Windows. Para usar las ACL de Windows, Samba necesita almacenar información de ACL adicional además de las ACL de POSIX. El módulo VFS acl_xattr utiliza atributos extendidos del sistema de archivos para esta información. setfacl no actualiza las respectivas ACL de Windows, por lo que las ACL en un recurso compartido que utilizan las ACL de Windows siempre deben configurarse a través de Samba, utilizando un cliente de Windows o el herramienta de samba ntacl mando. los smbcacls El comando es otra herramienta que administra ACL en recursos compartidos SMB. Una vez más, la wiki de Samba tiene buena información sobre ACL de Windows en recursos compartidos SMB.

Haz que las acciones se vean bien

Una vez que se establecen los permisos, pueden ocurrir situaciones en las que los usuarios vean archivos a los que no pueden acceder. los smb.conf opciones ocultar ilegible y ocultar archivos que no se pueden escribir se utilizan para ocultar estos archivos al usuario. Del mismo modo, las opciones ocultar archivos de puntos y ocultar archivos especiales asegúrese de que los usuarios no sean molestados por otros archivos irrelevantes. Algunos administradores de archivos tienden a crear archivos ocultos, como índices o miniaturas de archivos. Cargar estos archivos en un recurso compartido de archivos generalmente no es deseable, por lo que las opciones veto archivos y eliminar archivos de veto puede rechazar o eliminar dichos archivos.

En un escenario del mundo real, es probable que existan varios servidores de archivos para satisfacer todos los requisitos de almacenamiento. En este caso, los usuarios deben saber qué recursos compartidos se encuentran en qué servidores. Además, cuando los recursos compartidos se reorganizan entre servidores, es necesario cambiar la configuración del cliente. El sistema de archivos distribuido (DFS) permite que un servidor ofrezca recursos compartidos que en realidad son solo redireccionamientos al recurso compartido real, potencialmente en otro servidor. Esto permite a los usuarios acceder siempre a sus datos utilizando la misma ruta a través del recurso compartido DFS, incluso si los datos se reorganizan. Nuevamente, la wiki de Samba tiene más información sobre DFS en Samba.

Recursos compartidos de impresora y controladores de impresión

Además de archivos, Samba también puede proporcionar recursos compartidos imprimibles. El patrón es el mismo que para los archivos: para cada impresora, existe un recurso compartido con el nombre de la impresora. Samba, sin embargo, necesita un servidor de impresión para manejar la impresión real. Hoy en día, CUPS es el estándar de facto para imprimir en Linux. Samba puede consultar CUPS para determinar qué impresoras están disponibles y ofrecer automáticamente las impresoras como acciones individuales. Sin embargo, también es posible configurar manualmente los recursos compartidos de la impresora. La wiki de Samba proporciona un ejemplo de configurar una impresora PDF compartida.

En la mayoría de los casos, los clientes de la impresora preparan los trabajos de impresión para que estén listos para ser enviados a la impresora sin procesamiento adicional. Esto se denomina "impresión sin formato", porque el servidor de impresión pasa los trabajos de impresión tal como están. Para preparar los trabajos de impresión, el cliente necesita los controladores de la impresora específica. Estos controladores pueden ser distribuidos por Samba. La wiki de Samba tiene una guía para configurar esta configuración.

Un problema de seguridad llamado Imprimir pesadilla recientemente utilizó los mecanismos de distribución de controladores de Microsoft para permitir a los usuarios escalar sus privilegios. Puedes leer sobre cómo se descubrió este problema pero aún no se solucionó. Pero tenga en cuenta que el examen actual se desarrolló antes de que se descubriera el problema. Por lo tanto, por ahora, asuma que no existen restricciones para mitigar Printnightmare.

Moving On

Esta publicación concluye la parte de esta serie sobre la configuración del servidor Samba. Como es habitual, los objetivos del examen incluyen algunas opciones y comandos adicionales además de los que se tratan aquí. Tómese su tiempo para revisar el objetivos del examen y asegúrese de haber probado todo lo que se menciona allí. El resultado será un dominio de Active Directory completamente configurado junto con un servidor de archivos.

La próxima semana nos centraremos en el lado del cliente y aprenderemos cómo podemos acceder a nuestros recursos compartidos desde Linux y Windows, cómo autenticarnos en un dominio de Active Directory y cómo usar Active Directory para administrar sistemas Windows.

 

<< Leer el post anterior de esta serie | Lea la próxima publicación de esta serie >>

Acerca de Fabian Thorns:

Fabian Thorns

Fabian Thorns is the Director of Product Development at Linux Professional Institute, LPI. He is M.Sc. Business Information Systems, a regular speaker at open source events and the author of numerous articles and books. Fabian has been part of the exam development team since 2010. Connect with him on LinkedIn, XING or via email (fthorns at lpi.org).