Guia Foca GNU/Linux
Capítulo 18 - SAMBA

Este capítulo descreve a configuração, utilização, aplicação, integração de redes Windows e Linux através do SAMBA. Entre as explicações de cada opção, são passados detalhes importantes relacionados com seu funcionamento, performance e impactos de segurança sobre o servidor como um todo.

Uma seção foi especialmente separada para os mais paranóicos (como eu) conhecerem, combinar e aplicar as restrições de forma mais adequada a configuração da máquina.

18.1 Introdução

O SAMBA é um servidor e conjunto de ferramentas que permite que máquinas Linux e Windows se comuniquem entre si, compartilhando serviços (arquivos, diretório, impressão) através do protocolo SMB (Server Message Block)/CIFS (Common Internet File System), equivalentes a implementação NetBEUI no Windows. O SAMBA é uma das soluções em ambiente UNIX capaz de interligar redes heterogênea.

Na lógica da rede Windows o NetBEUI é o protocolo e o NETBIOS define a forma com que os dados são transportados. Não é correto dizer que o NetBIOS é o protocolo, como muitos fazem.

Com o SAMBA, é possível construir domínios completos, fazer controle de acesso a nível de usuário, compartilhamento, montar um servidor WINS, servidor de domínio, impressão, etc. Na maioria dos casos o controle de acesso e exibição de diretórios no samba é mais minucioso e personalizável que no próprio Windows.

O guia Foca GNU/Linux documentará como instalar e ter as máquinas Windows de diferentes versões (Win3.11, Win95, Win95OSR/2, Win98, XP, WinNT, W2K) acessando e comunicando-se entre si em uma rede NetBEUI. Estas explicações lhe poderão ser indispensáveis para solucionar problemas, até mesmo se você for um técnico especialista em redes Windows e não tem ainda planos de implementar um servidor SAMBA em sua rede.

18.1.1 Versão documentada

A versão do servidor samba documentada neste capítulo do guia é a 2.2.

18.1.2 História

Andrew Tridgell - Desenvolveu o samba porque precisava montar um volume Unix em sua máquina DOS. Inicialmente ele utilizava o NFS, mas um aplicativo precisava de suporte NetBIOS. Andrew então utilizou um método muito avançado usado por administradores para detectar problemas: escreveu um sniffer de pacotes que atendesse aos requerimentos para ter uma única função: analisar e auxilia-lo a interpretar todo o tráfego NetBIOS da rede.

Ele escreveu o primeiro código que fez o servidor Unix aparecer como um servidor de arquivos Windows para sua máquina DOS que foi publicado mais ou menos em meados de 1992 quando também começou a receber patches. Satisfeito com o funcionamento de seu trabalho, deixou seu trabalho de lado por quase 2 anos. Um dia, ele resolveu testar a máquina Windows de sua esposa com sua máquina Linux, e ficou maravilhado com o funcionamento do programa que criou e veio a descobrir que o protocolo era documentado e resolveu levar este trabalho a fundo melhorando e implementando novas funções.

O SAMBA atualmente é um servidor fundamental para a migração de pequenos grupos de trabalho à grandes domínios com clientes mixtos. Nenhum servidor de rede NetBEUI conhecido proporciona tanta flexibilidade de acesso a clientes como o SAMBA para compartilhamento de arquivos/impressão em rede. As funções de segurança que foram adicionadas ao SAMBA hoje garantem um controle mais rigoroso que a própria implementação usada no Windows NT, incluindo o serviços de diretórios, mapeamento entre IDs de usuários Windows com Linux, PDC, perfis móveis e uma coisa que inclusive apresenta problemas no Windows: compatibilidade total entre as diferentes implementações de versões do Windows.

Sua configuração pode receber ajustes finos pelo administrador nos soquetes TCP de transmissão, recepção, cache por compartilhamento, configurações físicas que afetam a performance de rede. Seu código vem sendo melhorado constantemente por hackers, obtendo excelente performance com hardwares mais obsoletos. O guia tem por objetivo abordar estes temas e permitir que você configure seu sistema com uma performance batendo a mesma alcançada em um servidor NT dedicado.

18.1.3 Contribuindo

Para contribuir com o desenvolvimento do samba, veja os detalhes na página: http://us1.samba.org/samba/devel/

Caso encontre um bug no programa, ele poderá ser relatado se inscrevendo na lista de discussão samba-technical-request@lists.samba.org. Após responder a mensagem de confirmação, envie um relato detalhado do problema encontrado no programa.

18.1.4 Características

Segue abaixo algumas funcionalidades importantes de aplicações do samba e seu conjunto de ferramentas:

• Compartilhamento de arquivos entre máquinas Windows e Linux ou de máquinas Linux (sendo o servidor SAMBA) com outro SO que tenha um cliente NetBEUI (Macintosh, OS/2, LanManager, etc).
• Montar um servidor de compartilhamento de impressão no Linux que receberá a impressão de outras máquinas Windows da rede.
• Controle de acesso aos recursos compartilhados no servidor através de diversos métodos (compartilhamento, usuário, domínio, servidor).
• Controle de acesso leitura/gravação por compartilhamento.
• Controle de acesso de leitura/gravação por usuário autenticado.
• Possibilidade de definir contas de "Convidados", que podem se conectar sem fornecer senha.
• Possibilidade de uso do banco de dados de senha do sistema (/etc/passwd), autenticação usando o arquivo de dados criptografados do samba, LDAP, PAM, etc.
• Controle de cache e opções de tunning por compartilhamento.
• Permite ocultar o conteúdo de determinados diretórios que não quer que sejam exibidos ao usuário de forma fácil.
• Possui configuração bastante flexível com relação ao mapeamento de nomes DOS => UNIX e vice versa, página de código, acentuação, etc.
• Permite o uso de aliases na rede para identificar uma máquina com outro nome e simular uma rede NetBIOS virtual.
• O samba possibilita ajuste fino nas configurações de transmissão e recepção dos pacotes TCP/IP, como forma de garantir a melhor performance possível de acordo com suas instalações.
• Permite o uso do gerenciador de mensagem do Linux (Linpopup) para a troca de mensagens com estações Windows via NetBios. Com a flexibilidade do samba é possível até redirecionar a mensagem recebida via e-mail ou pager.
• Possui suporte completo a servidor WINS (também chamado de NBNS - NetBios Name Service) de rede. A configuração é bastante fácil.
• Faz auditoria tanto dos acessos a pesquisa de nomes na rede como acesso a compartilhamentos. Entre os detalhes salvos estão a data de acesso, IP de origem, etc.
• Suporte completo a controlador de domínio Windows (PDC).
• Suporte quase completo a backup do controlador de domínio (BDC). Até a versão 2.2 do samba, o suporte a BDC é parcial. Este código provavelmente estará estável até a versão 3.0.
• Permite montar unidades mapeadas de sistemas Windows ou outros servidores Linux como um diretório no Linux.
• Permite a configuração de recursos simples através de programas de configuração gráficos, tanto via sistema, como via web.
• Permite executar comandos no acesso ao compartilhamento ou quando o acesso ao compartilhamento é finalizado.
• Com um pouco de conhecimento e habilidade de administração de sistemas Linux, é possível criar ambientes de auditoria e monitoração até monitoração de acesso a compartilhamento em tempo real.
• Entre outras possibilidades.

18.1.5 Ficha técnica

Pacote samba

Outros utilitários importantes para a operação do clientes samba.

• smbclient - Ferramenta para navegação e gerenciamento de arquivos, diretórios e impressoras compartilhados por servidores Windows ou samba.
• smbfs - Pacote que possui ferramentas para o mapeamento de arquivos e diretórios compartilhados por servidores Windows ou samba em um diretório local.
• winbind - Daemon que resolve nomes de usuários e grupo através de um servidor NT/SAMBA e mapeia os UIDs/GIDs deste servidor como usuários locais.

18.1.6 Requerimentos de Hardware

Processador 386 ou superior, 15 MB de espaço em disco (não levando em conta os logs gerados e espaço para arquivos de usuários, aplicativos, etc.), 8 MB de memória RAM.

18.1.7 Arquivos de log criados

O daemon nmbd salva seus logs em /var/log/daemon.log (dependendo da diretiva de configuração syslog do arquivo smb.conf) e em /var/log/samba/log.nmbd. Os detalhes de acesso a compartilhamento são gravados no arquivo /var/log/samba/log.smbd (que pode ser modificado de acordo com a diretiva log file no smb.conf, Log de acessos/serviços, Seção 18.2.8.5).

18.1.8 Instalação

Digite apt-get install samba smbclient smbfs para instalar o conjunto de aplicativos samba. O pacote samba é o servidor samba e os pacotes smbclient e smbfs fazem parte dos aplicativos cliente. Caso deseje apenas mapear compartilhamentos remotos na máquina Linux, instale somente os 2 últimos pacotes.

18.1.9 Iniciando o servidor/reiniciando/recarregando a configuração

O servidor samba pode ser executado tanto via inetd como daemon:

inetd

No modo inetd, o servidor de nomes nmbd será carregado assim que for feita a primeira requisição de pesquisa e ficará residente na memória. No caso de acesso a um compartilhamento, o smbd será carregado e lerá a configuração em smb.conf a cada acesso do cliente a um compartilhamento. Quando o samba opera via inetd, ele não usa o controle de acesso dos arquivos hosts.allow e hosts.deny. Veja Restringindo o acesso por IP/rede, Seção 18.12.2 e Restringindo o acesso por interface de rede, Seção 18.12.3 para detalhes de como fazer o controle de acesso.

Para reiniciar o samba digite killall -HUP nmbd. Não é necessário reiniciar o serviço smbd, conforme foi explicado acima.

daemon

Quando opera no modo daemon, ambos os daemons nmbd e smbd são carregados. No caso de um acesso a compartilhamento, é criado um processo filho do smbd que é finalizado assim que o compartilhamento não for mais usado.

Para iniciar o samba em modo daemon digite: /etc/init.d/samba start, para interromper o samba: /etc/init.d/samba stop e para reiniciar: /etc/init.d/samba restart.

Se desejar mudar do modo daemon para inetd ou vice versa, edite o arquivo /etc/default/samba e modifique o valor da linha RUN_MODE= para daemons ou inetd. Uma forma de fazer isso automaticamente é executando o dpkg-reconfigure samba.

OBS: Como praticamente não existe diferença entre os modos de operação inetd e daemon para o SAMBA, é aconselhável que execute sempre que possível via inetd, pois isto garantirá uma disponibilidade maior do serviço caso algo aconteça com um dos processos.

18.1.10 Opções de linha de comando

Opções de linha de comando usadas pelo nmbd:

-H [arquivo_lmhosts]

Quando especificado, o servidor samba fará a procura de nomes primeiro neste arquivo e depois usando a rede.

-s [arquivo_cfg]

Especifica uma nova localização para o arquivo de configuração do samba. Por padrão o /etc/samba/smb.conf é usado.

-d [num]

Especifica o nível de depuração do nmbd, que podem ir de 0 a 10. O valor padrão é 0.

-l [diretório]

Especifica a localização do diretório onde o nmbd gravará o arquivo de log log.nmbd. O valor padrão é /var/log/samba

-n [nomeNetBIOS]

Permite utilizar o nome NetBIOS especificado a invés do especificado no arquivo smb.conf para identificar o computador na rede.

18.2 Conceitos gerais para a configuração do SAMBA

Este capítulo documenta como configurar o seu servidor SAMBA permitindo o acesso a compartilhamento de arquivos e impressão no sistema.

18.2.1 Nome de máquina (nome NetBios)

Toda a máquina em uma rede NetBEUI é identificada por um nome, este nome deve ser único na rede e permite que outras máquinas acessem os recursos disponibilizados ou que sejam enviadas mensagens para a máquina. Este nome é composto de 16 caracteres, sendo 15 que identificam a máquina e o último o tipo de serviço que ela disponibiliza. O tipo de serviço é associado com o nome da máquina e registrado em servidores de nomes confirme a configuração da máquina (você verá isto mais adiante).

O nome de máquina é especificado nas diretivas netbios name e netbios aliases (veja Nomes e grupos de trabalho, Seção 18.2.8.1) para detalhes.

18.2.2 Grupo de trabalho

O grupo de trabalho organiza a estrutura de máquinas da rede em forma de árvore, facilitando sua pesquisa e localização. Tomemos como exemplo uma empresa grande com os departamentos comunicação, redes, web, rh, as máquinas que pertencem ao grupo de redes serão agrupadas no programa de navegação:

     redes
       gleydson
       tecnico
       marcelo
       henrique
       michelle
     
     rh
       mrpaoduro
      
     web
       web1
       web2
       web3
     
     comunicacao
       comunic1
       comunic2
       comunic3

A segurança no acesso a arquivos e diretórios na configuração de grupo de trabalho é controlada pela própria máquina, normalmente usando segurança a nível de compartilhamento. Esta segurança funciona definindo um usuário/senha para acessar cada compartilhamento que a máquina possui. O Lan Manager, Windows for Workgroups, Windows 95, Windows 98, XP Home Edition usam este nível de acesso por padrão. Se deseja configurar uma rede usando o nível de grupo de trabalho, veja Configuração em Grupo de Trabalho, Seção 18.4 para detalhes passo a passo e exemplos práticos.

Os programas para navegação na rede NetBIOS são mostrados em smbclient, Seção 18.14.2.9.2, nmblookup, Seção 18.14.2.9.3 e Programas de navegação gráficos, Seção 18.14.5.

18.2.3 Domínio

O funcionamento é semelhante ao grupo de trabalho, com a diferença que a segurança é controlada pela máquina central (PDC) usando diretivas de acesso e grupos. O PDC (Primary Domain Controller) deverá ter todas as contas de acesso que serão utilizadas pelo usuário para acessar os recursos existentes em outras máquinas, script de logon que poderá ser executado em cada máquina para fazer ajustes, sincronismo, manutenção ou qualquer outra tarefa programada pelo administrador do sistema.

Estas características para configuração de máquinas em domínio são documentadas passo a passo em Uma breve introdução a um Domínio de rede, Seção 18.7.1.

18.2.4 Compartilhamento

Um compartilhamento é um recurso da máquina local que é disponibilizado para acesso via rede, que poderá ser mapeada (veja Mapeamento, Seção 18.2.5) por outra máquina. O compartilhamento pode ser um diretório, arquivo, impressora. Além de permitir o acesso do usuário, o compartilhamento pode ser protegido por senha, e ter controle de acesso de leitura/gravação, monitoração de acessos, diretórios ocultos, autenticação via PDC (domínio) e outras formas para restringir e garantir segurança na disponibilização dos dados (veja Controle de acesso ao servidor SAMBA, Seção 18.12 para aprender os métodos de como fazer isto).

Um compartilhamento no SAMBA pode ser acessível publicamente (sem senha) ou estar rigidamente protegido tendo que passar por diversas barreiras para chegar ao seu conteúdo, como senhas, endereço de origem, interfaces, usuário autorizados, permissões de visualização, etc.

O guia Foca Linux abordará estes assuntos com detalhes e explicará didaticamente como tornar seguro seu servidor samba e garantir um minucioso controle de acesso a seus compartilhamentos.

18.2.5 Mapeamento

Mapear significa pegar um diretório/arquivo/impressora compartilhado por alguma máquina da rede para ser acessada pela máquina local. Para mapear algum recurso de rede, é necessário que ele seja compartilhado na outra máquina (veja Compartilhamento, Seção 18.2.4). Por exemplo, o diretório /usr compartilhado com o nome usr, pode ser mapeado por uma máquina Windows como a unidade F:, ou mapeado por uma máquina Linux no diretório /mnt/samba.

O programa responsável por mapear unidades compartilhadas no Linux é o smbmount e smbclient (veja Linux, Seção 18.14.2.9).

18.2.6 Navegação na Rede e controle de domínio

Esta função é controlada pelo nmbd que fica ativo o tempo todo disponibilizando os recursos da máquina na rede, participando de eleições NetBIOS (Níveis de sistema para eleição de rede, Seção 18.2.12), fazer logon de máquinas no domínio (Uma breve introdução a um Domínio de rede, Seção 18.7.1), etc.

A função de navegação na rede é feita utilizando o compartilhamento IPC$. Este compartilhamento possui acesso público somente leitura e utiliza o usuário "guest" para disponibilização de seus. Como deve ter percebido, é necessário especificar esta ID de usuário através do parâmetro guest account (Descrição de parâmetros usados em compartilhamento, Seção 18.3.1), ou a navegação de recursos no sistema (ou na rede, dependendo da configuração do SAMBA) não funcionará.

OBS: A função de navegação (browsing) poderá não funcionar corretamente caso a máquina não consiga resolver nomes NetBIOS para endereços IP.

18.2.7 Arquivo de configuração do samba

Toda a configuração relacionada com nomes, grupo de trabalho, tipo de servidor, log, compartilhamento de arquivos e impressão do samba é colocada no arquivo de configuração /etc/samba/smb.conf. Este arquivo é dividido em seções e parâmetros.

Uma seção no arquivo de configuração do samba (smb.conf) é definido por um nome entre "[ ]". As seções tem o objetivo de organizar os parâmetros pra que tenham efeito somente em algumas configurações de compartilhamento do servidor (exceto os da seção [global] que não especificam compartilhamentos, mas suas diretivas podem ser válidas para todas os compartilhamentos do arquivo de configuração). Alguns nomes de seções foram reservados para configurações específicas do samba, eles são os seguintes:

[global]

Define configurações que afetam o servidor samba como um todo, fazendo efeito em todos os compartilhamentos existentes na máquina. Por exemplo, o grupo de trabalho, nome do servidor, página de código, restrições de acesso por nome, etc. Veja Seção [global], Seção 18.2.8.

[homes]

Especifica opções de acesso a diretórios homes de usuários. O diretório home é disponibilizado somente para seu dono, após se autenticar no sistema. Veja Seção [homes], Seção 18.2.9.

[printers]

Define opções gerais para controle das impressoras do sistema. Este compartilhamento mapeia os nomes de todas as impressoras encontradas no /etc/printcap. Configurações especiais podem ser feitas separadamente. Veja Seção [printers], Seção 18.2.10.

[profile]

Define um perfil quando o servidor samba é usado como PDC de domínio. Veja Configurando perfis de usuários, Seção 18.7.8.

Qualquer outro nome de [seção] no arquivo smb.conf que não sejam as acima, são tratadas como um compartilhamento ou impressora.

Um parâmetro é definido no formato nome = valor. Para um exemplo prático, veja um exemplo de arquivo smb.conf em Exemplos de configuração do servidor SAMBA, Seção 18.15. Na configuração de booleanos, a seguinte sintaxe pode ser usada:

• 0 ou 1
• yes ou no
• true ou false

Assim, as seguintes configurações são equivalentes

     master browse = 0
     master browse = no
     master browse = false

Todos significam "NÃO ser o navegador principal de domínio". A escolha fica a gosto do administrador. Durante a configuração, você notará o poder da flexibilidade oferecida pelo samba na configuração de um servidor SMB :-)

Linhas iniciadas por # ou ; são tratadas como comentário. Quebras de linha pode ser especificadas com uma \ no final da linha.

18.2.8 Seção [global]

Os parâmetros especificados nesta seção tem efeito em todo o servidor samba incluindo os compartilhamentos. Caso o parâmetro seja novamente especificado para o compartilhamento, o valor que valerá é o do compartilhamento.

Por exemplo, se guest user = nobody for usado na seção [global] e o guest user = foca for usado no compartilhamento [focalinux], o usuário que fará acesso público a todos os compartilhamentos do servidor será o nobody, exceto para o compartilhamento [focalinux], que será feito pelo usuário foca. Veja Compartilhamento de arquivos e diretórios, Seção 18.3 para obter uma lista e descrição dos principais parâmetros de compartilhamentos existentes. Uma lista completa pode ser obtida na página de manual do smb.conf.

Irei descrever alguns parâmetros utilizados nesta seção, organizado de forma didática e simplificada.

18.2.8.1 Nomes e grupos de trabalho

netbios name = [nome do servidor]

Especifica o nome NetBIOS primário do servidor samba. Caso não seja ajustado, ele usará o hostname de sua máquina como valor padrão.

Ex.: netbios name = focasamba.

workgroup = [grupo de trabalho/domínio]

Diz qual o nome do grupo de trabalho/domínio que a máquina samba pertencerá.

Ex.: workgroup = focalinux.

netbios aliases = [nomes alternativos ao sistema]

Permite o uso de nomes alternativos ao servidor, separados por espaços.

Ex.: teste1 teste2.

server string = [identificação]

Identificação enviada do servidor samba para o ambiente de rede. A string padrão é Samba %v (%v é substituída pela versão do samba, para maiores detalhes, veja Variáveis de substituição, Seção 18.2.13).

Ex: server string = Servidor Samba versão %v.

name resolve order = [ordem]

Define a ordem de pesquisa para a resolução de nomes no samba. A ordem padrão é: lmhosts host wins bcast, que é a melhor para resolução rápida e que tente gerar menos tráfego broadcast possível. Veja Resolução de nomes de máquinas no samba, Seção 18.5 para uma explicação mais detalhada.

18.2.8.2 Caracteres e página de código

Uma das partes essenciais após colocar o SAMBA em funcionamento, é configurar a página de código para que os caracteres sejam gravados e exibidos corretamente no cliente. A primeira coisa que precisa verificar é se seu kernel possui o suporte a página de código local. Caso não tenha, baixe o fonte do kernel e siga os seguintes passos na configuração:

• Dentro da opção "File Systems", "Network File Systems" defina como "Default Remote NLS Option" a iso8859-1. Esta opção permite ao smbmount montar os volumes locais usando os caracteres corretos.
• Entre na opção "File Systems", "Native Language Support". Na opção "Default NLS Option" coloque "iso8859-1". Ative também o suporte as páginas de código 437, 850 e 860 e também ao conjunto de caracteres iso8859-1 e UTF8.

Note que esta ordem pode variar dependendo da versão do seu kernel, basta que as entenda para fazer as modificações apropriadas.

character set = [conjunto_caracteres]

Seleciona o conjunto de caracteres dos arquivos exibidos pelo servidor samba. Para os idiomas de língua latina, sempre utilize iso8859-1.

Ex.: character set = iso8859-1.

client code page = [pagina_de_codigo]

Seleciona a página de código do servidor samba para tratar os caracteres. Para os idiomas de língua latina, sempre utilize 850.

Ex.: client code page = 850.

preserve case =

Seleciona se arquivos com nomes extensos criados serão criados com os caracteres em maiúsculas/minúsculas definidos pelo cliente (no) ou se será usado o valor de default case (caso seja especificado yes).

short preserve case =

Seleciona se os arquivos com nomes curtos (formato 8.3) serão criados com os caracteres mixtos enviados pelo cliente (no) ou se será usando o valor de default case (caso seja especificado yes).

default case = [lower/upper]

Define se os arquivos criados terão seus nomes todos em minúsculas (lower) ou maiúsculas (upper).

valid chars = [caracteres]

Define caracteres válidos nos nomes de arquivos: valid chars =á:Á é:É í:Í ó:Ó ú:Ú â:Â ê:Ê ô:Ô ã:Ã õ:Õ à:À ò:Ò. Este parâmetro DEVERÁ ser sempre especificado depois do client code page, pois caso contrário, eles serão substituídos por estes.

18.2.8.3 Restrições de acesso/mapeamento de usuários

guest account = [conta]

Define a conta local de usuário que será mapeada quando um usuário se conectar sem senha (usuário guest). Veja mais detalhes em Descrição de parâmetros usados em compartilhamento, Seção 18.3.1.

invalid users

Define uma lista de usuários que não terão acesso aos recursos do servidor ou compartilhamento. É seguro restringir o acesso samba a usuários com grande poder no sistema (como o root). Veja mais detalhes em Restringindo o acesso por usuários, Seção 18.12.4.

valid users

Semelhante a opção invalid users mas permite que somente os usuários especificados tenham acesso ao sistema. Veja mais detalhes em Restringindo o acesso por usuários, Seção 18.12.4.

default service = nome

Caso o serviço que o usuário deseja se conectar não for encontrado no servidor, o SAMBA mapeará o serviço especificado nesta diretiva como alternativa. A variável "%S" e o caracter "_" podem ser interessantes em algumas alternativas de configuração. A opção default é um sinônimo para esta opção. Caso utilize esta opção, crie o compartilhamento em modo somente leitura e com acesso público, caso contrário (dependendo do planejamento de partições e segurança do sistema de arquivos) a máquina poderá ser derrubada sem dificuldades.

username map = [arquivo]

Especifica um arquivo que faz o mapeamento entre nomes fornecidos por clientes e nomes de contas Unix locais. Veja Mapeamento de nomes de usuários, Seção 18.12.16 para mais detalhes de como configurar este recurso.

obey pam restrictions = yes

Indica se as restrições do usuário nos módulos PAM terão efeito também no SAMBA.

18.2.8.4 Níveis de autenticação

(esta seção contém algumas explicações que dependem do resto do conteúdo do guia, caso não entenda de imediato a fundo as explicações, recomendo que a leia novamente mais tarde).

Define o nível de segurança do servidor. Os seguintes valores são válidos:

• share - Usada principalmente quando apenas a senha é enviada por compartilhamento acessado para o servidor, caso muito típico em sistemas Lan Manager e Windows for Workgroups.

  Mesmo assim o samba tenta mapear para um UID de usuário local do sistema usando os seguintes métodos (retirado da página de manual do samba):

  1. Se o parâmetro guest only é usado no compartilhamento junto com o guest ok, o acesso é imediatamente permitido, sem verificar inclusive a senha.
  2. Caso um nome de usuário seja enviado junto com a senha, ele é utilizado para mapear o UID e aplicar as permissões deste usuário (como acontece no nível de segurança user).
  3. Se ele usou um nome para fazer o logon no Windows este nome será usado como usuário local do SAMBA. Caso ele seja diferente, você deverá usar o mapeamento de nomes para associar o nome remoto do nome local (veja Mapeamento de nomes de usuários, Seção 18.12.16)
  4. O nome do serviço é tentado como nome de usuário.
  5. O nome da máquina NetBios é tentada como nome de usuário
  6. Os usuários especificados na opção user do compartilhamentos são utilizados (veja Descrição de parâmetros usados em compartilhamento, Seção 18.3.1).
  7. Caso nenhum destes métodos acima for satisfeito, o acesso é NEGADO.

  Hoje em dia, o uso do nível de acesso share é raramente usado, porque todos os sistemas a partir do Windows 95 e acima enviam o nome de usuário ao acessar um compartilhamento (caindo na segunda checagem do nível share), sendo equivalente a usar o nível user. Entretanto, o nível de segurança share é recomendado para servidores onde TODO o conteúdo deve ter acesso público (seja leitura ou gravação) e o parâmetro guest shares também funciona nativamente.

  As senhas criptografadas (encrypt passwords = 1) NÃO funcionarão no nível share, lembre-se deste detalhe.

• user - Este é o padrão. O usuário precisa ter uma conta de usuário no Linux para acessar seus compartilhamentos. A mesma conta de usuário/senha deverá ser usada no Windows para acessar seus recursos ou realizado um mapeamento de nomes de usuários (veja Mapeamento de nomes de usuários, Seção 18.12.16). Este é o padrão do SAMBA. No nível de acesso user o usuário precisa ser autenticado de qualquer forma, inclusive se for usado o parâmetro guest only ou user. Os seguintes passos são usados para autorizar uma conexão usando o nível user (retirado da documentação do SAMBA):
  • É tentada a validação usando o nome/senha passados pelo cliente. Se tudo estiver OK, a conexão é permitida.
  • Caso já tenha se autenticado anteriormente para acessar o recurso e forneceu a senha correta, o acesso é permitido.
  • O nome NetBIOS da máquina do cliente e qualquer nome de usuário que foi usado é novamente tentado junto com a senha para tentar permitir o acesso ao recurso compartilhado.
  • Caso o cliente tenha validado o nome/senha com o servidor e o cliente enviou novamente o token de validação, este nome de usuário é usado.
  • É tentada a checagem com o parâmetro user no compartilhamento (veja Descrição de parâmetros usados em compartilhamento, Seção 18.3.1.
  • É verificado se o serviço é público, então a conexão é feita usando o usuário guest account e ignorando a senha (veja Criando um compartilhamento para acesso sem senha, Seção 18.12.7).
• domain - Neste nível, o acesso só será permitido quando a máquina for adicionada ao domínio com o smbpasswd (Linux, Seção 18.14.3.9). Neste nível de acesso, a conta de usuário será validada em um servidor PDC (controlador de domínio) e o acesso aos recursos das máquinas que fazem parte do domínio será feito a partir do PDC. Veja Linux, Seção 18.14.3.9 para detalhes.
• server - A máquina samba tentara autenticar o usuário em outro servidor NT (ou samba). No caso da autenticação falhar, será usado o nível de acesso user na base de usuários local (será necessário o arquivo de senhas criptografado do samba para que a autenticação local funcione, veja Ativando o suporte a senhas criptografadas, Seção 18.8). Este nível é bastante usado quando configuramos um servidor de perfis de usuários ou logon separado do PDC.

18.2.8.5 Log de acessos/serviços

log file= [arquivo]

Define a localização e nome do arquivo de log gerado pelo samba. As variáveis de expansão podem ser usadas caso o administrador queira ter um melhor controle dos logs gerados (veja Variáveis de substituição, Seção 18.2.13).

Ex.: /var/log/samba/samba-log-%m.

OBS: Se possível coloque uma extensão no arquivo de log gerado pelo SAMBA (como .log). O motivo disto é porque se estes logs forem rotacionados pelo logrotate você terá problemas de recompactação múltiplas caso utilize um coringa samba-log-*, gerando arquivos como .gz.gz.gz.., lotando a tabela de arquivos do diretório e deixando sua máquina em um loop de compactação.

max log size = [tamanho]

Especifica o tamanho máximo em Kb do arquivo de log gerado pelo samba. O valor padrão é 5000Kb (5MB).

debug pid = [valor]

Este processo adiciona a pid aos logs gerados pelo processo smbd Isto é útil para depuração caso existam múltiplos processos rodando. O valor padrão é no e a opção debug timestamp deve ser yes para esta opção ter efeito.

debug timestamp = [valor]

Ativa ou desativa a gravação de data/hora nos arquivos de log gerados pelo samba. O valor padrão é yes.

debug level = [valor]

Aumenta o nível de depuração dos daemons do SAMBA de 0 a 9. Um nível de depuração interessante e que produz uma quantidade razoável de dados para configuração de um logrotate só para o SAMBA é o 2, produzindo a lista de todos os compartilhamentos acessados, quem acessou, data/hora (dependendo das outras opções de depuração). Isto permite ao administrador saber exatamente o que está sendo acessado e por quem, quais as tentativas de acesso. Assim terá certeza que o conteúdo não está sendo acessado indevidamente. O nível de depuração 0 é o padrão.

debug uid = [valor]

Este parâmetro inclui o euid, egid, uid, gid nos arquivos de log. O valor padrão é no.

lock directory = [diretório]

Define onde serão gravados os arquivos de lock gerados pelo samba.

18.2.8.6 Navegação no servidor/tipo de servidor

os level=[num]

Especifica o nível do sistema operacional. Este número é usado para as eleições netbios para definir o navegador de grupo local e controlador de domínio (veja Níveis de sistema para eleição de rede, Seção 18.2.12 para detalhes). O valor pode ser de 0 a 255, o padrão é 32.

announce as = [sistema]

Selecione o nome que o samba (nmbd) se anunciará na lista de pesquisa de rede. Os seguintes nomes podem ser usados:

• NT Server (ou NT) - Anuncia como Windows NT Server. Este é o padrão.
• NT Workstation - Anuncia-se como um NT Workstation.
• Win95 ou WfW - Anuncia-se na rede como uma estação Windows 9x, Windows for Workgroups, Windows NT Server e Windows NT Workstation de uma só vez.

domain master = [valor]

Diz se o servidor tentará se tornar o navegador principal de domínio. Os valores que podem ser especificados são: yes, no e auto. O valor padrão é auto. Veja Domain Master Browser, Seção 18.7.3.

local master = [valor]

Diz se o servidor participará ou não das eleições para navegador local do grupo de trabalho (workgroup). Os valores que podem ser especificados são: yes, no. O valor padrão é yes. Para vencer a eleição, o samba precisa ter o valor de os level maior que os demais.

Note também que o Windows NT não aceita perder as eleições e convoca uma nova eleição caso ele perca. Como esta eleição é feita via broadcasting, isso gera um tráfego grande na rede. Desta forma, se tiver um computador NT na rede configure este valor para "no". Veja Local Master Browser, Seção 18.7.2.

preferred master = [valor]

Diz se o servidor samba terá ou não vantagens de ganhar uma eleição local. Se estiver configurado para "yes", o servidor samba pedirá uma eleição e terá vantagens para ganha-la. O servidor poderá se tornar garantidamente o navegador principal do domínio se esta opção for usada em conjunto com domain master = 1. Os valores especificados podem ser yes, no e auto, o padrão é auto.

Antes de ajustar este valor para yes, verifique se existem outros servidores NetBIOS em sua rede que tem preferência para se tornar o master principal, pois poderá ocorrer um tráfego alto de broadcasting causado pelas eleições solicitadas pelas outras máquinas.

18.2.8.7 Outros parâmetros de configuração

include

Inclui um outro arquivo de configuração na porção atual do arquivo de configuração. Você pode utilizar variáveis de substituição, exceto %u, %P e %S (veja Variáveis de substituição, Seção 18.2.13).

18.2.9 Seção [homes]

Esta seção tem a função especial de disponibilizar o diretório home do usuário. Quando o usuário envia seu nome de login como compartilhamento é feita uma busca no arquivo smb.conf procurando por um nome de compartilhamento que confira. Caso nenhum seja encontrado, é feita uma busca por um nome de usuário correspondente no arquivo /etc/passwd, se um nome conferir e a senha enviada também, o diretório de usuário é disponibilizado como um compartilhamento com o mesmo nome do usuário local. O diretório home do usuário poderá ser modificado com o uso de mapeamento de nomes, veja Mapeamento de nomes de usuários, Seção 18.12.16. Quando o caminho do compartilhamento não for especificado, o SAMBA utilizará o diretório home do usuário (no /etc/passwd).

Para maior segurança da instalação, principalmente porque o diretório home do usuário não é um requerimento para a autenticação de usuário, recomendo usar a variável de substituição %S apontando para um diretório com as permissões apropriadas configuradas em seu sistema, por exemplo:

      [homes]
       comment = Diretórios de Usuários
       path=/pub/usuarios/%S

Você apenas terá o trabalho extra de criar os diretórios de usuários que farão acesso ao sistema. Isto não será nenhum problema após você programar um shell script simples que verifique os nomes de contas em /etc/passwd e crie os diretórios com as permissões/grupos adequados (isso não será abordado por este capítulo do guia, embora não seja complicado). Se deseja, existem exemplos em Exemplos de configuração do servidor SAMBA, Seção 18.15 sobre a seção [homes] no arquivo de configuração.

Os parâmetros aceitos em [homes] aqui são os mesmos usados para compartilhamentos normais (veja Descrição de parâmetros usados em compartilhamento, Seção 18.3.1). Abaixo segue mais um exemplo de seção [homes]:

     [homes] 
     comment = Diretório home de usuários
     writable = yes
     public = no
     invalid users = root nobody @adm
     follow symlinks = no
     create mode = 0640
     directory mode = 0750

A explicação de cada um dos parâmetros podem ser encontradas em Descrição de parâmetros usados em compartilhamento, Seção 18.3.1. O guia está com os parâmetros bem organizados em seções específicas, apenas de uma olhada para entender com o capítulo do SAMBA foi organizado e não terá dificuldades de se localizar.

OBS1:Caso nenhum caminho de compartilhamento seja utilizado, o diretório home do usuário será compartilhado.

OBS2:Não utilize o parâmetro public yes na seção guest, caso contrário todos os diretórios de usuários serão lidos por todos. Veja Considerações de segurança com o uso do parâmetro "public = yes", Seção 18.12.14 para maiores detalhes.

18.2.10 Seção [printers]

Esta seção tem a função de disponibilizar as impressoras existentes no sistema (lp, lp1, lp2, etc) existentes no /etc/printcap como compartilhamento de sistemas Windows. O método que os nomes de impressoras são pesquisados é idêntico a forma feita para a seção [homes]: Primeiro o nome do compartilhamento é pesquisado como um nome de serviço, depois se ele é um nome de usuário (tentando mapear o serviço disponibilizado em [homes]), depois será verificado a seção [printers].

Ao invés de usar este recurso, se preferir você poderá compartilhar as impressoras individualmente. Para detalhes, veja Configurando o Linux como um servidor de impressão Windows, Seção 18.11.1.

OBS:É importante lembrar que a seção [printers] DEVE ser definida como printable usando o parâmetro printable = yes para funcionar. O utilitário testparm poderá ser usado para verificar problemas no arquivo cd configuração do SAMBA (veja Buscando problemas na configuração, Seção 18.2.11).

18.2.11 Buscando problemas na configuração

Durante o processo de configuração do SAMBA, é comum cometer erros de digitação, usar parâmetros em lugares indevidos, etc. É recomendável o uso do testparm para checar a configuração do SAMBA sempre que houver modificações para ter certeza nada comprometa o funcionamento que planejou para sua máquina.

Para usar o testparm é só digitar testparm. Logo após executa-lo, analise se existem erros nas seções de configuração e te pedirá para pressionar <ENTER> para ver um dump do arquivo:

     Load smb config files from /etc/samba/smb.conf
     Processing section "[homes]"
     Processing section "[printers]"
     Processing section "[tmp]"
     Processing section "[cdrom]"
     Loaded services file OK.
     Press enter to see a dump of your service definitions

A saída acima indica que está tudo OK com todas as configurações que foram realizadas no servidor. É possível especificar um outro arquivo de configuração do SAMBA usando testparm /etc/samba/smb2.conf.

Também é permitido simular o nome NetBIOS que fará acesso a máquina usando o parâmetro -L nome (que será substituído na variável %L).

18.2.12 Níveis de sistema para eleição de rede

Para selecionar qual sistema NetBIOS será o local master browse ou domain master browse, é usado um método bastante interessante: o de eleições.

Quando uma nova máquina entra na rede NetBIOS, ela solicita quem é o Local Master Browser, caso nenhuma responda, ela força uma eleição na rede através de uma requisição Broadcasting especial. Vence a eleição quem tiver o ***maior número***, chamado de OS Level (nível de sistema operacional). Caso duas máquinas empatem, o desempate é feito usando outros critérios.

Se você for a única máquina de um workgroup, automaticamente você será o Local Master Browser. De meia em meia hora uma nova eleição é feita, forçando mais tráfego broadcasting na rede. Durante este novo processo de eleição, a lista de computadores é atualizada; as novas máquinas são adicionadas e as desligadas saem da lista após 36 minutos. Este é o motivo porque as máquinas Windows continuam aparecendo no ambiente de rede por algum tempo mesmo depois que desligadas ou porque elas não aparecem de imediato.

O OS Level é um número que é característico de cada sistema operacional ficando entre 0 (mais baixo) e 255. Os níveis de acessos dos sistemas operacionais são os seguintes:

     Windows for Workgroups                         1
     Windows 95                                     1
     Windows 98                                     2
     Windows 98 Second Edition                      2
     
     
     Windows 2000 Server (standalone)               16
     Windows 2000 Professional                      16
     Windows NT 4.0 Wks                             17
     Windows NT 3.51 Wks                            16
     
     
     Windows NT 3.51 Server                         32
     Windows NT 4.0 Server                          33
     Windows 2000 Server (Domain Controller)        32
     
     SAMBA                                          32

O valor padrão do OS Level do SAMBA é 32, entretanto ele é bastante flexível para permitir sua mudança através do parâmetro "os level" (veja Navegação no servidor/tipo de servidor, Seção 18.2.8.6), isto garante que o SAMBA sempre vença as eleições da rede sobre qualquer outro sistema operacional.

No caso de um servidor que estiver configurado para ser o navegador de rede, assim que for iniciado ele solicitará uma eleição de rede. As regras são as mesmas, vence o que tiver o *maior* número. Este número pode ser configurado facilmente no SAMBA para que ele sempre vença as eleições de rede, tomando conta da lista de máquinas. Isto é especialmente interessante por causa da estabilidade do servidor Linux, quando migramos de servidor NT ou para fornecer mais serviços de navegação, como servidor WINS.

OBS: Nunca deixe um servidor NT configurado para ser o Local Browser ou Domain Master Browser competir com o SAMBA. Mesmo que o SAMBA ganhe, o NT é um péssimo perdedor e convoca uma nova eleição para tentar novamente se eleger, gerando um *extremo* tráfego broadcasting em redes grandes.

18.2.13 Variáveis de substituição

Esta seção foi baseada nos dados da página de manual do samba, com adições que não estavam presentes na versão original e exemplos. Existem variáveis especiais que podem ser usadas no arquivo de configuração do samba e são substituídas por parâmetros especiais no momento da conexão do usuário. Um exemplo de utilização de variáveis de substituição seria mudar a localização do diretório home do usuário:

     [homes]
      comment = Diretório home do usuário
      path = /home/usuarios/%u

Cada uma das variáveis são descritas em detalhes abaixo:

%S

O nome do serviço atual, se existir. Seu uso é interessante, principalmente no uso de diretórios homes.

%P

O diretório raíz do serviço atual, se existir.

%u

O nome de usuário do serviço atual, se aplicável. Esta variável é bastante útil para programação de scripts e também para criar arquivos de log personalizados, etc.

%g

O grupo primário do usuário %u.

%U

O nome de usuário da seção (o nome de usuário solicitado pelo cliente, não é uma regra que ele será sempre o mesmo que ele recebeu).

%G

O nome do grupo primário de %U.

%H

O diretório home do usuário, de acordo com %u.

%v

A versão do Samba.

%h

O nome DNS da máquina que está executando o Samba.

%m

O nome NetBIOS da máquina do cliente. Isto é muito útil para log de conexões personalizados e outras coisas úteis.

%L

O nome NetBIOS do servidor. Como o servidor pode usar mais de um nome no samba (aliases), você poderá saber com qual nome o seu servidor está sendo acessado e possivelmente torna-lo o nome primário de sua máquina.

%M

O nome DNS da máquina cliente.

%N

O nome do seu servidor de diretórios home NIS. Este parâmetro é obtido de uma entrada no seu arquivo auto.map. Se não tiver compilado o SAMBA com a opção --with-automount então este valor será o mesmo de %L.

%p

O caminho do diretório home do serviço, obtido de uma entrada mapeada no arquivo auto.map do NIS. A entrada NIS do arquivo auto.map é dividida na forma "%N:%p".

%R

O nível de protocolo selecionado após a negociação. O valor retornado pode ser CORE, COREPLUS, LANMAN1, LANMAN2 ou NT1.

%d

A identificação de processo do processo atual do servidor.

%a

A arquitetura da máquina remota. Somente algumas são reconhecidas e a resposta pode não ser totalmente confiável. O samba atualmente reconhece Samba, Windows for Workgroups, Windows 95, Windows NT e Windows 2000. Qualquer outra coisa será mostrado como "UNKNOWN" (desconhecido).

%I

O endereço IP da máquina do cliente.

%T

A data e hora atual.

%$(var_ambiente)

Retorna o valor da variável de ambiente especificada.

18.3 Compartilhamento de arquivos e diretórios

Esta seção documenta como disponibilizar arquivos e impressoras com o SAMBA e os parâmetros usados para realizar restrições de compartilhamento, modo que os dados serão disponibilizados e ítens de performance. A maior parte destes parâmetros são empregados em serviços do SAMBA, mas nada impede que também sejam colocado na seção [global] do arquivo de configuração, principalmente quando isto é válido para diversos serviços compartilhados (veja Seção [global], Seção 18.2.8).

18.3.1 Descrição de parâmetros usados em compartilhamento

Abaixo o guia traz algumas das opções que podem ser usadas para controlar o comportamento do compartilhamento de arquivos por serviços no servidor SAMBA:

path

Indica o diretório que será compartilhado. Lembre-se que o usuário terá as permissões de acesso que ele teria caso estivesse logado no sistema como um usuário UNIX normal, exceto se estiver fazendo mapeamento para outros nomes de usuários (veja Mapeamento de nomes de usuários, Seção 18.12.16).

Ex: path=/pub - Compartilha o diretório local /pub.

OBS: Quando não é definido um path, o diretório /tmp é usado como padrão.

comment

Descrição do compartilhamento que será mostrada na janela de procura de rede ou no smbclient -L maquina.

Ex: comment=Pasta de conteúdo público do sistema.

browseable

Define se o compartilhamento será ou não exibido na janela de procura de rede. Mesmo não sendo exibido, o compartilhamento poderá ser acessado. Veja Criando um compartilhamento invisível, Seção 18.12.12 para uma explicação mais detalhada.

Ex: browseable=yes - Lista o compartilhamento na janela de pesquisa de servidores.

guest account

Conta que será usada para fazer acesso sem senha (convidado) quando o parâmetro guest ok ou public forem usados em um compartilhamento. Por padrão ela é mapeada para o usuário nobody. É importante especificar uma nome de usuário guest (convidado), principalmente porque seu UID será usado para fazer várias operações no SAMBA, como exibir os recursos disponíveis na máquina para a rede. Por motivos claros, é recomendável que este usuário não tenha acesso login ao sistema.

Caso não tenha a intenção de ocultar o SAMBA na lista de máquinas da rede (fazendo apenas acesso direto aos recursos), especifique um valor para esta opção.

Ex: guest account = sambausr - Mapeia os usuário se conectando sem senha para o usuário sambausr, desde que o acesso guest seja permitido pela opção public.

public

Permitem aos usuários usuários se conectarem ao compartilhamento sem fornecer uma senha usando o usuário guest. O UID que o usuário guest será mapeado é especificado pelo parâmetro guest account). Veja Criando um compartilhamento para acesso sem senha, Seção 18.12.7. O parâmetro guest ok é equivalente a public.

Ex: public = no - Não permite

guest only

Permite somente conexões guest ao recurso. O UID do usuário é mapeado para guest, mesmo que forneça uma senha correta. O valor padrão é no.

Ex: guest only = no.

write list

Lista de usuários separados por espaço ou vírgula que poderão ler e gravar no compartilhamento. Caso o nome for iniciado por "@", o nome especificado será tratado como um grupo UNIX (/etc/group) e todos os usuários daquele grupo terão acesso de gravação. O uso deste parâmetro ignora o read only = yes. Veja Excessão de acesso na permissão padrão de compartilhamento, Seção 18.12.10 para mais detalhes.

Ex: write list = gleydson, @usuarios - Permite acesso gravação somente do usuário gleydson e todos os usuários pertencentes ao grupo @usuarios.

OBS: - O significado de "@" nos parâmetros "invalid users"/"valid users" é diferente das opções write list e read list.

read list

Lista de usuários separados por espaço ou vírgula que poderão apenas ler o compartilhamento. O caracter "@" pode ser especificado para fazer referência a grupos, como no write list. O uso deste parâmetro ignora o read only = no. Veja Excessão de acesso na permissão padrão de compartilhamento, Seção 18.12.10 para mais detalhes.

Ex: read list = nobody, system, operador, @usuarios - Permite acesso de leitura somente do usuário nobody, system, operador e todos os usuários pertencentes ao grupo @usuarios.

user

Especifica um ou mais nomes de usuários ou grupos (caso o nome seja seguido de "@") para checagem de senha. Quando o cliente somente fornece uma senha (especialmente na rede Lan Manager, Windows for Workgroups e primeira versão do Windows 95) ela será validada no banco de dados de senhas usando o usuário especificado nesta opção.

Ex: user = john @usuariosrede

only user

Especifica se somente serão permitidas conexões vindas de usuários da diretiva user. O padrão é no. Caso deseje restringir o acesso a determinados usuários, o certo é faze-lo usando valid users e invalid users (veja Restringindo o acesso por usuários, Seção 18.12.4). O uso de only user é apropriado quando é necessário um controle específico de acesso sobre a diretiva user.

Ex: only user = no.

locking

Permite ao SAMBA fazer um lock real de arquivo ou apenas simular. Caso seja especificado como "0", o arquivo não é bloqueado para acesso exclusivo no servidor mas uma resposta positiva de lock é retornada ao cliente. Se definido como "1", um lock real é feito. O padrão é yes.

Ex: locking = yes

available

Faz o SAMBA ignorar o compartilhamento (como se tivesse retirado do servidor). O valor padrão é "no".

follow symlinks

Permite o uso de links simbólicos no compartilhamento (veja também a opção wide links). A desativação desta opção diminui um pouco a performance de acesso aos arquivos. Como é restrita a compartilhamento, o impacto de segurança depende dos dados sendo compartilhados. O valor padrão desta opção é "YES".

Ex: follow symlinks = yes

wide links

Permite apontar para links simbólicos para fora do compartilhamento exportada pelo SAMBA. O valor padrão esta opção é "YES".

Ex: wide links = yes.

OBS: - A desativação desta opção causa um aumento na performance do servidor SAMBA, evitando a chamada de funções do sistema para resolver os links. Entretanto, diminui a segurança do seu servidor, pois facilita a ocorrência de ataques usando links simbólicos.

Lembre-se mais uma vez que a segurança do seu sistema começa pela política e uma instalação bem configurada, isso já implica desde a escolha de sua distribuição até o conhecimento de permissões e planejamento na implantação do servidor de arquivos.

dont descend

Não mostra o conteúdo de diretórios especificados.

Ex: dont descend = /root, /proc, /win/windows, "/win/Arquivos de Programas", "/win/program files".

printable

Especifica se o compartilhamento é uma impressora (yes) ou um compartilhamento de arquivo/diretório (no). O padrão é "no".

read only

Especifica se o compartilhamento é somente para leitura (yes) ou não (no) para todos os usuários. O parâmetro writable é um antônimo equivalente a este parâmetro, só que utiliza as opções invertidas. Por segurança, o valor padrão é somente leitura. Veja uma explicação mais detalhada em Criando um compartilhamento com acesso somente leitura, Seção 18.12.8.

Ex: read only = yes.

create mask

Modo padrão para criação de arquivos no compartilhamento. O parâmetro "create mode" é um sinônimo para este. O modo de arquivos deve ser especificado em formato octal.

Ex: create mask = 0600.

directory mask

Modo padrão para a criação de diretórios no compartilhamento. O parâmetro "directory mode" é um sinônimo para este. O modo de diretório deve ser especificado em formato octal.

Ex: directory mask = 0700.

getwd cache

Permite utilizar um cache para acesso as requisições getwd, diminuindo o número de ciclos de processamento para acesso a arquivos/diretórios. O valor padrão é "Yes".

write cache size

Tamanho do cache de leitura/gravação do compartilhamento. Este valor é especificado em bytes e o padrão é "0". Veja Melhorando a performance do compartilhamento/servidor, Seção 18.13 para detalhes sobre seu uso.

Ex: write cache size = 384000.

inherit permissions

Permite herdar permissões de arquivos/diretórios do diretório pai quando novos arquivos/diretórios são criados, isto inclui bits SGID (set group ID). O padrão é NÃO herdar permissões. O uso desta opção substitui as opções fornecidas por create mask, directory mask, force create mask e force directory mask.

Ex: inherit permissions.

preexec

Executa um comando antes a abertura de um compartilhamento. O parâmetro exec é um sinônimo para este. Veja Executando comandos antes e após o acesso ao compartilhamento, Seção 18.12.13.

postexec

Executa um comando depois da utilização do compartilhamento. Veja Executando comandos antes e após o acesso ao compartilhamento, Seção 18.12.13.

preexec close

Fecha imediatamente o compartilhamento caso o valor do comando executado pela opção preexec seja diferente de 0. O uso desta opção só faz sentido em conjunto com preexec. O valor padrão é "no". Veja Executando comandos antes e após o acesso ao compartilhamento, Seção 18.12.13.

Exemplo: preexec close = yes.

volume = nome

Retorna o nome de volume especificado quando é feito o acesso ao compartilhamento. Isto é muito útil para instalações onde o serial do CD, disquete ou HD é verificado durante o acesso. Isto acontece com freqüência em produtos de fabricantes proprietários como forma de evitar a execução ilegal do programa.

18.4 Configuração em Grupo de Trabalho

A configuração grupo de trabalho é o método mais simples para compartilhar recursos em uma rede e também é indicado quando se possui uma rede pequena (até 30 máquinas) pois o gerenciamento não é tão complicado. Acima deste número, é recomendada a utilização da configuração de domínio para definição de políticas de acesso mais precisas pelo administrador e para manter o controle sobre os recursos da rede (veja Configurando um servidor PDC no SAMBA, Seção 18.7.4).

A configuração do nível de acesso por grupo de trabalho tem como características principais essa simplicidade na configuração e o controle de acesso aos recursos sendo feito pela máquina local através de senhas e controle de IP.

Quanto ao método de senhas, você pode optar tanto por usar senhas criptografadas (Ativando o suporte a senhas criptografadas, Seção 18.8) ou senhas em texto limpo (Ativando o suporte a senhas em texto plano, Seção 18.9).

Veja abaixo um exemplo explicado de configuração do SAMBA para grupo de trabalho:

      [global]
       netbios name = servidor
       workgroup = focalinux
       security = user
       obey pam restrictions = yes
       encrypt passwords = no
       os level = 30
       guest account = nobody
       server string = servidor da rede
       local master = true
       domain master = false
     
      [homes]
       comment = Diretórios de usuários
       create mask= 0700
       directory mask = 0700
       browseable = no
       
      [tmp]
       path = /tmp
       comment = Diretório temporário do sistema
       read only = yes
       valid users = gleydson
       public = no

Agora, verifique se existem erros na configuração com o comando testparm (Buscando problemas na configuração, Seção 18.2.11) e reinicie o SAMBA (Iniciando o servidor/reiniciando/recarregando a configuração, Seção 18.1.9). O nome do grupo de trabalho que a máquina pertencerá é focalinux (workgroup = focalinux). O nível de acesso usado neste exemplo é de usuário (security = user), para mais detalhes sobre este método, veja Níveis de autenticação, Seção 18.2.8.4. O parâmetro local master foi definido para yes para o SAMBA tentar ser o navegador local do grupo de trabalho (veja Local Master Browser, Seção 18.7.2).

Para testar se o servidor está funcionando, digite o seguinte comando:

     smbclient -L servidor -U usuario

Digite a senha de usuário quando solicitado. O comando deverá listar os recuros da máquina, indicando que a configuração está funcionando corretamente. Se você é paranóico e está preocupado com a segurança da máquina, recomendo ler a Controle de acesso ao servidor SAMBA, Seção 18.12.

18.5 Resolução de nomes de máquinas no samba

O Samba pode utiliza os seguintes métodos para resolução de nomes de máquinas na rede (Nome de máquina (nome NetBios), Seção 18.2.1). Eles estão listados em ordem de prioridade do mais para o menos recomendável:

• lmhosts - Pesquisa primeiro o arquivo /etc/samba/lmhosts (veja Arquivo /etc/samba/lmhosts, Seção 18.5.1 para detalhes sobre este arquivo).
• host - Faz a pesquisa no arquivo /etc/hosts e no DNS em busca do nome da máquina.
• wins - Pesquisa no servidor WINS especificado pelo parâmetro wins server do smb.conf (veja WINS, Seção 18.5.2).
• bcast - Envia um pacote para o endereço de broadcast de sua configuração de rede. Este geralmente deve ser o último método por gerar tráfego excessivo em uma rede com um considerável número de computadores.

A ordem que a resolução de nomes é feita pelo samba, pode ser modificada usando o parâmetro "name resolve order = [ordem]" no arquivo de configuração do samba (ex. name resolve order = lmhosts host wins bcast).

18.5.1 Arquivo /etc/samba/lmhosts

Este arquivo é um banco de dados que mapeia o endereço IP com o nome NetBIOS de uma máquina, semelhante ao formato do /etc/hosts. Este arquivo é útil quando temos servidores que são acessados com freqüência, quando servidores de rede estão em segmentos separados e não temos um servidor WINS entre os dois pontos para resolução de nomes, para definir máquinas WINS que serão acessados pela internet, etc. Para ter certeza da localização do arquivo lmhosts em sua máquina, digite smbclient -d 3 -L localhost e veja o diretório de pesquisa deste arquivo. Veja um exemplo de arquivo lmhosts em Exemplo de lmhosts do UNIX, Seção 18.5.1.1.

O uso do arquivo lmhosts evita o excesso de broadcasting na rede, pois a ordem padrão usada para a resolução de nomes do samba, procura primeiro resolver o nome procurando em arquivos lmhosts, depois usando dns, wins e broadcast. Dependendo do projeto de sua rede e como as máquinas resolvem os nomes, ele pode ser uma camada a mais de segurança contra um simples hijacking de servidor através de NetBEUI ou WINS (isso é evitado com o uso de domínios, veja Configurando um servidor PDC no SAMBA, Seção 18.7.4).

OBS: Note que em clientes Windows que estejam em outra subrede, é necessário o arquivo \windows\lmhosts apontando para um servidor PDC mesmo que ele esteja apontando para o servidor WINS, caso contrário, a máquina não efetuará o logon.

O formato do arquivo lmhosts do Windows é mais complexo do que o do Linux pois o sistema precisa de mais detalhes para resolver os nomes e tipos de máquinas no domínio. Veja o modelo lmhosts.sam em seu sistema Windows para compreender seu funcionamento.

18.5.1.1 Exemplo de lmhosts do UNIX

O exemplo abaixo mapeia o endereço IP das máquinas (primeira coluna) com o respectivo nome de máquina (segunda coluna):

     172.16.0.34 servarq
     172.16.0.30 serverdom
     192.168.5.2 servwins
     172.16.0.3 servpdc
     172.16.0.1 gateway

18.5.1.2 Exemplo de lmhosts do Windows

O arquivo possui uma sintaxe idêntica a do lmhosts do UNIX, mas alguns parâmetros especiais são especificados para ajudar o Windows resolver algumas coisas que não consegue fazer sozinho (principalmente com relação a identificação de função de máquinas em redes segmentadas):

     192.168.0.5 servarq
     192.168.0.1 serverpdc #PRE #DOM:dominio
     192.168.0.2 "serverwins    \0x1e" #PRE
     #INCLUDE \\serverpdc\lmhosts

A primeira entrada do arquivo é a tradicional, onde o nome da máquina NetBIOS é associada ao IP. A segunda utiliza dois parâmetros adicionais:

• #PRE - Faz a entrada ser carregada logo na inicialização e se tornando uma entrada permanente no cache NetBIOS.
• #DOM - Especifica que a máquina é um controlador de domínio. A máquina deverá ter sido configurada para a função de domínio, pois caso contrário isso simplesmente não funcionará.

Note que ambos #PRE e #DOM devem ser especificados em maiúsculas. O terceiro exemplo faz uma referência permanente (#PRE) a máquina servidora WINS serverwins. Neste exemplo é usada uma característica especial para especificar a ID hexadecimal da máquina na rede 1e. O quarto utiliza um include para associar outro arquivo ao atual, útil quando temos um compartilhamento que distribui um arquivo lmhosts para diversas máquinas na rede. De preferência, utilize sempre uma diretiva #PRE para todas as máquinas especificadas na diretiva #INCLUDE em seu arquivo de configuração.

Para a especificação de ID de serviço manual, é necessário manter os 15 caracteres no nome da máquina (preenchendo os restantes com espaços, caso seja preciso). O último caracter é o código hexadecimal que identifica o serviço de rede (veja nmblookup, Seção 18.14.2.9.3 para ver a lista de serviços e sua respectiva função).

OBS: Caso crie este arquivo em um editor de textos do Linux, não se esqueça de converter o arquivo para que contenha o CR+LF no final das linhas.

18.5.2 WINS

Este é um serviço de resolução de nomes que funciona de forma semelhante ao DNS, só que voltado para o NetBIOS. Quando uma máquina cliente NetBIOS entra na rede, o servidor WINS pega seu nome e IP e inclui em uma tabela para futura consulta pelos clientes da rede.

Esta tabela consultada toda vez que um cliente NetBIOS solicita um nome de máquina, componentes do grupo de trabalho ou domínio na rede. Uma outra aplicação importante de um servidor WINS é permitir a resolução de nomes em pontos de redes que requerem roteamento, a simplicidade de um protocolo não roteável como o NetBIOS fica limitada a simplicidade das instalações de rede. Um servidor WINS pode ser instalado em cada ponta da rede e eles trocarem dados entre si e atualizar suas tabelas de nomes/grupos de trabalhos/IPs.

A resolução de nomes de máquinas será feita consultando diretamente a máquina WINS ao invés de broadcasting (que geram um tráfego alto na rede).

18.5.2.1 Configurando o servidor WINS

Para ativar o servidor WINS no samba, inclua as seguinte linha na seção [global] do seu arquivo /etc/samba/smb.conf:

     [global]
     wins support = yes
     wins proxy = no
     dns proxy = no
     max wins ttl = 518400

O parâmetro wins proxy pode ser necessário para alguns clientes antigos que tenham problemas no envio de suas requisições WINS. O dns proxy permite que o servidor WINS faça a pesquisa no DNS para localização de nomes de máquinas caso não exista no cache. Ambas as opções wins support, wins proxy e dns proxy tem como valor padrão não. Pronto, seu servidor samba agora suporta WINS. Fácil, prático e rápido :-)

Se estiver configurando uma subrede com masquerade para acesso a um PDC ou um servidor WINS, você terá que mexer no gateway central para apontar uma rota para o gateway masquerade. O motivo disto é porque o masquerade do Linux atua somente nos cabeçalhos, mas o IP da estação é enviada e processada pelo PDC para retornar uma resposta. Da mesma forma, este IP é registrado no servidor WINS para uso das estações de trabalho. Isto só vai ser resolvido quando for escrito um módulo de conntrack para conexões SAMBA (até o lançamento do kernel 2.4.22, isso ainda não ocorreu).

OBS1: NUNCA configure mais de um servidor WINS em uma mesma rede.

OBS2: NÃO especifique o parâmetro wins server caso esteja usando o suporte a WINS.

18.5.2.2 Configurando o Cliente WINS

Para os clientes da rede (Linux, Windows, OS/2, etc.) fazer uso das vantagens da resolução de nomes usando o WINS, é necessário configurar para que eles o utilizem para resolver os nomes de máquinas. Isto é feito da seguinte forma em cada um dos sistemas operacionais:

Linux

Adicione a linha wins server = ip_do_servidor_WINS na seção global do arquivo /etc/samba/smb.conf:

     [global]
     wins server = 192.168.1.1

Após isto, reinicie o servidor samba. Caso esteja executando o servidor via inetd, digite: killall -HUP nmbd. Se estiver rodando através de daemons: /etc/init.d/samba restart. Não é necessário reiniciar o computador!

Windows 9x

Clique com o botão direito sobre o ícone Ambiente de Rede e selecione propriedades. Na janela de configuração de rede clique na aba Configuração. Na lista que aparece selecione o protocolo TCP/IP equivalente a sua placa de rede local e clique em Propriedades.

Na tela de Propriedades TCP/IP clique em Configurações WINS e marque a opção Ativar resolução WINS. Digite o endereço do servidor WINS e clique em Adicionar.

OBS: Se utilizar um servidor DHCP em sua rede local e o endereço do servidor WINS também é oferecido através dele, você poderá marcar a opção Usar DHCP para resolução WINS. Note que esta opção somente estará disponível se escolher a opção Obter um endereço IP automaticamente na tab Endereços IP. Clique em OK até fechar todas as telas e reinicie quando o computador perguntar :-)

18.6 Servidor de data/hora

O samba pode atuar como um servidor de data/hora ajustando o horário de suas estações de trabalho com o servidor da rede.

As estações clientes poderão executar o comando net para sincronizar seu relógio durante a inicialização do Windows, ou durante o logon da rede através do script de logon, caso tenha configurado o servidor samba para logon em domínios NT.

18.6.1 Configuração do serviço de data/hora no SAMBA

Para configurar o samba para atuar como servidor de data/hora de sua rede, adicione o seguinte parâmetro na seção global do arquivo de configuração /etc/samba/smb.conf:

     [global]
     time server = yes

Para sincronizar a data/hora das estações de trabalho usando o servidor samba, veja Sincronizando a data/hora no Cliente, Seção 18.6.2. Caso o seu servidor SAMBA também seja o servidor de autenticação PDC da rede, a melhor forma de se fazer isto é colocar o comando net time \\servidor_SAMBA /set /yes em um script que será executado pela estação.

OBS É recomendável instalar um cliente ntp para manter o relógio do servidor sempre atualizado, conseqüentemente mantendo a data/hora das estações também em sincronismo . .

18.6.2 Sincronizando a data/hora no Cliente

Na estação cliente Windows, use o seguinte comando:

     NET TIME \\SERVIDOR /WORKGROUP:GRUPO /SET /YES

Um local interessante para colocação deste comando é na pasta Iniciar da estação Windows, pois todos os comandos que estejam nesta pasta são executados quando o sistema é iniciado.

Exemplos:

• net time \\linux /set /yes - Sincroniza a hora com o servidor "\\linux" e não pede confirmação (/yes).
• net time \\linux /WORKGROUP:pinguim /set /yes - Sincroniza a hora com o servidor "\\linux" do grupo de trabalho pinguim (/WORKGROUP:pinguim) e não pede confirmação (/yes).

18.7 Configuração em Domínio

Esta seção descreve todos os passos necessários para configurar um servidor de domínio PDC (Primary Domain Control) com perfis móveis e outros recursos que tornam úteis e seguras a administração de uma rede NetBEUI.

18.7.1 Uma breve introdução a um Domínio de rede

Um domínio de rede consiste em uma máquina central chamada de PDC, que mantém o controle de todas as contas de usuários/grupos e permissões para acesso a rede NetBEUI. O acesso desta forma é centralizado, como vantagem disto você pode usar o nível de acesso por usuários nas máquinas, definindo quais usuários ou grupos terão acesso de leitura/gravação.

É permitido criar scripts de logon, assim comandos programados pelo administrador serão executados nas máquinas clientes durante o logon no domínio (veja Criando Scripts de logon, Seção 18.7.7).

O nome da máquina é protegido contra hijacking através de contas de máquinas que fazem parte do domínio (veja Contas de máquinas de domínio, Seção 18.7.5). Isto só é possível em clientes Linux, Windows NT, Windows 2000 e Windows XP.

Você poderá usar perfis móveis, copiando todas as personalizações do seu desktop para qualquer máquina na rede que você faça o logon. Para o administrador, ele poderá definir políticas com o Poledit e outros programas que serão salvas junto com o perfil do usuário, valendo para qualquer máquina que ele se autentique na rede (veja Criando Scripts de logon, Seção 18.7.7).

Se você deseja iniciar logo a configuração do seu domínio, siga até Configurando um servidor PDC no SAMBA, Seção 18.7.4.

18.7.2 Local Master Browser

É a máquina que ganhou a eleição no segmento local de rede (veja Níveis de sistema para eleição de rede, Seção 18.2.12). Logo que é declarada o local master browser, ela começa a receber via broadcasting a lista de recursos compartilhados por cada máquina para montar a lista principal que será retornada para outras máquinas do grupo de trabalho ou outras subredes que solicite os recursos compartilhados por aquele grupo.

Uma nova eleição é feita a cada 36 minutos ou quando a máquina escolhida é desligada.

18.7.3 Domain Master Browser

Quando o local master browse é eleito no segmento de rede, uma consulta é feita ao servidor WINS para saber quem é o Domain Master Browse da rede para enviar a lista de compartilhamentos. A máquina escolhida como Local Master Browse envia pacotes para a porta UDP 138 do Domain Master e este responde pedindo a lista de todos os nomes de máquinas que o local master conhece, e também o registra como local master para aquele segmento de rede.

Caso tenha configurado sua máquina para ser o domain master browser da rede (também chamado de controlador principal de domínio ou PDC), ela tentará se tornar a máquina que terá a lista completa de recursos enviados pelos locais master browsers de cada segmento de rede. Um PDC também é o local master browse de seu próprio segmento de rede.

É possível ter mais de um domain master browse, desde que cada um controle seu próprio domínio, mas não é possível ter 2 domain master browsers em um mesmo domínio. Caso utilize um servidor WINS em sua rede, o PDC fará consultas constantes em sua base de dados para obter a lista de domínios registrados. O domínio é identificado pelo caracter 1b na rede (veja nmblookup, Seção 18.14.2.9.3).

OBS: O Windows NT configurado como PDC sempre tenta se tornar o domain master browser em seu grupo de trabalho. Não sendo possível retirar o Windows NT configurado como PDC do domínio (por alguma outra razão), a única forma será deixar ele ser o domain master browser. Se este for o caso, você poderá continuar lendo este documento para aprender mais sobre NetBIOS e talvez ainda mudar de idéia sobre manter o NT na rede após ver as características do SAMBA ;-)

18.7.4 Configurando um servidor PDC no SAMBA

Esta é a parte interessante do guia, a prática. Para os administradores que conhecem através da experiência própria os problemas e definições do SAMBA, grande parte do guia foi apenas uma revisão (por favor, se faltou algo que acha interessante, me notifiquem que incluirei na próxima versão e colocarei uma nota no lançamento e na página com os devidos créditos :-))

Para configurar uma máquina para ser o PDC (Controladora Principal de Domínio ou Primary Domain Control), siga esta seqüência:

• Habilite o suporte a senhas criptografadas. Caso ainda não tenha feito isso, leia a seção Ativando o suporte a senhas criptografadas, Seção 18.8.
• Na seção [global], insira/modifique os seguintes parâmetros:

       ; Identificação da máquina e domínio
       netbios name = gleydson
       workgroup = focalinux
       
       ;níveis de acesso e funções do servidor
       security = user
       domain master = yes
       prefered master = yes
       local master = yes
       
       ; senhas criptografadas
       encrypt passwords = yes
       smb passwd file = /etc/samba/smbpasswd.db
  

  Onde os parâmetros significam:

  • netbios name = gleydson - Nome do computador. Este também será o nome usado pelas outras máquinas clientes quando for configurar o PDC (controlador de domínio).
  • workgroup = focalinux - Nome do domínio que está criando. Todas as máquinas que pertencerem a este domínio, terão o nível de acesso definido pelo PDC. Note que o parâmetro workgroup também é usado ao especificar o nome do grupo de trabalho quando se é usado a configuração grupo de trabalho (Configuração em Grupo de Trabalho, Seção 18.4).
  • security = user - Requerido para controle de acesso por domínio, já que é utilizado o controle de acesso local usando usuários e grupos locais.
  • domain master = yes - Especifica se está máquina está sendo configurada para ser o PDC da rede.

    OBS: Por favor, certifique-se que não existe outro PDC no domínio. Veja Domain Master Browser, Seção 18.7.3. prefered master = yes - Força uma eleição com algumas vantagens para seu servidor ser eleito sempre como o controlador de domínio. Isto garante que a máquina SAMBA sempre seja o PDC. Veja Navegação no servidor/tipo de servidor, Seção 18.2.8.6. local master = yes - Define se a máquina será o controlador principal do grupo de trabalho local que ela pertence.

Pronto, agora teste se existem erros em sua configuração executando o comando testparm (Buscando problemas na configuração, Seção 18.2.11) e corrija-os se existir. Resta agora reiniciar o servidor nmbd para que todas as suas alterações tenham efeito. Para adicionar seus clientes a um domínio, veja Contas de máquinas de domínio, Seção 18.7.5 e Configurando clientes em Domínio, Seção 18.14.3.

18.7.5 Contas de máquinas de domínio

Uma conta de máquina de domínio garante que nenhum outro computador possa utilizar o mesmo nome de uma máquina confiável e assim utilizar os compartilhamentos que ela tem permissão. Os clientes Windows NT, Windows XP e Windows 2000 precisam de uma conta de máquina para ter acesso ao domínio e seus recursos. A criação de uma conta de máquina é bastante semelhante a criação da conta de um usuário normal no domínio.

Existe uma coisa que precisa sempre ter em mente quando estiver configurando uma conta de máquina de domínio: Quando você cria uma conta para a máquina, ela entra e altera sua senha no próximo logon usando um "segredo" entre ela e o PDC, este segredo a identifica sempre como dona daquele nome NetBIOS, ou seja, até o primeiro logon no NT, outra máquina com o mesmo nome NetBIOS poderá ser a dona do netbios naquele domínio caso faça o logon no domínio. A única forma de se evitar isto é logar imediatamente no domínio NT assim que criar as contas de máquinas.

Existem duas formas para criação de contas de máquinas: manual e automática.

18.7.5.1 Criando contas de máquinas manualmente

Para criar uma conta de domínio para a máquina master, siga estes 2 passos:

1. Crie uma conta de máquina no arquivo /etc/passwd:

        useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null master$
   

   O comando acima cria uma conta para a máquina master$ e torna ela parte do grupo domainmac. É necessário especificar o caracter $ após o nome da máquina para criar uma conta de máquina no domínio, caso contrário o próximo passo irá falhar. Acredito que nas próximas versões do SAMBA seja desnecessário o uso do arquivo /etc/passwd para a criação de contas de máquina.

2. Crie uma conta de máquina no arquivo /etc/samba/smbpasswd:

        smbpasswd -m -a master
   

   Isto cria uma conta de máquina para o computador master no arquivo /etc/samba/smbpasswd. Note que a criação de uma conta de máquina é muito semelhante a criação de um usuário apenas precisa adicionar a opção -m. Quando for criar uma conta com o smbpasswd Não é necessário especificar $ no final do nome da máquina.

   O mais importante: Entre IMEDIATAMENTE no domínio após criar a conta de máquina usando a conta de administrador de domínio criada no SAMBA (veja Criando uma conta de administrador de domínio, Seção 18.7.6)! como a máquina ainda não se autenticou pela primeira vez, qualquer máquina que tenha o mesmo nome e entre no domínio, poderá alocar o nome recém criado. A única forma de resolver este problema, é apagando a conta de máquina e criando-a novamente no domínio. Siga os passos de acordo com o sistema operacional em Configurando clientes em Domínio, Seção 18.14.3 para colocar seus clientes em domínio.

OBS1: Como segurança, recomendo desativar a conta de máquina no /etc/passwd usando o comando passwd -l conta. Esta conta NUNCA deverá ser usada para login, isto deixa nossa configuração um pouco mais restrita.

OBS2: A localização do arquivo de senhas criptografadas do SAMBA pode ser modificado através da opção smb passwd file na seção [global] do arquivo smb.conf.

OBS3: Os que tem experiência com NT e Windows 2000 devem ter notado que este método é semelhante ao do Server Manager das ferramentas de gerenciamentos de servidores existentes no Windows.

18.7.5.2 Criando contas de máquinas automaticamente

Através deste método, as máquinas clientes terão sua conta criada automaticamente assim que seja feita a entrada no domínio usando a conta do administrador de domínio no SAMBA. Este é o método recomendável de colocação de máquinas no domínio por ser mais prática ao invés do método manual. Note que normalmente isto funciona para o WinXP e Win2000 mas não funciona em redes com o NT4, devendo ser criadas contas de máquinas usando o método manual.

Para fazer a configuração automática, coloque a seguinte linha no arquivo smb.conf na seção [global]:

     add user script = useradd -g domainmac -c "Maquina de Dominio" -s /bin/false -d /dev/null %u

Assim, a conta de máquina será automaticamente criada quando o administrador fizer sua configuração no domínio (veja Criando uma conta de administrador de domínio, Seção 18.7.6). No SAMBA 3.0, a opção add machine script deverá ser usada no lugar de add user script para adicionar uma máquina no domínio.

18.7.6 Criando uma conta de administrador de domínio

A conta de administrador do domínio é a conta que tem permissões para realizar operações de manutenção e administração de máquinas que compõem o domínio de rede. Com ela é possível, entre outras coisas, adicionar e remover máquina que compõem o domínio. Para especificar que contas de usuários do arquivo /etc/samba/smbpasswd que terão poderes administrativos, utilize a opção domain admin group ou admin users na seção [global] do arquivo /etc/samba/smb.conf.

O parâmetro admin users permite que todas as operações realizadas pelo usuário sejam feitas com poderes de usuário root. Isto é necessário porque o arquivo smbpasswd (usado para ajustar as contas de máquinas) normalmente tem permissões de leitura/gravação somente para root. O domain admin group permite que usuários específicos ou usuários do grupo especificado sejam parte do grupo de administradores do domínio para adicionar máquinas, etc. Por exemplo, para tornar o usuário gleydson com privilégios para adicionar/remover máquinas no domínio:

     [global]
     ...
     admin users = gleydson
     ou
     domain admin group = @admins gleydson

Isto permite que o usuário gleydson possa adicionar/remover máquinas do domínio NT (veja Configurando clientes em Domínio, Seção 18.14.3) entre outras tarefas. Por segurança, recomendo que coloque esta conta no invalid users de cada compartilhamento para que seja utilizada somente para fins de gerenciamento de máquinas no domínio, a menos que deseje ter acesso total aos compartilhamentos do servidor (nesse caso, tenha consciência do nível de acesso que esta conta possui e dos problemas que pode causar caso caia em mãos erradas).

OBS1: Tenha SEMPRE bastante cuidado com quem dará poderes de administrador de domínio, pois toda sua rede poderá ficar vulnerável caso os cuidados de administração não estejam em boas mãos.

OBS2: Em versões antigas do SAMBA, somente o usuário root tem poderes para adicionar máquinas no domínio usando o parâmetro domain admins group, devendo ser também adicionado no arquivo smbpasswd para que possa fazer isto e obviamente não deverá estar listado em invalid users. Mesmo assim, existem outras formas explicadas no guia de se contornar o risco causado pela liberação de acesso do usuário root.

18.7.7 Criando Scripts de logon

Uma dos recursos mais úteis em um domínio é a possibilidade de se executar comandos nas máquinas cliente quando fazem o logon no domínio. Desta forma, é possível instalar programas, executar anti-vírus, mapear compartilhamentos automaticamente no clientes, etc. A programação de scripts de logon é feita usando a linguagem em lote do DOS, com possibilidades de usar variáveis de ambiente, cópia de arquivos entre servidores, etc. O guia não irá abordar a programação em linguagem de lote, mas isto é simples de se encontrar na internet e mesmo a documentação que acompanha o próprio Windows é útil.

Para habilitar o recurso de scripts de logon na máquina, adicione os seguintes parâmetros no arquivo smb.conf:

     [global]
     domain logons = yes
     logon script = logon.cmd
     
     [netlogon]
         path = /pub/samba/netlogon
         read only = yes
         write list = ntadmin

Segue a descrição de cada parâmetro com detalhes importantes para a configuração e funcionamento do recurso de logon:

• domain logons - Deve ser definido para yes para ativar o recurso de logon scripts do SAMBA.

• logon drive é a unidade de disco que terá o homedir do usuário mapeado. Isto somente é usado por máquinas NT/2000/XP.

• logon script - Define qual é o script que será executado na máquina cliente quando fizer o logon. Ele deve ser gravado no diretório especificado pela opção path do compartilhamento [netlogon] (/pub/samba/netlogon no exemplo). Os scripts de logon podem ser tanto em formato .bat ou .cmd. Se for programar um script universal, é recomendável o uso do formato .bat por ser compatível tanto com Win9X e WinNT.

Um detalhe que deve ser lembrado durante a programação do script de logon é que ele DEVE seguir o formato DOS, ou seja, ter os caracteres CR+LF como finalizador de linhas. Para utilizar editores do UNIX para escrever este script, será necessário executar o programa flip (flip -m -b arquivo) ou unix2dos no arquivo para converte-lo em formato compatível com o DOS.

Segue abaixo um exemplo de script de logon que detecta quando o cliente é Windows 95/NT, ajusta a hora com o servidor e mapeia 2 unidades de disco:

     @echo off
     cls
     rem Logon Script desenvolvido por Gleydson Mazioli 
     rem da Silva como modelo para o guia Foca GNU/Linux
     rem
     rem Este script pode ser utilizado para fins didáticos
     rem e distribuído livremente de acordo com os termos
     rem da GPL 
     rem 
     echo "Aguarde enquanto sua máquina efetua"
     echo "o logon na rede do domínio focalinux."
     rem 
     if %OS%==Windows_NT goto NT-2000
     rem 
     echo "--------------------------------"
     echo "SO: %OS%"
     echo "Usuário: %USERNAME%"
     echo "Grupo de Trabalho: %LANGROUP%"
     echo "Servidor: %DOMINIO%"
     echo "--------------------------------"
     echo "Recuperando compartilhamentos"
     rem mapeia o compartilhamento publico definido no servidor
     net use e: \\gleydson\publico
     echo "Sincronizando data/hora"
     rem sincroniza a data/hora com o servidor
     net time \\gleydson /set /yes
     goto fim
     rem
     rem
     :NT-2000
     echo "--------------------------------"
     echo "SO: %OS%"
     echo "Usuário: %USERNAME%"
     echo "Windows: %windir%"
     echo "Logon de domínio: %LOGONSERVER%"
     echo "--------------------------------"
     echo "Recuperando compartilhamentos"
     net use e: \\gleydson\publico /persistent:yes
     echo "Sincronizando data/hora"
     net time \\gleydson /set /yes
     rem
     rem
     goto fim
     rem
     :fim

Note no exemplo acima que não podem haver linhas em branco, você deverá utilizar a palavra rem (comentário em arquivos em lote) em seu lugar. Note que existem diferenças entre o comando net do Windows 9x/ME e do NT, as variáveis também possuem um significado diferente entre estes 2 sistemas, isto explica a necessidade de se incluir um bloco separado detectando a existência de qual sistema está sendo efetuado o logon.

A lista completa de variáveis disponíveis para cada sistema operacional pode ser obtida colocando-se set >c:\vars.txt que gravará uma lista de variáveis disponíveis durante o logon no arquivo c:\vars.txt da máquina cliente.

OBS: Caso especifique um computador que contém o script de login, lembre-se de faze-lo sempre com \ ao invés de / para não ter incompatibilidade com o Windows 95/3.11.

ATENÇÃO: Lembre-se que copiar e colar pode não funcionar para este script. Leia novamente esta seção do guia se estiver em dúvidas.

18.7.8 Configurando perfis de usuários

Os profiles permitem que os clientes utilizem o mesmo perfil em qualquer máquina que ele se autentique na rede. Isto é feito após a autenticação copiando os arquivos que contém os dados de personalização de usuários (user.dat, NTuser.dat) para a máquina local. Este processo também inclui a cópia de papéis de parede, links da área de trabalho, cache do IE, etc. Para configurar o recurso de perfis móveis no domínio, é necessário adicionar os seguintes parâmetros no seu arquivo smb.conf:

     [global]
     security = user
     encrypt passwords = yes
     domain logons = yes
     logon drive = H:
     logon path = \\%N\profilesNT\%u
     logon home  = \\%N\profiles\%u
     preserve case = yes
     short preserve case = yes
     case sensitive = no
     
     [profiles]
         path = /pub/profiles
         read only = no
         create mask = 0600
         directory mask = 0700
     
     [profilesNT]
         path = /pub/profilesNT
         read only = no
         create mask = 0600
         directory mask = 0700

Segue a descrição dos parâmetros de detalhes para seu funcionamento:

• O parâmetro domain logons = yes especifica que o servidor será usado para fazer logons no domínio. Quando este parâmetro é definido para yes, a máquina automaticamente tentará ser o PDC.
• logon path e logon home definem (respectivamente) o diretório de logon do /pub/profilesNT/usuario (NT) e /pub/profiles/usuario (Win95) respectivamente. Durante o logon, a variável %N será substituída pelo nome do servidor (ou servidor de diretórios, se for o caso) e a variável %u pelo nome do usuário.

  O sistema operacional de origem é detectado no momento da conexão. Isto significa que o usuário poderá ter 2 profiles diferentes, de acordo com o tipo de sistema operacional cliente que estiver conectando.

• O diretório home do usuário será mapeado para a unidade H: (logon drive = h:). O parâmetro logon drive somente é usado pelo NT/2000/XP.
• As opções preserve case, short preserve case e case sensitive permite que os nomes dos arquivos/diretórios tenham as letras maiúsculas/minúsculas mantidas, isto é requerido para os profiles.

O compartilhamento dos 2 profiles pode ser feito sem tantos traumas, mas isto não será explicado profundamente no guia pois o procedimento segue o mesmo padrão do NT sendo bastante documentado na internet.

Note que é possível definir um servidor separado para servir os profiles para um domínio modificando a variável %N para apontar direto para a máquina. Na máquina que armazenará os profiles, basta definir o nível de segurança por servidor (security = server) e o endereço IP do servidor de senhas (password server = IP).

OBS1: Os perfis só funcionam caso o servidor de profiles contenha a opção security = user e encrypt passwords = yes ou security = server e password server = endereço_IP. Caso tenha problemas, verifique se uma destas alternativas está correta.

OBS2: Quando utiliza o SAMBA com o Windows 2000 SP2, é necessário adicionar a opção nt acl support = no no compartilhamento [profiles], caso contrário, ele retornará um erro de acesso ao compartilhamento.

18.7.9 Modificações de permissões de acesso pelos clientes do domínio

Um usuário do Windows NT (ou versões baseadas neste) pode modificar as permissões dos arquivos/diretórios que tem acesso através da caixa de diálogo de listas de acesso do NT, lembrando que estas permissões nunca substituirão as definidas pelo administrador local.

A opção "nt acl support" deverá estar definida para "yes" na seção [global] do arquivo de configuração, caso contrário você não terá acesso para mudar as permissões através de caixas de diálogo do NT.

18.8 Ativando o suporte a senhas criptografadas

O uso de senhas criptografadas é um requisito quando você deseja configurar o SAMBA para ser um servidor PDC ou um cliente de um domínio. Quando utiliza senhas criptografadas, elas trafegam em formato seguro através da rede, dificultando a captura por outras pessoas. Em versões mais recentes do Windows (a partir da OSR/2 e NT 4 service pack3) o suporte a senhas criptografadas vem habilitado como padrão para login e utilização de serviços da rede. Não é recomendável desativar o uso de senhas criptografadas, mas se mesmo assim for necessário veja Senhas criptografadas ou em texto puro?, Seção 18.12.15.

Quando usamos senhas criptografadas, elas são armazenadas no arquivo /etc/samba/smbpasswd ao invés do /etc/passwd, isto permite que possamos controlar as permissões de usuários separadamente das do sistema e diferenciar os logins do domínio dos logins do sistema (usuários que possuem shell). Caso tenha um servidor que já possua muitas contas de usuários acessando em texto plano, recomendo ler Migrando de senhas texto plano para criptografadas, Seção 18.8.1 para facilitar o processo de migração de contas.

O utilitário smbpasswd é o programa utilizado para gerenciar este arquivo de senhas e também o status de contas de usuários/máquinas do domínio. Siga estes passos para ativar o uso de senhas criptografadas no SAMBA:

1. Edite o arquivo /etc/samba/smb.conf e altere as seguintes linhas na seção [global] para adicionar o suporte a senhas criptografadas:

        [global]
        encrypt passwords = true
        smb passwd file =/etc/samba/smbpasswd
   

   A linha encrypt passwords = true diz para usar senhas criptografadas e que o arquivo /etc/samba/smbpasswd contém as senhas (smb passwd file =/etc/samba/smbpasswd).

   Caso sua máquina seja apenas um cliente de rede (e não um PDC), você pode pular para o passo onde o SAMBA é reiniciado (no final dessa lista), não é necessária a criação do arquivo de senhas para autenticação pois os usuários serão validados no servidor.

2. Execute o comando mksmbpasswd </etc/passwd >/etc/samba/smbpasswd. Ele pega toda a base de usuários do /etc/passwd e gera um arquivo /etc/samba/smbpasswd contendo as contas destes usuários. Por padrão, todas as contas são DESATIVADAS por segurança quando este novo arquivo é criado. O novo arquivo terá o seguinte formato:

        gleydson:1020:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U          ]:LCT-00000000:Gleydson Mazioli da Silva,,,
        geovani:1004:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U          ]:LCT-00000000:Geovani Mazioli da Silva,,,
   

   Os campos são separados por ":" e cada campo possui o seguinte significado:

   1. O primeiro é o nome de usuário
   2. UID do usuário no sistema UNIX que a conta será mapeada.
   3. Senha Lan Manager codificada em hex 32 criado usando criptografia DES usada pelo Windows 95/98/ME.
   4. Senha hash criada em formato do NT codificada em hex 32. Esta senha é criada pegando a senha do usuário, convertendo-a para maiúsculas, adicionados 5 bytes de caracteres nulos e aplicando o algoritmo md4.
   5. Opções da conta criada no smbpasswd:
      • U - Especifica que a conta é uma conta de usuário normal (veja Adicionando usuários no smbpasswd, Seção 18.8.2)
      • D - Significa que a conta foi desativada com a opção -d (veja Desabilitando uma conta no smbpasswd, Seção 18.8.4).
      • W - Especifica que a conta é uma conta de máquina criada com a opção -m (veja Contas de máquinas de domínio, Seção 18.7.5).
      • N - A conta não possui senha (veja Definindo acesso sem senha para o usuário, Seção 18.8.7).

   Os caracteres "XXXXXXXXXXXXXXX" no campo da senha, indica que a conta foi recém criada, e portanto está desativada. O próximo passo é ativar a conta para ser usada pelo SAMBA.

   ATENÇÃO: O método de criptografia usado neste arquivo não é totalmente seguro. Recomendo manter o arquivo de senhas smbpasswd em um diretório com a permissão de leitura somente pelo root.

3. Para ativar a conta do usuário gleydson, usamos o comando:

        smbpasswd -U gleydson
   

   Digite a senha do usuário e repita para confirmar. Assim que a senha for definida, a conta do usuário é ativada. Você também pode especificar a opção "-s" para entrar com a senha pela entrada padrão (muito útil em scripts). Apenas tenha cuidado para que esta senha não seja divulgada em seus arquivos/processos.

4. Reinicie o processo do SAMBA (veja Iniciando o servidor/reiniciando/recarregando a configuração, Seção 18.1.9).
5. Verifique se o suporte a senhas criptografadas está funcionando com o comando:

         smbclient -L localhost -U gleydson
   

   Substitua localhost pelo IP do servidor e gleydson pelo usuário. Caso obtenha a mensagem session setup failed: NT_STATUS_LOGON_FAILURE significa que a senha informada está incorreta.

18.8.1 Migrando de senhas texto plano para criptografadas

No SAMBA, é possível fazer um processo de migração de senhas em texto plano de usuários para criptografadas sem que eles deixem de acessar o servidor durante esta mudança. Caso este seja seu caso, insira o parâmetro

     update encrypted = yes

na seção [global] do seu arquivo de configuração smb.conf. A senha criptografada é definida assim que o usuário se logar usando sua senha em texto plano. Não se esqueça de desativar esta opção ou remove-la após o prazo necessário para que todas as senhas sejam trocadas.

18.8.2 Adicionando usuários no smbpasswd

A adição de um usuário no smbpasswd segue duas etapas: primeiro é necessário adiciona-lo no sistema com o adduser e depois no samba com o smbpasswd. Você deve estar se perguntando qual a vantagem de se ter um arquivo separado de usuários se ainda é preciso criar o login nos dois arquivos; O SAMBA para fazer o controle de acesso aos arquivos utiliza além dos mecanismos tradicionais do NT, o controle de permissões a nível UNIX para manter os arquivos ainda mais restritos. Além disso, será necessário usuários e grupos para criação e acesso ao sistema.

1. Adicione um usuário no sistema com o comando:

         useradd -g grupo-dominio -c "Usuário de Domínio" -s /bin/false -d /dev/null joao
   

   Este comando adiciona o usuário "joao" no grupo grupo-dominio e não define hem uma shell, diretório home nem senha para este usuário. Isto mantém o sistema mais seguro e não interfere no funcionamento do SAMBA, pois somente é necessário para fazer o mapeamento de UID/GID de usuários com as permissões do sistema UNIX.

   É interessante padronizar os usuários criados no domínio para um mesmo grupo para pesquisa e outras coisas.

2. Crie o usuário "joao" no SAMBA:

        smbpasswd -a joao
   

   Será solicitada a senha do usuário.

18.8.3 Removendo usuários do smbpasswd

Utilize o comando smbpasswd -x usuario para remover um usuário do arquivo smbpasswd. Se desejar, você pode manter o usuário no /etc/passwd ou remove-lo com o userdel.

OBS: Removendo um usuário deste arquivo fará que ele não tenha mais acesso ao SAMBA. Utilize o comando smbpasswd -a teste

18.8.4 Desabilitando uma conta no smbpasswd

Como administrador, pode ser necessário que precise desativar temporariamente uma conta de usuário por alguma situação qualquer (má utilização de recursos, dúvida se a conta está sendo usada, para que ele ligue reclamando de autenticação para ter aquela desejada conversa (hehe), etc.). Remover uma conta e novamente adiciona-la então não é uma situação muito prática. Utilize então o seguinte comando para desativar uma conta de usuário:

     smbpasswd -d usuario

Quando a conta de usuário é desativada, uma flag "D" é adicionada às opções do usuário (junto com as opções "UX"). Veja Habilitando uma conta no smbpasswd, Seção 18.8.5 para reativar a conta.

18.8.5 Habilitando uma conta no smbpasswd

Uma conta desativada com o uso do comando smbpasswd -d pode ser novamente ativada usando:

      smbpasswd -e usuario

18.8.6 Alterando a senha de um usuário

O utilitário smbpasswd pode ser usado tanto para alterar a senha de usuários locais do SAMBA ou de uma conta em um servidor remoto (seja SAMBA, NT, W2K). Para alterar a senha de um usuário local, digite:

     smbpasswd -U usuario

Lhe será pedida a antiga senha, a nova senha e a confirmação. Caso seja o usuário root, somente a nova senha e a confirmação. Isto é mecanismo de proteção para usuários que esquecem a senha ;-)

Para alterar a senha de um usuário remoto, utilize:

     smbpasswd -r servidor -U usuario

Note que apenas foi adicionada a opção -r servidor comparado com a opção anterior. A diferença é que a senha antiga do usuário sempre será solicitada para troca (pois o root das 2 máquinas pode não ser o mesmo).

18.8.7 Definindo acesso sem senha para o usuário

Para fazer um usuário acessar sem senha, use o comando:

     smbpasswd -n usuario

Isto é completamente desencorajado e necessita que a opção null passwords da seção [global] no arquivo smb.conf esteja ajustada para yes (que NÃO é o padrão).

18.9 Ativando o suporte a senhas em texto plano

Esta forma de autenticação é enviada por implementações NetBIOS antigas, como a encontrada no Lan Manager, Windows for Workgroups e Windows 95 OSR1. As versões mais novas destas implementações enviam a senha em formato criptografado, sendo necessário também usar o formato criptografado no SAMBA para que possa se autenticar (veja Ativando o suporte a senhas criptografadas, Seção 18.8).

Em Senhas criptografadas ou em texto puro?, Seção 18.12.15 é feita uma comparação entre o uso de autenticação usando senhas em texto plano e senhas criptografadas. Em geral, o administrador prefere a utilização da autenticação usando texto plano quando deseja usar o /etc/passwd para autenticação e está usando grupos de trabalho é necessário usar senhas criptografadas para autenticação).

Para configurar o SAMBA para utilizar senhas em texto, modifique o parâmetro encrypt passwords para no:

     [global]
     encrypt passwords = no

Reinicie o SAMBA (Iniciando o servidor/reiniciando/recarregando a configuração, Seção 18.1.9) e a partir de agora, ele usará o /etc/passwd para autenticação.

OBS: Tenha certeza de não estar participando de um domínio ou que sua máquina seja o PDC antes de fazer esta modificação.

18.9.1 Configurando o acesso de clientes para uso de senhas em texto plano

Esta seção descreve como configurar clientes para acessar o servidor SAMBA usando autenticação em texto plano. Atualmente o guia cobre os seguintes clientes:

• Lan Manager, Seção 18.9.1.1
• Windows for Workgroups, Seção 18.9.1.2
• Windows 95 / Windows 95A, Seção 18.9.1.3
• Windows 95B, Seção 18.9.1.4
• Windows 98/98SE, Seção 18.9.1.5
• Windows ME, Seção 18.9.1.6
• Windows NT Server/WorkStation, Seção 18.9.1.7
• Windows 2000, Seção 18.9.1.8
• Linux, Seção 18.9.1.9

Em cada seção, também é explicado como habilitar novamente a autenticação usando senhas criptografadas (se suportado pelo cliente).

18.9.1.1 Lan Manager

Cliente NetBIOS para DOS. Ele trabalha somente com senhas em texto plano.

18.9.1.2 Windows for Workgroups

Este é o padrão de autenticação do Windows for Workgroups caso não tenha feito nenhuma alteração específica (mas desconheço algo que faça-o trabalhar com senhas criptografadas).

18.9.1.3 Windows 95 / Windows 95A

O Windows 95 até a release "A", utiliza texto plano como padrão para autenticação (veja qual a release clicando com o botão direito em Meu Computador e Propriedades.

18.9.1.4 Windows 95B

Copie o seguinte conteúdo para um arquivo chamado win95-textoplano.reg:

     REGEDIT4
     
     [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\VNETSUP]
     "EnablePlainTextPassword"=dword:00000001

Após isto, execute no Windows 95 o seguinte comando: regedit win95-textoplano.reg e reinicie o computador para fazer efeito.

Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e executa novamente o regedit.

18.9.1.5 Windows 98/98SE

O procedimento é idêntico ao Windows 95B, Seção 18.9.1.4.

18.9.1.6 Windows ME

O procedimento é idêntico ao Windows 95B, Seção 18.9.1.4.

18.9.1.7 Windows NT Server/WorkStation

Copie o seguinte conteúdo para um arquivo chamado winNT-textoplano.reg:

     REGEDIT4
     
     [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rdr\Parameters]
     "EnablePlainTextPassword"=dword:00000001

Após isto, execute no Windows NT o seguinte comando: regedit winNT-textoplano.reg e reinicie o computador para fazer efeito.

Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e execute novamente o regedit.

18.9.1.8 Windows 2000

Copie o seguinte conteúdo para um arquivo chamado win2000-textoplano.reg:

     REGEDIT4
     
     [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters]
     "EnablePlainTextPassword"=dword:00000001

Após isto, execute no Windows 2000 o seguinte comando: regedit win2000-textoplano.reg e reinicie o computador para fazer efeito.

Para voltar a utilizar criptografia, apenas altere o valor dword para 00000000 no arquivo e execute novamente o regedit.

18.9.1.9 Linux

Inclua/modifique a linha encrypt passwords = no no arquivo smb.conf e reinicie o SAMBA. Para voltar a utilizar criptografia, veja Ativando o suporte a senhas criptografadas, Seção 18.8.

18.10 Mapeamento de usuários/grupos em clientes

O mapeamento de usuários do servidor remoto com a máquina local é usado quando você deseja controlar o acesso aos arquivos/diretórios a nível de usuário. No Windows isto permite que cada arquivo/diretório tenha o acesso leitura/gravação somente para os usuários definidos e autenticados no controlador de domínio. No Linux as permissões de arquivos e diretórios podem ser definidas para o usuário do PDC, garantindo o mesmo nível de controle de acesso.

Esta seção explica como configurar o mapeamento de UID/GID entre o servidor PDC SAMBA e seus clientes NetBIOS Windows e Linux.

18.10.1 Mapeamento de usuários/grupos domínio em Windows

Para o Windows utilizar os usuários remotos do servidor para fazer seu controle de acesso por nível de usuário, siga os seguintes passos:

Windows 9X

Entre no Painel de Controle/Propriedades de Rede e clique na tab Controle de Acesso. Marque a opção Controle de acesso a nível de usuário e coloque o nome da máquina PDC na caixa de diálogo de onde os usuários/grupos serão obtidos. Você também pode colocar o nome do grupo de trabalho, neste caso a máquina fará uma busca pelo PDC ou outra máquina de onde pode obter os nomes de usuários/grupos.

OBS: Para fazer isto, você deverá estar autenticado no domínio.

18.10.2 Mapeamento de usuários/grupos domínio em Linux

A associação de UIDs de usuários de um domínio com usuários locais no Linux é feita pelo programa winbind. Ele utiliza o mecanismo nsswitch para obter outras fontes de dados de usuários e os associa nas ferramentas de gerenciamento de contas existentes no sistema. Siga estes passos para fazer sua instalação e configuração do Winbind em um servidor Linux:

• Instale o programa winbind: apt-get install winbind.
• Modifique o arquivo smb.conf adicionando as seguintes linhas na seção [global]:

       winbind separator = +
       winbind cache time = 30
       winbind uid = 10000-15000
       winbind gid = 10000-12000
       winbind enum users = yes
       winbind enum groups = yes
       template homedir = /home/winbind/%D/%U
       template shell = /bin/false
  

  Onde

  winbind separator

  Separador usado para separar o nome dos grupos do nome de domínio. Este parâmetro somente tem sentido quando usado em conjunto com um PDC Windows ou quando os módulos pam_winbind.so e nss_winbind.so estão sendo utilizados.

  winbind cache time

  Define a quantidade de tempo em segundos que um nome/grupo permanecerá no cache local para não ser feita uma nova consulta no servidor PDC.

  winbind uid

  Especifica o intervalo que será usado para mapear os nomes de usuários remotos como UIDs locais. Você precisará ter certeza que nenhum UID nesse intervalo é usado no sistema, como pelo LDAP, NIS ou usuários normais. Por padrão, os IDS de usuários normais na maioria dos sistemas Linux, começam por 1000. No exemplo serão usados os UIDs de 10000 a 15000 para mapeamento e UIDs dos usuários do domínio para usuários locais.

  winbind gid

  Especifica o intervalo de GIDs que será usado para mapear os nomes de grupos remotos do domínio como GIDs locais. Como no parâmetro winbind uid, você deverá ter certeza que esta faixa de GIDs não está sendo usada em seu sistema.

  OBS: Atualmente SAMBA não possui suporte a grupos globais, apenas para usuários globais, desta forma os grupos da máquina remota não serão trazidos para o sistema. Uma forma de contornar isto, é utilizando o LDAP ou o NIS no PDC e nos clientes Linux.

  winbind enum users

  Permite enumerar usuários do winbind para retornarem dados quando solicitados. A não ser que possua uma instalação parecida em todas as máquinas (como com o uso de LDAP e NIS) responda "yes" para não ter problemas.

  winbind enum groups

  Permite enumerar grupos do winbind para retornarem dados quando solicitados. A não ser que possua uma instalação parecida em todas as máquinas (como com o uso de LDAP e NIS) responda "yes" para não ter problemas.

  template homedir

  Quando o sistema cliente for um Windows NT ou baseado, este diretório será retornado como diretório de usuário para o sistema. O parâmetro %D será substituído pelo nome do domínio e %U pelo nome de usuário durante a conexão.

  template shell

  Este será o shell enviado para máquinas NT ou baseadas nele como shell usado para login. O valor usado foi /bin/false pois desabilita os logons, mas você poderá usar /bin/sh (ou algum outro shell) para efetuar conexões do comando net ou outras ferramentas NetBEUI ao servidor.

• Reinicie o servidor SAMBA
• Edite o arquivo /etc/nsswitch.conf alterando a ordem de pesquisa de nomes de usuários e grupos do sistema local para a seguinte:

       passwd:         files winbind
       group:          files winbind
       shadow:         compat
  

• Agora, inicie o daemon winbind local com o comando: /etc/init.d/winbind restart.
• Entre no domínio com o comando: smbpasswd -j domínio -r nome_do_PDC -U usuario (veja Linux, Seção 18.14.3.9 para aprender como entrar no domínio em caso de dúvidas).
• Agora faça o teste para obter a listagem dos grupos e usuários do domínio do PDC digitando:

       wbinfo -u
       wbinfo -g
       getent passwd
       getent group
  

  Caso isto não aconteça, revise suas configurações e veja os logs procurando por erros quando o winbind tenta obter a lista de usuários/grupos do domínio.

Agora você deve ser capaz de criar diretórios/arquivos locais usando os nomes de usuários/grupos do domínio. Lembre-se de reiniciar sempre o winbind quando reiniciar o SAMBA por alguma modificação for feita (ao mesmo que saiba que não afeta o winbind), assim como entrar novamente no domínio, caso contrário o mapeamento deixará de funcionar.

OBS: Atualmente, o winbind não oferece suporte a restrições por data/hora de logon para estações de trabalho. Isto deverá ser implementado em uma futura versão

18.11 Compartilhamento de impressão no servidor SAMBA

Este capítulo documenta como configurar o seu servidor samba para permitir o acesso a compartilhamento de arquivos e impressão no sistema.

18.11.1 Configurando o Linux como um servidor de impressão Windows

Será necessário ter o pacote samba instalado e adicionar as seguintes linhas no seu arquivo /etc/samba/smb.conf:

     [hp-printer]
      path = /tmp
      printer name=HP DeskJet 690C
      printable = yes
      print command = lpr -r -h -P %p %s
      valid users = winuser winuser2
      create mode = 0700

O compartilhamento acima tornará disponível a impressora local "lp" as máquinas Windows com o nome "HP DeskJet 690C". Uma impressora alternativa pode ser especificada modificando a opção -P da linha de comando do lpr. Note que somente os usuários "winuser" e "winuser2" poderão usar esta impressora. Os arquivos de spool (para gerenciar a fila de impressão) serão gravador em /tmp (path = /tmp) e o compartilhamento [hp-printer] será mostrado como uma impressora (printable = yes).

Agora será necessário instalar o driver desta impressora no Windows (HP 690C) e escolher impressora instalada via rede e seguir os demais passos de configuração.

18.12 Controle de acesso ao servidor SAMBA

Este capítulo documenta o controle de acesso ao servidor samba e restrições.

18.12.1 Nível de acesso de usuários conectados ao SAMBA

Quando acessa um compartilhamento, o usuário do samba é mapeado com o UID respectivo de usuário do sistema ou o usuário guest (especificado pela opção "guest account") no caso de um acesso público. Quando isto ocorre, um processo filho do smbd é executado sobre o UID e GID deste usuário. Isto significa que em nenhuma ocasião o SAMBA dará mais permissões que as necessárias para o usuário (com excessão de quando é usado o parâmetro admin users, veja Criando uma conta de administrador de domínio, Seção 18.7.6).

18.12.2 Restringindo o acesso por IP/rede

Esta restrição pode ser feita pelos parâmetros allow hosts e deny hosts tanto em serviços individuais ou em todo o servidor. Os parâmetros hosts allow e hosts deny são equivalentes a estes acima. O allow hosts permite o acesso a máquina especificadas como argumento. São permitidos os seguintes métodos para permitir o acesso a uma máquina/rede:

• 192.168.1.1 - IP da máquina
• servidor - Nome da máquina
• 192.168.1.0/255.255.255.0 - IP com máscara de rede
• 192.168.1.0/24 - IP com máscara de rede octal
• 192.168.1. - Porção de rede sem o host (como no hosts.allow e hosts.deny.
• @nome - Pesquisa por máquinas no grupo NIS.

É permitido usar mais de um endereço IP separando-os por vírgulas ou espaços. A palavra chave EXCEPT pode ser usada para fazer excessão de um ou mais endereços IPs, por exemplo:

     hosts allow = 192.168.1. EXCEPT 192.168.1.20

Que permite o acesso a toda as máquinas da faixa de rede 192.168.1.0/24 exceto para a 192.168.1.20.

O deny hosts possui a mesma sintaxe do allow hosts mas bloqueia o acesso das máquinas especificadas como argumento. Quando o allow hosts e deny hosts são usados juntos, as máquinas em allow hosts terão prioridade (processa primeiro as diretivas em allow hosts e depois em deny hosts).

OBS: O endereço de loopback (127.0.0.1) nunca é bloqueado pelas diretivas de acesso. Provavelmente deve ter notado porque o endereço de loopback não pode ser bloqueado e as conseqüências disto para o SAMBA.

Se você está executando o SAMBA via inetd, os arquivos hosts.allow e hosts.deny são verificados antes do controle e acesso allow hosts e deny hosts para controle de acesso ao smbd. Caso estiver usando o SAMBA viainetd e deseja restringir o acesso usando TCP Wrappers, veja O mecanismo de controle de acessos tcpd, Seção 4.8.3.

OBS: Lembre-se de usar o testparm para verificar a sintaxe do arquivo smb.conf sempre que desconfiar de problemas (veja Buscando problemas na configuração, Seção 18.2.11).

18.12.2.1 Testando a restrição de Acesso por IP/Redes

Um método interessante e útil para testar se a nossa configuração vai bloquear o acesso a serviços é usando o testparm da seguinte forma:

     testparm /etc/samba/smb.conf IP/host

Você precisará dizer para o testparm qual é o arquivo de configuração que está usando e o endereço IP/nome de host que fará a simulação de acesso. Este método não falsifica o endereço IP para testes, apenas usa os valores em allow hosts e deny hosts para checagem. Por exemplo, para verificar o acesso vindo do IP 192.168.1.50:

     testparm /etc/samba/smb.conf 192.168.1.50
     Load smb config files from /etc/samba/smb.conf
     Processing section "[homes]"
     Processing section "[printers]"
     Processing section "[tmp]"
     Processing section "[cdrom]"
     Loaded services file OK.
     Allow connection from /etc/samba/smb.conf (focalinux) to homes
     Allow connection from /etc/samba/smb.conf (focalinux) to printers
     Allow connection from /etc/samba/smb.conf (focalinux) to tmp
     Allow connection from /etc/samba/smb.conf (focalinux) to cdrom

18.12.3 Restringindo o acesso por interface de rede

Esta restrição de acesso permite que façamos o SAMBA responder requisições somente para a interfaces indicadas. O método de segurança descrito em Restringindo o acesso por IP/rede, Seção 18.12.2 serão analisadas logo após esta checagem.

Para restringir o serviço SAMBA a interfaces, primeiro será necessário ativar o parâmetro bind interfaces only usando 1, yes ou true (o padrão é desativado). Depois, definir que interfaces serão servidas pelo samba com o parâmetro interfaces. Os seguintes formatos de interfaces são permitidos:

• eth0, sl0, plip0, etc - Um nome de interface local. É permitido o uso de * para fazer o SAMBA monitorar todas as interfaces que iniciam com aquele nome (por exemplo, eth*).
• 192.168.1.1, 192.168.1.2, etc - Um endereço IP de interface local.
• 192.168.1.2/24, 192.168.1.2/255.255.255.0 - Um par de endereço/máscara de rede.

Mais de uma interface pode ser usada separando-as com vírgula ou espaços. A escolha do uso de nome da interface ou do IP é feita de acordo com a configuração da máquina. Em uma máquina DHCP por exemplo, é recomendado o uso do nome da interface. Quando bind interfaces only estiver ativado, o padrão é esperar conexões em todas as interfaces que permitem broadcast exceto a loopback.

Exemplo:

     bind interfaces only = 1
     interfaces = loopback eth0

Permite o recebimento de requisições de acesso ao SAMBA somente da interface loopback (desnecessário, pois como notou durante a leitura, sempre é permitida a conexão) e eth0.

18.12.4 Restringindo o acesso por usuários

Permite que você controle quem poderá ou não acessar o compartilhamento da máquina. Este controle é feito pelos parâmetros valid users e invalid users.

O invalid users lista de usuário que NÃO terão acesso ao compartilhamento. Se o nome for iniciado por "+" o parâmetro será tratado como um nome de grupo UNIX (/etc/group). O caracter "&" faz ele pesquisar o nome de grupo no banco de dados NIS. O caracter "@" permite fazer a busca do grupo primeiro no banco de dados NIS e caso ele não seja encontrado, no arquivo de grupos do sistema (/etc/group).

É possível usar a combinação de caracteres "+&" e "&+" para alternar a ordem de busca enter o /etc/group e o NIS.

Exemplos:

invalid users = junior, marcio, +badusers

Não permite que os usuários especificados e os usuários do grupo +badusers tenham acesso ao compartilhamento.

invalid users = &;semacesso

Bloqueia o acesso de todos os usuários NIS que pertençam ao grupo semacesso.

invalid users = bruno, henrique, +@users,

Bloqueia o acesso dos usuários bruno, henrique e de todos os usuários que pertençam ao grupo users. A pesquisa de grupo é feita primeiro no /etc/group e em seguida no NIS.

invalid users = @semacesso

Bloqueia o acesso dos usuários que pertencem ao grupo "semacesso". A pesquisa é feita primeiro no NIS e depois no /etc/group (equivalente ao uso de "&+").

O valid users possui a mesma sintaxe de funcionamento do invalid users, mas permite somente o acesso para os usuários/grupos listados. Caso a opção valid users não seja especificada ou a lista esteja vazia, o acesso é permitido. Se um mesmo nome de usuário estiver na lista valid users e invalid users, o padrão é ser mais restritivo, negando o acesso.

      valid users = gleydson, michelle, geo

A segurança deste método de acesso depende muito da forma de autenticação dos nomes antes de passar o controle para o SAMBA, pois uma autenticação fraca põe em risco a segurança da sua máquina.

18.12.5 Evite o uso do parâmetro hosts equiv!

Este parâmetro permite que máquinas tenham acesso sem senha a um servidor. Isto pode se tornar um *ENORME* buraco na segurança do seu sistema, pois mesmo usando uma senha inválida, a máquina poderá ter acesso a todos os recursos do compartilhamento e não é complicado fazer um ataque usando DNS spoofing.

Se realmente deseja fazer isto, tenha em mente os dados que poderão ser acessados daquela máquina, se realmente não existe nenhuma outra forma de disponibilizar o acesso de forma que mantenha o controle de restrições (usando todos os outros métodos), restrinja o acesso usando MAC Address com o iptables ou o arp (veja Restrições por MAC Address/IP, Seção 19.7). O padrão é não usar nenhum arquivo hosts.equiv.

18.12.6 Evite o uso de senhas em branco!

O parâmetro null passwords é usado na seção [global] permitindo que contas de usuários sem senha tenham acesso permitido ao servidor. ISTO É TOTALMENTE INSEGURO e deve ser sempre evitado. Caso você tenha feito uma bela restrição em sua máquina e deseja que o seu shell script de cópia de arquivos funcione usando este método, você está jogando toda a segurança do seu sistema por ralo abaixo.

Não existe motivo para usar senhas em branco em um controle de acesso por usuário, a não ser que precise testar algo realmente temporário e que depurando algo no SAMBA.

18.12.7 Criando um compartilhamento para acesso sem senha

Em algumas situações (mesmo em instalações seguras) é preciso tornar um compartilhamento acessível publicamente, exemplos disto incluem um diretório que contém drivers de impressoras, arquivos comuns, um diretório temporário, etc.

Para configurar um acesso público utilizamos a opção public = yes ou guest ok = yes (que é um sinônimo para o último comando). O UID utilizado no acesso público é especificado pelo parâmetro guest account, portanto ele deverá ser um usuário válido do sistema. Caso você queira somente definir acesso guest a um compartilhamento, especifique a opção guest only para o serviço, desta forma, mesmo que o usuário tenha acesso, ele será mapeado para o usuário guest.

Uma boa medida de segurança é usar o usuário nobody pois a maioria das distribuições de Linux seguras adotam-o como padrão como usuário que não é dono de quaisquer arquivos/diretórios no sistema, não possui login, senha ou sequer um diretório home.

Veja um exemplo disponibilizando o compartilhamento [download] para acesso público com acesso a gravação:

     [global] 
     guest account = nobody
     ..
     ..
     
     [download]
      path = /downloads
      comment = Espaço público para abrigar downloads de Usuários
      guest ok = yes (aqui poderá ser também "public = yes").
      writable = yes
      follow symlinks = false

O parâmetro guest account também poderá ser especificado no compartilhamento, isto é útil quando não quiser que o usuário que acesse o compartilhamento não seja o mesmo usado na diretiva [global].

Caso seu servidor somente disponibiliza compartilhamentos para acesso público, é mais recomendado utilizar o nível security = share pra diminuir a carga máquina, pois o usuário guest será o primeiro a ser checado pelas regras de acesso (ao contrário do nível user, onde o acesso guest é o último checado).

OBS: Lembre-se que o compartilhamento funciona de modo recursivo, ou seja, todos os arquivos e subdiretórios dentro do diretório que compartilhou serão disponibilizados, portanto tenha certeza da importância dos dados que existem no diretório, verifique se existem links simbólicos que apontam para ele, etc. Recomendo dar uma olhada rápida em Considerações de segurança com o uso do parâmetro "public = yes", Seção 18.12.14.

18.12.8 Criando um compartilhamento com acesso somente leitura

Esta proteção é útil quando não desejamos que pessoas alterem o conteúdo de um compartilhamento. Isto pode ser feito de duas formas: negando o acesso de gravação para todo o compartilhamento ou permitindo leitura somente para algumas pessoas. O parâmetro usado para fazer a restrição de acesso somente leitura é o read only = yes ou seu antônimo writable = no. Abaixo seguem os dois exemplos comentados:

     [teste]
      comment = Acesso a leitura para todos
      path = /tmp
      read only = yes
      public = yes

No exemplo acima, o diretório /tmp (path = /tmp) foi compartilhado com o nome teste ([teste]), de forma pública (acesso sem senha - public = yes), e todos podem apenas ler seu conteúdo read only = yes).

     [teste]
      comment = Acesso a gravação para todos com excessões
      path = /tmp
      read only = no
      read list = @users, gleydson
      invalid users = root

Neste, o mesmo compartilhamento teste ([teste]) foi definido como acesso leitura/gravação para todos (read only = no), mas os usuários do grupo @users e o usuário gleydson terão sempre acesso leitura (read list = @users, gleydson). Adicionalmente foi colocada uma proteção para que o superusuário não tenha acesso a ele (invalid users = root). Esta forma de restrição é explicada melhor em Excessão de acesso na permissão padrão de compartilhamento, Seção 18.12.10).

18.12.9 Criando um compartilhamento com acesso leitura/gravação

Esta forma de compartilhamento permite a alteração do conteúdo do compartilhamento dos usuários que possuem as permissões de acesso apropriadas. Este controle pode ser feito de duas formas: Acesso total de gravação para os usuários e acesso de gravação apenas para determinados usuários. Este controle é feito pela opção read only = no e seu antônimo equivalente writable = yes. Abaixo dois exemplos:

     [teste]
      comment = Acesso de gravação para todos.
      path = /tmp
      writable = yes
      public = yes

No exemplo acima, o diretório /tmp (path = /tmp) foi compartilhado com o nome teste ([teste]), de forma pública (acesso sem senha - public = yes) e todos podem ler/gravar dentro dele (writable = yes).

     [teste]
      comment = Acesso a leitura para todos com excessões
      path = /tmp
      writable = no
      write list = @users, gleydson

Neste, o mesmo compartilhamento teste ([teste]) foi definido como acesso de leitura para todos (writable = no), mas os usuários do grupo @users e o usuário gleydson serão os únicos que terão também acesso a gravação (write list = @users, gleydson). Esta forma de restrição é explicada melhor em Excessão de acesso na permissão padrão de compartilhamento, Seção 18.12.10).

18.12.10 Excessão de acesso na permissão padrão de compartilhamento

É possível alterar o nível de acesso para determinados usuários/grupos em um compartilhamento, para entender melhor: Caso tenha criado um compartilhamento somente leitura e queira permitir que apenas alguns usuários ou grupos tenham acesso a gravação, isto é possível e será explicado nesta seção. Este comportamento é controlado por duas opções: read list e write list. Veja alguns exemplos:

     [temporario] 
      comment = Diretório temporário
      path = /tmp
      writable = yes
      read list = gleydson, root
      browseable = no
      available = yes

Neste exemplo, disponibilizamos o diretório /tmp (path = /tmp) como compartilhamento de nome temporario ([temporario]), seu acesso padrão é leitura/gravação para todos (writable = yes), exceto para os usuários root e gleydson (read list = root, gleydson). Em adição, tornamos o compartilhamento invisível (veja Criando um compartilhamento invisível, Seção 18.12.12) no "Ambiente de Rede" do Windows (browseable = no) e ele será lido e disponibilizado pelo SAMBA (available = yes).

     [temporario] 
      comment = Diretório temporário
      path = /tmp
      writable = no
      write list = gleydson, @operadores
      browseable = yes

Neste exemplo, disponibilizamos o diretório /tmp (path = /tmp) como compartilhamento de nome temporario ([temporario]), seu acesso padrão é apenas leitura para todos (writable = no), exceto para o usuário gleydson e usuários do grupo Unix operadores, que tem acesso a leitura/gravação (write list = gleydson, @operadores). Tornamos o compartilhamento visível no "Ambiente de Rede" do Windows (browseable = yes - que é o padrão).

18.12.11 Restringindo o IPC$ e ADMIN$

É seguro restringir os serviços IPC$ e ADMIN$ para acesso somente pelas faixas de rede de confiança. Isto pode ser feito através da mesma forma que a restrição em outros compartilhamentos. Os efeitos desta restrição serão que somente as redes autorizadas possam obter a lista de máquinas, se autenticar no domínio e realizar tarefas administrativas gerais:

     [IPC$]
     read only = yes
     allow from 192.168.1.0/24
     
     [ADMIN$]
     read only = yes
     allow from 192.168.1.0/24

O exemplo acima permite que os serviços IPC$ e ADMIN$ sejam acessados de qualquer máquina na faixa de rede 192.168.1.0/24. Para forçar a autenticação para acesso a estes serviços:

     [IPC$]
     invalid users = nobody
     valid users = gleydson michelle
     read only = yes
     allow from 192.168.1.0/24
     
     [ADMIN$]
     invalid users = nobody
     valid users = gleydson michelle
     read only = yes
     allow from 192.168.1.0/24

Os exemplos acima são similares ao de antes, mas o acesso a listagem dos compartilhamentos é restringida (invalid users = nobody), pois o usuário nobody (usado para mostrar o compartilhamento) tem o acesso negado. Somente os usuários gleydson e michelle (valid users = gleydson michelle) podem listar seu conteúdo.

OBS: Mesmo que estejam restritos, os serviços IPC$ e ADMIN$ sempre poderão ser acessados de 127.0.0.1, ou teríamos problemas com o funcionamento do SAMBA. Assim não é necessário colocar 127.0.0.1 na lista de IPs autorizados.

18.12.12 Criando um compartilhamento invisível

Para não exibir um compartilhamento da lista de compartilhamentos das máquinas, utilize o parâmetro browseable = no. Por exemplo:

     [teste]
      path = /tmp
      comment = Diretório temporário
      read only = yes
      browseable = no

Neste exemplo, o diretório /tmp (path = /tmp) foi compartilhado através de teste ([teste]) com acesso somente leitura (read only = yes) e ele não será mostrado na listagem de compartilhamentos do ambiente de rede do Windows (browseable = no).

Note que o compartilhamento continua disponível, porém ele poderá ser acessado da estação Windows, especificando a \\maquina\compartilhamento. Para acessar o compartilhamento do exemplo acima:

     # Clique em Iniciar/Executar e digite:
     \\nome_do_servidor_samba\teste

Ao contrário das máquinas Windows onde é necessário adicionar um "$" do nome de compartilhamento para criar um compartilhamento oculto (como teste$) o SAMBA cria um compartilhamento realmente oculto, não aparecendo mesmo na listagem do smbclient.

18.12.13 Executando comandos antes e após o acesso ao compartilhamento

Este recurso oferece uma infinidade de soluções que podem resolver desde problemas de praticidade até segurança usando as opções preexec e postexec. Por exemplo, imagine que esteja compartilhando 4 unidades de CD-Rom de um servidor na rede, e deseje que estes CDs estejam sempre disponíveis mesmo que algum operador engraçadinho tenha ejetado as gavetas de propósito, podemos fazer a seguinte configuração:

     [cdrom]
      path = /cdrom
      comment = Unidade de CD-ROM 1
      read only = yes
      preexec = /bin/mount /cdrom
      preexec close = yes
      postexec = /bin/umount /cdrom

Na configuração acima, o CD-ROM será compartilhado como cdrom ([cdrom]), somente leitura (red only = yes), quando o usuário acessar o compartilhamento ele "fechará" a gaveta do CD (preexec = /bin/mount /cdrom) e desmontará o drive de CD assim que o compartilhamento for fechado (postexec = /bin/umount /cdrom). Adicionalmente, caso o comando mount da opção preexec tenha retornado um valor diferente de 0, a conexão do compartilhamento é fechada (preexec close = yes).

A UID do processo do preexec e postexec será o mesmo do usuário que está acessando o compartilhamento, por este motivo ele deverá ter permissões para montar/desmontar o CD-ROM no sistema. Caso precise executar comandos como usuário root, utilize a variante root preexec e root postexec. Apenas tenha consciência que os programas sendo executados são seguros o bastante para não comprometer o seu sistema.

Usando a mesma técnica, é possível que o sistema lhe envie e-mails alertando sobre acesso a compartilhamentos que em conjunto com um debug level 2 e logs configurados independentes por máquina, você possa ver o que a máquina tentou acessar (e foi negado) e o que ela conseguiu acesso.

Como bom administrador, você poderá criar scripts que façam uma checagem de segurança no compartilhamento e encerre automaticamente a conexão caso seja necessário, montar um "honney pot" para trojans, etc.

Como deve estar notando, as possibilidades do SAMBA se extendem além do simples compartilhamento de arquivos, se integrando com o potencial dos recursos do sistema UNIX.

18.12.14 Considerações de segurança com o uso do parâmetro "public = yes"

Este parâmetro permite que você acesso um compartilhamento sem fornecer uma senha, ou seja, que o usuário não esteja autenticado. NÃO utilize o parâmetro "public = yes" (ou um de seus sinônimos) no compartilhamento [homes], pois abrirá brechas para que possa acessar o diretório home de qualquer usuário e com acesso a gravação (que é o padrão adotado pelos administradores para permitir o acesso ao seu diretório home remoto).

Recomendo utilizar o parâmetro public = yes somente em compartilhamentos onde é realmente necessário, como o [netlogon] ou outras áreas de acesso público onde as permissões do sistema de arquivos local estejam devidamente restritas. Outra medida é não utilizar a opção follow symlinks, que poderá lhe causar problemas com usuários mal intencionados que tenham acesso shell.

OBS: Tenha em mente todas as considerações de segurança abordadas neste capítulo, bem como as permissões de acesso ao sistema Unix e como elas funcionam. A disponibilidade de arquivos em uma rede é simples, simples também pode ser o acesso indevido a eles caso não saiba o que está fazendo.

18.12.15 Senhas criptografadas ou em texto puro?

Como regra geral, prefira sempre utilizar senhas criptografadas. Aqui alguns motivos:

• A senha é enviada de uma forma que dificulta sua captura por pessoas maliciosas.
• O NT não permite que você navegue no ambiente de rede em um sistema SAMBA com nível de acesso por usuário autenticando usando senhas em texto plano.
• Será solicitada sempre a senha para reconexão em cada compartilhamento da máquina.
• Todas as versões de Windows NT 4 a partir SP3 e Windows 95 OSR/2 utilizam senhas criptografadas como padrão. É possível faze-lo utilizar senhas em texto plano modificando chaves no registro das máquinas clientes (veja Ativando o suporte a senhas em texto plano, Seção 18.9 para detalhes).

As vantagens da utilização da autenticação usando texto plano:

• A senha utilizada será a mesma do /etc/passwd (servindo para ftp, login, etc)
• O servidor PDC pode ser usado para logon desde que os clientes estejam usando senhas em texto plano.
• Elas não são armazenadas no disco da estação cliente.
• Você não será perguntado por uma senha durante cada reconexão de recurso.

Antes de optar por utilizar um sistema de senhas em texto plano, leve em consideração estes pontos. Se você já utiliza telnet ou ftp, provavelmente a utilização de autenticação usando texto plano no SAMBA não trará problemas mais graves para você.

OBS: Caso seu NT ou versão derivada não navegue no ambiente de rede (só aceitando conexões especificando diretamente o "\\servidor\compartilhamento") modifique sua configuração do SAMBA para autenticar usando senhas criptografadas (veja Ativando o suporte a senhas criptografadas, Seção 18.8) para detalhes de como fazer isto.

18.12.16 Mapeamento de nomes de usuários

Este recurso faz a mapeamento (tradução) de nomes de usuários usados no momento do acesso para contas de acesso locais, bastante útil quando o nome de usuário enviado pela máquina não confere com NENHUMA conta local do sistema (um exemplo é quando o login do usuário no Windows é diferente de seu Login no Linux). Outro vantagem de seu uso é permitir que uma categoria de usuários utilizem um mesmo nível de acesso no sistema.

Seu formato é o seguinte: username map = arquivo.

As seguintes regras são usadas para construir o arquivo de mapeamento de nomes:

• Um arquivo de múltiplas linhas onde o sinal de "=" separa os dois parâmetros principais. O arquivo é processado linha por linha da forma tradicional, a diferença é o que o processamento do arquivo continua mesmo que uma condição confira. Para que o processamento do resto do arquivo seja interrompido quando um mapeamento confira, coloque o sinal "!" na frente do nome local.
• O parâmetro da esquerda é a conta Unix local que será usada para fazer acesso ao compartilhamento. Somente uma conta Unix poderá ser utilizada.
• O parâmetro da direita do sinal de "=" pode conter um ou mais nomes de usuários separados por espaços que serão mapeados para a conta Unix local.

  O parâmetro "@grupo" permite que usuários pertencentes ao grupo Unix local sejam mapeados para a conta de usuário do lado esquerdo. Outro caracter especial é o "*" e indica que qualquer usuário será mapeado.

Você pode utilizar comentários na mesma forma que no arquivo de configuração smb.conf. Alguns exemplos:

     # Mapeia o usuário "gleydson mazioli" com o usuário local gleydson
     gleydson = gleydson mazioli
     
     # Mapeia o usuário root e adm para o usuário nobody
     nobody = root adm
     
     # Mapeia qualquer nome de usuário que pertença ao grupo smb-users para o usuário
     # samba. 
     samba = @smb-users
     
     # Utiliza todos os exemplos anteriores, se nenhum usuário conferir, ele será 
     # mapeado para o usuário nobody (como o usuário root e adm já são mapeados
     # para "nobody", este exemplo terá o mesmo efeito).
     !gleydson = gleydson mazioli
     !samba = @smb-users
     nobody = *

18.13 Melhorando a performance do compartilhamento/servidor

Esta seção trará algumas formas de otimização do servidor SAMBA que fazem diferença quando os valores adequados são utilizados: A primeira é a ativação de um cache de gravação/leitura de arquivos. Este cache é feito pela opção write cache size e funciona fazendo o cache dos arquivos que serão lidos/gravados. Ele é esvaziado assim que o arquivo for fechado ou quando estiver cheio. O valor especificado nesta opção é em bytes e o padrão é "0" para não causar impacto em sistemas com pouca memória (ou centenas de compartilhamentos). Exemplo:

     [publico]
      path = /pub
      comment = Diretório de acesso público
      read only = yes
      public = yes
      write cache size = 384000

Compartilha o diretório /pub (path = /pub) como compartilhamento de nome publico ([publico]), seu acesso será feito como somente leitura (read only = yes) e o tamanho do cache de leitura/gravação reservado de 384Kb (write cache size = 384000).

Deixar a opção para seguir links simbólicos ativada (follow symlinks) garante mais performance de acesso a arquivos no compartilhamento. A desativação da opção wide links em conjunto com o uso de cache nas chamadas getwd (getwd cache) permite aumentar a segurança e tem um impacto perceptível na performance dos dados.

A desativação da opção global nt smb support também melhora a performance de acesso dos compartilhamentos. Esta é uma opção útil para detectar problemas de negociação de protocolo e por padrão, ela é ativada.

Caso utiliza um valor de depuração de log muito alto (debug level), o sistema ficará mais lento pois o servidor sincroniza o arquivo após cada operação. Em uso excessivo do servidor de arquivos, isso apresenta uma degradação perceptível de performance.

A opção prediction permite que o SAMBA faça uma leitura adiante no arquivo abertos como somente-leitura enquanto aguarda por próximos comandos. Esta opção associada com bons valores de write cache size pode fazer alguma diferença. Note que o valor de leitura nunca ultrapassa o valor de "read size".

A opção read size permite obter um sincronismo fino entre a leitura e gravação do disco com o envio/recebimento de dados da rede. O valor é dependente da instalação local, levando em consideração a velocidade de disco rígido, rede, etc. O valor padrão é 16384.

Em casos onde um NFS montado ou até mesmo leitura em discos locais é compartilhada, o parâmetro strict locking definido para yes pode fazer alguma diferença de performance. Note que nem todos os sistemas ganham performance com o uso desta opção e não deve ser usada em aplicativos que não requisitam o estado do lock de arquivo ao servidor.

Caso você possua aplicativos que fazem o lock corretamente de arquivos, você poderá usar o share modes = no, isto significa que futuras aberturas de arquivo podem ser feitas em em modo leitura/gravação. Caso utiliza um aplicativo muito bem programado que implementa de forma eficiente de lock, você poderá desativar esta opção.

O uso de oplocks yes em compartilhamentos aumenta a performance de acesso a arquivos em até 30%, pois utiliza um código de cache no cliente. Tenha certeza do que está fazendo antes de sair usando oplocks em tudo que é lugar. A desativação de kernel oplocks é necessária para que isto funcione.

A opção read raw e write raw devem ter seus valores experimentados para ver se faz diferença na performance da sua rede, pois é diretamente dependente do tipo de cliente que sua rede possui. Alguns clientes podem ficar mais lentos em modo de leitura raw.

O tipo de sistema de arquivos adotado na máquina e suas opções de montagem tem um impacto direto na performance do servidor, principalmente com relação a atualização de status dos arquivos no sistema de arquivos (hora de acesso, data, etc).

O cache de leitura adiante de abertura de arquivos em modo somente leitura aumenta a performance com o uso do oplocks nível 2. Para isto, ajuste a opção level2 oplocks para yes. A recomendação deste tipo de oplock é o mesmo do nível 1.

Como o SAMBA faz o transporte NetBEUI via TCP/IP, ajustes no socket fazem diferença nos dados que trafegam na rede. Como isso é dependente de rede você precisará usar técnicas de leitura/gravação para determinar quais são as melhores que se encaixam em seu caso. A opção socket options é usada para fazer tais ajustes, por exemplo:

     socket options = SO_SNDBUF=2048 IPTOS_THROUGHPUT=1

Em especial, a opção TCP_NODELAY apresenta uma perceptível melhoria de performance no acesso a arquivos locais.

OBS:: Não use espaços entre o sinal de "=" quando especificar as opções do parâmetro socket options.

18.14 Configuração de Clientes NetBEUI

Este capítulo documenta a configuração de máquinas clientes NetBEUI, requerimentos de cada configuração e documenta os passos necessários para ter o cliente se comunicando perfeitamente com o seu servidor. Serão explicadas tanto a configuração de grupo de trabalho como de domínio e como a configuração é compatível entre Linux e Windows, estas explicações são perfeitamente válidas para configurar clientes que acessem servidores Windows.

18.14.1 Considerações sobre o Windows for Workgroups e LanManager

Sistemas com implementações NetBIOS mais antigos, como o Windows for Workgroups (Windows 3.11) e o Lan Manager (DOS), enviam somente a senha para acesso ao compartilhamento, desta forma, para o acesso ser autorizado pelo samba, você deverá especificar a diretiva user = usuario para que a senha confira com o usuário local do sistema. A senha enviada também é em formato texto plano. Este problema não ocorre no Windows 95 e superiores, que enviam o nome de usuário que efetuou o logon junto com a respectiva senha.

Se a segurança do seu samba depende de senhas criptografadas, será necessário utilizar a diretiva "include = outro_arquivo_de_configuração.%m para definir configurações específicas de acesso para estas máquinas.

Outro detalhe que deve ser lembrado é que o Windows for Workgroups envia sempre a senha em MAIÚSCULAS, então é preciso configurar o SAMBA para tentar combinações de maiúsculas/minúsculas usando o parâmetro mangle case e default case na seção global do smb.conf.

18.14.2 Configurando clientes em Grupo de Trabalho

Para configurar o cliente para fazer parte de um grupo de trabalho, é necessário apenas que tenha em mãos o nome do grupo de trabalho (workgroup) que os clientes farão parte e o nome de uma outra máquina que faz parte do mesmo grupo (para testes iniciais). Com estes dados em mãos, selecione na lista abaixo o nome do cliente que deseja configurar para incluir no grupo de trabalho:

• Windows 9X, Seção 18.14.2.1
• Windows XP Home Edition, Seção 18.14.2.2
• Windows XP Professional Edition, Seção 18.14.2.3
• Windows XP Server Edition, Seção 18.14.2.4
• Windows NT WorkStation, Seção 18.14.2.5
• Windows NT Server, Seção 18.14.2.6
• Windows 2000 Professional, Seção 18.14.2.7
• Windows 2000 Server, Seção 18.14.2.8
• Linux, Seção 18.14.2.9

18.14.2.1 Windows 9X

Estas configurações são válidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das séries) é aconselhável atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua máquina vulnerável na versão que acompanha o WinSock do Windows 95.

Para tornar uma máquina parte do grupo de trabalho, siga os seguintes passos:

• Entre nas propriedades de rede no Painel de Controle
• Instale o Cliente para redes Microsoft (caso não esteja instalado).
• Instale o Protocolo TCP/IP. Você também pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que é o usado pelo SAMBA além de ter um melhor desempenho, permitir integração com servidores WINS, etc.
• Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opção "Desejo ativar o NetBIOS através do TCP/IP". Caso esta caixa esteja em cinza, então está tudo certo também.
• Clique na tab "Identificação" e coloque lá o nome que identificará o computador (até 15 caracteres) e o nome do grupo de trabalho que ele fará parte(por exemplo "workgroup", "suporte", etc) . No campo "Descrição do Computador", coloque algo que identifique a máquina na rede (por exemplo, "Computador da área de suporte").
• Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nível de compartilhamento" (a não ser que tenha configurado um servidor que mantenha um controle de nível de usuário na rede para as máquinas fora do domínio).
• Clique em OK até reiniciar o computador.

A máquina cliente agora faz parte do grupo de trabalho! Tente acessar um outro computador da rede e navegar através do ambiente de rede. Caso a lista de máquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"

18.14.2.2 Windows XP Home Edition

Siga as instruções de Windows XP Professional Edition, Seção 18.14.2.3.

18.14.2.3 Windows XP Professional Edition

• Logue como administrador do sistemas local.
• Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta.
• No campo Descrição do Computador, coloque algo que descreva a máquina (opcional).
• Clique na TAB Nome do Computador e no botão Alterar na parte de baixo da janela.
• No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.
• Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.
• Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.

18.14.2.4 Windows XP Server Edition

Siga as instruções de Windows XP Professional Edition, Seção 18.14.2.3.

18.14.2.5 Windows NT WorkStation

Veja Windows NT Server, Seção 18.14.3.6.

18.14.2.6 Windows NT Server

• Clique no item Rede do painel de controle.
• Na tab Serviços, confira se os serviços Estação de trabalho, Interface de NetBIOS e Serviços TCP/IP simples estão instalados. Caso não estejam, faça sua instalação usando o botão Adicionar nesta mesma janela.
• Na tab Protocolos, verifique se os protocolos NetBEUI e TCP/IP estão instalados. Caso não estejam, faça sua instalação clicando no botão Adicionar nesta mesma janela.
• Na tab identificação, clique no botão Alterar
• Na janela que se abrirá, coloque o nome do computador no campo Nome do Computador
• Clique em Grupo de trabalho e escreva o nome do grupo de trabalho em frente.
• Clique em OK até voltar.
• Pronto, seu computador agora faz parte do grupo de trabalho.

18.14.2.7 Windows 2000 Professional

• Logue como administrador do sistemas local.
• Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta. Clique em "Computador" e então no botão "Propriedades".
• No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.
• Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.
• Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.

18.14.2.8 Windows 2000 Server

• Logue como administrador do sistemas local.
• Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta. Clique em "Descrição de rede" e então no botão "Propriedades".
• No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.
• Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.
• Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.

18.14.2.9 Linux

Os aplicativos smbclient e smbmount são usados para navegação e montagem dos discos e impressoras compartilhadas em máquinas Linux. Se você procura programas de navegação gráficos, como o Ambiente de Rede do Windows ou mais poderosos, veja Programas de navegação gráficos, Seção 18.14.5. Como complemento, também é explicado o programa nmblookup para resolução de endereços NetBIOS em IP e vice-versa e a forma que as funções de máquinas são definidas em uma rede NetBEUI.

18.14.2.9.1 smbmount

O smbmount é uma ferramenta que permite a montagem de um disco compartilhado por uma máquina NetBEUI remota como uma partição. Veja alguns exemplos:

smbmount //servidor/discoc /mnt/discoc

Monta o compartilhamento de //servidor/discoc em /mnt/discoc usando o nome de usuário atual. Será pedido uma senha para acessar o conteúdo do compartilhamento, caso ele seja público, você pode digitar qualquer senha ou simplesmente pressionar enter.

smbmount //servidor/discoc /mnt/discoc -N

Semelhante ao comando cima, com a diferença que o parâmetro -N não pergunta por uma senha. Isto é ideal para acessar compartilhamentos anônimos.

smbmount //servidor/discoc /mnt/discoc -o username=gleydson,workgroup=teste

Semelhante aos anteriores, mas acessa o compartilhamento usando gleydson como nome de usuário e teste como grupo de trabalho. Este método é ideal para redes que tem o nível de acesso por usuário ou para acessar recursos compartilhados em um domínio.

18.14.2.9.2 smbclient

O smbclient é uma ferramenta de navegação em servidores SAMBA. Ao invés dela montar o compartilhamento como um disco local, você poderá navegar na estrutura do servidor de forma semelhante a um cliente FTP e executar comandos como ls, get, put para fazer a transferência de arquivos entre a máquina remota e a máquina local. Também é através dele que é feita a interface com impressoras compartilhadas remotamente. Veja exemplos do uso do smbclient:

smbclient -L samba1

Lista todos os compartilhamentos existentes (-L) no servidor samba1.

smbclient //samba1/discoc

Acessa o conteúdo do compartilhamento discoc no servidor samba1.

smbclient //samba1/discoc -N

Idêntico ao acima, mas não utiliza senha (ideal para compartilhamentos com acesso anônimo).

smbclient //samba1/discoc -I 192.168.1.2

Se conecta ao compartilhamento usando o endereço IP 192.168.1.2 ao invés da resolução de nomes.

smbclient //samba1/discoc -U gleydson -W teste

Se conecta ao compartilhamento como usuário gleydson usando o grupo de trabalho teste.

smbclient //samba1/discoc -U gleydson%teste1 -W teste

Idêntico ao acima, mas também envia a senha teste1 para fazer a conexão diretamente.

Caso receba a mensagem NT Status Access Denied, isto quer dizer que não possui direitos de acesso adequados para listas ou acessar os compartilhamentos da máquina. Nesse caso, utilize as opções -U usuário e -W grupo/domínio para fazer acesso com uma conta válida de usuário existente na máquina.

OBS:Note que a ordem das opções faz diferença no smbmount.

18.14.2.9.3 nmblookup

Esta é uma ferramenta usada para procurar nomes de cliente usando o endereço IP, procurar um IP usando o nome e listar as características de cada cliente. Veja alguns exemplos:

nmblookup -A 127.0.0.1

Lista o nome e as opções usadas pelo servidor 127.0.0.1

nmblookup servidor

Resolve o endereço IP da máquina servidor.

A listagem exibida pela procura de IP do nmblookup possui códigos hexadecimais e cada um deles possui um significado especial no protocolo NetBEUI. Segue a explicação de cada um:

Identificação da máquina

• COMPUTADOR<00>= O serviço NetBEUI está sendo executado na máquina.
• COMPUTADOR<03> = Nome genérico da máquina (nome NetBIOS).
• COMPUTADOR<20> = Serviço LanManager está sendo executado na máquina.

Identificação de grupos/domínio

• GRUPO_TRABALHO<1d> - <GRUPO> = Navegador Local de Domínio/Grupo.
• GRUPO_TRABALHO<1b> = Navegador Principal de Domínio.
• GRUPO_TRABALHO<03> - <GRUPO> = Nome Genérico registrado por todos os membros do grupo de trabalho.
• GRUPO_TRABALHO<1c> - <GRUPO> = Controladores de Domínio / Servidores de logon na rede.
• GRUPO_TRABALHO<1e> - <GRUPO> = Resolvedores de Nomes Internet (WINS).

Estes códigos podem lhe ser úteis para localizar problemas mais complicados que possam ocorrer durante a configuração de um servidor.

18.14.3 Configurando clientes em Domínio

Para configurar qualquer um dos cliente abaixo para fazer parte de um domínio de rede, é necessário apenas que tenha em mãos os seguintes dados:

• Nome do controlador de domínio PDC
• Nome do domínio
• Nome de usuário e senha que foram cadastrados no servidor.
• Acesso administrador no SERVIDOR PDC (SAMBA, NT, etc).
• Cria uma conta de máquina no domínio (no caso da máquina ser um Windows NT, Windows XP, Windows 2k ou Linux). Veja Contas de máquinas de domínio, Seção 18.7.5 para maiores detalhes.

Como o Windows 3.11, Windows 95, Windows 98, Windows ME não possuem uma conta de máquina, eles nunca serão um membro real de um domínio, podendo sofrer um name spoofing e terem a identidade roubada. Mesmo assim, eles terão pleno acesso aos recursos do domínio e uma configuração mais fácil que os demais clientes. Com estes dados em mãos, selecione na lista abaixo o nome do cliente que deseja integrar no grupo de trabalho:

• Windows 9X, Seção 18.14.2.1
• Windows XP Home Edition, Seção 18.14.2.2
• Windows XP Professional Edition, Seção 18.14.2.3
• Windows XP Server Edition, Seção 18.14.2.4
• Windows NT WorkStation, Seção 18.14.2.5
• Windows NT Server, Seção 18.14.2.6
• Windows 2000 Professional, Seção 18.14.2.7
• Windows 2000 Server, Seção 18.14.2.8
• Linux, Seção 18.14.2.9

OBS: O Windows 2000 apresenta algumas dificuldades em entrar na rede do SAMBA 2.2, sendo necessário o uso do SAMBA TNG 2.2.x para aceitar o logon de estações Windows 2000.

18.14.3.1 Windows 9X

Estas configurações são válidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das séries) é aconselhável atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua máquina vulnerável na versão que acompanha o WinSock do Windows 95.

Para tornar uma máquina parte do domínio, siga os seguintes passos:

• Entre nas propriedades de rede no Painel de Controle
• Instale o Cliente para redes Microsoft (caso não esteja instalado).
• Instale o Protocolo TCP/IP. Você também pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que é o usado pelo SAMBA além de ter um melhor desempenho, permitir integração com servidores WINS, etc.
• Clique em "Cliente para redes Microsoft", marque a opção "Efetuar logon no domínio do Windows NT". Coloque o nome do domínio que irá configurar o cliente para fazer parte na caixa "Domínio do Windows NT" (por exemplo, "suporte"). Na parte de baixo da caixa de diálogo, você poderá escolher como será o método para restaurar as conexões de rede. Inicialmente, recomendo que utilize a "Efetuar logon e restaurar as conexões de rede" que é mais útil para depurar problemas (possíveis erros serão mostrados logo que fizer o logon no domínio).

  Adeque esta configuração as suas necessidades quando estiver funcionando :)

• Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opção "Desejo ativar o NetBIOS através do TCP/IP". Caso esta caixa esteja em cinza, então está tudo certo também.
• Clique na tab "Identificação" e coloque lá o nome que identificará o computador (até 15 caracteres).
• Digite o nome de um grupo de trabalho que a máquina fará parte no campo "Grupo de Trabalho" (por exemplo "workgroup", "suporte", etc). Este campo somente será usado caso o logon no domínio NT não seja feito com sucesso. No campo "Descrição do Computador", coloque algo que identifique a máquina na rede (por exemplo, "Computador da área de suporte").
• Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nível de usuário e especifique o nome da máquina que serve a lista de usuários, que normalmente é a mesma do PDC.
• Clique em OK até reiniciar o computador.

Quando for mostrada a tela pedindo o nome/senha, preencha com os dados da conta de usuário que criou no servidor. No campo domínio, coloque o domínio que esta conta de usuário pertence e tecle <Enter>. Você verá o script de logon em ação (caso esteja configurado) e a máquina cliente agora faz parte do domínio! Tente acessar um outro computador da rede e navegar através do ambiente de rede. Caso a lista de máquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"

18.14.3.2 Windows XP Home Edition

Não é possível fazer o Windows XP Home Edition ser parte de um domínio, por causa de limitações desta versão.

18.14.3.3 Windows XP Professional Edition

• Primeiro, siga todos os passos para ingressar a máquina em um grupo de trabalho como documentado em Windows XP Professional Edition, Seção 18.14.2.3.
• Atualize o registro para permitir a entrada no domínio:
  1. Copie o seguinte conteúdo para o arquivo WinXP-Dom.reg:

          REGEDIT4
          
          HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
          "RequireSignOrSeal"=dword:00000000
          "SignSecureChannel"=dword:00000000
     

  2. Execute o comando regedit WinXP-Dom.reg no cliente XP.
• Entre nos ítens (em seqüencia) Painel de controle/Ferramentas Administrativas/ Política de segurança local/políticas locais e depois em "opções de segurança". Na janela de opções de segurança, desative as opções "Encriptar digitalmente ou assinar um canal seguro (sempre)", "Desativar modificações de senha na conta de máquina" e "Requer chave de seção forte (Windows 2000 ou superior)."
• Reinicie a máquina.
• Após reiniciar a máquina, volte na tela de alteração de identificação de máquina na rede.
• Clique com o mouse em "Domínio" e digite o nome do domínio na caixa de diálogo.
• Na tela seguinte, será lhe pedido o nome de usuário e senha com poderes administrativos que podem inserir/remover máquinas do domínio.
• Clique em OK e aguarde a mensagem confirmando sua entrada no domínio. Será necessário reiniciar a máquina após concluir este passo.

18.14.3.4 Windows XP Server Edition

Siga os procedimentos documentados em Windows XP Professional Edition, Seção 18.14.3.3

18.14.3.5 Windows NT WorkStation

Veja os passos em Windows NT Server, Seção 18.14.3.6.

18.14.3.6 Windows NT Server

• Clique no item Rede do painel de controle.
• Na tab Serviços, confira se os serviços Estação de trabalho, Interface de NetBIOS e Serviços TCP/IP simples estão instalados. Caso não estejam, faça sua instalação usando o botão Adicionar nesta mesma janela.
• Na tab Protocolos, verifique se os protocolos NetBEUI e TCP/IP estão instalados. Caso não estejam, faça sua instalação clicando no botão Adicionar nesta mesma janela.
• Na tab identificação, clique no botão Alterar
• Na janela que se abrirá, coloque o nome do computador no campo Nome do Computador
• Clique em Dominio e escreva o nome do domínio que deseja entrar.
• Para criar uma conta de máquina no domínio, clique em criar uma conta de computador no domínio e coloque na parte de baixo o nome do usuário sua senha. O usuário deverá ter poderes para adicionar máquinas no domínio. Caso a conta de máquina não seja criada, o Windows NT será como um Windows 95/98 na rede, sem a segurança que seu nome NetBIOS não seja usado por outros (veja Contas de máquinas de domínio, Seção 18.7.5).
• Clique em OK até voltar.
• Pronto, seu computador agora faz parte do domínio.

18.14.3.7 Windows 2000 Professional

Siga os passos descritos em Windows 2000 Server, Seção 18.14.3.8.

18.14.3.8 Windows 2000 Server

• Primeiro, siga todos os passos para ingressar a máquina em um grupo de trabalho como documentado em Windows 2000 Server, Seção 18.14.2.8.
• Após reiniciar a máquina, volte na tela de alteração de identificação de máquina na rede.
• Clique com o mouse em "Domínio" e digite o nome do domínio na caixa de diálogo.
• Na tela seguinte, será lhe pedido o nome de usuário e senha com poderes administrativos que podem inserir/remover máquinas do domínio.
• Clique em OK e aguarde a mensagem confirmando sua entrada no domínio. Será necessário reiniciar a máquina após concluir este passo.

Caso não consiga trocar a senha do Windows 2000 no servidor PDC, desative a opção unix password sync.

18.14.3.9 Linux

• Entre no sistema como usuário root.
• Instale o SAMBA caso não esteja ainda instalado.
• Edite o arquivo de configuração do samba /etc/samba/smb.conf, será necessário modificar as seguintes linhas na seção [global]:

       [global]
        workgroup = nome_domínio
        security = domain
        password server = nome_pdc nome_bdc
        encrypt passwords = true
  

  Onde:

  • workgroup - Nome do domínio que deseja fazer parte.
  • security - Nível de segurança. Nesta configuração, utilize "domain".
  • password server - Nome da máquina PDC, BDC. Também poderá ser usado *, assim o SAMBA tentará descobrir o servidor PDC e BDC automaticamente, da mesma forma usada pelo Windows.
  • encrypt passwords - Diz se as senhas serão encriptadas ou não. Sempre utilize senhas criptografadas para colocar uma máquina em um domínio.

  Reinicie o servidor SAMBA após estas modificações.

• Execute o comando: smbpasswd -j domínio -r PDC/BDC -U usuario_admin. Onde:
  • domínio - Domínio que deseja fazer o logon
  • PDC/BDC - Nome da máquina PDC/BDC do domínio. Em alguns casos, pode ser omitido.
  • usuario_admin - Usuário com poderes administrativos para ingressara a máquina no domínio.
• Se tudo der certo, após executar este comando, você verá a mensagem:

       Joined domain "domínio".
  

Se sua configuração não funcionou, revise com atenção todos os ítens acima. Verifique se a conta de máquina foi criada no servidor e se o SAMBA na máquina cliente foi reiniciado. De também uma olhada em Erros conhecidos durante o logon do cliente, Seção 18.14.4.

OBS:O SAMBA envia primeiramente um usuário/senha falso para verificar se o servidor rejeita o acesso antes de enviar o par de nome/senha corretos. Por este motivo, seu usuário pode ser bloqueado após um determinado número de tentativas em alguns servidores mais restritivos. Para acessar os recursos compartilhados, veja Linux, Seção 18.14.2.9. Note que não é obrigatório realizar as configurações acima para acessar os recursos de uma máquina em domínio, basta apenas que autentique com seu nome de usuário/senha no domínio e que ela seja autorizada pelo PDC.

18.14.4 Erros conhecidos durante o logon do cliente

Esta seção contém os erros mais comuns e a forma de correção da maioria dos problemas que ocorrem quando um cliente SAMBA tenta entrar em domínio.

• error creating domain user: NT_STATUS_ACCESS_DENIED - A conta de máquina no domínio não foi criada. Veja Contas de máquinas de domínio, Seção 18.7.5 para mais detalhes.
• NT_STATUS_NO_TRUST_SAM_ACCOUNT - Não existe conta de máquina no Windows NT para autenticar uma máquina no domínio. Esta mensagem é mostrada quando a máquina SAMBA é cliente de um domínio NT.
• error setting trust account password: NT_STATUS_ACCESS_DENIED - A senha para criação de conta na máquina está incorreta ou a conta utilizada não tem permissões para ingressar uma máquina no domínio (veja Criando uma conta de administrador de domínio, Seção 18.7.6). Caso esteja usando um cliente SAMBA, verifique se o parâmetro encrypt passwords está ativado.
• A senha informada não está correta ou o acesso ao seu servidor de logon foi negado - Verifique primeiro os logs de acessos do sistema. Caso o SAMBA esteja sendo executado via inetd, verifique se a configuração padrão é restritiva e se o acesso está sendo negado pelos arquivos do tcp wrappers hosts.allow e hosts.deny.
• não existem servidores de logon no domínio - Verifique se o parâmetro domain logons = yes foi usado para permitir o logon em domínio.

18.14.5 Programas de navegação gráficos

O smbclient, nmblookup e smbmount são ferramentas extremamente poderosas auxiliando bastante o administrador na tarefa de configuração de sua rede e resolver problemas. Para o uso no dia a dia ou quando não é necessária a operação via console, você pode utilizar uma das alternativas abaixo que são front-ends a estas ferramentas e facilitam o trabalho de navegação na rede.

18.14.5.1 linneighborhood

Cliente SAMBA baseado em GTK, muito leve e possibilita a navegação entre os grupos máquinas em forma de árvore. Ele também permite a montagem de compartilhamentos remotos. Caso precise de recursos mais complexos e autenticação, recomendo o TkSmb, Seção 18.14.5.2.

18.14.5.2 TkSmb

Cliente SAMBA baseado em TCL/TK. Seu ponto forte é a navegação nos recursos da máquina ao invés da rede completa, possibilitando autenticação em domínio/grupo de trabalho, montagem de recursos, etc.

18.14.6 Cliente de configuração gráficos

São ferramentas que permitem a configuração do samba usando a interface gráfica. Isto facilita bastante o processo, principalmente se estiver em dúvidas em algumas configurações, mas como todo bom administrador UNIX sabe, isto não substitui o conhecimento sobre o funcionamento de cada opção e ajustes e organização feita diretamente no arquivo de configuração.

18.14.6.1 gnosamba

Ferramenta de configuração gráfica usando o GNOME. Com ele é possível definir configurações localmente. Ele ocupa pouco espaço em disco, e se você gosta de GTK, este é o recomendado.

As opções do SAMBA são divididas em categorias facilitando sua localização e uso.

18.14.6.2 swat

Ferramenta de administração via web do samba. Este é um daemon que opera na porta 901 da máquina onde o servidor samba foi instalado. A configuração é feita através de qualquer navegador acessando http://ip_do_servidor:901 e logando-se como usuário root (o único com poderes para escrever no arquivo de configuração).

Esta ferramenta vem evoluindo bastante ao decorrer dos meses e é a recomendada para a configuração do servidor SAMBA remotamente. Seu modo de operação divide-se em básico e avançado. No modo básico, você terá disponível as opções mais comuns e necessárias para compartilhar recursos na rede. O modo avançado apresenta praticamente todos os parâmetros aceitos pelo servidor samba (restrições, controle de acesso, otimizações, etc.).

18.15 Exemplos de configuração do servidor SAMBA

Os exemplos existentes nesta seção cobrem diferentes tipos de configuração do servidor, tanto em modo de compartilhamento com acesso público ou um domínio restrito de rede. Todos os exemplos estão bem comentados e explicativos, apenas pegue o que se enquadre mais em sua situação para uso próprio e adaptações.

18.15.1 Grupo de Trabalho com acesso público

Este exemplo pode ser usado de modelo para construir uma configuração baseada no controle de acesso usando o nível de segurança share e quando possui compartilhamentos de acesso público. Esta configuração é indicada quando necessita de compatibilidade com softwares NetBIOS antigos.

      # Arquivo de configuração do SAMBA criado por 
      # Gleydson Mazioli da Silva <gleydson@debian.org>
      # para o guia Foca GNU/Linux Avançado - Capítulo SAMBA
      # Este script pode ser copiado e distribuído livremente de 
      # acordo com os termos da GPL. Ele não tem a intenção de 
      # atender uma determinada finalidade, sendo usado apenas 
      # para fins didáticos, portanto fica a inteira responsabilidade
      # do usuário sua utilização.
     
     [global]
      # nome da máquina na rede
      netbios name = teste
      # nome do grupo de trabalho que a máquina pertencerá
      workgroup = focalinux
      # nível de segurança share permite que clientes antigos mantenham a compatibilidade
      # enviando somente a senha para acesso ao recurso, determinando o nome de usuário
      # de outras formas
      security = share
      # O recurso de senhas criptografadas não funciona quando usamos o nível share 
      # de segurança. O motivo disto é porque automaticamente é assumido que você 
      # está selecionando este nível por manter compatibilidade com sistemas antigos
      # ou para disponibilizar compartilhamentos públicos, onde 
      encrypt passwords = false
      # Conta que será mapeada para o usuário guest
      guest account = nobody
      # Como todos os compartilhamentos desta configuração são de acesso público
      # coloquei este parâmetro na seção [global], assim esta opção afetará todos
      # os compartilhamentos.
      guest ok = 1
      # Conjunto de caracteres utilizados para acessar os compartilhamentos. O padrão
      # para o Brasil e países de língua latina é o ISO 8859-1
      character set = ISO8859-1
      
     
     # Compartilha o diretório /tmp (path = /tmp) com o nome "temporario" ([temporario]),
     # é adicionada a descrição "Diretório temporário" com acesso leitura/gravação 
     # (read only = no) e exibido na janela de navegação da rede (browseable = yes).
     [temporario]
      path = /tmp
      comment = Diretório temporário
      read only = no
      browseable = yes
     
     # Compartilha o diretório /pub (path = /pub) com o nome "publico" ([publico]).
     # A descrição "Diretório de acesso público" é associada ao compartilhamento
     # com acesso somente leitura (read only = yes) e exibido na janela de navegação 
     # da rede (browseable = yes).
     [publico] 
      path =/pub
      comment = Diretório de acesso público
      read only = yes
      browseable = yes
     
     # Compartilha todas as impressoras encontradas no /etc/printcap do sistema
     # Uma descrição melhor do tipo especial de compartilhamento "[printers]"
     # é explicado no inicio do guia Foca Linux
     [printers]
      comment = All Printers
      path = /tmp
      create mask = 0700
      printable = Yes
      browseable = No

18.15.2 Grupo de Trabalho com acesso por usuário

O exemplo abaixo descreve uma configuração a nível de segurança por usuário onde existem compartilhamentos que requerem login e usuários específicos, e restrições de IPs e interface onde o servidor opera. Esta configuração utiliza senhas em texto claro para acesso dos usuários, mas pode ser facilmente modificada para suportar senhas criptografadas.

      # Arquivo de configuração do SAMBA criado por 
      # Gleydson Mazioli da Silva >gleydson@debian.org>
      # para o guia Foca GNU/Linux Avançado - Capítulo SAMBA
      # Este script pode ser copiado e distribuído livremente de 
      # acordo com os termos da GPL. Ele não tem a intenção de 
      # atender uma determinada finalidade, sendo usado apenas 
      # para fins didáticos, portanto fica a inteira responsabilidade
      # do usuário sua utilização.
     
     [global]
      # nome da máquina na rede
      netbios name = teste
      # nome do grupo de trabalho que a máquina pertencerá
      workgroup = focalinux
      # nível de segurança user somente aceita usuários autenticados após o envio 
      # de login/senha
      security = user
      # É utilizada senhas em texto claro nesta configuração
      encrypt passwords = false
      # Conta que será mapeada para o usuário guest
      guest account = nobody
      # Permite restringir quais interfaces o SAMBA responderá
      bind interfaces only = yes
      # Faz o samba só responder requisições vindo de eth0
      interfaces = eth0
      # Supondo que nossa interface eth0 receba conexões roteadas de diversas 
      # outras redes, permite somente as conexões vindas da rede 192.168.1.0/24
      hosts allow = 192.168.1.0/24
      # A máquina 192.168.1.57 possui gateway para acesso interno, como medida
      # de segurança, bloqueamos o acesso desta máquina.
      hosts deny = 192.168.1.57/32
      
      # Conjunto de caracteres utilizados para acessar os compartilhamentos. O padrão
      # para o Brasil e países de língua latina é o ISO 8859-1
      character set = ISO8859-1
     
      # As restrições do PAM terão efeito sobre os usuários e recursos usados do SAMBA
      obey pam restriction = yes 
     
     # Mapeia o diretório home do usuário autenticado. Este compartilhamento especial
     # é descrito em mais detalhes no inicio do capítulo sobre o SAMBA no Foca Linux.
     [homes]
       comment = Diretório do Usuário
       create mask = 0700
       directory mask = 0700
       browseable = No
     
     # Compartilha o diretório win (path = /win) com o nome "win" ([win]). 
     # A descrição associada ao compartilhamento será "Disco do Windows", 
     # o nome de volume precisa ser especificado pois usamos programas 
     # que a proteção anti cópia é o serial. Ainda fazemos uma proteção
     # onde qualquer usuário existente no grupo @adm é automaticamente 
     # rejeitado e o usuário "baduser" somente possui permissão de leitura
     # (read list = baduser).
     #
     [win]
      path = /win
      comment = Disco do Windows
      volume = 3CF434C
      invalid users = @adm
      browseable = yes
      read list = baduser
     
     # Compartilha o diretório /pub (path = /pub) com o nome "publico" ([publico]).
     # A descrição "Diretório de acesso público" é associada ao compartilhamento
     # com acesso somente leitura (read only = yes) e exibido na janela de navegação 
     # da rede (browseable = yes). O parâmetro public = yes permite que este 
     # compartilhamento seja acessado usando o usuário "nobody" sem o fornecimento
     # de senha.
     [publico] 
      path =/pub
      comment = Diretório de acesso público
      read only = yes
      browseable = yes
      public = yes

18.15.3 Domínio

      # Arquivo de configuração do SAMBA criado por 
      # Gleydson Mazioli da Silva <gleydson@debian.org>
      # para o guia Foca GNU/Linux Avançado - Capítulo SAMBA
      # Este script pode ser copiado e distribuído livremente de 
      # acordo com os termos da GPL. Ele não tem a intenção de 
      # atender uma determinada finalidade, sendo usado apenas 
      # para fins didáticos, portanto fica a inteira responsabilidade
      # do usuário sua utilização.
     
     [global]
      # nome da máquina na rede
      netbios name = teste
      # nome do grupo de trabalho que a máquina pertencerá
      workgroup = focalinux
      # String que será mostrada junto com a descrição do servidor
      server string = servidor PDC principal de testes
      # nível de segurança user somente aceita usuários autenticados após o envio 
      # de login/senha
      security = user
      # Utilizamos senhas criptografadas nesta configuração
      encrypt passwords = true
      smb passwd file = /etc/samba/smbpasswd
      # Conta que será mapeada para o usuário guest
      guest account = nobody
      # Permite restringir quais interfaces o SAMBA responderá
      bind interfaces only = yes
      # Faz o samba só responder requisições vindo de eth0
      interfaces = eth0
     
      # como estamos planejando ter um grande número de usuários na rede, dividimos
      # os arquivos de log do servidor por máquina.
      log file =  /var/log/samba/samba-%m-%I.log
      # O tamanho de CADA arquivo de log criado deverá ser 1MB (1024Kb). 
      max log size = 1000 
      # Escolhemos um nível de OS com uma boa folga para vencer as eleições de 
      # controlador de domínio local
      os level = 80 
      # Dizemos que queremos ser o Domain Master Browse (o padrão é auto)
      domain master = yes
      # Damos algumas vantagens para o servidor ganhar a eleição caso 
      # aconteça desempate por critérios
      preferred master = yes
      # Também queremos ser o local master browser para nosso segmento de rede
      local master = yes
      # Este servidor suportará logon de usuários
      domain logons = yes
      # Usuários que possuem poderes para adicionar/remover máquinas no domínio
      # (terão seu nível de acesso igual a root)
      admin users = gleydson
      # Unidade que será mapeada para o usuário local durante o logon (apenas
      # sistemas baseados no NT).
      logon drive = m:
      # Nome do script que será executado pelas máquinas clientes
      logon script = logon.bat
     
      # Ação que será tomada durante o recebimento de mensagens do 
      # Winpopup. 
      message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
     
      # Conjunto de caracteres utilizados para acessar os compartilhamentos. O padrão
      # para o Brasil e países de língua latina é o ISO 8859-1
      character set = ISO8859-1
     
      # As restrições do PAM terão efeito sobre os usuários e recursos usados do SAMBA
      obey pam restriction = yes 
     
     # Mapeia o diretório home do usuário autenticado. Este compartilhamento especial
     # é descrito em mais detalhes no inicio do capítulo sobre o SAMBA no Foca Linux.
     [homes]
       comment = Diretório do Usuário
       create mask = 0700
       directory mask = 0700
       browseable = No
     
     # Compartilha o diretório win (path = /win) com o nome "win" ([win]). 
     # A descrição associada ao compartilhamento será "Disco do Windows", 
     # o nome de volume precisa ser especificado pois usamos programas 
     # que a proteção anti cópia é o serial. Ainda fazemos uma proteção
     # onde qualquer usuário existente no grupo @adm é automaticamente 
     # rejeitado e o usuário "baduser" somente possui permissão de leitura
     # (read list = baduser).
     #
     [win]
      path = /win
      comment = Disco do Windows
      volume = 3CF434C
      invalid users = @adm
      browseable = yes
      read list = baduser
     
     # Compartilha o diretório /pub (path = /pub) com o nome "publico" ([publico]).
     # A descrição "Diretório de acesso público" é associada ao compartilhamento
     # com acesso somente leitura (read only = yes) e exibido na janela de navegação 
     # da rede (browseable = yes). O parâmetro public = yes permite que este 
     # compartilhamento seja acessado usando o usuário "nobody" sem o fornecimento
     # de senha.
     [publico] 
      path =/pub
      comment = Diretório de acesso público
      read only = yes
      browseable = yes
      public = yes
     
     # Compartilhamento especial utilizado para o logon de máquinas na rede
     [netlogon]
      path=/pub/samba/netlogon/logon.bat
      read only = yes

Guia Foca GNU/Linux