SaMBa nagy hálózatokban

Szent István Egyetem, Gödöllői Területi Iroda
Informatikai és Kommunikációtechnikai Központ

Bevezetés

A SaMBa: SMB protokolt megvalósító programegyüttes, használatával egyszerű a Windows-os és UNIX-os világ összekötése. Free software, GNU-GPL.

Előadás tematikája: kapcsolodó hálózati protokollok, működési alapok, browsing több alhálózat esetén, biztonsági kérdések, Samba szerver beállítások.


Alap protokollok

NetBT:
NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.
SMB:
NetBT fölötti főleg fájl- és nyomtató megosztás, de named pipes, mailslots, egyebek is.
CIFS:
ugyanaz mint az SMB, de közvetlenül TCP/IP fölött.
SMB kapcsolat létrehozásának lépései:

SMB autentikáció

megosztás (share) szintű autentikáció:
felhasználó (user) szintű autentikáció:


NetBT Name Service és WINS


SMB Névfeloldás
Node type:

érték elnevezés működési mód
1 broadcast broadcast és direkt UDP-n és TCP-n
2 point to point csak direkt UDP és TCP, ha a megszólított nem belépni a rendszerbe
4 mixed broadcast, majd ha ez sikertelen, akkor direk kapcsolat
8 hibrid direkt megszólítás, ha ez sikertelen, akkor broadcast.

SaMBa: name resolve order,
lehetséges értékei: lmhosts, hosts,wins, bcast


Computer Browser



Master browser


Computer Browser frissítések: UDP 138-as port, broadcast.

Computer Browser Listacserék: TCP 139-es port, unicast.
WINS - WINS kommunákáció:TCP 42-es port, unicast


Master browser problémák csökkentése


Biztonsági kérdések


Csomagszűrési szabályok - NetBT, SMB

Proto forrás
port
cél
port
ACK megnevezés
UDP >1023 138 - NetBT kérés
UDP 138 >1023 - NetBT válasz
TCP >1023 139 N,Y NetBT session kérés
TCP 139 >1023 Y NetBT session válasz
UDP >1023   139,445 - SMB kérés kliens szerverhez
UDP 139,445 >1023  - SMB válasz szerver klienshez
TCP >1023   139,445 N,Y SMB kérés kliens szerverhez
TCP 139,445 >1023   Y SMB válasz szerver klienshez


Csomagszűrési szabályok - NetBT NS, WINS
Proto forrás
port

cél
port

ACK megnevezés
UDP 137, >1023 137 - broadcast: NetBT név kérés
UDP 137, >1023 137 - WINS név kérés
TCP 137, >1023 137 N,Y WINS kérés kliens szerverhez
TCP 137 137, >1023 Y WINS válasz szerver kliensnek
TCP >1023 42 N,Y WINS replica kérés
TCP 42 >1023 Y WINS replica válasz


SaMBa verziók

2.0.7:
stabil, mindenkinek javasolt változat, de Windows NT-vel és Windows 2000-el korlátozásokkal használható.
2.2.0:
béta fázis vége, sok fejlesztés, teljes NT és win2k támogatás, ACL és később LDAP funkciók.
HEAD:
ez lesz a 3.0.0, tartományvezérlési (PDC, inter-domain trust) fejlesztések,
TNG:
"The Next Generation": alternatív fejlesztői ág, samba team-től külön, de együttműködve. Teljesen más programstruktúra, főleg MS RPC és named pipe fejlesztés.


Munkacsoport szerver
Célok:


Az smb.conf fájl
[global]
   server string = Munkacsoport file server
   workgroup = MUNKACSOPORT
   interfaces = 10.10.244.90/24
   hosts allow = 127. 10.10.244.0/24 10.10.205.192/28
   security = user
   encrypt passwords = yes
   guest account = smbguest
   username map = /usr/local/samba/lib/user.map   
   unix password sync = no
   domain logons = yes
   logon script = %G.bat
   logon path = //%L/Profiles/%U

# Browser Control Options:
   os level = 33
   local master = yes
   domain master = yes
   preferred master = yes
# remote broadcast address
   remote announce = 10.10.205.207
   wins support = yes
   wins proxy = yes
   dns proxy = yes
   name resolve order = host wins bcast
# printing:
   printing = LPRNG
   load printers = yes
   printcap name = /etc/printcap

# other options:
   preserve case = yes
   short preserve case = yes
   case sensitive = no
   log file = /usr/local/samba/var/%m.log
   max log size = 50

#------------------------
# share definitions
# netlogon directory for Domain Logons
[netlogon]
   comment = Network Logon Service
   path = /home/csop/netlogon
   locking = no
   public = no
   writable = no
   share modes = no
   browseable = yes


# roaming profile share
[Profiles]
    path = /home/csop/profiles
    browseable = yes
    guest ok = no
    writeable = yes
    create mode = 744
    directory mode = 755


[printers]
   comment = All Printers
   path = /var/tmp
   browseable = no
   printable = yes
   public = no
   writable = no
   create mode = 0700
   valid users = @csop, @alcsop


[homes]
   comment = Home Directories
   browseable = no
   writable = yes
   hide dot files = yes
   create mode = 0700
   root preexec = /usr/bin/sessreg -a -l smb -h %M %U
   root postexec = /usr/bin/sessreg -d -l smb -h %M %U


[admin]
   comment = kozos dolgok
   path = /home/admin
   valid users = @csop
   public = no
   writable = yes
   printable = no
   force user = admin
   force group = csop
   create mode = 770
   root preexec = /usr/local/sbin/checkmgk



[alcsop]
   comment = alcsop-nak irható
   path = /home/admin/tdk
   valid users = @alcsop
   public = no
   writable = yes
   printable = no
   force user = admin
   force group = csop
   create mode = 770

[anonftp]
   comment = CSOPort publikus terulete
   path = /home/ftp/pub
   public = yes
   writable = no
   printable = no
   write list = @csop
   force group = ftpadm
   create mode = 775

[www]
  comment = www.csop.ceg.hu fejlesztoi valtozat
  path=/var/www
  browseable = yes
  public = no
  writable = yes
  printable = no
  force user = webmaster
  force group = webmaster
  create mode = 775

[alkalmazasok]
   comment = DOS es Windows alkalmazasok
   path = /home/csop/dosbin
   writable = no
   printable = no
   write list = @ntadmin
   valid users = @csop,@alcsop
   force user = csop
   force group = csop

[dosbin]
   copy = alkalmazasok   

# !!! share = CD label
[MSOP97]
   path = /home/csop/dosbin/win32app/
   comment = MS Office Install
   volume = "OFFS97_H01"
   read only = yes
   available = yes
   share modes = no
   locking = no
   browseable = yes
   public = yes


Összefoglalás

Lajber Zoltán 2001-04-17