Installation und Konfiguration von SAMBA und Debian GNU/Linux Rolf Stettler Daniel Tejido Manuel Lässer
Vorname Name Stettler Rolf, Tejido Daniel, Lässer Manuel TBZ Klasse 01b Projekt: LT2, Fileserver auf Debian mit Samba Erstellt am: 19. Juni 2003 Dokument C:\Dokumente und Einstellungen\rstet\Eigene Dateien\TBZ\LT2\Semesterarbeit\
I Inhaltsverzeichnis 1 Installation Debian... 1 2 Konfiguration SAMBA... 3 2.1 Konfiguration im smb.conf... 4 2.2 Installation Quota... 5 2.3 Konfiguration Cups... 6 2.3.1 Bereitstellung der Treiber über APW (Add Printer Wizard)... 6 3 Windows XP Client in SAMBA Domain einbinden... 7 4 Wichtige Commands, Files und Directories... 8 5 Literaturverzeichnis... 9
1 1 Installation Debian Die folgende Instruktion beschreibt die Installation eines Samba Servers unter Debian GNU/Linux. Wir verwendeten die aktuellste Version Debian GNU/Linux 3.0 (Woody) mit dem Kernel 2.4.18-bf2.4 welcher Voraussetzung für das journaling Filesystem ext3 (supportet ab Kernel 2.4.16) ist. Damit das System wegen inkonsistentem Filesystem möglichst nicht gebootet oder ein fs-check durchgeführt werden muss, werden bei einem einem journaling Filesystem alle Änderungen in einen separaten Log geschrieben, bevor sie auf dem eigentlichen Filesystem vorgenommen werden. Erst nachdem der Log geschrieben worden ist, wird dieser Schreibbefehl auch auf dem Filesystem durchgeführt. Der Eintrag im Log wird gelöscht, sobald der Schreibbefehl erfolgreich auf dem Filesystem abgeschlossen worden. Wird nun eine Maschine ohne Shutdown gebootet, muss der FS- Check nur den Log nach nicht durchgeführten Schreibbefehlen durchsuchen und diese nachholen. Dadurch können die Ausfallzeiten eines Server sehr gering gehalten werden, da kein FS-Check über das ganze Filesystem mehr notwendig mehr ist. 1. Maschine mit Debian (Woddy) CD booten. 2. F3 drücken und bf24 für Installation mit Linux 2.4 Kernel selektieren. 3. Choose en for Englisch Installation. 4. Keyboard Layout: qwertz/sg-latin1 (Swiss German) 5. Initialize and Activate a Swap Partition selektieren 6. /dev/hda2 als Swap Device initialisieren 7. Initialize a Linux Partition 8. Ext3 als Filesystem auswählen und /dev/hda1 selektieren. Für Samba haben wir ein eigenes Filesystem erstellt. Das Betriebssystem Linux befindet sich im root (/). /dev/hda1 / ext3 9.2GB /dev/hda5 /samba ext3 27GB 9. Run a bad-block scan on /dev/hdba1? no 10. Install Kernel and Driver Modules selektieren 11. Configure Device Driver Modules selektieren 12. /Kernel/drivers/net und Ethernet Adapter 3c59x Vortex/Boomerang auswählen. Damit wird das Modul für diesen Adapter in den Kernel geladen. 13. Configure the Network selektieren 14. Hostname: rdm (Rolf, Daniel, Manuel) 15. Configure for eth0 Do you want to use DHCP or BOOTP: yes 16. Install the Base System selektieren und von CDROM Debian installieren 17. Make System Bootable selektieren 18. LILO wird auf /dev/hda in den Master Boot Record installiert. 19. Wir haben keine Boot Floppys kreiert. Die Maschine daher von /dev/hda booten und mit der Installation weiterfahren. 20. Time Zone: Europe, Zurich 21. md5 Password: no 22. Passwords shadow enable: yes 23. Set root Passwort: rdm 24. Remove pcmcia packages: yes 25. PPP Connection used: no 26. Select apt (Advance Package Tool) Source: cdrom Additional source: ftp Select country: Switzerland Choose Debian mirror site: sunsite.cnlab-switch.ch 27. Use security updates from security.debian.org? yes 28. Run tasksel: no 29. Run dselect: no 30. No mail configuration 31. tasksel für Packet Installation aufrufen X window system
2 file server print server C und C++ selektieren
3 32. tasksel folgende Tasks installieren conventional unix server desktop environment Die Pakete werden zuerst auf der CD1 gesucht. Können sie nicht gefunden werden, installiert Debian die Pakete vom Netz. 33. Damit beim Booten der Maschine nicht der xdm Window Manager gestartet wird, kann mit dem Command dpkg-reconfigure gdm der Gnome Window Manager zum Default gesetzt werden. 34. Aus Sicherheitsgründen wird im /etc/inetd.conf telnet, ftp, smtp, finger, spray Daemon deaktiviert 35. Wir haben unseren Debian Server nachträglich von DHCP auf eine fixe IP Adresse umkonfiguriert. Dazu müssen im /etc/network/interfaces folgende Zeilen geändert: auto eth0 iface eth0 inet dhcp Konfiguration für DHCP geändert in: auto eth0 iface eth0 inet static address 130.60.208.201 netmask 255.255.255.0 gateway 130.60.208.1 Konfiguration für fixe IP-Adresse 36. Damit die Zeit auf unserem Server immer synchron läuft, installieren wir noch den NTP-Daemon apt-get install ntp-simple (installiert den ntpd) apt-get install ntpdate (installiert ntpdate, damit beim Booten die Zeit automatisch abgeglichen wird) 37. Damit man mittels root keine remote Logins machen kann haben wir im /etc/ssh/sshd_config die Zeile PermitRootLogin no eingefügt. Damit die Änderung sofort aktiv ist, kann der sshd mit /etc/init.d/ssh restart neu gestartet werden. 38. Für die Installation von CUPS wurden folgende Pakete über dselect installiert: cupsys Comon Unix Print System cupslib Comon Unix Print System library 39. Danach ist das cups Webfrontend lokal über http://localhost:631 zu erreichen. 40. Damit der Samba Server auch von einem Apple aus sichtbar ist, installieren wir Nettalk. Dazu werden folgende Pakete via dselect installiert: Netatalk AppleTalk user binaries 2 Konfiguration SAMBA Samba startet dank dem Startscript /etc/rc2.d/s20samba bei jedem Booten automatisch. Durch das Script wird der smbd und nmbd Daemon gestartet. Der smbd ist dafür verantwortlich, die Ressourcen des Samba-Server zu verwalten und sie den Clients zur Verfügung zu stellen. Der smbd verarbeitet alle Nachrichten, die zwischen dem Samba-Server und den Clients ausgetauscht werden. Ausserdem ist dieser Daemon für die Echtheitsbestätigung verantwortlich. Der nmbd- Daemon ist ein Names-Server, der die Funktionalität eines WINS-Servers nachahmt. Der WINS-Server speichert den Netbios-Namen, die IP-Adresse und die Workgroup eines jeden Clients solange dieser seine Registrierung regelmässig beim WINS-Server erneuert. 1. Installation von SWAT (Samba Web Admin Tool) mit apt-get install swat Danach muss im /etc/inetd.conf noch die Zeile swat auskommentiert werden, damit swat über den inetd gestartet wird. SWAT ist anschliessend via Webbrowser unter Port 901 erreichbar 2. Für die Webmin Installation wurden folgende Pakete über den dselect installiert: webmin Web-based administration toolkit webmin-apache apache control module for webmin webmin-core core modules for webmin webmin-inetd inetd control module for webmin webmin-samba samba control module for webmin 3. Danach ist das Webmin Tool über https://130.60.208.201:10000 zu erreichen.
4 2.1 Konfiguration im smb.conf Die Namen innerhalb der eckigen Klammern kennzeichnen Abschnitte in der Datei smb.conf, die jeweils nur einmal vorkommen dürfen. Jeder Abschnitt bezeichnet eine Freigabe oder einen Dienst. Nachfolgend befinden sich die Konfigurationsoptionen für die jeweilige Freigabe oder Dienst. [global] domain master = true netbios name = RUMBA... Freigabe oder Dienst Konfigurationsoptionen Jeder Option, die im Abschnitt [global] festgelegt wird, ist für alle Freigaben wirksam. Wenn Optionen sowohl im Abschnitt [global] als auch im Abschnitt Freigaben stehen, haben immer die Optionen im Abschnitt der Freigaben Vorrang. Damit der Samba Sever im Netz als PDC erscheint, müssen folgende Optionen [global] domain logons = yes printing = cups printcap name = /etc/printcap.cups encrypt passwords = yes logon drive = H: logon home = \\%N\%U log file = /var/log/samba/log.%m netbios name = RUMBA Konfiguriert den Samba Server als PDC Definiert wie die Printerkommands interpretiert werden. Wir verwenden das Common Unix Printing System (CUPS). Pfad des Printcap Files. In diesem File befinden sich alle auf dem System verfügbaren Printer Legt fest, ob die Passwörter encrypted werden. Die verschlüsselten Passwörter befinden sich im /etc/samba/smbpasswd. meldet sich ein Benutzer an, wird Ihm automatisch sein Homeverzeichniss als H: Drive angehängt. Legt fest, dass jeder Benutzer mit seinem eigenen Homeverzeichniss verbunden wird (%U Variable für den Benutzernamen). Verzeichnis für die Logfiles, für jeden Computeraccount wird ein eigenes Logfile erstellt. setzt den NetBIOS Namen unter dem der Server im Netz sichtbar wird. Wenn ein Client versucht, eine Freigabe zu verwenden, die nicht im smb.conf steht, sucht er in der smb.conf nach dem Abschnitt [homes]. Mit der Option %u im Pfad wird jedem Samba-User automatisch sein Homedirectory als Netzwerkdrive zur Verfügung gestellt.die Variable steht für den Unix-Benutzername. [homes] path = /samba/homes/%u create mask = 0700 directory mask = 0700 browseable = no Legt den Pfad des Homeverzeichnisses fest. %u steht für den Unix- Benutzernamen Allen Files und Verzeichnisse werden beim Erstellen die Berechtigungen rwx für den Besitzer zugewiesen. Dadurch sind die Homeverzeichnisse nicht sichtbar, wenn sich ein Benutzer die auf dem Server bereitgestellten Freigaben anzeigen lässt. Diese Freigabe ist als Groupdisk für die Benutzer Tejido und Stettler bestimmt. [daten] comment = Group share path = /samba/daten valid users = stettler tejido Kommentar der in der Beschreibung beim Browsen angezeigt wird. Pfad des Shares Benutzer, welchen Zugriff auf den Share gestattet ist. Samba unterstützt Windows-Anmeldeskripts. Damit werden die Samba Benutzer automatisch mit ihrem Groupdisks bei jedem Logon verbunden. [netlogon] path = /samba/netlogon Pfad in dem sich die Logonscripts befinden.
5 Will man den Sambaserver auch als Printserver benutzen, ist diese Sektion von Wichtigkeit. [printers] print command = /usr/bin/lpr -r %sq path = /var/spool/cups Sobald sich der Printjob in der Spoolerqueue befindet, wird dieser Kommand ausgeführt. Die Printjobs werden dadurch nach dem Ausdrucken automatisch aus der Queue gelöscht. Spool Verzeichnis fürs Printing Bei dieser Freigabe handelt es sich um einen versteckte Freigabe ($). Ist der Druckertreiber auf dem Computer eines Benutzers nicht installiert, welcher über Samba geshared wird nicht wird über diese Freigabe automatisch die Treiber installiert. [print$] path = /printers write list = root Pfad der Windows Druckertreiber für die Installation Liste der User, die für diesen Service read/write Rechte besitzen 2.2 Installation Quota Mit Quota ist es möglich, den maximal zulässigen Speicherplatz sowie die maximal zulässige Anzahl an Dateien pro Benutzer und/oder pro Gruppe anzugeben. Diese vom Administrator eingestellten Limits werden dann von Linux Kernel ständig überwacht und eingehalten. 4. Die Installation erfolgt über apt-get install quota quotatool 5. Jetzt fügt man in der /etc/fstab bei allen Partitionen die Optionen usrquota und grpquota hinzu, auf denen Quotas für Benutzer bzw. Gruppen aktiviert werden sollen. Wir haben nur auf dem /samba die User und Group Quota aktiviert. # /etc/fstab: static file system information. # # <file system> <mount point> <type> <options> <dump> <pass> /dev/hda1 / ext3 errors=remount-ro 0 1 /dev/hda5 /samba ext3 defaults,usrquota,grpquota 0 1 Nun legen wir auf allen Partitionen mit Quota eine Datei quota.user bzw. quota.group an. In dieses File werden später die definierten Quotas geschrieben. 6. touch /samba/quota.user /samba/quota.group Jetzt muss das Filesystem /samba neu gemounted werden, damit die Quotas aktiviert werden. 7. umount /samba 8. mount /samba Nun wird mittels quotacheck v a das Filesystem /samba auf bereits benutzten Diskspache durchsucht. Es werden nur nicht-nfs Filesysteme vom /etc/mtab mit Quota aktiviert. Zum Schluss muss Quota noch über das Startscript /etc/init.d/quota start gestartet werden. Jetzt können wir die Quoten für die einzelnen Benutzer definieren. 9. quotatool -u stettler -b -q 1MB -v /samba 10. quotatool -u stettler -b -l 10MB -v /samba Mit repquota können nun die Limiten für alle Benutzer angezeigt werden. rdm:~# repquota a *** Report for user quotas on device /dev/hda5 Block grace time: 7days; Inode grace time: 7days Block limits File limits User used soft hard grace used soft hard grace ---------------------------------------------------------------------- root -- 108 0 0 17 0 0 stettler +- 1452 1024 10240 4days 129 0 0 tejido +- 32776 1024 20480 4days 422 0 0
6 laesser +- 2948 1024 10240 6days 1 0 0 Ein Benutzer darf sein Softlimit für eine kurze Zeit überschreiten. Dieser Zeitraum, ist durch die Grace Period festgelegt. Die Hardlimit kann nicht überschritten werden. Es gibt keine Möglichkeit diese Limite zu umgehen. Sobald ein Benutzer sein Softlimit überschreitet, beginnt die Grace Period zu ticken. Wenn sie abgelaufen ist, darf der betreffende Benutzer vorerst keine Daten mehr auf die Partition, auf der er das Softlimit überschritten hat, schreiben. Er darf erst wieder schreiben, wenn er sein Softlimit wieder unterschritten hat. 2.3 Konfiguration Cups Das Comon Unix Printer System ermöglicht über Samba Drucker freizugeben. Am Server wir über den Webbrowser die folgende URL://localhost:631 geöffnet. Hier kann mit ein Paar Handgriffen ein neuer Drucker eingerichtet und getestet werden. -> Do Administration Tasks -> Configure Printer -> Add New Printer -> General -> Name: Name des Druckers Media size: A4 Location: Ort des Druckers -> Options Installed Description: Beschreibung Duplexer: Installed -> Device for Lexmark "LPD/LPR Host or Printer" -> Print Test Page -> Device URI: lpd://130.60.208.69 Druckt Cups die Testseite wurde der Drucker korrekt erfasst. Damit die Printjobs in der Printqueue /var/spool/cups nach dem Drucken wieder gelöscht werden, haben wir in der root crontab folgende zwei Einträge erstellt, welche alle 30 Minuten ausgeführt werden. 30 * * * * cancel -a lexmark_ic 30 * * * * cancel -a laesser_test 2.3.1 Bereitstellung der Treiber über APW (Add Printer Wizard) Zum Browsen des Druckers muss der Samba Dienst neu gestartet werden und der Zugriff auf das spooler sowie das pint$ Verzeichnis muss gewährleistet sein. Um die Treiber am einfachsten auf dem Server zur Verfügung zu stellen meldet man sich als root auf einem Windows Client an. Über die Netzwerkumgebung gelangt man auf den Fileserver und seine Freigabe für Drucker und Faxgeräte. Den Drucker selektieren und über das Menu Datei / Eigenschaften auf die Eigenschaften des Druckers. Bei dem Reiter Freigabe kann der Gewünschte Treiber hinzugefügt werden. Die entsprechenden Dateien werden in die dafür vorbereiteten Verzeichnisse kopiert.
7 Durch einen neustart des Samba Deamons stehen nun die zur Installation des Druckers benötigten Treiber zur Verfügung. 3 Windows XP Client in SAMBA Domain einbinden Damit ein XP-Client mit unserem Samba-PDC kommunizieren kann, ist für jede dieser Workstation ein Computeraccount auf dem Samba-Host einzurichten. Dieser Account besteht aus dem NetBIOS-Namen des betreffenden Clients, abgeschlossen durch ein "$"-Zeichen. Das Anlegen des Computeraccounts erfolgt in drei Schritten: 1. useradd u 1001 d /dev/null s /bin/false brumbrum$ 2. passwd l brumbrum$ 3. smbpasswd am brumbrum$ Mit der Option u wird beim Kommando useradd dem Computeraccount die gewünschte UID vergeben. Es ist sinnvoll, einen speziellen Bereich für die UIDs der Samba-User zu reservieren. Unter dem Computeraccount soll sich niemand einloggen können (-s /bin/false), der Account enthält kein Homedirectory (-d /dev/null) und er wird mit der Option l gelockt. Die Option m sagt dem smbpasswd-programm, dass es sich um einen Computeraccount handelt. Mit a wird der Account auch noch im /etc/samb/smbpasswd erstellt. Anschliessend kann der Computer über einen Rechtsklick auf...in die Domäne eingebunden werden. Damit der Client nun auch einen Domain-Logon machen kann, muss auf einem XP-Client folgende Local Securtiy Policies geändert werden: 1. Unter Systemsteuerung Verwaltung lokale Sicherheitsrichtlinie 2. Unter lokale Sicherheitsrichtlinie Option "Domänen-Mitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)" deaktivieren.
8 4 Wichtige Commands, Files und Directories Debian Installations Commands dpkg list dpkg l dpkg l gcc dpkg --status <packagename> dpkg-reconfigure <packagename> apt-cache search --full <packages> apt-get install <packagename> apt-get update apt-get upgrade SAMBA Commands smbclient smbtar nmblookup smbpasswd smbstatus testparm testprns /etc/rc2.d/s20samba restart kill SIGHUP <PID> SAMBA Files /etc/samba/smb.conf /var/log/samba/log.<client> sonstige Unix Commands uname a free zeigt den Status aller auf dem Deban System installierten Pakete an Packetmanager von Debian. Listet alle Pakete aus /var/lib/dpkg/available auf. Listet Information über ein bestimmtes Paket auf zeigt detaillierte Informationen über ein bestimmtes Paket an Konfiguriert ein bereits installiertes Paket neu z.b. dpkg-reconfigure ntpd zeigt detaillierte Informationen über ein Paket an, kann auch ohne full verwendet werden! installiert ein bestimmtes Paket neue Archivliste (/var/lib/dpkg/available) wird herunter geladen Installiert alle neuen Pakete Unix-Client für den Zugriff auf SMB-Shares, funktioniert ähnlich wie ein FTP- Client z.b. smbclient U% -L localhost Programm für Sicherung von Daten in Shares Programm um Adressen in NetBIOS over TCP/IP-Netzwerken herausfinden zu können damit kann der Administrator die von Samba verwendeten verschlüsselten Passwörter ändern zeigt den Status der aktiven Netzwerkverbindungen auf einem Samba-Server überprüft die Samba-Konfigurationsdatei smb.conf auf Syntaxfehler überprüft ob die Drucker von smbd-daemon erkannt werden startet smbd und nmbd neu Samba liest standardmässig alle 60 Sekunden das smb.conf File neu ein. Will man nicht warten kann mittels kill und der PID der smbd neu gestartet werden. Eine andere Variante wäre es die Daemons über das Startscript S20samba neu zu starten. Samba Konfigurations-File Logfile für jeden Client zeigt Informationen über installierten Kernel an zeigt freies und verfügbares Memory im System an
9 wichtige Files und Directories /etc/security/access.conf Config-File für remote- und lokalen Access via Telnet, ssh oder tty /etc/ssh/sshd_config Config-File für SSH-Daemon /etc/pam.d? /proc Pseudo file system in das Prozesse und Kernel Daten gemapped werden. Über /proc können einige wichtige Information über das System herausgefunden werden. z.b.: /proc/cpuinfo zeigt Informationen über installierte CPU(s) /proc/meminfo zeigt Informationen über freies und installiertes Memory /etc/network/interfaces Config-File fürs Netzwerk. Damit kann das System für DHCP oder mit einer fixen IP-Adresse, Netmask und Default-GW konfiguriert werden. /etc/apt/sources.list zeigt an, von welcher Website apt die Debian Pakete downloaded. In unserem Fall rdm:~# more /etc/apt/sources.list deb ftp://sunsite.cnlab-switch.ch/mirror/debian/ stable main deb-src ftp://sunsite.cnlab-switch.ch/mirror/debian/ stable main deb http://non-us.debian.org/debian-non-us stable/non-us main deb-src http://non-us.debian.org/debian-non-us stable/non-us main deb http://security.debian.org/ stable/updates main 5 Installationstest Integration von Clients in Samba Domäne Windows Login Apple Login User/Gruppen Home/Transferdirecotry Remote Administration Logonscripts Samba Printserver Printserver Treiberschleuder mit drei Clients erfolgreich durchgeführt Windows Login auf verschiedenen XP Clients erfolgreich durchgeführt Von imac Login auf Samba Server erfolgreich durchgeführt und auf Homedirectory File kopiert eingerichtet und erfolgreich getestet erstellt und getestet Webmin via HTTPS installiert und erfolgreich eingesetzt Logonscripts für jeden einzelnen Benutzer eingerichtet Printserver mit zwei Queues eingerichtet und getestet Printertreiber für Lexmark T610 (XP) sind bereitgestellt und getestet 6 Literaturverzeichnis http://www.debian.org/doc/manuals/ Robert Echstein, David Collier-Brown & Petter Kelly, Samba, O'Reilly, ISBN 3-89721-161-0 CT Ausgabe 22-25/02