Вот, в очередной раз необходимо предоставить виндовым админам доступ к файлам на сервере под управлением FreeBSD. Поскольку сервер находтся в одной локальной сети с остальными компьютерами, доступ решено организовать по протоколу SMB.  Что не может не радовать, так это то, что по утверждениям ITLabs, в условиях многопользовательского доступа, скорость работы Samba в качестве файлового и принт-сервера более чем в два раза выше по сравнению с Windows Server 2003 с теми же ролями.

В нашем случае нужна почти минимальная конфигурация: поддержка виндовых шар и разграничение прав доступа...

Итак, начнем установку samba-сервера из портов (за актуальностью которых не забываем следить):

Рассмотрим доступные опции:

[ ] LDAP         With LDAP support
[ ] ADS          With Active Directory support
[ ] CUPS         With CUPS printing support
[ ] WINBIND      With WinBIND support
[X] ACL_SUPPORT  With ACL support
[ ] AIO_SUPPORT  With Asyncronous IO support
[X] FAM_SUPPORT  With File Alteration Monitor
[X] SYSLOG       With Syslog support
[X] QUOTAS       With Disk quota support
[ ] UTMP         With UTMP accounting support
[ ] PAM_SMBPASS  With PAM authentication vs passdb backends
[ ] CLUSTER      With experimental cluster support
[ ] DNSUPDATE    With dynamic DNS update(require ADS)
[ ] EXP_MODULES  With experimental modules
[X] POPT         With system-wide POPT library
[X] PCH          With precompiled headers optimization
[ ] MAX_DEBUG    With maximum debugging
[ ] SMBTORTURE   With smbtorture

LDAP - поддержка LDAP. Не использую. Отключаем.

ADS -поддержка Active Directory. Отключаем.

CUPS - поддержка сервера печати CUPS. Не интересно. Отключаем.

WINBIND - обьединение пользвателей Windows/Unix. Почитать можно здесь. Отключаем.

ACL_SUPPORT - поддержка Access Control List. Очень даже нужная фича. Включаем.

AIO_SUPPORT - поддержка  возможности асинхронного ввода-вывода. По дефолту оключено... И я включать не буду ;)

FAM_SUPPORT - API для мониторинга за состоянием файла или группы файлов/директорий. Возможно пригодится. Включаем.

SYSLOG - поддержка логирования syslog. Однозначно пригодится :). Включаем.

QUOTAS - поддержка квотирования. Поскольку диски не резиновые, а пользователи жадные до дискового пространства - включаем.

UTMP - включаем поддержку уникального идентификатора для каждого вновь подключенного пользователя. Поскольку понижает производительность - выключаем.

PAM_SMBPASS - поддержка синхронизации системных пользователей и пользователей samba. В нашем случае неактуально, поэтому оставляем выключеным.

DNSUPDATE - поддержка динамического обновления DNS. Поскольку данный вариант работает с поддержкой Active Directory, что нам не нужно, то оставляем отключенным.

EXP_MODULES - поддержка експериментальных модулей. А нам нужна стабильность в работе. Соответственно не включаем ;)

POPT - поддержка системной библиотеки анализа коммандной строки. Авось пригодится ;). Включаем.

PCH - предкомпиляционная оптимизация заголовков. Звучит заманчиво. Включаем.

MAX_DEBUG - включение режима максимальной отладки. На всякий случай включим.

SMBTORTURE - утилита для стресс-тестирования серверов. У нас и так стрессовых ситуаций достаточно, можно обойтись ;). Отключено.

С опциями разобрались... Дождемся завершения установки и перечитаем пути.

 Лезем "копаться" в конфиге. В результате нехитрых манипуляций конфигурационный файл приобретает следующий вид:

Как видим, сам файл конфигурации пока минимален. Но мы потом это исправим в случае необходимости.

Добавим поддержку загрузки стартового скрипта samba в /etc/rc.conf:

Далее добавим пользователя winadmin. samba имеет свою базу логинов и паролей. Работать с этой базой можно с помощью утилиты smbpasswd. Однако не стоит забывать про то, что для корректной работы в системе должен присутствовать точно такой же пользователь. Что ж, если должен, значит сделаем. Добавим системного пользователя winadmin, правда доступ к консоли ему давать не будем ;)

Теперь воспользуемся утилитой smbpasswd, чтобы добавить пользователя samba:

Опция -а указывает на то, что пользователь в базе пользователей samba еще не существует, то есть указывает, что мы добавляем нового пользователя. В случае, если вам необходимо просто сменить пароль для пользователя, этот ключ опускаем.

Как вы уже догадались, пароли samba и пароли системных пользователей хранятся в рахных хранилищах, соответственно могут отличатся (и я рекомендую использовать разные пароли). Из вывода видно, что пароли samba хранятся в файле /usr/local/etc/samba/smbpasswd.

У меня еще не созданы папки шар. Нужно создать :). Кстати, samba бережно относится к правам доступа файлов. Доступ будет осуществлятся от имени авторизовавшегося пользователя. Соответственно выставляем необходимые права доступа:

 Пробуем запустить samba.

Кажется все заработало... На всякий случай посмотрим, что делается в логах:

Отлично. Samba даже стала мастер-браузером для рабочей группы LOCALNET в подсети 192.168.0.0/24. После набора в командной строке адреса сервера (\\192.168.0.155), появилось окно запроса логина и пароля доступа к сетевому ресурсу. После ввода логина winadmin и заданого пароля, доступ был разрешен. Это уже неплохо :)

Чтобы ознакомиться с полными возможностями samba, воспользуемся интерфейсом управления.

Немного общей информации... SWAT (Samba Web Administration Tool) - программа, которая позволяет сконфигурировать сервер Samba через web-интерфейс изменяя таким образом конфигурационный файл smb.conf. SWAT является частью набора Samba, поэтому развивается параллельно и не использует устаревшие опции в smb.conf.

SWAT запускается через суперсервер inetd. Чтобы разрешить запуск SWAT, необходимо в конфигурационном файле /etc/inetd.conf раскомментировать такую строку:

 Добавляем в rc.conf поддержку inetd и запускаем службу:

Открываем любимый браузер и в строке адреса набиваем: http://ip_interface_samba-servera:901. В моем случае это http://192.168.0.155:901. В окне запроса логина и пароля вбиваем рутовый логин и пароль.

Вуаля... Открывается сие чудо:

Выставляем необходимые параметры, применяем. Потом в образовательных целях просматриваем конфигурационный файл, чтобы посмотреть на то, как изменения записываются в конфиг.

Поле деятельности довольно широкое... Но дальше проблем возникать не должно. Более обширную информацию о samba можно получить, например, здесь.

На что еще стоит обратить пристальное внимание, так это на безопасность. Наведу несколько опций контроля доступа, которые могут пригодится:

• encrypt passwords - глобальная опция; принимает значение no или yes. Отвечает за возможность включения или отключения шифрования паролей при пересылке по сети.
• smb passwd file - глобальная опция; указывает пуль к файлу, в котором хранится список пользователей и паролей Samba (по умолчанию имеет значение /usr/local/etc/samba/smbpasswd).
• unix password sync - глобальная опция; указывает на необходимость синхронизации паролей Samba с системными паролями; принимает значение yes или no.
• null passwords - глобальная опция; разрешает вход пользователей с пустым паролем.
• update encrypted - глобальная опция; при установке значения в yes, указывает изменять файл с шифрованными паролями, в случае, когда пользователь входит в систему, указывая пароль в явном виде.
• invalid users - список пользователей, которым будет отказано в доступе к ресурсу
• path - опция, используемая при описании ресурсов; позваоляет задать системную директорию.
• comment - комментарий к общедоступному ресурсу.
• writable - определяет, доступен ли ресурс на запись.
• admin users - список пользователей, которые будут иметь доступ как пользователь root.
• valid users - список пользователей, имеющих доступ к ресурсу.
• read list - список пользователей, имеющих доступ только на чтение к ресурсу с правами на запись.
• write list - список пользователей, имеющих право чтения и записи в ресурсе, доступном только на чтение.
• browsable - определяет видимость ресурса для пользователей.
• guest ok - определяет, разрешен ли доступ гостевых пользователей.
• guest only - если установлено значение в yes, то доступ к ресурсу смогут получить только гостевые пользователи.
• username map - позволяет указать файл, в котором хранится список сопоставлений имен груп и пользователей системы FreeBSD с именами и группами Windows (пароли должны совпадать). Пример записи из файла: "root = Admin Administrator"