4 Servidores de Archivos

(1)

Administración y Seguridad en Redes GNU/Linux

INICTEL 1 Módulo 4

MÓDULO 4: SERVIDORES DE ARCHIVOS

Objetivo General

Al finalizar este módulo, será capaz de instalar, configurar y administrar Servidores de Archivos, basados en NFS y SAMBA.

Objetivos Específicos

• Configurar y administrar servicios mediante el NFS.

(2)

INICTEL 2 Módulo 4

Introducción

Uno de los principales servicios que se necesitan en la red es el Servidor de Archivos. Todos los sistemas operativos lo incluyen en forma predeterminada y el sistema GNU/Linux no es la excepción.

(3)

INICTEL 3 Módulo 4

Sumario:

2. bjb

4.1. Network File System (NFS) 4

4.1.1. NFS Cliente/Servidor. 4.1.2. Demonio NFS. 4.1.3. Configurando NFS.

4.1.3.1. Servidor NFS. 7 - 10

4.1.3.1.1 Poner en marcha el servidor NFS.

4.1.3.2. Cliente NFS. 11

4.1.3.2.1 Automatizar el montaje de sistemas de archivos remotos

4.2. Samba. 16

4.2.1. Demonios.

4.2.2. Configurando Samba.

4.2.2.1. Servidor Samba. 18 - 26

4.2.2.1.1 Activar el servicio Samba. 27

4.2.2.2. Cliente Windows. 28

4.2.2.3. Cliente GNU/Linux. 29 - 34

4.2.3. Activi dades. 35 - 37

4.2.3.1. Auto evaluación 4.2.3.2. Laboratorio.

(4)

INICTEL 4 Módulo 4

4.1. Network File System (NFS)

Network File System es el servicio que permite que directorios y archivos puedan estar compartidos en red. A través de NFS, usuarios y programas pueden acceder a archivos ubicados en sistemas remotos como si fueran archivos locales. El protocolo NFS fue diseñado y fue llevado a cabo por Sun Microsystems a mediados de los 1980´s.

NFS es un servicio que usa el modelo cliente/servidor, donde el cliente importa sistemas de archivos de otros equipos y el servidor exporta el sistema de archivos local a otros equipos. (Ver Figura 1)

Su página oficial es: http://nfs.sourceforge.net

NFS tiene varios beneficios:

v Reduce requerimientos del almacenamiento en discos locales.

v Simplifica tareas de soporte centrales; los archivos de configuración se puede actualizar centralmente.

Figura 1. Network File System

(5)

INICTEL 5 Módulo 4

El protocolo NFS usa el protocolo Remote Procedure Call (RPC)1 eso permite que programas que se ejecutan en una computadora llamen subprogramas que se ejecutan en otra computadora y la representación de los datos externos2 eso permite el intercambio de información entre los diferentes tipos de computadoras. Puede correr sobre stream TCP o datagrama UDP, típicamente UDP es un protocolo inestable (no hay ninguna garantía de que los paquetes transmitidos se entregarán en orden o se entregarán completos). NFS impone un requisito para cada orden RPC para ser reconocido y requiere retransmisiones cuando sea necesario.

En el lado del servidor los demonios portmap, mountd y nfsd deben estar corriendo. Cuando el demonio RPC se inicia, dice el demonio portmap en que número de puerto está escuchando y que servicios RPC sirve. Cuando un cliente hace a una llamada RPC a un servicio avisa al demonio portmap para determinar el número del puerto al que deben enviarse los mensajes de RPC.

El demonio mountd lee que los archivos /etc/exports y crean una lista de equipos y redes a los que cada sistema de archivos local puede exportarse. Las peticiones de montaje del cliente se dirigen al demonio mountd. Después de verificar que el cliente tiene permiso para montar el sistema de archivos pedido, mountd devuelve un file handle para el punto de montaje pedido. Ver Figura 2

Figura 2. Protocolo RPC

1

RFC1831 - RPC: Remote Procedure Call Protocol Specification Version 2 http://www.ietf.org/rfc/rfc1831.txt

2

(6)

INICTEL 6 Módulo 4

4.1.1. NFS Cliente/Servidor

v Hay dos lados de NFS, por un lado el cliente y por otro el servidor:

Ø El cliente es el sistema que utiliza los directorios remotos como si fueran parte de su propio sistema de archivos local.

Ø El servidor es el sistema que dispone de los directorios a ser usados

v Añadiendo un directorio remoto a un sistema de archivos local se denomina montar (mounting) un directorio.

v Ofreciendo un directorio para acceso remoto, (una función de servidor) se denomina sharing.

v El sistema GNU/Linux puede ser cliente, servidor o ambos.

4.1.2. Demonios NFS

NFS se ejecuta con varios demonios, algunos que hacen funciones de cliente y otros de servidor.

Las funciones de los demonios de NFS( Ver Tabla 1):

Demonios Descripción

portmapper Este demonio no proporciona servicios NFS directamente, en su lugar, dirige al demonio FNS adecuado las llamadas realizadas desde otros equipos.

nfsd El demonio nfsd, se ejecuta en servidores NFS. Este demonio da servicios a las peticiones de los clientes NFS.

mountd Procesa las peticiones de los clientes. Los servidores NFS ejecutan el demonio mountd.

lockd Manipula las peticiones de archivos cerrados. Los servidores y clientes ejecutan el demonio lockd. Las peticiones de los clientes a archivos cerrados, y los servidores se los otorgan.

statd Demonio que monitorea el estado de la red; requerido por lockd para proporcionar servicios de monitoreos.

Tabla 1. Demonios NFS.

Los demonios necesarios para ejecutar NFS, se inician desde los scripts de arranque (boot scripts)

v El cliente NFS ejecuta el script nfs.client que inicia los programas: statd y lockd v El servidor NFS ejecuta estos dos demonios junto con dos demonios principales:

Ø nfs : demonio principal para NFS

Ø mountd : demonio para montar sistemas de archivos

4.1.3. Configurando NFS

Hay tres archivos de configuración principales que son necesarios para poner en marcha el servidor NFS:

(7)

INICTEL 7 Módulo 4

Sólo hace falta modificar /etc/exports para que NFS funcione, pero resulta en una configuración bastante insegura.

NFS no utiliza un sistema de contraseñas, solo una lista de control de acceso determinada por direcciones IP o nombres. Es por esto que es importante que el administrador de la red local o usuario entienda que un servidor NFS puede ser un verdadero e inmenso agujero de seguridad si este no es configurado apropiadamente e implementado detrás de un contrafuegos o firewall.

4.1.3.1. Servidor NFS

Configurar el archivo /etc/exports, este archivo especifica que directorios hay que compartir y con que equipos cliente. Este archivo sólo debe configurarse en servidores NFS.

Una entrada de /etc/exports tendrá la siguiente forma:

directorio maquina1(opcion11,opcion12) maquina2(opcion21,opcion22)

Ver Tabla 2 para la descripción de elementos:

directorio Directorio compartido.

maquina1 maquina2

Máquina cliente que tiene acceso a al directorio.

opcionxx Tipo de acceso

ro El directorio es compartido con el acceso de solo lectura rw La máquina cliente tiene acceso de lectura y escritura. no_root_squash Reconocer y confiar en la cuenta root del cliente.

sync Especificando la opción sync, todas las escrituras en el disco deben hacerse antes de devolver el control al cliente. Esto bajará el rendimiento.

async Permite al servidor escribir los datos en el disco cuando lo crea conveniente. Mientras que esto no tiene importancia en un sistema de sólo lectura, si una máquina hace cambios en un sistema de ficheros de lectura-escritura y el servidor se cae o se apaga, se pueden perder datos.

wdelay Provoca que el servidor NFS retrase el escribir a disco si sospecha que otra petición de escritura es inminente. Esto puede mejorar el rendimiento reduciendo las veces que se debe acceder al disco por comandos de escritura separados. Use no_wdelay para desactivar esta opción, la cual sólo funciona si está usando la opción sync.

root_squash Hace que cualquier cliente que acceda al sistema de archivos exportado (como root en la máquina cliente), se convierta en el ID del usuario nobody. Esto reconvierte el poder del usuario root remoto al de usuario local más bajo, previniendo que los usuarios root remotos puedan convertirse en usuarios root en el sistema local. Alternativamente, la opción no_root_squash lo desactiva. Para reconvertir a todos los usuarios, incluyendo a root, use la opción all_squash. Para especificar los ID de usuario y grupo para usar con usuarios remotos desde una máquina particular, use las opciones anonuid y anongid respectivamente. De esta manera, puede crear una cuenta de usuario especial para usuarios NFS remotos para compartir y especificar (anonuid=<uid-value>,anongid=<gid-value>), donde

<uid-value> es el número ID de usuario y <gid-value> es el número ID de grupo.

(8)

INICTEL 8 Módulo 4

v Configurar el archivo /etc/hosts o en su defecto configurar el servidor DNS, esto permitirá usar los nombres de los equipos cliente.

Ejemplo1:

Suponiendo que tenemos la siguiente red, configurar el servidor nfs1 para que los equipos clientes tengan acceso a los directorios /exportar/local, /exportar/varios y /mnt/nuevo – Ver Figura 3:

Figura 3. Servidor NFS

En el servidor nfs1, editar el archivo /etc/exports y agregar las siguientes entradas ( Ver Cuadro 1):

Cuadro 1. Archivo /etc/exports #Compartiendo el directorio /exportar/varios

/exportar/varios technics(rw) pionner (rw) sony(ro)

#Compartiendo /exportar/local

/exportart/local technics(rw,no_root_squash) pionner (rw,no_root_squash)

#Compartiendo /varios/nuevo

(9)

INICTEL 9 Módulo 4

Para especificar nombres de host, puede usar los siguientes métodos ( Ver Tabla 3):

una sola máquina Cuando una máquina en particular es especificada con nombre completo de dominio, nombre de máquina o dirección IP

comodines Cuando usamos un carácter “ * “ o “ ? “ para referirnos a un grupo de nombres completos de dominio o direcciones IP o que coincidan con una cadena particular de letras.

Sin embargo, sea cuidadoso cuando use comodines con nombres de dominios completos, e intente ser lo más exacto que pueda. Por ejemplo, el uso de *.domain.com como comodín, permitirá a ventas.domain.com acceder al sistema de archivos exportado, pero no a carlos.ventas.dominio.com. Para permitir ambas posibilidades, así como a juanorp.dominio.com, debería usar *.dominio.com *.*.dominio.com

Redes IP Permite el acceso a máquinas basadas en sus direcciones IP dentro de una red más grande. Por ejemplo, 192.168.0.0/15 permite al acceso a las primeras 16 direcciones IP´s, desde la 192.168.0.0 a la 192.168.0.15, accedes al sistema de archivos, pero no a la 192.168.0.16 y superiores.

grupos de redes Permite que un nombre de grupo de red NIS, escrita como @ <group-name>, sea usada. Esto pone al servidor NIS controlando el acceso de este sistema de archivos, donde los usuarios pueden ser añadidos o borrados de un grupo NIS sin que afecte a /etc/exports.

Tabla 3. Nombres de hosts

Ejemplo2:

En una instalación grande, es posible tener muchas máquinas que necesitan acceso a los directorios indicados ( Ver Figura 4):

Figura 4. Red NFS

Permitir que todos los equipos de nuestra red tengan acceso de sólo lectura en el directorio /usr/local

y lectura-escritura al directorio /home

(10)

INICTEL 10 Módulo 4

En el servidor, editar el archivo /etc/exports y agregar las siguientes entradas ( Ver Cuadro 2):

Cuadro 2. Archivo /etc/exports

4.1.3.1.1. Activar el servicio NFS

Paso 1: Iniciar portmapper:

Ø NFS depende en un demonio que se denomina portmap; portmapper o rpc.portmap

/etc/rc.d/init.d/portmap start

Paso 2: Iniciar los otros demonios:

Ø NFS requiere cinco demonios para funcionar:

o rpc.nfsd: hace la mayor parte del trabajo;

o rpc.lockd: establece una conexión

o rpc.statd: junto con lockd, gestiona el lock de ficheros;

o rpc.mountd, gestiona peticiones de montar

o rpc.rquotad, gestiona cuotas de archivos para los directorios que son remotos.

Ø Activar NFS

o El script que hay que activar es: /etc/rc.d/init.d/nfs

o Para iniciar los servicios NFS, ejecute como root la siguiente orden:

/etc/rc.d/init.d/nfs start ó

service nfs start

Paso 3: Comprobar que el servicio de NFS se encuentra activo ( Ver Cuadro 3 y Figura 5):

Ø Chequear con el utilitario rpcinfo:

Cuadro 3. Comando rpcinfo

#Compartiendo el directorio /usr/local /usr/local 192.168.0.0/255.255.255.0(ro)

#Compartiendo el directorio /home /home 192.168.0.0/255.255.255.0(rw)

#Compartiendo el directorio /pase /pase 0.0.0.0/0.0.0.0(rw)

# rpcinfo –p

(11)

Figura 5. Iniciando el servicio NFS - Debian

OBSERVACIONES

Tenga cuidado al compartir el disco, es recomendable que tenga un directorio común y sea este directorio el que comparta.

4.1.3.2. Cliente NFS

Paso1: Visualizar que está compartiendo el servidor ( Ver Cuadro 4)

Ø Usar el comando showmount.

Cuadro 4. # showmount –e 192.168.1.10

Export list for 192.168.1.10

/exportar/varios technics,pionner,sony /exportart/local technics,pionner /varios/nuevo 192.168.1.98

(12)

Paso2: Montando un sistema de archivos exportados

Ø Para montar un sistema de archivos remoto se utiliza el comando mount:

mount -t nfs nombre_servidor:/directorio/exportado /directorio/montaje

Donde ( Ver Tabla 4):

nombre_servidor Servidor NFS.

directorio/exportado Directorio que aparece en el archivo

/etc/exports del servidor NFS.

directorio/montaje Ubicación de un directorio en el equipo cliente en el que se quiere montar el sistema de archivos exportado.

Tabla 4. Opciones del comando mount

Ejemplo:

Se tiene la siguiente red de computadoras ( Ver Figura 6):

Figura 6. Cliente NFS

Donde ( Ver Tabla 5):

nfs1 Nombre del servidor NFS, también se puede usar la dirección IP del equipo. /exportar/varios Directorio exportado.

Technics Nombre del cliente NFS. /mnt/datos Punto de montaje.

(13)

Desde el equipo cliente technics ejecutamos:

mount –t nfs nfs1:/usr/data /mnt/data

ó

mount –t nfs 192.168.1.10:/usr/data /mnt/data

Ver el esquema de la Figura 7:

Figura 7. Red NFS

4.1.3.2.1. Automatizar el montaje de sistemas de archivos remotos

(14)

Figura 8. Archivo /etc/fstab

Estructura de la línea que se debe añadir en el archivo /etc/fstab por cada directorio exportado.Ver Figura 9:

Figura 9. Estructura de la línea que se agregara en el archivo /etc/fstab

En el equipo cliente technics añadir la siguiente línea en el archivo /etc/fstab

nsf1:/exportar/varios /mnt/datos nfs user,rw,bg,intr,soft 0 0

En lugar del nombre del servidor NFS nfs1, se puede usar su dirección IP.

(15)

Donde ( Ver Tabla 6 ):

user Los usuarios comunes podrán montar el sistema de archivos exportado.

rw Permiso de acceso: lectura/escritura

bg Montar en segundo plano, esto permitirá si el montaje falla intentara la operación hasta que se realice con éxito. intr El montaje se puede detener.

soft Por defecto, las operaciones NFS son duras (hard), lo que significa que necesiten que el servidor reconozca que han terminado de poder volver al proceso que realizo la llamada.

(16)

4.2. Samba

Samba es un software bajo la licencia GNU, que permite a un equipo con GNU/Linux ser vista como un equipo Windows. Permitiendo que cualquier equipo con Windows acceda a los recursos del equipo con GNU/Linux.

Samba es un servicio que usa el modelo cliente/servidor, donde el servidor es visto como si fuera en equipo Windows compartiendo directorios y el cliente (Windows y GNU/Linux) se conectará a dichos directorios compartidos. (Ver Figura 10)

Samba únicamente funciona con TCP/IP. Samba no es soportado sobre NetBEUI e IPX/SPX.

Su página oficial es: http:// www.samba.org

Características:

v El servidor es un código de aplicación puro. No es parte del sistema operativo.

v Se puede configurar como PDC ( Primary Domain Controller ). No se recomienda configurarlo como un BDC (Backup Domain Controller).

v Puede participar en una red modelo grupo de trabajo.

v Se puede habilitar como WINS Server.

v Se puede habilitar como Servidor NetBIOS.

Figura 10. Red Samba

Samba está implementada bajo el protocolo SMB (Session Message Block) llamado también NetBIOS o LanManager.

v Corazón de la compartición de archivos e impresoras de Microsoft.

(17)

En la Figura 11 se muestra la ubicación en la capa OSI.

OSI

TCP/IP

Aplicación

Presentación

SMB

Sesión

NetBIOS

Aplicación

Transporte

TCP&UDP

Transporte

Red

IPX

NetBEUI

DECnet

IP

Internet

Enlace

Física

802.2,

802.3, 802.5

802.2 802.3, 802.5

Ethernet V2 Ethernet V2

Acceso a la

red

Figura 11. Modelo OSI - Internet

Los puertos usados por Samba se encuentran definidos en el archivo /etc/services ( Ver Figura 12):

Figura 12. Puertos usados por el servicio Samba

4.2.1. Demonios

El servidor Samba, es habilitado por 2 demonios ( Ver Tabla 7):

Demonios Descripción

smbd Proceso de autentificación, habilitar acceso a los recursos compartidos.

nmbd Actualiza la tabla name lookup, habilita el servicio de WINS

Tabla 7. Demonios Samba

(18)

El servidor Samba ejecuta un script que inicia los programas: smbd y nmbd v /etc/init.d/samba en el caso de Debian Linux.

v /etc/init.d/smb en el caso de RedHat Linux.

4.2.2. Configurando Samba

Hay dos archivos de configuración principales que son necesarios para poner en marcha el servidor Samba:

/etc/samba/smb.conf /etc/samba/smbpasswd

El archivo smb.conf determina que recursos del sistema serán compartidos y que restricciones se aplicarán.

4.2.2.1. Servidor Samba

Para configurar este servicio sólo se necesita modificar el archivo /etc/samba/smb.conf

v Este archivo de configuración está compuesto por:

Ø Parámetros globales: Define las variables que Samba usará para definir como se compartirán todos los recursos. Ver Tabla 8:

Parámetros Descripción

workgroup = <Workgroup> Nombre del grupo de trabajo ó dominio (max. 15 car.)

netbios name = <nombre> Nombre del servidor (max. 15 car.)

server string = free text Comentario a visualizarse en la red. Es equivalente al campo Descripción NT.

guest account = <username> Cuenta de usuario para realizar conexión como invitado (pcguest)

log file = <archivo log> Usado para registrar a cada equipo que se conecta. (/var/log/samba/log.%m).

security = share | user | server Nivel de seguridad del servidor

encrypt password = true | false Uso de contraseñas cifradas para autenticar a los usuarios que usan el sistema operativo Windows.

smb password file = <directorio> Ubicación del archivo donde se guardarán las contraseñas usadas por Samba (/etc/samba/smbpasswd)

¿Qué tipo de impresión está usando?

(19)

Ø Parámetros locales: Define los recursos a compartir y las restricciones que se aplicarán a estos recursos. Ver Tabla 9:

Parámetros Descripción

directorio mask = <permiso> Los permisos predeterminados cuando un directorio es creado.

create mask= <permiso> Permiso predeterminado cuando un archivo es creado (valor octal)

print command = Comando para imprimir, %p el nombre de la impresora , %s el archivo de cola .

lpq command = Comando para consultar el status de la impresora, %p cola de impresión

lprm command = Comando para borrar un trabajo de la cola de impresión, %p cola de la impresora %j el número de trabajo .

print ok = yes | no Seleccionar yes si la sección describe una impresora.

printcap name = No usar el default /etc/printcap

printer driver = El nombre del driver de la impresora Windows

browseable = yes | no Permitir que todos los recursos compartidos sean visibles.

comment= free text Un comentario para el recurso compartido.

path= <directorio> Directorio a ser compartido, se debe usar la ruta completa.

guest ok= yes | no Permitir la conexión sin solicitar contraseña. Se necesita una cuenta de invitado valido.

guest only = yes | no Sólo será permitido el acceso de la cuenta invitado.

read only = yes | no Permiso de sólo lectura.

usernames = <user list>[<group list>] Lista de usuarios o grupos, los cuales Samba comparará el password recibido

read list = <user list > [,<group list>] Lista de usuarios que tendrán derechos de lectura.

write list = <user list > [,<group list>] Lista de usuarios que tendrán derechos de escritura. Tabla 9. Parámetros locales

v A cualquier cambio de este archivo es necesario reiniciar el demonio para validar los cambios.

v Existen más opciones tanto en los parámetros globales y locales.

Ejemplo:

Para realizar una configuración del servidor Samba partiremos usando la red de la Figura 13.

v Crear una cuenta invitado en el sistema GNU/Linux la cual será usada por Samba para una conexión de invitado (pcguest) entre el cliente y el servidor.

Esta cuenta deberá ser dedicada para Samba, sin contraseña y hay que deshabilitar el acceso vía login:

useradd pcguest

Editar el archivo /etc/passwd y modficar la entrada correspondiente a la cuanta invitado pcguest:

(20)

v Teniendo la siguiente red, configuraremos primero en el archivo /etc/samba/smb.conf los parámetros globales y luego los parámetros particulares.

v Las contraseñas usadas por los sistemas operativos Windows 98, Me, Windows NT, Windows 2K y Windows XP son cifradas, GNU/Linux usa contraseñas sin cifrar por lo que se hace necesario realizar los siguientes pasos:

Ø Crear el archivo /etc/samba/smbpasswd:

cat /etc/passwd ¦ mksmbpasswd.sh > /etc/samba/smbpasswd Ø Para que el súper- usuario sea el único con acceso al archivo de contraseñas:

chmod 600 /etc/samba/smbpasswd Ø Establecer las contraseñas de los usuarios:

smbpasswd usuario

NOTA: El usuario tiene que tener una cuenta de usuario válida en ambos SO con la misma contraseña.

Ø Para agregar nuevos usuarios:

smbadduser usuario_linux:usuario_windows

Cuadro 5. Creando cuenta de usuario # useradd maria

# smbadduser maria:maria

Adding: maria to /etc/samba/smbpasswd Added user maria.

--- ENTER password for maria

New SMB password: Retype new SMB password: Password changed for user maria.

(21)

v Definimos los parámetros globales según la configuración de la red de la Figura 13.

Ø Crear el archivo /etc/samba/smb.conf y agregar las siguientes líneas. Ver Cuadro 6:

Cuadro 6. Parámetros globales [global]

workgroup = INICTEL netbios name = SAMBA1

server string = Servidor de Archivos guest account = pcguest

log file = /var/log/samba/log.%msecurity = user encrypt passwords = yes

smb passwd file = /etc/samba/smbpasswd

(22)

v Configuración del acceso a los directorios particulares

Ø Editar el archivo /etc/samba/smb.conf y agregar las siguientes líneas ( Ver Cuadro 7 y Figura 14):

Cuadro 7. Parámetros locales – directorios particulares

Figura 14. Directorios particulares

v Configuración del acceso a un directorio público.

Ø Un directorio de acceso público, lectura/escritura para todos los usuarios. Nota que todos los archivos creados en el directorio por los usuarios será de propiedad del usuario predeterminado, así que cualquier usuario con acceso puede borrar archivos de cualquier usuario.

Ø Editar el archivo /etc/samba/smb.conf y agregar las siguientes líneas( Ver Cuadro 8): # Directorio particular

[homes]

comment = Directorio Particular browseable = no

(23)

Cuadro 8. Parámetros locales – directorio público

Ø Definir los permisos de acceso ( Ver Cuadro 9) y observar esquema de la Figura 15:

Cuadro 9. Parámetros locales – directorio público

Figura 15. Directorio público # Directorio de acceso publico

[pase]

comment= Carpeta de uso general path = /samba/pase

guest ok = yes guest only = yes read only = no browseable = yes

# mkdir /samba/pase

(24)

v Configuración del acceso a un directorio para que únicamente un grupo de usuarios tenga acceso.

Ø Un directorio de acceso público, pero de sólo lectura, excepto para las personas del grupo “contadores“

Ø Editar el archivo /etc/samba/smb.conf y agregar las siguientes líneas ( Ver Cuadro 10):

Cuadro 10. Parámetros locales – directorio para un grupo

Ø Definir los permisos de acceso ( Ver Cuadro 11) y esquema de directorio ( Figura16)

Cuadro 11. Parámetros locales – directorio para un grupo

Figura 16. Directorio de acceso restringido # mkdir /siscont

# chgrp contadores /pase # chmod 074 /samba/pase # chmod g+s /samba/pase # chmod o+t /samba/pase # Directorio de acceso restringido [siscont]

comment = Cosas Publicas path = /siscont

(25)

v Configuración del acceso a un directorio para que únicamente algunos usuarios tengan acceso.

Ø Las siguientes entradas demuestran como compartir un directorio para que dos usuarios puedan colocar archivos que serán de propiedad de los usuarios que los creo.

Cuadro 12. Parámetros locales – directorio para dos usuarios

Ø Definir los permisos de acceso ( Ver cuadro 13) y ver esquema de directorio(Figura17)

Cuadro 13. Parámetros locales – directorio para dos usuarios

Figura 17. Directorio de acceso para dos usuarios # mkdir /samba/cosas

# chgrp cosas /samba/cosas # chmod 070 /samba/cosas # chmod g+s /samba/cosas # chmod o+t /samba/cosas

# Directorio de acceso sólo para los usuarios alfredo y maria [secreto]

comment = Cosas de Maria y Alfredo path = /samba/cosas

valid users = maria alfredo public = no

(26)

v Configuración del acceso a un directorio para que únicamente un usuario tengan acceso.

Ø Un directorio privado, usado únicamente por el usuario aldo. Nota aldo requiere acceso de escritura al directorio

Cuadro 14. Parámetros locales – directorios privado

Ø Definir los permisos de acceso ( Ver Cuadro 15 y esquema de acceso en la Figura 18)

Cuadro 15. Parámetros locales – directorio privado

Figura 18. Directorio de acceso para tres usuarios # mkdir /samba/datos

# chown aldo /samba/datos # chmod 700 /samba/cosas

# Directorio de acceso sólo para los usuarios alfredo y maria [aldodir]

comment = Directorio privado para Aldo path = /samba/datos

(27)

v Otras opciones:

Valid users = sonia luis +smbuser pcguest invalid users = +ventas carlos

read list = +smbuser john

4.2.2.1.1. Activar el servicio Samba

Paso 1: Comprobar la estructura del archivo /etc/samba/smb.conf:

Ø Chequear con el utilitario testparm ( Ver Cuadro 16):

Cuadro 16. Comando testparm

Paso 2: Iniciar los demonios Samba:

Ø Activar Samba

o El script que hay que activar es: /etc/rc.d/init.d/smb

o Para iniciar los servicios Samba, ejecute como root la siguiente orden:

/etc/rc.d/init.d/smb start ó

service smb start

Paso 3: Comprobar que el servicio Samba se encuentra activo

Ø Chequear con el utilitario smbstatus: ( Ver Cuadro 17)

Cuadro 17. Comando smbstatus

.

Si desea que el servicio se inicie cuando el equipo se encienda use el comando de menú:

ntsysv

# smbstatus

Samba versión 3.0.2-Debian

PID Username Group Machine

--- 386 alfredo users pc01 (192.168.1.66)

Service pid machine Connected at

--- alfredo 386 PC01 Sat Jun 26 10:59:32 2004 # testparm

Load smb config files from /etc/samba/smb.conf Processing section “[home]”

Processing section “[pase]” Processing section “[siscont]” Processing section “[secretos]” Processing section “[aldodir]” Server role: ROLE_STANDALONE

(28)

swat Herramienta gráfica que permite configurar el servidor Samba desde un navegador. Ver Figuras 19 y 20:

Figura 19. swat - Autenticación

Figura 20. swat - Configuración

4.2.2.2. Cliente Windows

(29)

Figura 21. Red Inictel

4.2.2.3. Cliente GNU/Linux

smbclient Programa que permite acceder a recursos de Windows, parecido al servicio FTP. Ver Figura 22-23

smbclient //servername/sharename [password] [-U username]

(30)

Figura 23.Comandos smb

Observando la red ( Ver resultados en la Figura 24-25):

smbclient -L servername -N

(31)

Figura 25. Comando smbclient – Servidor Samba Debian

smbmount Programa que permite montar un recurso de Windows en un sistema GNU/Linux. Ver Figura 26:

smbmount //servername/sharename /mnt/point

Figura 26. Comando smbmount

mount Programa que permite montar un recurso de GNU/linux en otro sistema GNU/Linux Ver Figura 27:

(32)

Figura 27. Comando mount

LinNeighborhood Herramienta gráfica que permite ver los equipos y sus recursos de sistemas Windows. Ver Figura 28:

(33)

smbk4 Herramienta gráfica que facilita a los usuarios tener acceso a los directorios compartidos tanto en sistemas Windows como en sistemas GNU/Linux. Mandrake Linux tiene esta herramienta por defecto. Ver Figuras 29-30-31:

Figura 29. smbk4

(34)

(35)

4.2.3. Actividades del Módulo

4.2.3.1. Auto evaluación

1. Desea hacer que el directorio /informes este disponible vía NFS. Todos los usuarios en su red local podrán acceder para leer y escribir en los archivos. ¿Cuál de las siguientes instrucciones es correcta, asumiendo que su red local es 192.168.3.0 y su equipo es parte del dominio DNS inictel.gob.pe?

a. /informes *.pe(rw)

b. /informes 192.168.3.0/15(rw) c. /192.168.1.0 /informes d. /informes *.inictel.gob.pe(rw)

2. Se desea que los usuarios ingresen al directorio exportado en la pregunta anterior automáticamente cada vez que el equipo es encendido en el punto de montaje

/importar/informes. ¿Cuál es la sintaxis de la línea que debe agregar en el archivo

/etc/fstab?

a. nsf1:/importar/informes /importar/informes nfs user,rw,bg,intr,soft 0 0 b. nsf1:/importar/informes /mnt/datos nfs user,rw,bg,intr,soft 0 0

c. nsf1:/informes /importar/informes nfs user,rw,bg,intr,soft 0 0 d. nsf1:/informes /mnt/informes nfs user,rw,bg,intr,soft 0 0

3. Los parametros globales definen: a. Define todo el servicio Samba.

b. Define los recursos a compartir y las restricciones que se aplicarán a estos recursos. c. Define que equipos pueden acceder a los recursos compartidos.

d. Define las variables que Samba usará para definir como se compartirán todos los recursos.

4. Para visualizar los recursos compartidos en el servidor Samba FS1. ¿Cuál de las siguientes instrucciones es correcta?

(36)

4.2.3.2. Laboratorio

Duración: • 60 minutos

Objetivos:

• Aprender la configuración básica de los servidores de archivos NFS y Samba.

• Aprender a conectar dispositivos remotos.

Recursos a utilizar:

• Un computador con GNU/Linux.

• Un nombre de usuario y su contraseña respectiva (super-usuario = “root”)

• Un computador con sistema operativo Windows.

Procedimiento de ejecución:

1. Compartir el directorio /usr/local/data con derecho a rw (lectura,escritura) concediendo a la PC llamada scorreo ip:192.168.30.5. Ver Figura 32:

(37)

2. Dos máquinas clientes, esclavo1 y esclavo2, que tiene direcciones IP 192.168.0.2 y

192.168.0.3, respectivamente. Queremos compartir /usr/local y /home con el servidor 1: ( Ver Figura 33):

Figura 33. Red NFS

3. Se tiene la siguiente estructura de archivos en un servidor Linux y se desea que los equipos Windows de la red puedan tener acceso ¿Cuál es la estructura del archivo smb.conf? ¿Cuál será la implementación de la seguridad local? Ver Figura 34:

a. Los usuarios de contabilidad son los únicos que tiene acceso la información en la carpeta padre /conta

b. Los miembros del grupo ejecutivos podrán tener acceso lectura (no pueden modificar la información) a la carpeta /conta/reportes.

c. Todos los usuarios pueden tener acceso a la carpeta /programas para poder instalar las aplicaciones que se encuentren (no pueden borrar ningún archivo).

d. Los usuarios raul, maria y esther podrán modificar la información de

/datos/ almacén y los miembros del grupo secretarias modificarán la información de

(38)

4.2.4. Bibliografia

v Teach Yourself UNIX in 24 hours-Dave Taylor and James C. Amstrong Jr.-1997

v Linux: Rute user’s tutorial and exposition- Paul Sheer-2001