Introducción

Una de las características más reconocidas de SAMBA es su capacidad de compartir recursos por el protocolo CIFS de tal forma que puede convivir con clientes con Microsoft Windows 9x, 2k y XP.

El siguiente How-to mostrará cómo configurar SAMBA 2.2.x y 3.x independientemente si funcionan como PDC.

Paquetes necesarios

• Samba

Configuración

La configuración básica de Samba le indica que funcionará como cliente y autentificará frente al directorio y compartirá sus recursos discriminando por nombres de usuario y grupos a los que pertenezcan.

Para realizar esto, habrá que editar el archivo /etc/samba/smb.conf añadiendo o modificando las siguientes líneas:

Es muy importante que todas las opciones se encuentre dentro de la sección global para asegurar que afectarán a la configuración.

El valor enviado al parámetro workgroup refiere al grupo de trabajo o dominio de Windows. En este casó escribiremos el mismo valor que se tiene en el servidor que funge como PDC.

Se indicará como valor de netbios name el nombre con el que se encontrará el servidor en el entorno de Windows. Por defecto Samba utilizará el nombre del host en caso de omitir este valor.

La cadena dada al parámetro server string servirá sólo como comentario y se desplegará en los entornos de Windows. Su funcionamiento es sólo informativo y su valor no afecta el funcionamiento del servicio.

En muchos casos la forma en que autenticará Samba a los usuarios para acceder a los recursos. Aunque la opción security soporta métodos para autenticarse se preferirá el valor de user entre los demás: domain y share; para autenticarse frente a un servidor NT y restringir el acceso a recursos y no por usuarios respectivamente. El parámetro user indica a Samba que verificará los permisos de acceso a un recurso por medio del usuario que accede.

Encrypt passwords es necesaria por seguridad, tanto Windows NT y 2000 necesitan este valor para firmarse.

El valor pasado a smb passwd file indica la ubicación del archivo donde Samba guarda datos sensibles para la autentificación. Aunque todo será almacenado en el directorio LDAP existen contraseñas como los SID y contraseña del root dn que Samba utilizará para operaciones en el directorio. Este archivo sólo puede ser leído y escrito por el usuario root.

En algunas ocasiones es necesario tener aliases de usuarios sólo en el dominio. Por ejemplo, el usuario Administrador no existe como tal en sistemas POSIX (con atributos administrativos). En estos casos es deseable indicar a Samba que usuario en realidad se utilizará. El formato de este archivo de texto externo será de la siguiente forma: usuario_unix = alias_windows. Por ejemplo para hacer que el usuario "Administrador" exista la sintaxis sería:

root = Administrador

De esta forma se utilizará la opción username map pasándole como parámetro el nombre del archivo con el formato explicado.

En ambientes en donde existen muchos usuarios en el sistema, crear el directorio hogar de cada uno de ellos suele ser una tarea inútil. Para hacer dinámica la creación de estos directorios se utilizará WinBIND que es un paquete del mismo Samba. Para esta configuración veremos las opciones winbind uid, winbind gid, winbind separator, winbind use default domain, winbind enum users, winbind enum groups, template homedir y template shell.

Las opciones winbind uid y winbind gid sirven para especificar la base en la que WinBIND empezará a calcular los rids de usuarios y grupos a partir de sus uid's y gid's. Este valor se especifica en un rango, por ejemplo: 1000-700000.

En los equipos finales utilizando Microsoft Windows existen casos en los que es necesario especificar el nombre del usuario completo, esto es incluyendo el dominio. Windows por defecto utiliza la \ para separar el dominio del nombre de usuario (WinBIND también utiliza este carácter por defecto). Sin embargo este valor puede ser cambiado utilizando la opción winbind separator.

Al mismo tiempo, complementando la opción anterior existe el parámetro winbind use default domain que indica a Samba que todos los usuarios en donde no se indique explícitamente el dominio asumirá que pertenecen al dominio en el que está inscrito el servidor. Los valores posibles en esta opción son: yes o no.

Tanto los parámetros winbind enum users y winbind enum groups ayudan a los clientes a enlistar usuarios y grupos que existen en el servidor. Esta opción habrá que utilizarla con cuidado puesto que:

• Si está activada se podrá ver la lista de usuarios en cualquier cliente de CIFS pero su visualización será lenta entre más usuarios o grupos existan.
• Si no está activada mucho servicios se desplegarán rápidamente y por seguridad no se desplegarán todos los usuarios del dominio, aunque una búsqueda explicita no fallará.

Cuando se requiere que los directorios hogar y cuentas de usuarios se generen automáticamente, se necesita especificar los parámetros template homedir y template shell. El valor que se le pasa a la primera opción es un directorio en donde se encuentran los archivos que se desean. En muchas distribuciones es buena idea apuntar al directorio /etc/skel. El valor pasado al parámetro template shell indica el interprete de comandos que se añadirá por defecto al crear un usuario vía WinBIND.

Una vez con la configuración básica, Samba estará listo para funcionar como cliente de dominio y a la vez como servidor de almacenamiento masivo.

Se estudiará por separado el recurso [homes] puesto que su comportamiento difiere a los demás.

Las opciones create mode y directory mode indican a Samba los permisos con los que deberá crear archivos y directorios respectivamente. El código numérico es el mismo que se usa con el comando chmod de Linux.

el valor que se le pasa a path indica la ruta física en el servidor dónde está el recurso. Puesto que homes actúa de una forma especial, la variable interna %H le indica que será el directorio hogar del usuario indicado por %u. Este valor será el indicado por el atributo homeDirectory del directorio LDAP. En esta tabla se podrá encontrar un listado de la variables que Samba puede manejar.

Si se requiere dar permisos de escritura o sólo lectura se podrán utilizar los parámetros writeable y read only. Ambos indicando acciones contrarias.

El valor pasado al parámetro comment servirá solo para poner una cadena de caracteres informativa.

Es muy importante indicar que este recurso no será visualizado en la lista de recursos libres del servidor, para esto utilizaremos la opción browseable con un valor de no. En otro tipo de recursos, se podría utilizar para que los usuarios no lo vieran, sin embargo el recurso estará disponible si se especifica explícitamente.

Samba posee la habilidad de indicar qué usuarios pueden entrar a un recurso, para esto utilizaremos el parámetro valid users y en este caso especial se le indicará con la variable interna %S.

La configuración de otros recursos será mas sencilla como se muestra a continuación. Tomando en cuenta que su similitud con el recurso homes es parecida, se omitirá los parámetros que apliquen de la misma forma.

El parámetro public indica a Samba que este recurso no necesita autentificación para ser accedido, esto es, de acceso público.

El nuevo parámetro indicado aquí será write list, que indica qué usuarios que estén firmados en el servidor además de poder leer, tendrán atributos de escritura. Los usuarios podrán indicarse por un grupo que se indicará con una @ o el nombre de usuario de cada uno. Los grupos serán los mismos que los sistemas operativos pasados en POSIX manejan.