Condivisione di dischi - NFS - Reti miste Windows/Linux - SMB e NetBIOS - Samba (server)

Condivisione di dischi
Percorso 7
Samba
LAN
File system
File system
Remotely mounted file system
2
Branch

Percorso 7
Samba
LAN
File system
File system
3
Branch
/disks/raid/shared/images
/opt/images

Percorso 7
Samba
LAN
File system
File system
4
Branch
/disks/raid/shared/images
/opt/images
/disks/raid/shared/images/2014/agosto/mare.jpg
/opt/images/2014/agosto/ mare.jpg

Protocolli adottati
•NFS (Network File System)
–Nativo del mondo Unix
•SMB (Server Message Block)
–Nativo del mondo Windows
•AFP (Apple Filing Protocol )
–Protocollo nativo di Mac OS
•iSCSI
–Accesso a livello di blocchi (non di file)
–Usato soprattutto per NAS
Percorso 7
Samba
5

Differenze
Trasferire file
•ftp
•sftp
•scp
•rsync
•ssh+tar+gzip
Integrare il file system
•SMB
•NFS
Percorso 7
Samba
6

SMB vs NFS
NFS
•Solo Linux-Linux
•Molto veloce e leggero
•Set-up semplice, poca sicurezza (client-enforced, LAN fidate)
•Più complesso il set-up sicuro (NFS v4)
•Usa autenticazione Linux
•No browsing
•File locking problematico
SMB
•Linux-Windows, Windows- Windows e Linux-Linux
•Configurazione e personalizzazione semplici
•Più sicura per default
•Usa autenticazione propria (e user mapping)
•Qualche difficoltà con attributi avanzati
•Qualche difficoltà con il browsing
Percorso 7
Samba
8

Configurazione NFS
NFS server
•/etc/exports
NFS client
•mount -t nfs
•/etc/fstab
Percorso 7
Samba
9
https://help.ubuntu.com/community/SettingUpNFSHowTo
https://help.ubuntu.com/14.04/serverguide/network-file-system.html
/ubuntu *(ro,sync,no_root_squash) /home *(rw,sync,no_root_squash)
sudo mount example.hostname.com:/ubuntu /local/ubuntu
example.hostname.com:/ubuntu /local/ubuntu nfs rsize=8192,wsize=8192,timeo=14,intr

NFS Server
Installazione
•Installare il kernel-space server nfs-kernel- server
–Esiste anche un server in nfs-common, ma gira in «user space» ed è molto più lento
•/etc/default/nfs-kernel- server
–NEED_SVCGSSD=no
•/etc/idmapd.conf
Configurazione
•/etc/idmapd.conf
•/etc/exports
–Elenca i branch da esportare
–Opzioni sulle modalità di esportazione
•Avviare il servizio
–sudo service nfs- kernel-server start
Percorso 7
Samba
10

/etc/exports
•directory machines(options)
–Directory: radice del branch condiviso
–Machines: quali macchine hanno diritto di accedere
•Hostname: elite.polito.it, ip address: 130.192.5.26
•Wilcards: *.polito.it, subnets: 130.192.0.0/255.255.0.0
–Options:
•ro, rw: read only, read write
•root_squash or no_root_squash: map (client)root to (server)nobody
Percorso 7
Samba
11

/etc/exports
# sample /etc/exports file
/ master(rw) trusty(rw,no_root_squash)
/projects proj*.local.domain(rw)
/usr *.local.domain(ro) @trusted(rw)
/pub (ro,insecure,all_squash) /pub/private (noaccess)
Percorso 7
Samba
12

NFS client
Installazione
•Installare il pacchetto nfs- common
•Si possono subito «montare» i fs esportati
–sudo mount esempio.nomehost.it:/ubuntu /local/ubuntu
–host:remote_dir local_dir
Configurazione
•/etc/fstab raccoglie i mount «permanenti» (applicati ad ogni boot)
–esempio.nomehost.it:/ubuntu /locale/ubuntu nfs rsize=8192,wsize=8192, timeo=14,intr
Percorso 7
Samba
13

/etc/fstab
•device mountpoint fs-type options dump fsckorder
–Device: remote directory (host:dir)
–Mountpoint: local (empty) mount point
–Fs-type: nfs
–Options
•soft (non blocking client -- don’t use it), hard (blocking client), intr (blocks may be interrupted)
•rw, ro
Percorso 7
Samba
14

/etc/fstab
# device mountpoint fs-type options dump fsckorder
...
master.com:/home /mnt nfs rw,hard,intr 0 0
...
Percorso 7
Samba
15

Non abbiamo parlato di…
•UID/GID mapping, idmapd
•Security
•fcntld, lockd
•Other nightmares…
Percorso 7
Samba
16

Esercizio
•Nella macchina server, creare una directory /opt/documenti e condividerla via NFS
•Montare la directory sotto /mnt/documenti sulla macchina desktop
•Verificare i permessi di lettura/scrittura
Percorso 7
Samba
17

SMB
•Insieme di protocolli sviluppati da Microsoft per la condivisione su reti di calcolatori Windows
–SMB – Server Message Block
–Protocollo per condividere file, stampanti, porte seriali, ed altre risorse
•Aggiornato a
–SMB2 in Windows Vista
–SMB3 in Windows 8
Percorso 7
Samba
18

C’era una volta… tanta confusione
Percorso 7
Samba
19

Livelli del protocollo SMB
Percorso 7 Samba
TCP/IP NetBEUI
NetBIOS
SMB
NWLink
NBT - NetBIOS over TCP/IP
Windows Redirector
20
CIFS – Common Internet File system

Cos’è Samba?
•Implementazione Open source su UNIX del protocollo SMB, iniziata nel 1992.
•I server Samba forniscono:
–File sharing.
–Printer sharing.
–Network browsing.
–WINS name resolution.
–Primary and backup domain controllers.
Percorso 7
Samba
21
Andrew "Tridge" Tridgell
Jeremy Allison
John Terpstra
Jerry Carter

Percorso 7
Samba
22
http://www.samba.org/

Documentazione
•Samba man pages
–http://www.samba.org/samba/docs/man/manpages/
–In particolare smb.conf, smbclient, smbd
•The Official Samba 3.5.x HOWTO and Reference Guide
–http://www.samba.org/samba/docs/man/Samba3- HOWTO/

SMB: Workgroup
Percorso 7 Samba 24
Progettato per funzionare in modo centralizzato (con un Domain
Controller) oppure in modo del tutto distribuito (auto-configurazione tra i
client)

NetBIOS
•Livello di rete progettato per fornire una API di alto livello adattabile a diversi tipi di trasporto:
–Token ring
–NetBEUI
–IPX
•NetBIOS over TCP/IP (NBT o NetBT)
–Name service
–Datagram communication
–Session-based communication
Percorso 7
Samba
25

File di configurazione
•/etc/samba/smb.conf
•Unico file, diviso in sezioni
•Formato simile ai file .INI introdotti da Microsoft
•Viene letto da smbd, nmbd
Percorso 7
Samba
26

Formato smb.conf
•Diverse sezioni introdotte da un header [nomesezione]
–I parametri della sezione [global] si applicano a tutto il file
–Le altre sezioni descrivono le risorse che vengono condivise
–Sezioni speciali: [homes], [printers]
•Ogni sezione contiene una lista di coppie nome-valore
–parametro = valore
–Moltissimi parametri ed opzioni disponibili
–Commenti introdotti da # oppure ;
•Il comando testparm è in grado di verificare la sintassi del file
Percorso 7
Samba
27

smb.conf
[global]
workgroup = DOCS
netbios name = DOCS_SRV
security = share
[data]
comment = Documentation Server
path = /export
read only = Yes
guest only = Yes
Percorso 7
Samba
28

smb.conf
[global]
; il server si chiama DOCS_SRV
; ed è nel workgroup di nome DOCS
workgroup = DOCS
security = share
[data]
path = /export
read only = Yes
guest only = Yes
Percorso 7
Samba
29

smb.conf
[global]
workgroup = DOCS
security = share
[data]
; la directory /export del server
; viene esportata come DOCS_SRVDATA
path = /export
read only = Yes
guest only = Yes
Percorso 7
Samba
30

Strumenti diagnostici
# testparm
# nmblookup
# smbclient –L server
# smbclient //server/share
(windows)C:> net view server
(windows)C:> net use x: servershare
webmin: https://server.ip.addr:10000
/var/log/samba
log.nmbd, log.smbd
log.client_machine_name
Percorso 7
Samba
31

Come collegarsi agli share
•smbclient //server/share
•File manager di Ubuntu
•File manager di Windows
Percorso 7
Samba
32

Esercizio
•Studiare il file smb.conf di default di Ubuntu e ricercare il significato dei parametri specificati.
•Configurare il server in modo che offra uno share PMC2DOCUMENTI
•Creare due utenti pippo, pluto, e provare ad accedere allo share DOCUMENTI
Percorso 7
Samba
33

Processi che compongono Samba
•nmbd
–Name resolution and registration; browsing.
–Supports NetBIOS name server and WINS.
•smbd
–File and print sharing; authentication.
•winbindd
–NT and ADS domain service.
–Serve solamente se si utilizzano Domini NT o Active Directory, non se si utilizzano Workgroup
Percorso 7
Samba
34

NetBIOS Name Registration (1)
•Se c’è un NetBIOS name server (NBNS)
–Ogni macchina, appena accesa, richiede al NetBIOS Name Server il proprio nome, poi:
–Il NBNS registra e/o rifiuta la richiesta
Percorso 7
Samba
35

NetBIOS Name Registration (2)
•Se non c’è un NetBIOS name server
–Ogni macchina richiede (in broadcast) il proprio nome
–Se esiste già un Client con quel nome, esso ne “difende” la proprietà
Percorso 7
Samba
36

NetBIOS Name Resolution (1)
•Se c’è un NetBIOS name server (NBNS)
–Una macchina chiede al NBNS quale altra macchina ha il nome XYZ
–Il server risponde fornendone l’indirizzo IP
Percorso 7
Samba
37

NetBIOS Name Resolution (2)
•Se non c’è un NetBIOS name server
–Una macchina richiede, in broadcast, quale altra macchina abbia il nome XYZ
–Il client che ha registrato tale nome risponde fornendo il proprio indirizzo IP
Percorso 7
Samba
38

Tipi di nodi NetBIOS
•b-node: Risoluzione dei nomi solo mediante Broadcast
•p-node: Risoluzione dei nodi solo mediante NBNS
•m-node: Registrazione mediante Broadcast, poi notifica al NBNS. Risoluzione in Broadcast, con fail over sul NBNS.
•h-node: Usa il NBNS, e se fallisce tenta broadcast. Usato dal tutte le ultime versioni di Windows.
Percorso 7
Samba
39

Nomi dei nodi NetBIOS
•Nomi non gerarchici di 15 caratteri
–Legali: A-Za-z0-9 ! @ # $ % ^ & ( ) – ‘ {} ~
•Ogni nome ha associato un tipo di risorsa:
–00: Standard workstation service.
–03: Windows messenger service.
–1B: Domain master browser service.
–1D: Master browser.
–20: File e print server.
Percorso 7
Samba
40

NetBIOS Browsing
•Servizio per trovare computer e risorse sulla rete locale
–Un master conosce i computer presenti
–Ciascun computer conosce le risorse offerte
•Esiste un “local master browser” che gestisce la lista di tutti gli host.
–Se il LMB viene spento, si attiva un meccanismo di “elezione” per determinare quale nuova macchina assumerà il ruolo di LMB
Percorso 7
Samba
41

Processi che compongono Samba
•nmbd
–Name resolution and registration; browsing.
–Supports NetBIOS name server and WINS.
•smbd
–File and print sharing; authentication.
•winbindd
–NT and ADS domain service.
–Serve solamente se si utilizzano Domini NT o Active Directory, non se si utilizzano Workgroup
Percorso 7
Samba
42

Meccanismo di condivisione file
•Il Server espone degli «Share»
•Il Client si può connettere ad uno Share (aprendo una sessione)
•All’interno di una sessione, il Client può leggere o scrivere file
•Tutto avviene attraverso lo scambio di Messaggi SMB
Percorso 7
Samba
43

Messaggi SMB
Percorso 7
Samba
44

Messaggi SMB
Percorso 7
Samba
45

Connessione ad uno share
Percorso 7
Samba
46

Connessione ad uno share (Messaggi SMB)
Percorso 7
Samba
47

Scaricamento di un file
Percorso 7
Samba
48

Caricamento di un file
Percorso 7
Samba
49

Porte usate da Samba
•Port 137/udp: NetBIOS network browsing.
•Port 138/udp: NetBIOS name service.
•Port 139/tcp: File/print sharing.
•Port 445/tcp: Used by W2k/XP when NetBIOS over TCP/IP disabled.
Percorso 7
Samba
50

Tipi di autenticazione
•security = share
–Ogni share ha una (o più) password
–Chiunque abbia la password può accedere allo share
•security = user
–Ogni utente ha una password
–Ogni share è configurato in modo da permettere l’accesso a certi utenti o gruppi di utenti
–Il serve Samba verifica le coppie user/password
•security = server
–Simile a user-level, ma usa un server esterno per la verifica
•security = domain
–L’autenticazione viene fornita dal Domain Controller del dominio a cui il server è associato
–Il Domain controller può essere Samba stesso, o un altro server (linux o windows)
Percorso 7
Samba
51

Utenti NetBIOS e utenti Linux
•Il protocollo SMB si basa sull’autenticazione di utenti
–DOMINIOUSERNAME (gestiti dal domain controller)
–SERVERUSERNAME (gestiti da ogni singolo server «standalone»)
•Samba deve gestire e verificare le credenziali di tali utenti
•Possono essere utenti del tutto separati, oppure legati ai sottostanti utenti Linux
Percorso 7
Samba
52

Utenti NetBIOS e utenti Linux
•In fase di autenticazione
–Utenti NetBIOS «indipendenti», oppure
–Utenti NetBIOS corrispondenti agli utenti Linux
•In fase di accesso ai file
–Samba deve agire con i privilegi di un utente Linux
–L’utente NetBIOS deve essere «mappato» su un utente Linux
•Lo user id determinerà i privilegi d’azione
•Samba può aggiungere delle restrizioni aggiuntive
Percorso 7
Samba
53

Username mapping
•Username map file
–File specificato in smb.conf.
•username map = /etc/samba/usermap
–Contiene coppie di nome utente UNIX / Samba:
•darwin = DouglasArwin
•jwalden = James Walden
•users = @accounts
•nobody = *
•Verifiche sugli username SMB
–Verifica l’esatto username.
–Verifica lo username in minuscolo.
–Verifica lo username in minuscolo con la prima lettera maiuscola.
Percorso 7
Samba
54

Relazione tra utenti e share
•valid users = xxx, yyy
–Accesso garantito solamente a questi utenti
–Nomi di gruppi preceduti da @
•invalid users = xxx, yyy
–Accesso vietato a questi utenti (o @gruppi)
–Ha precedenza rispetto a valid users
•admin users = xxx, yyy
–Questi utenti hanno accesso con privilegi di root
Percorso 7
Samba
55

Account Backend
•Testo puro
–Si basa su unix, verifica la password (in chiaro) rispetto a /etc/{passwd,shadow}
•smbpasswd
–File di testo con password NT crittografate
•tdbsam
–Database binario con le informazioni di smbpassword (+ SAM)
•ldapsam
–LDAP con oggetti POSIX + sambaSamAccount
Percorso 7
Samba
56

Samba Password
•/etc/samba/smbpasswd
–Impostate tramite il comando smbpasswd
Percorso 7
Samba
57

Sincronizzazione delle password
•Se vogliamo che la password unix e quella samba siano identiche:
–unix password sync = yes
–passwd program = /usr/bin/passwd %u
–passwd chat = *old*password* %on *new*password* %nn *new*password* %nn *changed*
•…e poi non usare MAI il cambio password di Linux, ma solo smbpasswd
Percorso 7
Samba
58

Condivisione automatica home directory
•Utilizzare lo share speciale: [homes]
•Se un utente si collega ad uno share serverusername
•Viene creato uno share virtuale [username]
–path = ~username
–Opzioni prese da [globals] + [homes]
•L’utente viene connesso
•Solitamente vengono esclusi gli utenti privilegiati
Percorso 7
Samba
59

Permission Mapping
Permessi DOS/Windows
•Read-only
•System
•Hidden
•Archive
•Complesse ACL su sistemi Windows NT
Permessi Unix
•Read
•Write
•eXecute
Percorso 7
Samba
60

Creation Masks
•Samba masks
–UNIX octal permissions: file and directory.
–Execute bits used for permission mapping.
–Can set user and group ownerships too.
•Example
• [data]
– create mask = 755
– directory mask = 755
– force user = joe
– force group = accounting
Percorso 7
Samba
61

ACLs
•Samba can map NT ACLs to POSIX ACLs.
–nt acl support = yes
–If not set, maps NT ACLs to UNIX rwx perms.
•POSIX ACLs do not support all NT ACLs
–Ex: Take Ownership
Percorso 7
Samba
62

Esempio: evancon [global]
[global]
workgroup = CADCAD
netbios name = EVANCON
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
usershare allow guests = No
domain master = No
security = user
log level = 3
usershare max shares = 100
domain logons = No
passdb backend = smbpasswd
wins support = No
unix extensions = No
Percorso 7
Samba
63

Esempio: evancon [homes]
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
follow symlinks = Yes
wide links = Yes
Percorso 7
Samba
64

Esempio: evancon [homes]
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
follow symlinks = Yes
wide links = Yes
Percorso 7
Samba
65

Esempio: evancon [elite]
[elite]
comment = e-Lite group common repository
path = /server/elite/
read only = No
valid users = @elite
force group = elite
create mask = 0770
force create mode = 0660
directory mask = 0770
force directory mode = 0770
inherit acls = Yes
Percorso 7
Samba
66

Esercizio
•Abilitare la condivisione delle home directory
•Verificare che pcm2, pippo e pluto possano accedere alla propria homedir
•Inserire pippo e pluto in un gruppo docs
•Modificare documenti in modo che sia accessibile solo dal gruppo docs
Percorso 7
Samba
67

Argomenti non trattati…
•Samba domain controller
•Integrazione Samba/LDAP integration
•Samba Print server
Percorso 7
Samba
68

Riferimenti principali
Percorso 7
Samba
69

Riferimenti
•Aeleen Frisch, Essential System Administration, 3rd edition, O’Reilly, 2002.
•Evi Nemeth et al, UNIX System Administration Handbook, 4th edition, Prentice Hall
•John H. Terpstra,, Jelmer R. Vernooij, Official Samba-3 HOWTO and Reference Guide, 2nd Edition, Prentice Hall PTR, http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/, 2005.
•John H. Terpstra, Samba-3 by Example: Practical Exercises to Successful Deployment, 2nd Edition, Prentice Hall PTR, http://www.samba.org/samba/docs/Samba3-ByExample.pdf, 2005.
•[MS-CIFS]: Common Internet File System (CIFS) Protocol, Microsoft Technet,. 2014
Percorso 7
Samba
70

These slides are licensed under a Creative Commons
Attribution Non Commercial Share Alike 4.0 International
To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/4.0/
Versione in Italiano:
https://creativecommons.org/licenses/by-nc-sa/4.0/deed.it

Condivisione di dischi - NFS - Reti miste Windows/Linux - SMB e NetBIOS - Samba (server)

More Related Content

What's hot (20)

Viewers also liked (20)

Similar to Condivisione di dischi - NFS - Reti miste Windows/Linux - SMB e NetBIOS - Samba (server) (20)

Recently uploaded (9)

Condivisione di dischi - NFS - Reti miste Windows/Linux - SMB e NetBIOS - Samba (server)