[ Pobierz całość w formacie PDF ]
.W naszym przyk�adzie u�yliS
my nast�puj�cej opcji:hosts allow = 192.168.220.localhostZauwa�, �e oprócz adresu podsieci uwzgl�dniliS
my tak�e lokalnego hosta.Jednaz najcz�stszych pomy�ek w u�yciu opcji hosts allow polega na tym, �e serwerowiSamby mo�na przypadkowo uniemo�liwi� komunikacj� z samym sob�.Programsmbpasswd od czasu do czasu musi po��czy� si� z serwerem Samby jako klient, abyzmieni� zaszyfrowane has�o u�ytkownika.Ponadto dost�p z lokalnego hosta jestSieciowe opcje Samby 97niezb�dny, aby rozpowszechnia� informacje o przegl�daniu.JeS
li opcja ta jestw��czona, a nie zawarto w niej adresu lokalnego hosta, wówczas wygenerowane lo-kalnie pakiety z ��daniem zmiany has�a zostan� odrzucone przez Samb�, a rozpo-wszechnianie informacji o przegl�daniu b�dzie dzia�a� b��dnie.Aby tego unikn��,nale�y jawnie zezwoli� na korzystanie z adresu p�tli zwrotnej (pisz�c albo lo-calhost, albo 127.1)*.W opcji tej mo�na u�ywa� dowolnego z poni�szych formatów:� Nazwy hostów, takie jak ftp.przyklad.com.� Adresy IP, takie jak 130.63.9.252.� Nazwy domen, które mo�na odró�ni� od nazw hostów, poniewa� zaczynaj� si�od kropki.Zapis.ora.com oznacza wszystkie komputery w domenie ora.com.� Grupy sieciowe, których nazwy zaczynaj� si� od znaku at, na przyk�ad @hosty-wydruku.Z grup sieciowych mo�na korzysta� praktycznie tylko w systemachu�ywaj�cych NIS lub NIS+.JeS
li twój system obs�uguje grupy sieciowe, powinnaby� w nim dost�pna strona podr�cznika man netgroups, opisuj�ca je bardziejszczegó�owo.� Podsieci, które ko�cz� si� kropk�.Na przyk�ad 136.63.9.oznacza wszystkiekomputery, których adres IP zaczyna si� od 130.63.9.� S�owo kluczowe ALL, które zezwala na dost�p wszystkim klientom.� S�owo kluczowe EXCEPT, po którym nast�puje jedna lub wi�cej nazw kompute-rów, adresów IP, nazw domen, grup sieciowych albo podsieci.Móg�byS
naprzyk�ad nakaza�, aby Samba obs�ugiwa�a wszystkie hosty oprócz tych w podsie-ci 192.168.110, u�ywaj�c opcji hosts allow = ALL EXCEPT 192.168.110.(pami�taj o ostatniej kropce).U�ywanie s�owa kluczowego ALL jest niemal zawsze niewskazane, poniewa� umo-�liwia dowolnemu u�ytkownikowi dowolnej sieci przegl�danie twoich plików, jeS
litylko zdo�a on odgadn�� nazw� serwera.Zauwa�, �e opcja konfiguracyjna hosts allow nie ma wartoS
ci domyS
lnej, cho�domyS
lne dzia�anie w razie nieobecnoS
ci obu opcji hosts polega na zezwoleniu nadost�p ze wszystkich x
róde�.Oprócz tego, jeS
li umieS
cisz opcj� hosts alloww sekcji [global] pliku konfiguracyjnego, b�dzie ona mia�a pierwsze�stwo przedopcjami hosts allow zdefiniowanymi w udzia�ach.hosts denyOpcja hosts deny (tak�e deny hosts) okreS
la komputery, które nie maj� zezwo-lenia na dost�p do udzia�ów.Jej parametrem jest lista oddzielonych przecinkaminazw komputerów lub adresów IP.Do okreS
lania klientów mo�na u�y� tego samegoformatu co w opisanej wy�ej opcji hosts allow.Aby na przyk�ad zezwoli� na do-st�p do serwera tylko z domeny przyklad.com, móg�byS
u�y� opcji:hosts deny = ALL EXCEPT.przyklad.com* Od wersji 2.5 Samby lokalny host automatycznie uzyskuje prawo dost�pu, o ile jawnie mu si� go nieodmówi.98 Rozdzia� 4: Udzia�y dyskowePodobnie jak hosts allow, opcja ta nie ma wartoS
ci domyS
lnej, cho� domyS
lnedzia�anie w razie nieobecnoS
ci obu opcji hosts polega na zezwoleniu na dost�p zewszystkich x
róde�.Oprócz tego, jeS
li umieS
cisz opcj� hosts deny w sekcji [global]pliku konfiguracyjnego, b�dzie ona mia�a pierwsze�stwo przed opcjami hosts denyzdefiniowanymi w udzia�ach.JeS
li chcesz ograniczy� hostom dost�p do konkretnychudzia�ów, nie umieszczaj opcji hosts allow i hosts deny w sekcji [global].interfacesOpcja interfaces wymienia interfejsy sieciowe, które Samba b�dzie rozpoznawa�i przez które b�dzie odpowiada�.Opcja ta jest przydatna, jeS
li twój komputer nale�ydo wi�cej ni� jednej podsieci.JeS
li opcja ta nie jest ustawiona, Samba w trakcie uru-chamiania wyszukuje podstawowy interfejs serwera (zwykle pierwsz� kart� Ether-netu) i konfiguruje si� do obs�ugi tej jednej podsieci.JeS
li serwer dzia�a nie tylkow jednej podsieci, a ty nie podasz tej opcji, Samba b�dzie pracowa� wy��czniew pierwszej wykrytej podsieci.Musisz pos�u�y� si� t� opcj�, aby Samba obs�ugiwa�apozosta�e podsieci.WartoS
ci� tej opcji jest jedna lub wi�cej par adres IP-maska sieciowa, jak w poni�-szym przyk�adzie:interfaces = 192.168.220.100/255.255.255.0 192.168.210.30/255.255.255.0Mo�na tak�e poda� mask� bitow� w formacie CIDR, jak ni�ej:interfaces = 192.168.220.100/24 192.168.210.30/24Maska bitowa to liczba pocz�tkowych bitów, które zostan� w��czone w masce sie-ciowej.Na przyk�ad liczba 24 oznacza, �e aktywne b�d� pierwsze 24 bity (z 32), cojest równowa�ne notacji 255.255.255.Podobnie, liczba 16 odpowiada masce255.255.0, a 8  255.JeS
li u�ywasz DHCP, opcja ta mo�e dzia�a� nieprawid�owo.bind interfaces onlyOpcja bind interfaces only sprawia, �e procesy smbd i nmbd obs�uguj� ��daniapochodz�ce tylko z tych podsieci, które s� wymienione w opcji interfaces.Zwy-kle proces nmbd jest powi�zany z interfejsem wszystkich adresów (0.0) na por-tach 137 i 138, co pozwala mu na odbieranie rozg�osze� z dowolnego x
ród�a.Mo�eszjednak to zmieni� za pomoc� nast�puj�cej opcji:bind interfaces only = yesSpowoduje to, �e oba procesy Samby b�d� ignorowa� wszystkie pakiety, których ad-res x
ród�owy nie odpowiada adresom rozg�oszeniowym okreS
lonym w opcji in-terfaces, ��cznie z pakietami rozg�oszeniowymi.JeS
li chodzi o proces smbd, opcjata sprawi, �e Samba nie b�dzie honorowa� ��da� dost�pu do plików pochodz�cychz podsieci innych ni� wymienione w opcji interfaces.Nie powinieneS
u�ywa� tejopcji, jeS
li chcesz zezwoli� na tymczasowe po��czenia sieciowe, na przyk�ad tworzo-Serwery wirtualne 99ne za poS
rednictwem SLIP lub PPP.Opcja ta jest potrzebna bardzo rzadko i powinnijej u�ywa� tylko eksperci.JeS
li ustawisz opcj� bind interfaces only na yes, powinieneS
doda� adres lokal-nego hosta (127.1) do listy interfaces.W przeciwnym wypadku program smb-passwd nie b�dzie móg� po��czy� si� z serwerem w celu zmiany has�a.socket addressOpcja socket address okreS
la, pod którymi adresami podanymi w opcji inter-faces Samba b�dzie czeka� na po��czenia.Samba domyS
lnie akceptuje po��czeniakierowane pod wszystkie podane adresy.JeS
li u�yjesz tej opcji w pliku smb.conf, wy-musi ona czekanie pod tylko jednym adresem IP.Na przyk�ad:interfaces = 192.168.220.100/24 192.168.210.30/24socket address = 192.168.210.30Opcja ta jest narz�dziem programistycznym, wi�c radzimy jej nie u�ywa�.Serwery wirtualneSerwery wirtualne tworz� iluzj� obecnoS
ci wielu serwerów NetBIOS-u w sieci, cho�w rzeczywistoS
ci jest tylko jeden taki serwer.Uzyskanie takiego efektu nie jest trud-ne: komputer po prostu rejestruje wi�cej ni� jedn� NetBIOS-ow� nazw� w po��cze-niu ze swoim adresem IP.Metoda ta przynosi wymierne korzyS
ci.Dzia� ksi�gowoS
ci móg�by na przyk�ad dysponowa� serwerem ksiegowosc, które-go klienci widzieliby tylko dyski i drukarki nale��ce do dzia�u ksi�gowoS
ci.Dzia�marketingu móg�by mie� w�asny serwer marketing, przechowuj�cy sprawozda-nia tworzone w tym dziale  i tak dalej.Jednak�e wszystkie us�ugi by�yby S
wiadczo-ne przez uniksow� stacj� robocz� (z pomoc� jednego zrelaksowanego administrato-ra), zamiast przez kilka niewielkich serwerów obs�ugiwanych przez niezale�nychadministratorów.Samba pozwala przypisa� kilka nazw NetBIOS-owych uniksowemu serwerowi zapomoc� opcji netbios aliases (patrz tabela 4.6).Tabela 4.6 [ Pobierz całość w formacie PDF ]