[ Pobierz całość w formacie PDF ]
.W naszym przyk³adzie u¿yliSmy nastêpuj¹cej opcji:hosts allow = 192.168.220.localhostZauwa¿, ¿e oprócz adresu podsieci uwzglêdniliSmy tak¿e lokalnego hosta.Jednaz najczêstszych pomy³ek w u¿yciu opcji hosts allow polega na tym, ¿e serwerowiSamby mo¿na przypadkowo uniemo¿liwiæ komunikacjê z samym sob¹.Programsmbpasswd od czasu do czasu musi po³¹czyæ siê z serwerem Samby jako klient, abyzmieniæ zaszyfrowane has³o u¿ytkownika.Ponadto dostêp z lokalnego hosta jest Sieciowe opcje Samby 97niezbêdny, aby rozpowszechniaæ informacje o przegl¹daniu.JeSli opcja ta jestw³¹czona, a nie zawarto w niej adresu lokalnego hosta, wówczas wygenerowane lo-kalnie pakiety z ¿¹daniem zmiany has³a zostan¹ odrzucone przez Sambê, a rozpo-wszechnianie informacji o przegl¹daniu bêdzie dzia³aæ b³êdnie.Aby tego unikn¹æ,nale¿y jawnie zezwoliæ na korzystanie z adresu pêtli zwrotnej (pisz¹c albo lo-calhost, albo 127.1)*.W opcji tej mo¿na u¿ywaæ dowolnego z poni¿szych formatów:· Nazwy hostów, takie jak ftp.przyklad.com.· Adresy IP, takie jak 130.63.9.252.· Nazwy domen, które mo¿na odró¿niæ od nazw hostów, poniewa¿ zaczynaj¹ siêod kropki.Zapis.ora.com oznacza wszystkie komputery w domenie ora.com.· Grupy sieciowe, których nazwy zaczynaj¹ siê od znaku at, na przyk³ad @hosty-wydruku.Z grup sieciowych mo¿na korzystaæ praktycznie tylko w systemachu¿ywaj¹cych NIS lub NIS+.JeSli twój system obs³uguje grupy sieciowe, powinnabyæ w nim dostêpna strona podrêcznika man netgroups, opisuj¹ca je bardziejszczegó³owo.· Podsieci, które koñcz¹ siê kropk¹.Na przyk³ad 136.63.9.oznacza wszystkiekomputery, których adres IP zaczyna siê od 130.63.9.· S³owo kluczowe ALL, które zezwala na dostêp wszystkim klientom.· S³owo kluczowe EXCEPT, po którym nastêpuje jedna lub wiêcej nazw kompute-rów, adresów IP, nazw domen, grup sieciowych albo podsieci.Móg³byS naprzyk³ad nakazaæ, aby Samba obs³ugiwa³a wszystkie hosty oprócz tych w podsie-ci 192.168.110, u¿ywaj¹c opcji hosts allow = ALL EXCEPT 192.168.110.(pamiêtaj o ostatniej kropce).U¿ywanie s³owa kluczowego ALL jest niemal zawsze niewskazane, poniewa¿ umo-¿liwia dowolnemu u¿ytkownikowi dowolnej sieci przegl¹danie twoich plików, jeSlitylko zdo³a on odgadn¹æ nazwê serwera.Zauwa¿, ¿e opcja konfiguracyjna hosts allow nie ma wartoSci domySlnej, choædomySlne dzia³anie w razie nieobecnoSci obu opcji hosts polega na zezwoleniu nadostêp ze wszystkich xróde³.Oprócz tego, jeSli umieScisz opcjê hosts alloww sekcji [global] pliku konfiguracyjnego, bêdzie ona mia³a pierwszeñstwo przedopcjami hosts allow zdefiniowanymi w udzia³ach.hosts denyOpcja hosts deny (tak¿e deny hosts) okreSla komputery, które nie maj¹ zezwo-lenia na dostêp do udzia³Ã³w.Jej parametrem jest lista oddzielonych przecinkaminazw komputerów lub adresów IP.Do okreSlania klientów mo¿na u¿yæ tego samegoformatu co w opisanej wy¿ej opcji hosts allow.Aby na przyk³ad zezwoliæ na do-stêp do serwera tylko z domeny przyklad.com, móg³byS u¿yæ opcji:hosts deny = ALL EXCEPT.przyklad.com* Od wersji 2.5 Samby lokalny host automatycznie uzyskuje prawo dostêpu, o ile jawnie mu siê go nieodmówi. 98 Rozdzia³ 4: Udzia³y dyskowePodobnie jak hosts allow, opcja ta nie ma wartoSci domySlnej, choæ domySlnedzia³anie w razie nieobecnoSci obu opcji hosts polega na zezwoleniu na dostêp zewszystkich xróde³.Oprócz tego, jeSli umieScisz opcjê hosts deny w sekcji [global]pliku konfiguracyjnego, bêdzie ona mia³a pierwszeñstwo przed opcjami hosts denyzdefiniowanymi w udzia³ach.JeSli chcesz ograniczyæ hostom dostêp do konkretnychudzia³Ã³w, nie umieszczaj opcji hosts allow i hosts deny w sekcji [global].interfacesOpcja interfaces wymienia interfejsy sieciowe, które Samba bêdzie rozpoznawaæi przez które bêdzie odpowiadaæ.Opcja ta jest przydatna, jeSli twój komputer nale¿ydo wiêcej ni¿ jednej podsieci.JeSli opcja ta nie jest ustawiona, Samba w trakcie uru-chamiania wyszukuje podstawowy interfejs serwera (zwykle pierwsz¹ kartê Ether-netu) i konfiguruje siê do obs³ugi tej jednej podsieci.JeSli serwer dzia³a nie tylkow jednej podsieci, a ty nie podasz tej opcji, Samba bêdzie pracowaæ wy³¹czniew pierwszej wykrytej podsieci.Musisz pos³u¿yæ siê t¹ opcj¹, aby Samba obs³ugiwa³apozosta³e podsieci.WartoSci¹ tej opcji jest jedna lub wiêcej par adres IP-maska sieciowa, jak w poni¿-szym przyk³adzie:interfaces = 192.168.220.100/255.255.255.0 192.168.210.30/255.255.255.0Mo¿na tak¿e podaæ maskê bitow¹ w formacie CIDR, jak ni¿ej:interfaces = 192.168.220.100/24 192.168.210.30/24Maska bitowa to liczba pocz¹tkowych bitów, które zostan¹ w³¹czone w masce sie-ciowej.Na przyk³ad liczba 24 oznacza, ¿e aktywne bêd¹ pierwsze 24 bity (z 32), cojest równowa¿ne notacji 255.255.255.Podobnie, liczba 16 odpowiada masce255.255.0, a 8  255.JeSli u¿ywasz DHCP, opcja ta mo¿e dzia³aæ nieprawid³owo.bind interfaces onlyOpcja bind interfaces only sprawia, ¿e procesy smbd i nmbd obs³uguj¹ ¿¹daniapochodz¹ce tylko z tych podsieci, które s¹ wymienione w opcji interfaces.Zwy-kle proces nmbd jest powi¹zany z interfejsem wszystkich adresów (0.0) na por-tach 137 i 138, co pozwala mu na odbieranie rozg³oszeñ z dowolnego xród³a.Mo¿eszjednak to zmieniæ za pomoc¹ nastêpuj¹cej opcji:bind interfaces only = yesSpowoduje to, ¿e oba procesy Samby bêd¹ ignorowaæ wszystkie pakiety, których ad-res xród³owy nie odpowiada adresom rozg³oszeniowym okreSlonym w opcji in-terfaces, ³¹cznie z pakietami rozg³oszeniowymi.JeSli chodzi o proces smbd, opcjata sprawi, ¿e Samba nie bêdzie honorowaæ ¿¹dañ dostêpu do plików pochodz¹cychz podsieci innych ni¿ wymienione w opcji interfaces.Nie powinieneS u¿ywaæ tejopcji, jeSli chcesz zezwoliæ na tymczasowe po³¹czenia sieciowe, na przyk³ad tworzo- Serwery wirtualne 99ne za poSrednictwem SLIP lub PPP.Opcja ta jest potrzebna bardzo rzadko i powinnijej u¿ywaæ tylko eksperci.JeSli ustawisz opcjê bind interfaces only na yes, powinieneS dodaæ adres lokal-nego hosta (127.1) do listy interfaces.W przeciwnym wypadku program smb-passwd nie bêdzie móg³ po³¹czyæ siê z serwerem w celu zmiany has³a.socket addressOpcja socket address okreSla, pod którymi adresami podanymi w opcji inter-faces Samba bêdzie czekaæ na po³¹czenia.Samba domySlnie akceptuje po³¹czeniakierowane pod wszystkie podane adresy.JeSli u¿yjesz tej opcji w pliku smb.conf, wy-musi ona czekanie pod tylko jednym adresem IP.Na przyk³ad:interfaces = 192.168.220.100/24 192.168.210.30/24socket address = 192.168.210.30Opcja ta jest narzêdziem programistycznym, wiêc radzimy jej nie u¿ywaæ.Serwery wirtualneSerwery wirtualne tworz¹ iluzjê obecnoSci wielu serwerów NetBIOS-u w sieci, choæw rzeczywistoSci jest tylko jeden taki serwer.Uzyskanie takiego efektu nie jest trud-ne: komputer po prostu rejestruje wiêcej ni¿ jedn¹ NetBIOS-ow¹ nazwê w po³¹cze-niu ze swoim adresem IP.Metoda ta przynosi wymierne korzySci.Dzia³ ksiêgowoSci móg³by na przyk³ad dysponowaæ serwerem ksiegowosc, które-go klienci widzieliby tylko dyski i drukarki nale¿¹ce do dzia³u ksiêgowoSci.Dzia³marketingu móg³by mieæ w³asny serwer marketing, przechowuj¹cy sprawozda-nia tworzone w tym dziale  i tak dalej.Jednak¿e wszystkie us³ugi by³yby Swiadczo-ne przez uniksow¹ stacjê robocz¹ (z pomoc¹ jednego zrelaksowanego administrato-ra), zamiast przez kilka niewielkich serwerów obs³ugiwanych przez niezale¿nychadministratorów.Samba pozwala przypisaæ kilka nazw NetBIOS-owych uniksowemu serwerowi zapomoc¹ opcji netbios aliases (patrz tabela 4.6).Tabela 4.6 [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • czarkowski.pev.pl

    •