425 - Samba

Embed Size (px)

Text of 425 - Samba

1

425 Construindo Solues Samba com Implementaes Reais

2

Contedo do Curso

Samba: Viso geral e Histria Grupos de Trabalho x Domnios Conceitos, Arquitetura e Design Configurao do Samba Samba em Grupos de Trabalho Servidores PDCs, BDCs e Domain Members Configurao de um servidor PDC Manipulao de Usurios e Grupos ACLs PDC com Autenticao Centralizada Winbind

3

Histria

NetBIOS

Endereamento de estaes por nome Co-Desenvolvido pela IBM e Sytec Interface entre programas e hardware de rede Redirecionamento de I/O adicionado pela Microsoft e criao do SMB (CIFS) Posteriormente foi adicionado o servio de anncio (Browsing) e de autorizao e autenticao central

4

Histria

NetBIOS, SMB, Samba e Unix

Criado por Andrew Tridgell Compartilhar arquivos sobre NetBIOS para DOS Usado posteriormente para conectar uma mquina Windows com seu servidor

5

Funcionamento

Implementa 4 servios CIFS

Compartilhamento e Impresso Autenticao e Autorizao Resoluo de Nomes Anncio de Servios (Browsing) Smbd Nmbd

Daemons Distintos

6

Funcionamento

SMBD

Autorizao e Autenticao Compartilhamentos Acesso aos compartilhamentos Portas: 139 e 445 (TCP)

139: SMB sobre NetBIOS sobre TCP 445: SMB sobre TCP (sem encapsulamento)

7

Funcionamento

NMBD

Resoluo de Nomes

Broadcast Ponto-a-ponto

Browsing Portas: 137 e 138 (UDP)

137: Browsing, replicao de informaes de diretrio, netlogon, relaes de confiana, canal de comunicao seguro (WinNT Secure Channel) 138: Comunicao de datagramas NetBIOS

8

Funcionamento

Resoluo de Nomes

Broadcast

Mecanismo Original Envio de solicitaes para a rede Scooby, aonde est voc?

Ponto-a-Ponto

Estaes se registram com um servidor NBNS (NetBIOS Name Service) Registro de Nome Endereo

9

Funcionamento

Browsing

Eleio de um LMB (Local Master Browser) LMB mantm uma lista de servios oferecidos Alm de LMBs, podem existir DMBs (Domain Master Browsers) DMBs coordenam LMBs em redes e domnios diferentes Configurado manualmente Mantm lista de servios

WINS

10

FuncionamentoNetBIOS

Modos de Funcionamento

b-node (tipo 0x01): Apenas broadcast NetBIOS atravs de UDP p-node (tipo 0x02): Apenas Unicast NetBIOS (Ponto-a-Ponto) direcionado a um WINS m-node (tipo 0x04): Broadcast + Wins h-node (tipo 0x05): Wins + Broadcast

Padro: b-node

11

FuncionamentoNetBIOS

Nomes NetBIOS

16 caracteres, 16 bytes

15 caracteres ASCII 1 caractere como sufixo NetBIOS (MS)

Eleies LMB

Maior OS Level Opo Preferred Master Uptime (tempo online) Nome NetBIOS (ordem alfabtica)

12

Funcionamento

13

FuncionamentoGrupos de Trabalho

Autenticao Descentralizada Estaes contm listas prprias de autenticao e autorizao Configurao simples Difcil manuteno em redes maiores Servidor centralizado de autenticao e autorizao

Domnios

14

InstalaoCompilao dos fontes

Flexibilidade ltimas verses Maior dificuldade de administrao Guia para compilao:

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/compiling.html

Instalao atravs dos pacotes fornecidos

15

InstalaoInstalar os pacotes do Samba: # apt-get install samba smbclient

O samba dever ser iniciado automaticamente. Verificar se os servios esto rodando: # /etc/init.d/samba status

16

InstalaoTambm pode-se verificar o funcionamento atravs da existncia dos processos smbd e nmbd # ps -Af|grep -E '(smbd|nmbd)'

17

InstalaoPara parar os daemons: /etc/init.d/samba stop Para iniciar os daemons: /etc/init.d/samba start Para reiniciar os daemons: /etc/init.d/samba restart

18

InstalaoArquivos principais

/etc/samba/smb.conf: Arquivo de configurao principal /var/lib/samba/*.tdb: Bases de armazenamento de dados do Samba

O samba armazena os dados em bases .tdb, o Trivial Database, que aceitam mltiplas escritas simultaneamente

19

Arquivos TDBPersistentes

account_policy: polticas de de contas group_mapping: mapeamentos entre SID->grupos UNIX ntdrivers: informaes de drivers de impressoras instalados ntforms: informaes de forms de impressoras instalados ntprinters: configuraes de impressoras instaladas passdb: armazena informaes de contas SambaSAMAccount registry: esqueleto somente leitura de registro Windows secrets: armazena SIDs (identificadores), senha do LDAP e dados sensveis e crticos para o funcionamento do Samba. share_info: Armazena ACLs de compartilhamentos winbindd_idmap: base de mapementos de endereo do Winbind

20

Arquivos TDBTemporrios

brlock: Informaes de byte-range locking de arquivos connections: Cache de informaes de conexes em uso para gerenciamento de nmero de conexes eventlog/*tdb: Cache de logs de sistema gencache: Cache de servidores WINS no-funcionais e dados de domnio login_cache: Cache de informaes de login e tentativas incorretas de senha messages: Armazena temporariamente mensagens sendo processadas pelo smdb netsamlogon_cache: Cache de estruturas de dados de logon perfmon/*.tdb: Informaes do contador de performance printing/*.tdb: Cache das filas de impresso schannel_store: Informaes criptogrficas de credenciais de sesses ativas sessionid: Dados genricos de sesso unexpected: Armazena pacotes recebidos que no so para os daemons do Samba) winbindd_cache: Cache de informaes de identidade recebidas pelo Winbind

21

Arquivos TDBGerenciamento

Pacote tdb-tools

tdbbackup Backup das bases .tdb tdbdump

Mostra o contedo de um .tdb tdbtool

Permite a edio de bases, verificao de integridade e realizao de testes

22

Arquivos TDBEfetuar backup

tdbbackup [nome do arquivo] # tdbbackup /var/lib/samba/passdb.tdb

Verificar base e restaurar se corrompida

tdbbackup -v [nome do arquivo] # tdbbackup /var/lib/samba/passdb.tdb

23

Arquivos TDBVisualizar contedo de um TDB (dump)

tdbdump [nome do arquivo] # tdbdump /var/lib/samba/passdb.tdb

24

Visualizando PacotesPode-se visualizar o trfego NetBIOS capturando-se o trfego UDP: # tcpdump -nvvi eth0 udp and not port 53

25

ExerccioFaa uma captura dos pacotes do Samba, reiniciando os servios

26

Configuraosmb.conf

Arquivo de configurao principal Dividido em sees (stanzas) Sees representam compartilhamentos ou meta-servios Pode ser editado manualmente ou atravs de ferramentas como o SWAT Sintaxe anloga aos arquivos .ini do Windows

27

Configuraosmb.conf

[Global]: Definies de todo o servidor Meta servios

[Homes]: Fornece um diretrio pessoal para cada usurio [Printers]: Fornece filas de impresso [IPC$]: Utilizado para Browsing e estabelecimento de conexes TCP/IP Acessados atravs de: \\nome\compartilhamento

[Compartilhamento]

28

Configuraosmb.conf

[global] workgroup = GRUPO netbios name = MAQUINA [compartilhamento] path = /tmp

29

Configuraosmb.conf

Tipos de Servidor

Controlador de Domnio

Primary Domain Controller (PDC) Backup Domain Controller (BDC) Active Directory Server Domain Controller AD Domain Server NT4 Domain Server

Membro de Domnio

Servidor Standalone

30

Configuraosmb.conf

Modos de Segurana

Negociado no estabelecimento da sesso

Servidor informa modos suportados Cliente seleciona o modo User Share Domain ADS (variao de User) (variao de User) (padro)

Implementaes Disponveis

31

smb.conf Modos de Segurana

Configurao

security = user

Cliente envia usurio e senha Servidor verifica credenciais e nome da mquina cliente Cliente monta compartilhamentos sem enviar novamente usurio e senha No feita nova autenticao para acessar recursos

32

smb.conf Modos de Segurana

Configurao

security = share

Cliente se autentica a cada solicitao (montagem de compartilhamento) Cliente envia a senha Usurio no explicitamente informado O servidor verifica a senha recebida contra cada usurio definido no compartilhamento Atualmente deprecated

33

smb.conf Modos de Segurana

Configurao

security = domain

Baseado em segurana a nvel de usurio Fornece autenticao centralizada Servidor possui uma relao de confiana Samba participar de um domnio como:

PDC Primary Domain Controller BDC Backup Domain Controller DMS Domain Member Server

necessrio ingressar no domnio

34

smb.conf Modos de Segurana

Configurao

security = ADS

Baseado em segurana a nvel de usurio Permite que o Samba ingresse em domnios Active Directory rodando em modo nativo. Necessria a utilizao de Kerberos

35

smb.conf Modos de Segurana

Configurao

security = server

Baseado em segurana a nvel de usurio Samba tenta efetuar log in no password server com as credenciais recebidas Altamente recomendado no utilizar este modo

Possibilidade de lockout de senha No h garantia quanto ao password server Causa conexes persistentes

36

Configuraosmb.conf

Outras diretivas:

workgroup: Nome do grupo de trabalho ou domnio netbios name: Nome NetBIOS do servidor security: Altera como os clientes se conectam ao servidor domain master: Configura o smbd para agir como master browser preferred master: Faz com que o nmbd force eleies para master browser domain logons: Configura o Samba para fornecer servios de netlogon, agindo como um controlador de domnio

37