Chyba: Samba detected misconfigured 'server role' and exited.

Ve vaší konfiguraci a záznamech z logu je vidět několik problémů, které mohou způsobit chyby při spuštění služby Samba. Analyzuji logy a konfiguraci:

Problém z logů:

1. Chyba v server role:

   • Zpráva v logu:

     Samba detected misconfigured 'server role' and exited.
     

   • Popis: Služba Samba se pokouší běžet jako „Active Directory Domain Controller“ (server role = active directory domain controller) nebo jiný specifický režim, zatímco konfigurace neodpovídá požadovaným parametrům.

2. Spouštění nesprávného binárního souboru:

   • Zpráva v logu:

     At this time the 'samba' binary should only be used for either:
     'server role = active directory domain controller' ...
     

   • Popis: Při vaší konfiguraci byste měli spouštět konkrétní služby smbd, nmbd nebo winbindd, nikoliv binární soubor samba.

Problémy v konfiguraci:

1. server role je nesprávně nastaveno:

   • Máte nastaveno:

     server role = standalone server
     

   • To je správně, pokud chcete provozovat samostatný server, nikoli doménový kontrolér. Problém je pravděpodobně v tom, že se pokoušíte spustit nesprávnou službu (binární soubor samba místo smbd).

2. Nepoužíváte potřebné služby:

   • Pro běžný „standalone“ server je potřeba spustit smbd a nmbd. Spuštění samotného binárního souboru samba není podporováno pro tento typ serveru.

3. Chybí konfigurace sdílených složek:

   • Vaše konfigurace obsahuje sekci [printers] a [print$], ale chybí například běžné sdílené složky pro soubory. Pro testování doporučuji přidat jednoduchou sdílenou složku, například:

     [share]
     comment = Shared Folder
     path = /srv/samba/share
     browseable = yes
     guest ok = yes
     read only = no
     create mask = 0777
     

4. hosts allow není nastaveno:

   • Zajištění přístupu z LAN by mělo být v konfiguraci explicitně uvedeno:

     hosts allow = 192.168.1.0/24
     

Řešení:

1. Upravte způsob spouštění Samby:

   • Spusťte služby pomocí příkazů:

     sudo systemctl start smbd
     sudo systemctl start nmbd
     

   • Zajistěte, aby byly tyto služby povoleny při startu:

     sudo systemctl enable smbd
     sudo systemctl enable nmbd
     

2. Upravte konfiguraci:

   • Přidejte základní sdílenou složku pro testování, viz výše.
   • Přidejte omezení přístupu pomocí hosts allow.

3. Kontrola práv k souborům:

   • Zajistěte, že složky používané Sambou (např. /var/spool/samba nebo vaše vlastní sdílené složky) mají správná práva:

     sudo chmod -R 0777 /srv/samba/share
     sudo chown -R nobody:nogroup /srv/samba/share
     

4. Kontrola syntaxe konfigurace:

   • Otestujte konfiguraci příkazem:

     testparm
     

Pokud po těchto úpravách problém přetrvá, dejte vědět a podívejme se na další možnosti.

 

Samostatná role samby a základní princip konfigurace

Role "Standalone Server" v Sambě

V režimu Standalone Server Samba funguje jako samostatný server pro sdílení souborů a tisků bez integrace do Active Directory (AD) nebo doménového prostředí. Tento režim je vhodný pro menší sítě nebo jednoduché použití, kde není potřeba komplexní správa uživatelů a skupin přes doménové služby.

Charakteristika Standalone režimu:

1. Nezávislost:

   • Server nepoužívá ani nevyžaduje Active Directory nebo doménový řadič.
   • Nepodporuje centralizovanou správu uživatelů z domény.

2. Místní správa uživatelů:

   • Ověřování uživatelů probíhá výhradně na serveru pomocí místních uživatelských účtů definovaných v /etc/passwd nebo pomocí databáze Samba (např. smbpasswd).

3. Sdílení souborů a tiskáren:

   • Poskytuje přístup ke sdíleným složkám a tiskárnám.
   • Práva k těmto zdrojům se spravují lokálně.

4. Použití:

   • Malé pracovní skupiny nebo domácí sítě.
   • Žádné složité konfigurace ověřování nebo síťových pravidel.

---

Kolik rolí má Standalone Server?

Samba v režimu Standalone Server má ve skutečnosti jednu roli: poskytovat nezávislé sdílení souborů a tisků. Tento režim nemá žádné další "podrole", protože není propojen s jinými servery nebo systémy správy.

Shrnutí:

• Počet rolí: 1
• Role: Standalone server pro sdílení souborů a tisků.

* * *

V lokální síti (LAN) může být více Samba serverů, pokud to dává smysl pro konkrétní účel. Každý server může sloužit ke sdílení vlastních zdrojů (soubory, tiskárny) a zároveň přistupovat ke sdíleným zdrojům ostatních serverů. Klíčové je správně nakonfigurovat role a naslouchání tak, aby nedocházelo ke konfliktům.

1. Více Samba serverů v LAN

Každý Samba server může:

• Sdílet své vlastní adresáře a tiskárny.
• Naslouchat požadavkům klientů ve své síti.
• Přistupovat ke sdíleným zdrojům ostatních serverů v LAN (klientská role).

Například:

• Server A sdílí /home/shared_a a tiskárnu.
• Server B sdílí /data/shared_b a je konfigurován pro přístup k /home/shared_a na serveru A.

2. Klíčové kroky pro vzájemné sdílení a naslouchání

Aby všechny Samba servery v LAN mohly vzájemně spolupracovat, postupujte takto:

a) Unikátní názvy serverů

Každý server musí mít unikátní název:

[global]
   netbios name = ServerA   # Jméno serveru
   workgroup = WORKGROUP    # Název pracovní skupiny

b) Stejná pracovní skupina

Všechny Samba servery musí být ve stejné pracovní skupině:

[global]
   workgroup = WORKGROUP

c) Povolit přístup mezi servery

Zajistěte, že servery mají povolený přístup ke sdíleným zdrojům:

• Použití uživatelů a hesel pomocí smbpasswd.
• Povolit konkrétní IP adresy nebo podsítě:

[global]
   hosts allow = 192.168.1.0/24

d) Konfigurace sdílených zdrojů

Na každém serveru nakonfigurujte sdílené složky tak, aby k nim mohli přistupovat ostatní servery:

[shared_a]
   path = /home/shared_a
   read only = no
   guest ok = yes

e) DNS nebo WINS

Pokud jsou v síti více servery, použijte DNS nebo WINS pro jejich snadnou detekci:

[global]
   wins support = yes
   name resolve order = wins lmhosts bcast

3. Jak udělat vzájemné sdílení a naslouchání

• Sdílení: Každý server sdílí své zdroje pomocí smb.conf. Klienti včetně jiných Samba serverů mohou přistupovat ke sdíleným zdrojům.
• Naslouchání: Každý server naslouchá na svém IP nebo rozhraní. Ujistěte se, že porty Samby (137-139, 445) jsou otevřené.
• Vzájemný přístup: Každý server může být zároveň klientem. Připojte se pomocí:

  smbclient //ServerB/shared_b -U uživatel
  

4. Alternativní řešení: Centralizovaný přístup

Pokud nechcete spravovat více serverů, můžete:

• Použít jeden hlavní Samba server jako centrální bod.
• Ostatní servery fungují jako klienti, kteří připojují sdílené složky pomocí mount.cifs.

Shrnutí

Není omezení, že by v LAN měl být pouze jeden Samba server. Můžete mít více serverů, které vzájemně sdílejí zdroje a naslouchají požadavkům. Správná konfigurace jmen, oprávnění a síťového přístupu zajistí hladké fungování.

* * *

Ano, přesně tak. Řádek:

hosts allow = 192.168.1.0/24

určuje, že všechny počítače v síti 192.168.1.0/24 (což zahrnuje IP adresy od 192.168.1.1 do 192.168.1.254) mají povolený přístup k Samba serveru.

---

Detail vysvětlení:

• 192.168.1.0/24:

  • Toto je CIDR notace (Classless Inter-Domain Routing), která označuje podsíť. /24 znamená, že maska podsítě je 255.255.255.0, což zahrnuje všechny IP adresy v rozsahu 192.168.1.1 až 192.168.1.254.
  • 192.168.1.0 je adresa samotné sítě (není použitelná pro zařízení).
  • 192.168.1.255 je broadcast adresa.

• Příklad použití: Pokud máte počítače v této síti:

  • Server A: 192.168.1.100
  • Server B: 192.168.1.101
  • Klient C: 192.168.1.102

  Všechny budou mít přístup k Samba serveru, pokud splňují další podmínky (např. ověření uživatele).

---

Pokud chcete omezit přístup:

Můžete zadat konkrétní IP adresy nebo menší podsítě. Například:

• Povolit jen dva počítače:

  hosts allow = 192.168.1.100 192.168.1.101
  

• Povolit pouze jednu podsíť (např. 192.168.1.0 až 192.168.1.127):

  hosts allow = 192.168.1.0/25
  

---

Blokování ostatních:

Pokud nechcete povolit přístup ostatním, přidejte:

hosts deny = ALL

Tím explicitně zablokujete všechny, kteří nejsou v hosts allow.

---

Shrnutí:

Ano, hosts allow = 192.168.1.0/24 povoluje přístup všem počítačům v LAN se zmíněnou IP adresou. Pokud chcete přístup omezit, specifikujte menší podsítě nebo konkrétní IP adresy.

 

 

 

 

Samba a NTFS: Nastavení práv složek a souborů rekurzivně

 

Měníte-li vlastníka složky na systému Linux, když je souborový systém NTFS (např. při sdílení souborů mezi Windows a Linux), může to vyplývat z několika důvodů, ale vlastník složky na NTFS pod Windows XP se obvykle měnit nevyžaduje, pokud přistupujete k těmto souborům pouze z Windows.

Proč byste měli nebo nemuseli měnit vlastníka na NTFS v Linuxu:

1. Sdílení mezi systémy (Windows a Linux): Pokud máte NTFS oddíl, který chcete sdílet mezi Windows a Linux, a chcete, aby Linux mohl správně měnit soubory a složky, je někdy potřeba použít speciální oprávnění pro NTFS (pomocí ntfs-3g nebo připojení s parametry uid a gid).
   Pokud je souborový systém NTFS připojen v Linuxu a chcete, aby určitý uživatel nebo skupina (např. linlan v případě Samby) měla přístup k těmto souborům, potřebujete upravit přístupová práva k těmto souborům tak, aby Linuxový systém mohl provádět akce, které by normálně na NTFS nebyly možné.

2. Oprávnění a vlastník na NTFS: NTFS souborový systém používá systém oprávnění Windows, který je odlišný od Linuxového systému. Když připojíte NTFS oddíl do Linuxu, Linux nemá přímou podporu pro správu uživatelů a skupin, jak je to běžné u ext4 nebo jiných Linuxových souborových systémů. Při připojení NTFS disku, Linux často používá určitý uživatelský a skupinový ID (UID, GID), což je důvod, proč byste měli specifikovat, který uživatel a skupina by měli mít přístup k těmto souborům.

3. Proč měnit vlastníka v Linuxu: Pokud přistupujete k souborům z Linuxu a chcete je sdílet přes Sambu (nebo jiný sdílený souborový systém) mezi Linuxem a Windows, musíte nastavit vlastníka a oprávnění podle toho, jak chcete, aby byly soubory přístupné v rámci Linuxového systému. Tento proces by mohl být nutný, pokud chcete, aby určité skupiny uživatelů na Linuxu měly přístup k souborům na NTFS disku.

Co tedy ve vašem případě dělat:

Pokud chcete, aby soubory na NTFS disku byly přístupné ve Windows XP a zároveň i v Linuxu, pravděpodobně není potřeba měnit vlastníka složek na NTFS, pokud budete přistupovat k těmto souborům pouze v rámci Windows. Naopak, pokud potřebujete spravovat oprávnění pro přístup k těmto souborům v Linuxu, budete muset zajistit správné připojení NTFS a povolit přístup přes Samba, což může zahrnovat nastavení uid, gid nebo jiných oprávnění pro přístup k těmto souborům.

Pokud je váš cíl přístup k souborům ve Windows a Linuxu současně, nemusíte měnit vlastníka na NTFS složkách, ale je potřeba správně nastavit připojení NTFS a práva k souborům podle specifikací pro sdílení mezi těmito systémy (např. pomocí ntfs-3g a správného mountování).

* * *

Co to má znamenat ten chown?

sudo chown -R :linlan /cesta/k/sdilene/slozce

sudo chmod -R 770 /cesta/k/sdilene/slozce 

však ta složka je NTFS linux asi nemůže měnit vlastníka tomu NTFS.

* * *

Příkazy, které uvádíte, mají za úkol změnit vlastníka a práva k souborům ve složce. Vysvětlím je podrobněji:

1. sudo chown -R :linlan /cesta/k/sdilene/slozce
   Tento příkaz mění vlastnictví složky a všech jejích souborů (použití přepínače -R znamená rekurzivní změnu) na skupinu linlan (ne na uživatele, protože před dvojtečkou není žádný uživatel). To znamená, že všechny soubory a podadresáře v dané složce budou mít přiřazenou skupinu linlan.

2. sudo chmod -R 770 /cesta/k/sdilene/slozce
   Tento příkaz mění oprávnění pro složku a všechny soubory v ní. Oprávnění 770 znamená, že:

   • Vlastník a skupina mají plný přístup (čtení, zápis, spouštění),
   • Ostatní uživatelé nemají žádný přístup.

Problém s NTFS

Máte pravdu, že NTFS souborový systém je primárně určen pro Windows a jeho správa oprávnění a vlastnictví není tak jednoduchá jako u Linuxových souborových systémů (např. ext4). Když připojíte NTFS oddíl do Linuxu, Linux nemůže přímo měnit vlastníky nebo skupiny, protože NTFS nemá stejný mechanismus pro správu vlastnictví a oprávnění jako Linux.

Pokud tedy používáte NTFS pro sdílení složky a chcete změnit vlastnictví a oprávnění na Linuxu, budete mít omezené možnosti. Některé operace budou ignorovány nebo se mohou chovat jinak než na natívním Linuxovém souborovém systému.

Možné řešení:

1. Použít "mount options" pro NTFS:
   Můžete specifikovat parametry pro připojení NTFS v /etc/fstab nebo pomocí příkazu mount, které mohou povolit určité změny vlastnictví a oprávnění.

   Příklad pro fstab:

   UUID=<uuid> /mnt/ntfsdrive ntfs-3g defaults,umask=0002,uid=1000,gid=1000 0 0
   

   Tento příkaz umožní specifikovat, který uživatel (uid) a skupina (gid) mají být považováni za vlastníky při připojování NTFS disku.

2. Použití ntfs-3g
   Pokud používáte NTFS pro sdílení souborů mezi Windows a Linuxem, doporučuje se používat ntfs-3g, což je součástí balíčku, který umožňuje plné čtení a zápis na NTFS disky na Linuxu. Tento balíček může podporovat některé Linuxové operace na NTFS, včetně úpravy oprávnění pro soubory a složky, ale s určitými omezeními.

Pokud tedy chcete změnit oprávnění nebo vlastnictví na NTFS disku, doporučuji použít ntfs-3g a nastavit správné připojení.

 

 

 

Vytvoření skupiny, přidání uživatele do skupiny a konfigurace Samby

Vytvoření skupiny linlan a přidání uživatele do skupiny

$ sudo groupadd linlan
$ sudo usermod -aG linlan user

Přidat uživatele samby a nastavit mu heslo:

$ sudo smbpasswd -a user

Nejprve zadám heslo sudo a pak jsem vyzván k tomu, abych zadal heslo do Samby pro uživatele user. Potvrdím a pak ho zadám ještě jednou pro kontrolu.

Složce nastavíme práva

sudo chown -R :linlan /cesta/k/sdilene/slozce sudo chmod -R 770 /cesta/k/sdilene/slozce

Globální konfigurace samby

 [global]
bind interfaces only = yes
interfaces = lo enp14s0 192.168.1.101
workgroup = WORKGROUP
server role = standalone
log file = /var/log/samba/%m.log
max log size = 50

Tento blok konfigurace Samby obsahuje důležitá nastavení pro správu síťového připojení, síťové skupiny (workgroup) a protokolování (logování). Pojďme si ho podrobně rozebrat:

---

Rozbor konfigurace

[global]
bind interfaces only = yes
interfaces = lo enp14s0 192.168.1.101
workgroup = Workgroup
server role = standalone
log file = /var/log/samba/%m.log
max log size = 50

1. bind interfaces only = yes

• Určuje, že Samba bude naslouchat pouze na definovaných rozhraních v parametru interfaces.
• To je důležité pro bezpečnost, protože Samba nebude dostupná na všech rozhraních.

2. interfaces = lo enp14s0 192.168.1.101

• Specifikuje síťová rozhraní nebo IP adresy, na kterých má Samba naslouchat.
  • lo je loopback rozhraní (localhost, 127.0.0.1).
  • enp14s0 je síťové rozhraní vašeho zařízení.
  • 192.168.1.101 je IP adresa zařízení (notebooku), na které Samba naslouchá.
  Pokud přidáte špatné nebo neexistující rozhraní/adresu, Samba nebude správně fungovat.
• VM ale má lo ens33 192.168.200.128 proto samba na notebooku musí mít nastaveno:

[global]
bind interfaces only = yes
interfaces = ens33   # viz ifconfig -a
workgroup = workgroup  # Použijte malá písmena
server role = standalone
log file = /var/log/samba/%m.log
max log size = 50
 

3. workgroup = WORKGROUP

• Definuje síťovou pracovní skupinu, do které Samba patří.
• WORKGROUP je výchozí hodnota používaná ve Windows sítích. Všechna zařízení, která chtějí spolupracovat, musí mít stejnou hodnotu.

4. server role = standalone

• Určuje roli Samba serveru:
  • standalone: Server funguje samostatně, ne jako člen domény.
  • To je vhodné pro domácí sítě nebo malé kanceláře.

Llama k tomu píše

/etc/samba/smb.conf

Také místo @linlan by mělo být @linlan nahrazeno skupinou, která existuje na vašem systému, nebo můžete použít konkrétní uživatele.

Pokud chcete přistupovat do windowské sítě Workgroup, budete muset přidat sekci [global] do svého /etc/samba/smb.conf souboru a nastavit následující parametry:


[global]
  workgroup = WORKGROUP
  netbios name = jméno_vašeho_počítače
  security = user

Také budete muset přidat sekci [filmy] s parametry, které jste již uvedli:


[filmy]
  path = /home/user/mnt/filmy
  valid users = @linlan
  create mask = 0660
  directory mask = 0770

Po úpravě /etc/samba/smb.conf souboru nezapomeňte restartovat službu Samba, aby se změny projevily.

5. log file = /var/log/samba/%m.log

• Určuje umístění logů Samby. Proměnná %m se nahrazuje názvem klienta (např. jménem počítače, který se připojuje).
• Každý klient má tak svůj vlastní log soubor.

6. max log size = 50

• Určuje maximální velikost log souborů (v KB).
• Pokud log dosáhne této velikosti, Samba ho přestane rozšiřovat, aby nezabírala příliš mnoho prostoru.

---

Souvisí s nastavením sdílené složky?

Ano i ne:

• Souvisí:
  • Parametry bind interfaces a interfaces zajišťují, že Samba je dostupná pouze na konkrétních IP adresách/rozhraních. Pokud je špatně nastavíte, Samba nemusí být dostupná na očekávané síti.
  • Workgroup musí odpovídat skupině ostatních zařízení v síti (např. pokud Windows PC má WORKGROUP, musí ji mít i Samba).
• Nesouvisí přímo:
  • Parametry sdílení složek (např. path, valid users, read only) se nastavují v konkrétní sekci, jako je [sdilena_slozka].

---

Oprava a doporučení

1. Aktualizace interfaces: Pokud víte, že vaše síťová karta je enp14s0 a Samba má být dostupná na IP adrese 192.168.1.101, pak je nastavení správné.

2. Kontrola workgroup: Ujistěte se, že všechna zařízení (Windows i Linux) mají stejnou hodnotu workgroup.

3. Logování: Zkontrolujte logy Samby, pokud máte problémy s připojením:

   sudo tail -f /var/log/samba/*.log
   

Pokud něco nefunguje, dejte vědět! 😊

 

 

 

Masky v Sambě

V konfiguraci Samby se parametry create mask a directory mask používají k nastavení oprávnění pro nové soubory a adresáře, které jsou vytvořeny přes Sambové sdílení. Umožňují kontrolovat, kdo může číst, zapisovat nebo provádět soubory a jaká oprávnění budou mít nově vytvořené adresáře.

Co znamenají masky?

1. create mask:

   • Určuje oprávnění pro nové soubory vytvořené ve sdílené složce.
   • V Sambě jsou oprávnění nastavována v oktalovém formátu (stejně jako v Linuxu pomocí příkazu chmod).
   • Příklad:
     • Hodnota 0660 znamená:
       • Uživatel: čtení a zápis.
       • Skupina: čtení a zápis.
       • Ostatní: žádná oprávnění.

2. directory mask:

   • Určuje oprávnění pro nové adresáře vytvořené ve sdílené složce.
   • Adresáře obvykle potřebují mít povolené procházení (bit x), aby je uživatelé mohli otevřít.
   • Příklad:
     • Hodnota 0770 znamená:
       • Uživatel: čtení, zápis a procházení.
       • Skupina: čtení, zápis a procházení.
       • Ostatní: žádná oprávnění.

Sdílení složek v sambě

Každá sdílená složka v Sambě musí být uvedena pod vlastní sekcí v konfiguraci (např. [zálohy_01], [zálohy_02]) s individuálním nastavením, včetně parametru path. Samba neumožňuje specifikovat více adresářů pro sdílení v rámci jedné sekce.

Důvody:

1. Jednoznačné přiřazení nastavení: Každá sekce obsahuje individuální konfiguraci (jako oprávnění, masky, přístup uživatelů), která se vztahuje pouze na adresář uvedený v path.
2. Struktura konfigurace: Samba je navržena tak, aby jedno path odpovídalo jednomu sdílení. Pokus o uvedení více cest v rámci jedné sekce by byl ignorován nebo vedl k chybám.

Nakonfigurujte sdílenou složku v /etc/samba/smb.conf:

[sdilena_slozka]
path = /cesta/k/sdilene/slozce
valid users = @linlan
read only = no
create mask = 0660
directory mask = 0770

Restartujte službu Samba:

sudo systemctl restart smbd

Uživatel user se nyní může přihlásit na sdílenou složku pomocí svého Sambového hesla.

Bash script

Bash skript na nasdílení mnoha složek v kořenovém adresáři (třeba na Windows) by mohl mít na začátku volbu zda chci potvrzovat z výpisu kořebnového adresáře... takže např. po zavolání ./sambadirs.sh /media/filmy by vyskočila volba zda chci potvrzovat složky jedotlivě zda je zahrnout do seznamu nebo se přidají všechny do té cesty

#!/bin/bash

# Ověří, zda byl zadán vstupní adresář
if [ -z "$1" ]; then
  echo "Použití: $0 "
  exit 1
fi

# Zadaný kořenový adresář
ROOT_DIR=$1

# Výstupní soubor pro sdílenou konfiguraci
SAMBA_CONF="/tmp/samba_shares.conf"

# Volba potvrzování
read -p "Chcete potvrdit přidání jednotlivých složek? [y/n] " CONFIRM

# Inicializace výstupního souboru
echo "; Automaticky generovaná Samba konfigurace" > "$SAMBA_CONF"

# Prochází všechny podadresáře
for DIR in "$ROOT_DIR"/*; do
  if [ -d "$DIR" ]; then
    if [ "$CONFIRM" == "y" ]; then
      read -p "Přidat adresář $DIR? [y/n] " ADD
      if [ "$ADD" != "y" ]; then
        continue
      fi
    fi

    # Název sdílené složky (bez cesty)
    SHARE_NAME=$(basename "$DIR")

    # Přidá do konfigurace
    echo "[$SHARE_NAME]" >> "$SAMBA_CONF"
    echo "path = $DIR" >> "$SAMBA_CONF"
    echo "read only = no" >> "$SAMBA_CONF"
    echo "create mask = 0660" >> "$SAMBA_CONF"
    echo "directory mask = 0770" >> "$SAMBA_CONF"
    echo "valid users = @linlan" >> "$SAMBA_CONF"
    echo "" >> "$SAMBA_CONF"
  fi
done

# Výstup
echo "Konfigurace byla uložena do $SAMBA_CONF"
echo "Pro přidání do Samby zkopírujte obsah do /etc/samba/smb.conf"

Nastavení práv, spuštění a přidání do konfigurace samby

chmod +x sambadirs.sh

./sambadirs.sh /media/filmy 


sudo cat /tmp/samba_shares.conf >> /etc/samba/smb.conf 

sudo systemctl restart smbd

 

Linux: Co je to maskování služby (Samba - na sdílení souborů)

Maskování služby je termín používaný v systému systemd (což je init systém v Linuxu, který spravuje služby a jejich stav). Když je služba "maskována", znamená to, že je zcela zakázána a nemůže být spuštěna nebo povolena.

Co to znamená "maskování služby"?

Maskování služby znamená, že je službě zamezeno ve spuštění tím, že se odstraní nebo přepíše její spouštěcí soubor (unit file) v systému. To je prováděno vytvořením symbolického odkazu (symlink), který ukazuje na /dev/null, což znamená, že systemd se vůbec nesnaží službu spustit, a pokud by někdo tuto službu chtěl spustit, nebude to možné, protože soubor služby je neexistující nebo zcela ignorován.

Například pokud chcete službu maskovat, můžete použít následující příkaz:

sudo systemctl mask <název_služby>

Pokud se pokusíte spustit maskovanou službu, systemd vám oznámí, že služba je "masked" a nemůže být spuštěna.

Jak se to liší od zakázání služby?

• Zakázání služby (systemctl disable <název_služby>): Toto znamená, že služba nebude automaticky spuštěna při startu systému, ale může být stále spuštěna ručně uživatelem. Soubor služby není zničen nebo přesměrován na /dev/null, pouze se odstraní symbolický odkaz v adresáři pro spouštění služby.

• Maskování služby (systemctl mask <název_služby>): Tímto příkazem se služba zcela "vypne". Vytvoří se symbolický odkaz na /dev/null, což znamená, že služba nemůže být vůbec spuštěna, a to ani manuálně.

Proč se služba maskuje?

Maskování služby je užitečné, pokud chcete:

• Zabránit spuštění služby za jakýchkoli okolností. Například pokud služba způsobuje problémy a nechcete, aby byla nějakým způsobem znovu spuštěna.
• Zabezpečit systém tím, že zabráníte spuštění služby, kterou nechcete mít v provozu (například bezpečnostní důvody).

Příklad použití:

Pokud instalujete Samba na server a chcete, aby běžel pouze jako file server (a ne jako Active Directory Domain Controller), může být služba samba-ad-dc.service maskována, protože ji nebudete potřebovat a chcete, aby systém nezkoušel tuto službu spustit.

Příkaz pro maskování služby:

sudo systemctl mask samba-ad-dc.service

Příkaz pro zrušení maskování služby:

sudo systemctl unmask samba-ad-dc.service

Maskování je silnější než zakázání, protože to úplně blokuje možnost spuštění služby, dokud ji neodmaskujete.

Tak sambu jsem právě nainstaloval, ještě jsem ji nenakonfiguroval. Je to ten důvod proč je maskována? Zjisti informace o stavu po nainstalování samby.

Po instalaci Samba mohou být některé služby maskovány, pokud je určitá konfigurace nebo role služby zbytečná pro daný systém. To může být případ i pro službu samba-ad-dc.service, která je určena pro Active Directory Domain Controller (AD DC), ale pokud instalujete Samba pouze jako sdílení souborů, tato služba není potřeba a je proto automaticky maskována.

Proč je služba samba-ad-dc.service maskována?

• Role Samba: Pokud instalujete Samba jako standalone server (pro sdílení souborů, tiskáren apod.), není potřeba služba pro Active Directory Domain Controller. Tato služba je tedy maskována, protože ji nebudete potřebovat.
• Maskování služby je běžné, protože samba-ad-dc.service by nebyla spuštěná, dokud by se neprovedla konkrétní konfigurace pro Active Directory.

Zjištění stavu po instalaci samby

Pokud chcete zjistit, jaký je stav služeb po instalaci Samby, můžete použít následující příkazy:

1. Zkontrolujte stav Samba služeb:

sudo su

systemctl status samba 

systemctl status smbd

systemctl status nmbd

systemctl status samba-ad-dc.service

To je k ničemu. Provedu to takto:

root@Toshi:/home/user# systemctl unmask samba-ad-dc.service
Removed /etc/systemd/system/samba-ad-dc.service.

# systemctl enable samba-ad-dc.service
Synchronizing state of samba-ad-dc.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install enable samba-ad-dc
Created symlink /etc/systemd/system/multi-user.target.wants/samba-ad-dc.service → /lib/systemd/system/samba-ad-dc.service.

samba: Hlavní služba, pokud je nainstalována pro sdílení souborů.smbd: Služba pro sdílení souborů. 

nmbd: Služba pro práci s NetBIOS.

samba-ad-dc.service: Tato služba by měla být maskována, pokud Samba není nastavena jako Active Directory Domain Controller.

Zkontrolujte, zda je služba maskována:

To je nesmysl, když je maskována toto nebude fungovat:


sudo systemctl is-enabled samba-ad-dc.service

Další kroky po instalaci

Pokud jste ještě Samba nenakonfigurovali a používáte ji pro sdílení souborů, nemusíte se zabývat službou samba-ad-dc.service. Stačí se soustředit na smbd a nmbd, které jsou odpovědné za samotné sdílení souborů a připojení k síti.

Pokud chcete zrušit maskování služby samba-ad-dc (pokud byste se rozhodli pro konfiguraci AD), můžete použít příkaz:

sudo systemctl unmask samba-ad-dc.service

A následně povolit a spustit službu, pokud byste chtěli používat Samba jako Active Directory Domain Controller:

sudo systemctl enable samba-ad-dc.service

sudo systemctl start samba-ad-dc.service

Ale pokud používáte Samba pouze pro sdílení souborů, maskování této služby je normální a nemělo by to nijak ovlivnit vaše nastavení pro sdílení.

 

 

Konfigurace a spuštění Samby (sdílení na Linuxu) (/etc/samba/smb.conf)

Samba je na sdílení souborů na linuxu, mezi uživateli, skupinami. Je možné sdílet i tiskárny. Nejprve je třeba vytvořit uživatele samby, včetně hesla.

Samotné připojení by mohlo vypadat takto:

smbclient //192.168.220.128 -W workgroup -U pc%""

Nebo takto

smbclient //192.168.220.128 -W workgroup -U gamers%"heslo"

Nebo takto

smbclient //192.168.220.128 -W workgroup -U printers%"heslo"

Konfigurace (Chat GPT 4o)

[global]
workgroup = WORKGROUP
netbios name = user-vm
security = user

[shared]
path = /cesta/k/vasi/sdilene/slozce
available = yes
valid users = user
read only = no
browsable = yes
public = yes
writable = yes

Restart služby

sudo systemctl restart smbd

Uživatelé Samby

V systému Samba můžete spravovat uživatele a hesla nezávisle na běžných Linuxových uživatelích. Samba má vlastní databázi uživatelů a hesel, což znamená, že uživatelé nemusejí mít vytvořený účet na samotném Linuxovém systému. Toto umožňuje správcům Samby řídit přístup k síťovým zdrojům, jako jsou sdílené složky, a to pouze na úrovni Samby.

Jak přidat uživatele do Samby a nastavit jim hesla

1. Přidání uživatele do Samby: Nejprve je třeba přidat uživatele do systému Samba. I když uživatel nemusí mít účet v systému Linux, musí mít účet v Samba databázi.

   Přidání uživatele do databáze Samby se provádí pomocí příkazu smbpasswd.

   sudo smbpasswd -a uživatel
   

   Tento příkaz vás vyzve k zadání hesla pro uživatele Samby. Tímto způsobem můžete vytvořit nového uživatele Samby nebo přidat Samba účet pro existujícího Linuxového uživatele.
   

Aktualizace hesla uživatele: Pro změnu hesla pro uživatele Samby můžete použít příkaz smbpasswd bez příznaku -a.

sudo smbpasswd uživatel

Odebrání uživatele ze Samby: Pokud chcete uživatele z databáze Samby odstranit, můžete použít:

 sudo smbpasswd -x uživatel

 

Přístupová práva ke sdíleným složkám: V konfiguraci Samby (/etc/samba/smb.conf) můžete specifikovat, kteří uživatelé mají přístup k určitým sdíleným složkám.

Příklad konfigurace sdílené složky s přístupovými právy:

 [sdilena_slozka]
path = /cesta/k/sdilene/slozce
valid users = uživatel1 uživatel2
read only = no

V tomto příkladu mají k této sdílené složce přístup pouze uživatelé uživatel1 a uživatel2.

 

Přehled funkcí Samby a synchronizace hesel

1. Samba uživatelská databáze: Uživatelé Samby mohou existovat nezávisle na Linuxových uživatelích. Tento přístup umožňuje specificky řídit, kdo má přístup k Samba sdílením bez nutnosti vytváření systémových uživatelů.

2. Synchronizace hesel: Samba může synchronizovat hesla mezi Samba databází a systémovým heslem Linuxového uživatele. To je možné díky konfiguračním parametrům jako passwd program a passwd chat, které jste zmínil.

   • passwd program: Toto je cesta k programu, který se používá pro změnu hesel systémových uživatelů (obvykle /usr/bin/passwd).
   • passwd chat: Tento řetězec určuje dialog (chat) mezi Sambou a programem passwd, který se používá ke změně hesla. Samba používá tento parametr k automatizaci procesu změny hesla.

   Tento mechanismus je užitečný, pokud chcete, aby Samba uživatelé měli stejné heslo jako systémoví uživatelé. Pokud synchronizace není vyžadována, nemusíte tyto parametry měnit.

 

Pomůcky pro správu Samby

1. Příkazová řádka: Nástroje jako smbpasswd, pdbedit, smbclient jsou nejběžnějšími pomůckami pro správu uživatelů a sdílení v Sambě.

2. Grafické nástroje: Pro ty, kteří preferují grafické rozhraní, existují nástroje jako SWAT (Samba Web Administration Tool), který je však zastaralý a nemusí být ve všech distribucích dostupný. Alternativně můžete použít nástroje pro správu uživatelů a skupin v grafických prostředích, které mohou podporovat integraci se Sambou.

 

 Kroky pro vytvoření skupiny a přidání uživatelů

    Vytvoření nové skupiny na Linuxu:

    Chcete-li vytvořit novou skupinu, použijte příkaz groupadd. Tento krok je stejný, jako kdybyste vytvářeli skupinu pro běžné systémové účely.

sudo groupadd nazev_skupiny

Přidání uživatele do skupiny:

Pokud chcete přidat uživatele do této skupiny, použijte příkaz usermod s příznakem -aG, který přidá uživatele do existující skupiny, aniž by odstranil uživatele z jiných skupin.


sudo usermod -aG nazev_skupiny uzivatel

Tento uživatel bude nyní členem skupiny nazev_skupiny.

Vytvoření Samba uživatele:

Jakmile je uživatel členem Linuxové skupiny, můžete jej přidat jako uživatele Samby, jak bylo popsáno dříve.

sudo smbpasswd -a uzivatel

Konfigurace Samby pro použití skupin:

V konfiguračním souboru Samba (/etc/samba/smb.conf) můžete omezit přístup k sdílené složce na specifické skupiny.

Příklad:

[sdilena_slozka]
path = /cesta/k/sdilene/slozce
valid users = @nazev_skupiny
read only = no

Symbol @ před názvem skupiny znamená, že přístup k této složce budou mít všichni členové skupiny nazev_skupiny.