GNU/Linux >> Znalost Linux >  >> Panels >> Webmin

Sdílení souborů Samba Windows

Sdílení souborů Samba Windows vysvětluje protokol SMB (často označovaný jako CIFS – Common Internet File System), prostřednictvím kterého systémy Windows sdílejí soubory, a vysvětluje, jak nastavit Samba program, který zpřístupní soubory na vašem unixovém serveru klientům Windows.

K dispozici je úvod do Samby.

Modul Samba Windows File Sharing

Sdílení souborů Samba Windows umožňuje určit adresáře a tiskárny, které mají být sdíleny s klienty Windows pomocí protokolu SMB (Server Message Blocks). Lze jej nalézt v kategorii Servery a po kliknutí na jeho odkaz se zobrazí hlavní stránka, jak je znázorněno na obrázku níže. Jsou uvedeny všechny existující sdílené položky spolu s jejich cestami a uživateli, kterým jsou k dispozici. Pod nimi jsou ikony pro nastavení různých globálních možností, které platí pro všechny sdílené složky, odkazy pro správu uživatelů Samby a tlačítko pro spuštění nebo opětovné spuštění serverových procesů.

V průběhu let Samba získala širokou škálu konfigurovatelných možností. Tento modul však neumožňuje konfigurovat všechny, pouze ty, které jsou užitečné pro malý server v jednoduché síti. Nelze například upravovat nastavení týkající se přihlašovacích skriptů, NT domén a SSL. Pokud je však přidáte do souboru smb.conf ručně, modul je nezmění.

Stejně jako všechny ostatní moduly, které konfigurují nějaký server, i tento lze použít pouze v případě, že je server Samba skutečně nainstalován. Pokud jej modul nemůže najít, zobrazí se chybová zpráva jako Spustitelný soubor serveru Samba /usr/sbin/smbd nebyl nalezen se místo toho objeví na hlavní stránce. Pokud máte Sambu nainstalovanou, ale na jiném místě, než modul očekává, přečtěte si Konfigurace sdílení souborů Samba Windows modul dále v této kapitole, kde najdete pokyny, jak jej překonfigurovat, aby používal správné cesty. V opačném případě jej budete muset nainstalovat.

Většina distribucí Linuxu a několik dalších operačních systémů obsahuje balíček nebo balíčky Samba, které lze snadno nainstalovat pomocí modulu Softwarové balíčky (popsané v kapitole 12). Pokud ne, budete si muset stáhnout zdrojový kód z www.samba.org a poté jej zkompilovat a nainstalovat ručně. Modul očekává, že použijete balíček, pokud je k dispozici, nebo zdrojový kód jinak, takže pokud jste to neudělali a na hlavní stránce se stále zobrazuje chybová zpráva, bude nutné upravit konfiguraci modulu, aby používal správné cesty.

Bez ohledu na to, jak je Samba nainstalována, její výchozí konfigurační soubor bude obsahovat alespoň dvě sdílené složky (speciální domácnosti a tiskárny) a také několik globálních nastavení. To znamená, že i když jste tento modul nikdy předtím nepoužili nebo jste Sambu nekonfigurovali ručně, seznam na hlavní stránce nebude prázdný. Pokud jste přidávali sdílené položky přímou úpravou konfiguračního souboru, pak se samozřejmě zobrazí také.

Pokud Webmin zjistí, že Samba již běží, zobrazí se tlačítko označené Restartovat servery Samba se zobrazí v dolní části stránky. Předvídatelně kliknutí na něj zabije všechny běžící serverové procesy a znovu je spustí, což vynutí opětovné načtení aktuální konfigurace. To je však obvykle zbytečné, protože Samba znovu načte konfigurační soubory, jakmile zjistí, že byly změněny.

Pokud modul zjistí, že oba procesy serveru Samba neběží, zobrazí Spustit servery místo toho tlačítka, která po kliknutí spustí smbd i nmbd. Nekontroluje se žádný soubor PID, aby se zjistilo, zda běží nebo ne – místo toho modul hledá běžící procesy s těmito názvy.

Sdílení souborů Samba Windows

Správa uživatelů Samba

Jak již bylo zmíněno v úvodu, protokol SMB používá formát šifrování hesla, který je nekompatibilní se standardním unixovým formátem. Kdysi to nebyl problém, protože staré verze Windows (95 a starší) odesílaly hesla na servery SMB nešifrovaná. To umožnilo Sambě zašifrovat a ověřit je podle seznamu unixových hesel, stejně jako to dělají servery FTP nebo telnet. Nedávná vydání systému Windows bohužel odesílají hesla pouze v novém šifrovaném formátu NTLM, pokud se nezmění konkrétní neznámý klíč registru. To znamená, že Samba musí udržovat samostatný seznam hesel pro ověřování moderních klientů.

Pokud k vašemu serveru nebudou přistupovat pouze starší hostitelé Windows nebo systémy Linux, budete muset povolit tento samostatný seznam šifrovaných hesel. Postup:

  1. Na hlavní stránce modulu klikněte na Authentication ikona.
  2. V zobrazeném formuláři změňte Použít šifrovaná hesla? pole na Ano .
  3. Klikněte na Uložit v dolní části formuláře pro návrat k aktivaci nového nastavení a návrat na hlavní stránku modulu. Pokud se dříve nezobrazila, zobrazí se Šifrovaná hesla nyní by měla být viditelná sekce obsahující tři odkazy.

Nyní, když je povolen samostatný seznam hesel Samby, budete do něj muset přidat některé ze svých stávajících uživatelů Unixu. To lze snadno provést pomocí Webminu podle následujících kroků:

  1. Na hlavní stránce modulu Samba klikněte na odkaz *Převést uživatele Unixu na uživatele Samby* v části Zašifrovaná hesla sekce pro vyvolání konverzního formuláře.
  2. Nepřevádějte ani neodstraňujte tyto uživatele pole uvádí uživatele, kteří budou vyloučeni z převodu, a ve výchozím nastavení obsahuje všechny systémové účty. Možná budete chtít přidat další – nicméně není na škodu převést účty, které nebudou nikdy použity.
  3. Pokud jste již dříve použili tento formulář, můžete zaškrtnout možnost *Aktualizovat stávající uživatele Samby z jejich podrobností o Unixu*, aby se stávající uživatelé Samby aktualizovali tak, aby odpovídali odpovídajícím uživatelům Unixu.
  4. Podobně lze zaškrtnout políčko *Odstranit uživatele Samby, kteří v Unixu neexistují*, aby byli smazáni uživatelé Samby, kteří již nemají příslušného uživatele Unixu.
  5. Pro nově vytvořené uživatele nastavte heslo na pole určuje heslo, které bude přiřazeno, protože neexistuje způsob, jak převést stávající hesla uživatelů. Nejlepší volbou je *Account locked*, která zabrání použití převedených uživatelů, dokud nebude heslo nastaveno později. Můžete také zvolit Bez hesla ponechat nové účty bez hesla (z hlediska zabezpečení je to špatný nápad), nebo Použít toto heslo pro zadání hesla pro všechny převedené uživatele.
  6. Klikněte na Převést uživatele tlačítko pro zahájení procesu. Zobrazí se stránka se seznamem každého uživatele převedeného, ​​přeskočeného nebo aktualizovaného.

Po konverzi budete pravděpodobně muset nastavit hesla pro nové uživatele Samby. Toto je třeba provést jeden po druhém podle následujících pokynů pro každého uživatele:

  1. Na hlavní stránce modulu klikněte na odkaz *Upravit uživatele a hesla Samba*, aby se zobrazil seznam stávajících uživatelů.
  2. Klikněte na jméno uživatele, jehož heslo chcete nastavit.
  3. V části Heslo vyberte pole Nové heslo a vyplňte textové pole vedle ní. Můžete také zvolit Žádný přístup pro zablokování všech přihlášení k Sambě tímto uživatelem Žádné heslo povolit přihlášení bez hesla nebo Aktuálního hesla ponechat heslo beze změny.
  4. Žádné z ostatních polí ve formuláři by se nemělo měnit – stačí kliknout na tlačítko Uložit tlačítko pro návrat do seznamu uživatelů.
  5. Nyní byste měli být schopni se přihlásit k serveru Samba jako tento uživatel se zvoleným heslem a přistupovat k souborům v některé sdílené složce. Za předpokladu, že speciální domy sdílená složka existuje, každý uživatel bude mít přístup ke sdílené složce se stejným názvem, jako je jeho uživatelské jméno.

Protože konverze a nastavení hesla pro každého nového uživatele je únavné plýtvání úsilím, můžete modul nakonfigurovat tak, aby automaticky vytvořil uživatele Samby pro každého uživatele Unixu vytvořeného ve Webminu. Je také možné nechat uživatele Samby přejmenovat, smazat nebo změnit jejich hesla při změně jejich odpovídajícího uživatelského účtu Unix v modulu Uživatelé a skupiny. Postup nastavení této synchronizace:

  1. Na hlavní stránce modulu Samba klikněte na odkaz *Konfigurovat automatickou synchronizaci uživatelů Unix a Samba* v části *Zašifrovaná hesla*.
  2. Ve formuláři synchronizace zaškrtněte políčko *Přidat uživatele Samby, když je přidán uživatel Unix*, aby byl vytvořen uživatel Samba se správným UID a heslem pro každého nového uživatele Unixu.
  3. Chcete-li při změně uživatele Unixu přejmenovat příslušného uživatele Samby nebo změnit jeho heslo, zaškrtněte políčko *Změnit uživatele Samby při změně uživatele Unixu*.
  4. Chcete-li, aby Webmin odstranil odpovídajícího uživatele Samby při odstranění uživatele Unixu, zaškrtněte políčko *Odstranit uživatele Samby, když je odstraněn uživatel Unixu*.
  5. Klikněte na tlačítko Použít tlačítko pro uložení nastavení. Jakékoli akce provedené v modulu Uživatelé a skupiny (když jsou použity možnosti *v jiných modulech*) změní také seznam uživatelů Samby.
Poznámka: Bohužel se tato synchronizace týká pouze modulů Uživatelé a skupiny, Změna hesel a Uživatelé a skupiny clusteru ve Webminu. Pokud přidáte uživatele pomocí adduser shell nebo změňte heslo pomocí passwd shell, nebude přidán ani aktualizován žádný uživatel Samby
.

Přidání nového sdíleného souboru

Ve své obvyklé výchozí konfiguraci Samba umožní každému uživateli Unixu přihlásit se a přistupovat k souborům v jejich domovském adresáři. Speciální domy share poskytuje tuto funkci, což je v mnoha případech vše, co uživatelé potřebují k ukládání vlastních souborů na server. Často je však užitečné sdílet adresář, ke kterému má přístup každý, takže mohou být zpřístupněny dokumenty, které zajímají celou organizaci. Sdílení, jako je toto, lze nastavit tak, aby umožňovalo přístup hosta (to znamená, že pro přístup k němu není vyžadováno žádné přihlášení), nebo aby vyžadovalo platné přihlášení k serveru.

Chcete-li vytvořit sdílenou složku, postupujte takto:

  1. Nejprve se rozhodněte pro adresář, který chcete sdílet, a vytvořte jej, pokud ještě neexistuje. Musí mít příslušná unixová oprávnění, aby do něj uživatelé mohli číst a/nebo zapisovat.
  2. Na hlavní stránce modulu klikněte na Vytvořit nový sdílený soubor odkaz nad nebo pod tabulkou. Tím přejdete na formulář pro vytvoření sdílení zobrazený na snímku obrazovky níže.
  3. V části Název sdílení do pole, ujistěte se, že je vybráno první tlačítko, a do textového pole zadejte jedinečný alfanumerický název pro sdílení, například dokumenty . Pokud zadáte jméno uživatele Unixu, jeho automatické sdílení domovského adresáře bude přepsáno.
  4. V Adresáři ke sdílení zadejte nebo vyberte pomocí malého tlačítka úplnou cestu k adresáři zvolenému v kroku 1
  5. Chcete-li toto sdílení zakázat, aby jej nebylo možné používat, změňte Dostupné? pole na Ne . To může být užitečné, pokud jej chcete přepnout do režimu offline, dokud nebudou všechny možnosti správně nastaveny.
  6. Chcete-li tuto sdílenou složku skrýt ze seznamu sdílených složek, který se zobrazí při procházení serveru, změňte nastavení Lze procházet? pole na Ne . Stále však bude přímo přístupný pomocí cesty \\název_serveru\název sdílené položky.
  7. V Sdílet komentář zadejte krátký popis tohoto sdíleného souboru, například Firemní dokumenty .
  8. Klikněte na tlačítko Vytvořit tlačítko pro přidání do konfigurace Samba. Váš prohlížeč se vrátí na hlavní stránku modulu, na které bude uvedena nová sdílená položka.
  9. Kliknutím na nový název sdílené položky zobrazíte stránku pro úpravy.
  10. Klikněte na Zabezpečení a řízení přístupu ikonu pro zobrazení formuláře zabezpečení sdílené položky.
  11. Pokud mají být soubory v této sdílené složce pouze pro čtení, nastavte možnost Zapisovatelné? pole na Ne - v opačném případě se ujistěte, že Ano je vybráno.
  12. Přístup pro hosty? určuje, zda mají klienti povolen přístup k této sdílené položce bez přihlášení k serveru. Dostupné možnosti jsou :Žádné Přístup bude udělen pouze ověřeným uživatelům. Ano Ke sdílené složce bude mít přístup kdokoli, ale neověření klienti budou považováni za hosty. Klienti, kteří se přihlásili, budou mít svá běžná přístupová práva k souborům. Pouze pro hosty Se všemi klienty, ověřenými i neautentizovanými, bude zacházeno jako s hosty.
  13. Chcete-li nastavit uživatele Unixu, za kterého hosté čtou a zapisují soubory, změňte Unix hosta pole. Obvykle by se mělo jednat o účet s přístupem pouze pro čtení.
  14. Klikněte na tlačítko Uložit tlačítko ve spodní části formuláře. Sdílená složka je nyní připravena pro klienty k použití a měla by se zobrazit při procházení serveru.
Vytvořit sdílení souborů

Sdílený soubor lze po vytvoření upravit kliknutím na jeho název v seznamu na hlavní stránce modulu, čímž vyvoláte jeho editační formulář, změníte podrobnosti, jako je cesta nebo popis, a kliknete na Uložit knoflík. Nebo jej lze zcela smazat kliknutím na Smazat na stejném formuláři. Další parametry můžete upravit také kliknutím na ikony v dolní části stránky úprav – další části této kapitoly podrobněji vysvětlují, co dělají.

Sdílení domácnosti lze také upravovat, i když obvykle nemá cestu (nebo pokud ano, bude obsahovat speciální kód %U, který je nahrazen domovským adresářem připojujícího se uživatele).

Upravit sdílení souborů

Přidání nové sdílené tiskárny

Výchozí konfigurace Samby obvykle obsahuje speciální tiskárny share, což znamená, že všechny tiskárny ve vašem systému jsou dostupné pro klienty SMB. Místo toho však lze explicitně sdílet konkrétní tiskárnu. To může být lepší než jejich automatické sdílení, protože to umožňuje nastavit různé možnosti pro každou tiskárnu nebo některé ze sdílení úplně vyloučit.

Než bude tisk a procházení tiskáren v Sambě správně fungovat, musí být nakonfigurován pro použití správného tiskového systému pro váš unixový box. Viz Konfigurace tiskáren v části dále v kapitole, kde najdete podrobnosti o tom, jak toto nastavit. Pokud je nastaveno nesprávně, server použije nesprávné příkazy pro výpis tiskáren a odesílání úloh, což může způsobit, že automaticky generovaný seznam tiskáren bude prázdný nebo selžou požadavky na tisk.

Chcete-li zpřístupnit tiskárnu klientům SMB, postupujte takto:

  1. Na hlavní stránce modulu klikněte na odkaz *Vytvořit novou sdílenou tiskárnu* nad nebo pod tabulkou. Tím přejdete na níže zobrazený formulář pro vytvoření sdíleného tisku.
  2. V části Název sdílení Ujistěte se, že je vybráno první tlačítko, a do textového pole zadejte jedinečný alfanumerický název sdílené položky, například hplaser . To by mělo být stejné jako název unixové tiskárny, kterou vyberete v dalším kroku, aby nedošlo k záměně. Pokud již existuje automaticky vytvořená sdílená tiskárna se stejným názvem, tato nová ji přepíše.
  3. Z tiskárny Unix vyberte tiskárnu, kterou chcete zpřístupnit klientům SMB. Tento seznam je převzat z modulu Správa tiskárny (popsaného v kapitole 22). Pokud je Výchozí je vybrána, použije se výchozí tiskárna tiskového systému.
  4. Chcete-li tuto tiskárnu zakázat, aby ji nebylo možné používat, změňte možnost Dostupná? pole na Ne .
  5. Chcete-li skrýt tuto tiskárnu ze seznamu, který se zobrazí při procházení serveru, změňte nastavení Procházet? pole na Ne . Stále však bude přímo přístupný pomocí cesty \\název_serveru\název tiskárny.
  6. V adresáři Spool do pole můžete zadat název adresáře, ve kterém jsou uloženy dočasné soubory pro tisk. Nechte pole prázdné, chcete-li použít výchozí nastavení Samby, které obvykle funguje dobře.
  7. V Sdílet komentář zadejte krátký popis této tiskárny, například Office HP Laserjet 5 .
  8. Klikněte na tlačítko Vytvořit tlačítko pro přidání sdílení do konfigurace Samba. Váš prohlížeč se vrátí na hlavní stránku modulu, která nyní bude obsahovat novou tiskárnu v tabulce.
  9. Kliknutím na nový název sdílené položky zobrazíte stránku pro úpravy.
  10. Klikněte na Zabezpečení a řízení přístupu ikonu pro zobrazení formuláře zabezpečení sdílené položky.
  11. Přístup pro hosty? určuje, zda klienti mohou tisknout na této tiskárně bez přihlášení k serveru. Dostupné možnosti jsou :Žádné Přístup bude udělen pouze ověřeným uživatelům. Ano Ke sdílené složce bude mít přístup kdokoli, ale neověření klienti budou považováni za hosty. Klientům, kteří se přihlásili, se budou tiskové úlohy odesílat pod jejich přihlašovacími jmény. Pouze pro hosty Se všemi klienty, ověřenými i neautentizovanými, bude zacházeno jako s hosty.
  12. Chcete-li nastavit uživatele Unixu, za kterého hosté odesílají tiskové úlohy, změňte Hostujícího uživatele unixu pole. Na tom příliš nezáleží, pokud váš systém tiskárny není nakonfigurován tak, aby blokoval určité uživatele.
  13. Klikněte na tlačítko Uložit tlačítko v dolní části formuláře pro návrat na stránku úprav tiskárny.
  14. Klikněte na Možnosti tiskárny ikona.
  15. Pokud tuto tiskárnu mají používat klienti Windows a nemá nainstalovaný unixový ovladač, zadejte její kompletní značku a model do Ovladač tiskárny pole. Ten se musí přesně shodovat s názvem, který systém Windows označuje jako tiskárnu, aby klienti věděli, který ovladač mají nainstalovat. Pokud Žádné Pokud je vybrána, uživatelé přidávající tuto tiskárnu do svých systémů Windows budou požádáni, aby místo toho vybrali model tiskárny ze seznamu. Pokud je tiskárna Unix vybraná v kroku 3 již nastavena s ovladačem, musí klienti odesílat úlohy ve formátu Postscript namísto nativního datového formátu, který tiskárna používá (protože ovladač provede převod). V tomto případě můžete zadat název tiskárny, která nativně používá Postscript, například Apple LaserJet II .
  16. Nakonec klikněte na tlačítko Uložit tlačítko na tomto formuláři. Sdílená tiskárna je nyní připravena k použití klienty Windows.
Vytvořit sdílení souborů

Stejně jako u sdílení souborů lze tiskárny upravovat a mazat kliknutím na jejich názvy v tabulce na hlavní stránce modulu. Speciální tiskárny sdílení lze také upravit – mnoho možností však nemá smysl pro to nastavovat, například Unixová tiskárna nebo Ovladač tiskárny .

Zobrazení a odpojení klientů

Každý klient, který přistupuje ke sdílenému souboru nebo tiskárně ve vašem systému, má připojení k serveru Samba a tato připojení lze zobrazit pomocí tohoto modulu. Klienti mohou také zamykat soubory, které mají otevřené pro úpravy, což brání ostatním v jejich otevření. Jedním z úkolů serveru je údržba těchto zámků, které jsou spojeny s relacemi a které můžete také zobrazit. Pokud klient havaruje, aniž by se řádně odpojil, všechny zámky, které drží, zůstanou, dokud nevyprší časový limit připojení TCP, což může chvíli trvat. Z tohoto důvodu modul umožňuje ukončit klientské relace a tím uvolnit jejich zámky.

Chcete-li zobrazit a odstranit klientské relace, postupujte takto :

  1. Na hlavní stránce modulu klikněte na Zobrazit všechna připojení odkaz nad nebo pod tabulkou sdílení zobrazíte seznam všech připojení k serveru. Případně můžete kliknout na tiskárnu nebo sdílenou složku a poté na Zobrazit připojení na stránce úprav zobrazíte seznam pouze připojení k této konkrétní sdílené složce.
  2. V obou případech bude zobrazená stránka obsahovat seznam aktuálně používaných sdílených složek a pro každou z nich bude uvedeno jméno připojeného uživatele, hostitel, ze kterého se připojili, čas připojení a všechny uzamčené soubory. V levém sloupci je ID dílčího procesu serveru Samba, který zpracovává toto připojení. Obecně platí, že více připojení ze stejného klientského systému k různým sdíleným položkám bude zpracováno jedním procesem.
  3. Chcete-li proces ukončit a přerušit tak všechna spojení, která zpracovává, klikněte na jeho ID procesu v prvním sloupci. Všechny zámky držené klientem budou uvolněny, čímž se uvolní soubory pro použití ostatními. Měli byste zrušit pouze připojení klientů, kteří skutečně havarovali - ukončení relace pro aktivního klienta může způsobit poškození všech souborů, které má otevřené. Obecně je však bezpečné ukončit připojení ke klientovi Windows bez otevřených souborů, protože je klient okamžitě a transparentně znovu naváže při příštím otevření souboru na sdílené složce.

Úprava možností zabezpečení sdílení

Jakmile vytvoříte tiskárnu nebo sdílenou složku, můžete upravit různé možnosti související se zabezpečením, které určují, kdo k ní má přístup a ze kterých hostitelů se mohou připojit. To může být užitečné, pokud některé sdílené složky obsahují soubory, ke kterým by měli mít přístup pouze určití lidé, nebo pokud váš server Samba používají klienti pouze ve vaší interní síti.

Chcete-li upravit možnosti zabezpečení sdílení, postupujte takto:

  1. Na hlavní stránce modulu kliknutím na název sdílené složky v tabulce vyvolejte její editační formulář a poté na ikonu *Zabezpečení a řízení přístupu*.
  2. Jak je vysvětleno v Přidání nového sdíleného souboru sekce Writable? a Přístup jako host? pole určují, zda lze do sdílené složky zapisovat a zda je nutné ověření. Hostující uživatel Unixu pole nastavuje uživatele, že soubory jsou čteny a zapisovány jako hostující klienti. Pokud chcete, změňte je znovu zde.
  3. Chcete-li povolit přístup k této sdílené složce pouze určitým hostitelům, vyberte druhý přepínač v části Hostitelé povolit a do sousedního textového pole zadejte seznam názvů hostitelů a IP adres. Částečné adresy IP jako 192.168.1. nebo síťové adresy jako 192.168.1.0/255.255.255.0 lze použít k povolení celé sítě. Pokud je váš systém klientem NIS, můžete zadat název síťové skupiny, kterému předchází @_ (jako _@servers ), abyste povolili všem členům skupiny. Pokud Vše Pokud je vybráno, bude všem hostitelům udělen přístup, pokud nevyplníte další pole. Bez ohledu na to, co zadáte, připojení z místního hostitele (127.0.0.1) jsou vždy povolena, pokud to není výslovně uvedeno v poli *Hostitelé k odmítnutí*.
  4. Chcete-li konkrétním hostitelům zablokovat přístup k této sdílené složce, vyplňte pole Hostitelé k odmítnutí pole s podobným seznamem názvů hostitelů, IP adres, sítí nebo síťových skupin. Pokud jsou obě pole vyplněna, Povolit hostitele má přednost. Pokud Žádné je vybráno, budou povoleni všichni hostitelé.
  5. Chcete-li povolit přístup k této sdílené složce pouze některým uživatelům, vyplňte pole Platní uživatelé pole se seznamem uživatelských jmen oddělených mezerou. Můžete také vyplnit Platné skupiny pole se seznamem skupin, jejichž primárním a sekundárním členům bude udělen přístup. Všichni uživatelé budou povoleni pouze v případě, že jsou oba seznamy prázdné.
  6. Chcete-li odmítnout konkrétní uživatele a členy skupin, vyplňte pole Neplatní uživatelé a Neplatné skupiny pole. Pokud se uživatel objeví v platných i neplatných seznamech, bude mu odepřen přístup.
  7. Chcete-li omezit některé uživatele na přístup pouze pro čtení pro tuto sdílenou položku, zadejte seznam uživatelských jmen do pole Uživatelé pouze pro čtení pole. Můžete také zadat seznam unixových skupin do Skupiny pouze pro čtení omezit své primární členy. Všichni ostatní budou mít plný přístup pro čtení/zápis za předpokladu, že sdílená složka je skutečně zapisovatelná a že Čtení/zápis pole nebyla vyplněna.
  8. Chcete-li udělit oprávnění zapisovat do sdílené složky pouze určitým uživatelům a všem ostatním omezit přístup pouze pro čtení, zadejte seznam uživatelských jmen do pole Uživatelé pro čtení/zápis pole. Jako obvykle Skupiny pro čtení/zápis pole lze použít k zadání seznamu skupin, jejichž primární členové budou mít také povolen zápis. Přirozeně, normální unixová oprávnění k souborům, která mohou bránit zápisu do souborů nebo adresářů, stále platí pro všechny uživatele. Pokud se uživatel objeví v obou Pouze pro čtení a Čtení/zápis seznamů, bude mu dovoleno psát. Pole v tomto a předchozím kroku nemají žádný vliv na sdílení tiskáren. Místo toho budou moci tisknout všichni povolení uživatelé.
  9. Po dokončení úprav možností zabezpečení souboru klikněte na tlačítko Uložit tlačítko v dolní části stránky pro aktivaci nových nastavení.

Kromě nastavení možností zabezpečení pro jednu sdílenou složku můžete nastavit výchozí hodnoty pro všechny sdílené složky, které se použijí, pokud nebudou přepsány u jednotlivých sdílených složek. Chcete-li to provést, klikněte na Výchozí nastavení sdílení souborů ikonu na hlavní stránce modulu místo názvu sdílené položky a poté na Zabezpečení a řízení přístupu . Některá nastavení, jako jsou seznamy hostitelů, které chcete povolit nebo zakázat, by měla být nastavena globálně, protože pravděpodobně chcete omezit přístup k celému serveru pouze na důvěryhodnou síť. Viz Úprava výchozích nastavení sdílení Další informace o tom, jak fungují výchozí nastavení, naleznete dále v této kapitole.

Upravit sdílení zabezpečení

Úprava nastavení oprávnění k souboru

Sdílení souborů má několik nastavení souvisejících s oprávněními Unix a vlastnictvím souborů v nich, které lze nastavit globálně nebo na základě sdílení. Protože klienti Windows a protokol SMB nemají žádnou koncepci oprávnění, je užitečné mít způsob, jak nastavit výchozí hodnoty pro nové soubory a adresáře na základě sdílení. Postup:

  1. Na hlavní stránce modulu klikněte na název sdílené složky, pro kterou chcete nastavit oprávnění, a poté na Oprávnění k souboru ikonu na stránce úprav.
  2. V novém režimu souborů Unix zadejte osmičková oprávnění (jak používá příkaz chmod), která by měla být přiřazena nově vytvořeným souborům. Například režim 600 by umožnilo čtení a psaní vlastníkem, ale zcela odepřelo přístup komukoli jinému.
  3. V režimu nového adresáře Unix zadejte osmičková oprávnění pro nově vytvořené adresáře. Například 755 by umožnilo výpis a čtení všem, ale pouze vlastníkovi by umožnilo vytvářet soubory v adresáři.
  4. Chcete-li, aby se některé adresáře klientům SMB vždy jevily prázdné, zadejte čárkami oddělený seznam úplných cest do pole *Adresáře neuvádět*. Můžete například zadat /proc,/dev skrýt obsah těchto dvou adresářů, které jsou obecně pro klienty Windows k ničemu.
  5. Chcete-li přinutit všechny klienty k přístupu k souborům jako konkrétní uživatel Unixu (místo uživatele, pod kterým se přihlásili), vyplňte pole *Vynutit uživatele Unixu*. To může být velmi užitečné pro sdílení, ve kterém si různí lidé vzájemně upravují dokumenty, protože se tím vyhnete problémům s oprávněním Unix, které mohou nastat, pokud soubory skutečně vlastní jejich tvůrci. Ve výchozím nastavení bude primární skupinou zadaného uživatele skupina, ze které se přistupuje k souborům. Chcete-li to změnit, vyplňte Skupinu Force Unix pole také.
  6. Protože klienti Windows SMB nemají žádnou podporu pro unixové symbolické odkazy, Samba vždy přečte nebo zapíše odkazovaný soubor, když se klient pokusí číst nebo zapisovat odkaz. Bohužel to představuje potenciální bezpečnostní riziko, protože by mohl být vytvořen symbolický odkaz, který ukazuje na běžně nepřístupný soubor mimo sdílený adresář. Chcete-li tomu zabránit, změňte pole *Povolit symbolické odkazy mimo sdílení?* na Ne .
  7. Na souborových systémech Unix mohou být soubory, které jsou uživateli pouze pro čtení, stále odstraněny, pokud je do adresáře možné zapisovat. To však není případ normálních souborových systémů Windows, a proto tomu Samba brání. Chcete-li to změnit a nechat použít sémantiku souborového systému Unix, změňte pole *Může smazat soubory pouze pro čtení?* na Ano .
  8. Klikněte na tlačítko Uložit tlačítko v dolní části stránky pro aktivaci nových možností zabezpečení souborů.

Jako Výchozí nastavení sdílení část vysvětluje podrobněji, můžete upravit nastavení oprávnění k souborům pro všechny sdílené složky kliknutím na Výchozí nastavení sdílení souborů na hlavní stránce a poté Oprávnění k souboru . Tyto budou platit, pokud nebudou pro akcii přepsány výše uvedenými pokyny.

Upravit oprávnění souboru

Úprava možností pojmenování souborů

Samba má několik možností, které řídí, jak se unixové názvy souborů převádějí na názvy vhodné pro systémy Windows. V dnešní době již většina z nich není potřeba, protože Windows verze 95 a vyšší byly schopny správně podporovat dlouhé názvy souborů. Pouze Windows 3.1 a DOS zůstaly u starého formátu 8.3 souborů a už se téměř nepoužívají.

Chcete-li upravit možnosti pojmenování sdílené složky, které jsou relevantní pro moderní klienty, postupujte takto :

  1. Klikněte na název sdílené složky na hlavní stránce modulu a poté na Pojmenování souborů ikona.
  2. Když se zobrazí Rozlišovat malá a velká písmena? pole je nastaveno na Ne , server bude při otevírání souborů požadovaných klienty ignorovat malá a velká písmena. Toto je způsob, jakým fungují souborové systémy Windows, a proto je toto výchozí chování také pro Sambu. Nicméně spotřebovává více času CPU a IO šířky pásma kvůli nutnosti skenovat adresáře, protože všechny unixové souborové systémy rozlišují velká a malá písmena. Z tohoto důvodu možná budete chtít vybrat Ano místo toho, pokud jsou všichni vaši klienti systémy Linux, které očekávají normální použití pravidla pro případ Unixu.
  3. Za normálních okolností Samba vytvoří soubory s přesnými velikostmi písmen určenými klienty. Chcete-li to změnit a vynutit si místo toho použití velkých nebo malých písmen, změňte Zachovat malá a velká písmena? pole na Ne a vyberte jednu z možností v Výchozí případ? pole. To může být užitečné, pokud klienti Windows vytvářejí mnoho souborů s velkými písmeny, když dáváte přednost běžnému unixovému standardu malých písmen.
  4. Na souborových systémech Windows má každý soubor skrytý atribut, který určuje, zda je normálně viditelný pro programy nebo ne. Na unixových systémech žádný takový atribut neexistuje – místo toho jsou soubory, jejichž názvy začínají tečkou, skryty pomocí ls a dalších příkazů. Z tohoto důvodu Samba nastavuje atribut skrytý u souborů s tečkami, když se zobrazí otázka Skrýt soubory s tečkami? pole je nastaveno na Ano , jak je ve výchozím nastavení. Alternativou je použít jako skrytý příznak bit světového spuštění unixových souborů, protože jinak Samba oprávnění ke spuštění nepoužívá. Chcete-li toto chování povolit, změňte Uložit skrytý příznak DOS? pole na Ano . Protože to zkazí oprávnění pro unixové programy pro přístup k souborům ve sdílené složce, mělo by se používat pouze v případě, že ke sdílenému adresáři přistupují pouze klienti SMB.
  5. Soubory Windows mají dva další atributy – příznak archivace, který označuje, že soubor byl zazálohován, a systémový příznak, který označuje normálně nedotknutelný systémový soubor. Samba může být nakonfigurována tak, aby ukládala tyto atributy do uživatelsky spouštěných a skupinově spouštěných bitů souborů, pokud Uložit příznak archivu DOS? a Uložit příznak systému DOS? pole jsou nastavena na Ano resp. Pokud vaši klienti Windows tyto informace nepotřebují nebo pokud zjistíte, že oprávnění ke spustitelným souborům a skriptům Unixu jsou zmatená, nastavte obě na Ne namísto.
  6. Chcete-li aktivovat nové nastavení pojmenování souborů, klikněte na Uložit tlačítko v dolní části stránky.

Tyto možnosti lze opět nastavit pro všechny sdílené složky kliknutím na Výchozí nastavení sdílení souborů ikona na hlavní stránce, po níž následuje *Pojmenování souborů*.

Upravit pojmenování souborů

Úprava dalších možností sdílení souborů

Existuje několik dalších možností sdílení souborů souvisejících se zamykáním a automatickým spouštěním příkazů, které můžete nastavit také pomocí tohoto modulu. Ty, které se používají pro zamykání, řídí chování Samby, když se klient Windows pokusí zamknout soubor, aby získal výhradní přístup, aby mohl ukládat data do mezipaměti v souboru, aniž by musel při každém čtení nebo zápisu kontaktovat server. By default, locking is fully enabled and implemented in exactly the same way as it is on Windows servers, so there is generally no need to change these settings.

Samba can also be configured to run shell commands when a client connects or disconnects, either as root or as the connecting Unix user. This can be useful if you want to move newly added files to some other directory or perform some kind of processing on them.

To edit the module's other file sharing options, follow these steps :

  1. Click on the name of the share to edit on the main page, and then on the Miscellaneous Options icon on the share editing page that appears.
  2. If this share is exclusively for read-only use (for example if you are sharing some kind of read-only media like a CD), then the Fake oplocks? field can be safely changed to Yes to boost performance. This tells Samba to simply grant all lock requests by clients and not to bother actually keeping track of who has locked what, which can boost performance. None of the other locking fields should be touched unless you really know what you are doing, as the defaults will work fine and any other settings may lead to data corruption if multiple clients try to access the same files.
  3. To limit the number of clients that can be connected to this share at any one time, select the second radio button in the Max connections field and enter a number into the adjacent text box. This can be useful if you want to limit the load on your system. If Unlimited is selected, no maximum will be placed on the number of concurrent connections.
  4. The fields Command to run on connect and *Command to run on disconnect* allow you to enter shell commands that will be run by Samba as the authenticated user at connection and disconnection time. They will always be run in the share directory, and special % codes like %U for the connecting user or %S for the server name can be used in the command.
  5. Similarly, the Command to run on connect as root and *Command to run on disconnect as root* fields can be used to enter shell commands that will always be run as the Unix root user. However, they will be run in root's home directory instead.
  6. Klikněte na tlačítko Uložit button to activate the new locking and command settings.

One thing to remember about locking and Samba is that locks taken out by SMB clients will not generally effect or be detectable by Unix programs or NFS clients. This means that data corruption can still happen if Unix and Windows programs open the same file, or if the same NFS exported directory is shared by two different Samba servers.

Samba - Miscelleanous File Defaults

Editing printer share options

Once a printer share has been created, there are several options that you can set for it. Most of them relate to the commands that Samba will run to print a new job, list the queue or cancel a job. By default, appropriate commands for the print system in use (explained in the Configuring printers section) will be used - however, there are times that you will want to specify additional parameters or even use a completely different command.

To edit printer options for a share, follow these instructions :

  1. On the module's main page, click on the name in the table of the printer share that you want to edit. On the form that appears, hit the Printer Options icon at the bottom of the page.
  2. To prevent clients using up all the disk space in the printer's spool directory with large jobs, change the *Minimum free space* field. You must enter a number of kilobytes that will always be left free on the filesystem.
  3. To change the command that Samba will run to print a submitted file, edit the Print command pole. The special codes %f (for the temporary file to print) and %p (for the printer name) can and should be used in the command, so that you can enter for example something like lpr -P%p %f ; rm %f . Your command must always delete the temporary file (as the example does), as the server will not do this for you. All the usual shell meta-characters like ;, &and> can be used, which allows you to enter quite complex series of commands. Whatever command you enter will always be run as the Unix user connected to the printer share.
  4. To edit the command that Samba uses to list jobs waiting to be printed on some printer, select the second radio button in the Display queue command field and fill in its text box. Whatever you enter must produce output in the format generated by the standard BSD lpr command so that Samba can parse. If the special code %p appears in the command, it will be replaced with the name of the printer.
  5. Similarly, you can change the commands that Samba runs to delete, pause and un-pause a print job by editing the *Delete job command*, Pause job command and Unresume job command fields respectively. All can and should use the codes %p for the printer name, and %j for the job ID. For most print systems, there are no defaults for the pause and un-pause commands as those features are not supported. Generally you will not need to change these fields.
  6. As the Adding a new printer share section explains, the Printer driver field can be used to enter the model of the attached printer (as recognized by Windows) so that clients can automatically select the right driver.
  7. When you are done with this page, hit the Save button to update the Samba configuration file and thus activate the new settings.

You can also edit these settings for all shares by clicking on the Printer Share Defaults icon on the module's main page and then on Printer Options . In fact, all of the command options make much more sense to edit globally as the same commands are likely to be needed for all printers.

Editing share defaults

As the previous few sections in this chapter have mentioned, the Samba configuration allows you to define defaults that apply to all shares unless specifically overridden. This can be done by clicking on either the File Share Defaults or Printer Share Defaults icon on the main page, editing the contents of the form that appears and hitting Save . However, most of the options in this form are not particularly useful to set globally, except maybe Available? and Browseable? .

More usefully, you can click on one of the icons on the defaults page and change settings that will apply to all file or printer shares. In the case of the Security and Access Control icon (which appears on both pages), and global defaults that you set will apply to both file and printer shares, as Samba does not differentiate between them.

Any option that is set globally will appear as the default on per-share forms. For example, if you fill in the Delete job command field under Printer Options on the Printer Share Defaults page and then went to the same page for a specific printer, the same value would appear. Even though the command does not actually appear in the configuration file for the printer, Webmin still displays it because as the default it will be used. Of course, if you enter a different command for the share, it will override the global setting and thus be used and display instead. This behavior may be a little confusing, as it is not the way that other Webmin modules usually work.

Configuring networking

This module can be used to set various Samba options that control how the entire server appears to and behaves for Windows clients. You can change the workgroup (under which the system is listed in the network neighborhood display), the server's name and any aliases, and the description that appears next to the name. Options related to the file sharing protocol and authentication method used can also be edited, in order to support old clients.

Windows Networking options

It is even possible to set up your system as a WINS server or client, a protocol that some Windows clients use to find IP addresses for SMB server names if DNS is not available. The biggest difference between WINS and DNS is that clients can register their own names and IP addresses with a WINS server, rather than having it done by an administrator. It is most useful on small file-sharing networks that do not have a DNS server.

To edit these windows networking options, the instructions to follow are :

  1. On the module's main page, click on the Windows Networking icon in the Global Configuration section to bring up the form shown in the screenshot below.
  2. To set a workgroup for your server, select the second radio button in the Workgroup field and enter a short name into the text box next to it. If your network already has a few SMB servers that are members of a workgroup, this server should be made a member too.
  3. If your network already has a WINS protocol server, select Use server in the WINS mode field and enter its IP address. If not, you should choose Be WINS server so that Windows clients can use your system to lookup IP addresses for SMB server names. More recent versions of Windows (and Linux clients) do not need to use WINS, as they can look up server names in the DNS - assuming your network has a DNS server that has entries for all your hosts.
  4. To set a description for your system, fill in the Server description field with something like Corporate file server .
  5. Normally, Samba will use the first part of your system's DNS name as the SMB server name. To change this, enter something else in the Server name pole. Clients will be able to refer to this server by whatever name you specify.
  6. To define alternate names that clients can use to refer to your server, fill in the Server aliases field with a space-separate list of names.
  7. If you want your system to be the master browser for a network (the server that maintains lists of other SMB servers and clients on the network, as seen in Window's network neighborhood), change the Master browser? field to Yes . If you are running multiple Samba servers on the same subnet, this option should be set for only one. If there are other Windows or Samba servers on the network that want to be master browsers, the one with the highest operating system level will win the 'election' that decides who gets the job. You can increase your system's change of winning by increasing the Master browser priority field - the default of 20 will win against Windows 95 systems, but you would need to enter 65 to beat Windows NT servers.
  8. To have your Samba server contact another SMB server to validate passwords instead of checking its own user list, select *Password server* from the Security menu and enter the other server's hostname or IP address in the Password server pole. Otherwise, leave the field set to Default or User level . Share level security is rarely used anymore with modern clients, and Domain security is too advanced to cover in this chapter.
  9. Normally, an SMB server broadcasts information about itself to other servers on the network so that it can be included in browse lists. However, if your network spans multiple subnets then broadcasts from one system may not reach others. To get around this problem, the Remote announce to table can be used to specify the addresses of browser master servers to which this server's IP address and workgroup should be sent. To configure remote announcements on this page, first select the From list option above the table. Then in the IP address field of each row enter the hostname or IP address of a server to announce to, and in the As workgroup field the name of the workgroup that your server should appear under. If the second field is left empty, the servers real workgroup (set in step 2) will be used. To enter more than two remote servers you will need to save and re-open this page so that more empty rows appear in the table.
  10. Nakonec klikněte na tlačítko Uložit button to activate the new networking settings.
Unix Networking options

Samba also has numerous global options related to networking that control such things as the IP address to listen on, whether to send keep-alive packets and how long clients can be idle for before they are disconnected. These can be used to tune your server's performance, or limit access to only clients on a local network. To edit them, follow these steps :

  1. Click on the Unix Networking icon on the module's main page.
  2. To have Samba disconnect clients that have been inactive for too long and do not have any files open, select the second radio button in the Idle time before disconnect field and enter a number of minutes into the adjacent text box. If Never is selected instead, clients will never be automatically cut off. Because Samba starts one server sub-process per client, this feature is useful for cutting down the amount of memory that they use up. And Windows clients will automatically re-connect if disconnected, so there is no down side to using it.
  3. To have Samba send packets to detect if clients have crashed without properly disconnect, select the Send every option in the Keepalive packets field and enter the number of seconds (such as 60) that a packet should be sent. Because clients can hold locks on files, a dead client may end up locking a file that other people need access to, even though it is clearly not using it. The same thing can be achieved by selecting the SO_KEEPALIVE checkbox in the Socket options pole. This tells the operating system kernel to do basically the same thing, and so should be used in preference. The only problem is that you cannot specify the keep-alive packet interval.
  4. To restrict Samba to listening for connections on a single one of your system's IP addresses, fill in the Listen on address pole. On a machine with one interface connected to an internal network and one connected to the Internet, this feature can be used to prevent outsiders connecting to your Samba server.
  5. Klikněte na tlačítko Uložit button at the bottom of the page to activate the new network settings.

As you will see when you look at the actual form, there are many more fields on it than those documented above. However, the rest have extremely specialized uses and thus do not need to be touched by the average administrator.

Configuring authentication

Authentication

The SMB protocol allows users to change their passwords for a server from a client system. For a Samba server, this causes the encrypted passwords file to be updated, assuming one is in use (as is usually the case). You can also configure the server to change the user's Unix password as well, which makes sense if they are being kept synchronized.

Another authentication-related feature supported by Webmin is username mapping. This allows you to map fake client login names to real Unix usernames, and can be useful if users prefer to use their full names to login (like Jamie Cameron instead of jcameron ) or if you have a client that is regularly moved between two different networks, each of which has different SMB accounts.

To set these global authentication options using this module, the steps to follow are :

  1. On the module's main page, click on the Authentication ikona.
  2. As explained in the Managing Samba users section, the *Use encrypted passwords?* field determines if Samba uses its own separate password file or the standard Unix user database. Because all recent versions of Windows use a password encryption format that is incompatible with the Unix format, this field should generally be set to Yes .
  3. To allow logins by users who have no password set, select Yes for the Allow null passwords? pole.
  4. The Password program field sets the program that Samba will use to change a user's Unix password if synchronization is enabled. If Default is selected /bin/passwd will be used, which is correct for most Unix systems. You can enter a different command by selecting the second radio button and fill in the text box with something like _/usr/bin/yppasswd %u_. The %u code is replaced with the name of the user whose password is being changed, and is required because the command is run as root.
  5. To have same change a user's Unix password when his SMB password is changed over the network, set the *Change Unix password as well?* field to Yes . Synchronization in the other direction is unaffected though - see the Managing Samba users section for more details on how that works.
  6. To define 'fake' SMB accounts, select Listed below in the Username mapping pole. In the table below it, each row specifies a mapping - the first field must contain a valid Unix username, and the second an SMB login name of your choice. Clients logging in with one of these made-up account names must of course provide the correct password for the associated Unix user.
  7. Klikněte na tlačítko Uložit button at the bottom of the page to activate your new authentication settings.

Configuring printers

If you are sharing printers from your server, you will probably need to adjust the global printing options. These determine the print system commands that Samba will use to submit, list and delete jobs, the file it gets the list of printers from, and other related settings. To edit them, the steps to follow are :

  1. Click on the Windows To Unix Printing icon on the module's main page to bring up the printer options form.
  2. From the Unix print style menu select the type of print system in use on your box. Unfortunately, practically every different flavor of Unix has its own set of programs and configuration files for handling printers and print drivers, each of which must be treated differently by Samba. The options that you may want to select from are :
    • BSD The traditional Unix print software, found on FreeBSD, NetBSD and older Linux distributions.
    • SYSV The print system used on Solaris, UnixWare and a few other versions of Unix.
    • HPUX The print system shipped with HP/UX.
    • AIX The print software that comes with AIX, IBM's version of Unix.
    • CUPS The superior Common Unix Print System, which is included with many new Linux distributions.
    • LPRNG An improved version of the old BSD print system, used on all Linux systems that do not run CUPS. Most packages of Samba will have this option set correctly in the default configuration file. The PrinterAdministration page explains in more detail what the differences between the various print systems are, and how to select the right one for your operating system.
  3. Normally, Samba will find all the printers on your system and make them visible to clients when the special printers share exists. To disable this, change the Show all printers? pole na Ne namísto. The printers will still be accessible using an explicit \\_servername_\_printername_ path though.
  4. When the Printcap file field is set to Default , Samba will get the list of printers available on your system from the standard /etc/printcap file. This is fine if you want them to all show up, but sometimes you want to hide some printers from users. To do this, create a fake printers file that looks {| border="1" |- like :printer1||Description for printer 1:printer2||Description |} of second printer:And set this field to the path to this file. Only the printers listed in it will be available automatically when a printers share exists.
  5. Samba caches the output from whatever command is used to list waiting print jobs (such as lpq) in order to reduce the frequency with which it is run. By default this cache time is 10 seconds, but you can increase or decrease it using the *Printer status cache time* field. If your lpq command is very slow you may want to increase it.
  6. Klikněte na tlačítko Uložit button to activate your new printing settings.


Řízení přístupu k modulu

As WebminUsers explains, once a Webmin user has been granted access to a module he can be further restricted to only a subset of its functions. For the Samba module, you can allow a user to edit only certain types of settings in certain shares while denying him the ability to create new shares or edit global options. This can be useful if you want to let someone edit the settings that apply to the sharing of only his own directory, while protecting the rest of the Samba server's configuration.

I would advise against granting even limited access to this module to un-trusted users though, as it has many features that could be used by a malicious to gain root access to your system. For example, someone could allow guest access to a share with root permissions, allowing the remote modification of any file. Or they could set the command run as root at client connection time to something that changes the root password.

Instead, these access control features are should only be used to limit the changes that an in-experienced but still trusted user can make. To restrict such a user to only editing a few shares, the steps to follow are :

  1. In the Webmin Users module, create a user with access to the module, or modify an existing user to give him access.
  2. Click on Samba Windows File Sharing next to the name of the user to bring up the module access control form.
  3. Změňte Lze upravit konfiguraci modulu? pole na Ne .
  4. Set all the fields from *Can apply changes? *down to *Can maintain auto UNIX to SAMBA users sync?* to No as well, as they control access to global settings that the user should not touch.
  5. To hide shares that he cannot access from the user, change the Hide inaccessible objects? field to Yes . Leaving it set to No lets him see other shares, but if he tries to click on any of them an error message will appear.
  6. In the Access file shares field, de-select create but leave read and write selected. Do the same for the *Access print shares* field. This does not mean that he can edit all shares - later fields control exactly which ones he can configure.
  7. Change the Enable per-file_share acls? and *Enable per-print-share acls?* fields to Yes , so that the options set in the next step are used.
  8. In the Per-share ACLs table, select n/a under *Access share* and Connections for all the shares that he should not be allowed to configure. You should definitely do this for the global share as well, as it sets the defaults for all others. For the shares that you do want the user to manage, select read write in the Access share sloupec. To allow the user to kill clients connected to this share, select kill in the Connections column - or to let him only see connected clients, choose view namísto. The former option is not a good idea security-wise though, as it allows the user to terminate any process on your system. The radio buttons in the security , permissions , file naming and *miscellaneous or printer* columns control which of the sub-icons on the share editing form the user has access to. For each you can choose either edit to allow editing, view to only let him look at the settings or n/a to deny access altogether.
  9. Klikněte na tlačítko Uložit button at the bottom of the page to activate the new access control settings.

Configuring the Samba Windows File Sharing module

The module assumes that you have installed the Samba package available for your operating system or Linux distribution, or have compiled Samba from source code if no such package is available. If this is not the case (for example if you have compiled the latest version instead of using a package), the paths that it uses for the Samba programs and configuration files will be wrong. This will cause the module's main page to incorrectly display an error message about Samba not being installed.

Fortunately, these paths can be easily changed by clicking on the standard Module Config link in the top-left corner of the main page. On the form that appears if you follow this link are fields that control the module's user interface (under *Configurable options*) as well as the fields for configuration file and program paths (under System configuration ). The first group of settings can be safely changed at any time, but those that set paths do not generally need to be adjusted as the defaults are usually correct.

Obsah

Edit Config File

The samba configuration file can be manually edited as well:

Samba - Edit Config File

Accessing SWAT from Webmin

Poznámka: Samba 4 does not contain SWAT anymore.

SWAT (which stands for Samba Web Administration Tool) is a program similar to Webmin's Samba module, but included as standard with Samba itself. It provides a web-based administration interface to the configuration file that allows you to create and edit shares and global settings. SWAT is usually run from a super-server like inetd or xinetd, which makes it appear as a web server, usually on port 901 . Most Samba packages for Linux include the program and an xinetd service for it, but have it disabled by default.

You can also access SWAT through this Webmin module, instead of needing to set it up to be run from inetd or xinetd. Unfortunately, this will not work if Samba has been configured to only allow connections from some IP addresses (using the Hosts to allow field) on the global Security and Access Control page. Because SWAT also uses Samba's configuration files, any IP restrictions that apply globally will apply to it as well. When it is run from Webmin, SWAT is unable to determine the connecting IP address and fails if any IP restrictions are in force.

Assuming that this is not the case on your system, you can use it by following these steps :

  1. On the module's main page, click on the SWAT ikona. If this is the first time you have done so, the SWAT Login form will appear.
  2. If you do get the login form, enter root in the Username field and the root user's password in the Password pole. Because it can be used to totally re-configure your Samba server, SWAT requires users to authenticate first. Webmin will remember the login and password that you enter so that the login form will be bypassed in future.
  3. After you have logged in the SWAT main menu will appear. Along the top are icons for various parts of the Samba configuration, which when clicked on bring up forms for editing settings. Some things that can be configured in Webmin cannot be in SWAT, and vice versa - so you may find it superior to the Webmin interface for some tasks.
  4. To return to the module's main page, click on the *Return to share list* link at the bottom of any page. To have Webmin forget your SWAT password so that you can login again, hit the *Logout of SWAT* link in the bottom-right corner.

Be aware that when you login to SWAT through this module, the username and password that you enter are stored un-encrypted in the file /etc/webmin/samba/swat which is readable only by root. If this bothers you for security reasons, either do not use this feature of the module, or remember to click the Logout of SWAT link after you are done using it so that the window of exposure is limited.


Webmin

  1. Jak nakonfigurovat server SAMBA a přenášet soubory mezi Linuxem a Windows

  2. Jak nainstalovat a nakonfigurovat sdílení souborů Samba na Rocky Linux/Alma Linux 8

  3. Kódování souboru ZIP?

  1. Sdílení souborů s otevřeným zdrojovým kódem s tímto nástrojem Linux

  2. Nelze se připojit k serveru Linux Samba k doméně Windows Active Directory

  3. Windows XP se nemohou připojit k Sambě na CentOS 7.x

  1. Interoperabilita Windows a Linuxu:Pohled na Sambu

  2. Jak trvale připojit Windows nebo Samba Shares

  3. Jak upravit soubor Hosts ve Windows 10