Durch eine Aufteilung der Dienste WWW, FTP und Mail auf verschiedene Rechner werden die Dienste voneinander isoliert und die Auslastung der Rechner wird deutlich gesenkt. Aber dadurch treten folgende Probleme auf:
Zur Lösung der Probleme stehen mehrere Dienste zur Verfügung:
Zur Installation eines NFS - Servers müssen keine zusätzlichen Pakete
installiert werden, es müssen allerdings noch verschiedene Dienste gestartet
werden damit ein Zugriff über das Netz möglich wird.
YaST - Administration des Systems - Netzwerk konfigurieren
- Netzwerkdienste konfigurieren:
INETD, Portmapper und NFS - Server starten.
Diese Dienste werden in die Startskripte übernommen und sind bei jedem
Neustart des Systems verfügbar. Manuelles Starten und beenden der Dienste
ist mit folgenden Befehlen möglich:
/sbin/init.d/nfsserver {start|stop|status|reload|restart}
/sbin/init.d/rpc {start|stop}
In der Datei /etc/exports wird angegeben welche Daten zur Verfügung gestellt werden. Eine genaue Beschreibung der Konfigurationsdatei wird mit man exports angezeigt. Weitere Informationen zum NFS - Server sind unter [28] Kapitel 4.3 und im NFS HOWTO [33] zu finden. Für einsetzbare Filter auf dem Router sollte [17] eingesehen werden.
| # See exports(5) for a description. # This file contains a list of all directories exported to # other computers. # It is used by rpc.nfsd and rpc.mountd. |
|
|
#a.Verzeichnis |
b.erlaubte Rechner (c.Optionen) |
a. Verzeichnis
Zuerst wird der komplette Pfad des freigegebenen Verzeichnisses angegeben.
b. Erlaubte Rechner
Einzelne Rechner können über den Namen oder die IP - Adressen angegeben
werden. Es können alle Rechner eines Netzes durch Angabe der Netz IP -
Adresse zugefügt werden. Bei Rechnernamen können auch die gewohnten
Platzhalter verwendet werden um einer ganzen Domäne Zugriff zu erlauben
(z.B. *.ltc.lu).
Die einzelnen Angaben sind jeweils durch ein Leerzeichen zu trennen. Um eine
bessere Übersicht zu erreichen, können die Angaben auch in mehrere
Zeilen geschrieben werden. Das Zeichen "\"
gibt an, daß die Definition in der nächsten Zeile fortgesetzt wird.
c. Optionen
Die Zugriffsrechte der einzelnen Rechner auf das jeweils angegebene Verzeichnis
werden zwischen den darauffolgenden Klammern definiert.
|
ro |
read only, nur lesender Zugriff |
Zu beachten ist, daß die Zugriffsrechte für jede Datei und jedes
Verzeichnis ebenfalls im lokalen Dateisystem definiert sind. Diese Zugriffsrechte
werden über die UID (User IDentification) und die GID (Group
IDentification) definiert. Wenn die Benutzer nicht auf allen Rechnern
die gleiche UID und GID besitzen kommt es zu unvorhersehbaren Konflikten. Um
dies zu vermeiden sollten die Benutzer mit NIS zentral im Netz definiert werden
(siehe Kapitel 8.2).
Der Superuser des Rechners besitzt die UID=0 , GID=0. Wenn der Superuser eines
anderen Rechners (ebenfalls UID=0, GID=0) über das Netz auf das lokale
Dateisystem zugreift, ist es nicht immer wünschenswert, daß er die
Rechte des Superusers behält. Zu diesem Zweck stehen folgende Optionen
zur Verfügung:
|
root_squash |
Dem fremden Superuser wird eine andere Nummer mit minimalen Rechten zugeordnet. Normalerweise wird hier die UID=65534 verwendet welche dem Benutzer nobody zugeordnet ist. |
|
no_root_squash |
Der Superuser behält seine Sonderrechte. Sinnvoll wenn ein Superuser mehrere Rechner zu verwalten hat. |
|
all_squash |
Alle Benutzer werden auf nobody abgebildet. |
|
squash_uids |
Nur bestimmte Benutzer werden umgewandelt. |
|
squash_gids |
Nur bestimmte Gruppen werden umgewandelt. |
Mit dem sogenannten Mapping kann auch per login die UID / GID dynamisch angepaßt
werden. An dieser Stelle wird nicht darauf eingegangen, da die zentrale Benutzerverwaltung
mit NIS vorteilhafter ist und deshalb später in Kapitel
8.2 genauer beschrieben wird. Weitere Informationen befinden sich im Manual
von exports (man exports).
Nach jeder Änderung der Konfigurationsdatei /etc/exports
muß der Dienst neu gestartet werden mit: /sbin/init.d/nfsserver
restart
Dies ist auch wichtig bei Änderungen in der DNS. Alle angegebenen Namen
in der Konfigurationsdatei müssen in der DNS bzw. in /etc/hosts
vorhanden sein, da sonst der Dienst nicht korrekt startet. Bei der Angabe des
Rechnernamens reicht es, wenn dieser bekannt ist. Bei der Angabe der IP - Adresse
muß ebenfalls die umgekehrte Auflösung eingerichtet sein und der
direkten Auflösung entsprechen, sonst wird der Zugang gesperrt.
Es ist weiterhin auch auf die lokalen Zugriffsrechte der Dateien zu achten. Wenn ein Benutzer lokal auf dem Rechner die Dateien nicht lesen kann, so bleiben diese Beschränkungen natürlich auch für Netzwerkzugriffe bestehen. Weitere Informationen zum Thema lokale Sicherheit und Dateiberechtigungen sind in Kapitel 9 angegeben.
Wie auch alle anderen Dateisysteme werden freigegebene NFS - Verzeichnisse mit dem Befehl mount in das lokale Dateisystem eingehängt bzw. mit umount wieder entfernt.
mount -t nfs [host]:/[Pfad] [/lokaler Mountpoint]
umount [/lokaler Mountpount]
Alle möglichen Optionen für die verschiedenen Dateisysteme sind im Manual von mount (man mount) zu finden. Mit rsize=8192,wsize=8192 werden meistens Netzzugriffe beschleunigt. Weitere Werte sind für die jeweilige Architektur zu testen.
Wenn ein Benutzer im Netz noch dabei ist ein gemountetes Verzeichnis zu verwenden, so ist das Entfernen blockiert und es wird folgende Fehlermeldung angegeben:
umount: /mnt: device is busy
Mit dem Befehl lsof erhält der Superuser eine Liste aller benutzten Dateien und kann dem entsprechenden Benutzer mitteilen, daß die Dateien geschlossen werden.
Mit dem Befehl showmount werden Informationen über den Server angezeigt. Die verfügbaren Parameter werden mit showmount --help angezeigt bzw. eine genaue Beschreibung des Befehls kann mit man showmount eingesehen werden.
|
showmount --all <host> |
Alle Verbindungen zum Server werden angezeigt |
|
showmount --exports <host> |
Alle freigegebenen Verzeichnisse auf dem Rechner host werden angezeigt. |
Falls die Daten bei jedem Start des Rechners verfügbar sein sollen, muß ein entsprechender Eintrag in der Datei /etc/fstab eingefügt werden:
|
dump: |
Dem Dateisystem wird das Attribut zur Datensicherung zugeordnet |
Die letzten beiden Optionen sind bei Netzwerkdaten nicht sinnvoll und werden
deshalb auf 0 0 gesetzt.
Mit Hilfe eines NIS - Servers (Network Information System) können, ähnlich wie beim Nameserver, Informationen zentral aufbewahrt werden. Hierbei handelt es sich um Dateien die anderen Rechnern im Netz zur Verfügung gestellt werden.
|
Benutzerdatei |
Hier werden allerdings nur die ersten drei Dateien benutzt, da für die Domäne bereits ein Nameserver installiert worden ist. Die Namensübersetzung im Netz mit NIS zu verwalten, funktioniert nur in lokalen Netzen, da die Clients, die einen Zugriff auf den NIS - Master - Server haben sollen, dafür speziell konfiguriert werden müssen. Ein fremder Rechner im Internet kann diesen Dienst nicht in Anspruch nehmen und daher macht es wenig Sinn beide Dienste parallel zu betreiben.
Mit den ersten beiden angegebenen Dateien wird eine zentrale Benutzerverwaltung im Netzwerk realisiert. Die auf dem NIS - Server eingerichteten Benutzer werden allen anderen Rechnern im Netz bekannt gemacht, so daß sie nicht mehrfach eingerichtet werden müssen. Die Aliase werden ebenso über diesen Dienst verbreitet. Die Alias - Datei könnte zwar auch direkt auf dem Mailserver abgelegt werden, es ist aber sinnvoll alle Benutzerdaten auf einem zentralen Rechner aufzubewahren.
Der Rechner mit allen Benutzerdaten wird als Master - Server konfiguriert. Alle Änderungen werden auf diesem Rechner vorgenommen. Um einen kompletten Ausfall aller Dienste zu vermeiden, können noch Slave - Server eingerichtet werden. Diese erhalten, bei jeder Änderung der zentralen Daten auf dem Master - Server, eine Kopie der NIS - Daten. Sie beantworten dann Anfragen der Clients falls der Master - Server ausfällt oder zu langsam reagiert.
Für die Verwendung des Dienstes müssen noch folgende Pakete aus der Serie n installiert werden:
|
ypclient |
muß sowohl für alle Clients und Server installiert werden. |
|
ypserv |
wird für die Konfiguration von Master - und Slave - Servern |
Weitere Anleitungen zum Thema NIS sind unter [28]
Kapitel 4.4, [34]
NIS-HOWTO und /usr/doc/packages/yp/HOWTO zu finden.
Der NIS - Client kann komplett mit YaST eingerichtet werden. Administration
des Systems - Netzwerk konfigurieren - YP-Client konfigurieren:
Bild 8.1. Konfiguration des YP-Clients
Das "YP" ist leicht verwirrend, denn eigentlich wollte man
doch den NIS - Dienst einrichten. Der von Sun Microsystems entwickelte "Network
Information Service" wurde früher mit "Yellow
Pages" bezeichnet. Da dies jedoch ein eingetragenes Warenzeichen
der British Telecom ist, konnte diese Bezeichnung nicht beibehalten werden.
Wenn im Netzwerk bereits ein NIS - Server vorhanden ist, so werden der NIS -
Domänenname und die IP - Adresse des Servers benötigt. Falls ein neuer
Master Server eingerichtet wird, so wird durch Angabe des Namens die Domäne
definiert, und es wird die entsprechende IP - Adresse angegeben.
|
Nachdem das Konfigurationsprogramm SuSEconfig beendet wurde, können alle
Benutzer des Master - Servers anmelden.
Wenn ein Benutzer sein Paßwort verändern will, so muß dieses
auch in der zentralen Datei verändert werden. Zu diesem Zweck wurde ein
Programm yppasswd mitgeliefert. Um ein versehentliches
Benutzen des alten Programmes passwd zu vermeiden,
sollte dieses durch einen Link auf das neue Programm ersetzt werden:
cd /usr/bin
mv passwd passwd.orig
ln -s yppasswd passwd
Da der Superuser und alle Benutzer mit einer UID unter 100 aus Sicherheitsgründen
nicht in die NIS - Datenbank aufgenommen werden, können diese ihr Paßwort
nicht mehr verändern. Durch Aufruf des ursprünglichen Programms passwd.orig
ist es jedoch weiterhin möglich. In Kapitel 8.3.3
wird auf dieses Thema eingegangen und eine zentrale Lösung für die
Schüler wird vorgeschlagen.
Für weitere Konfigurationen wird auf die bereits angegebene Literatur verwiesen.
Es wird vorausgesetzt daß:
Die Konfigurationsdateien des Servers werden in /var/yp abgespeichert. Bevor der Dienst gestartet werden kann, muß in der Datei Makefile noch angegeben werden welche Informationen angeboten werden sollen. Dies wird in der mit all: beginnenden Zeile angegeben. Hier sollen jetzt nur die Benutzerdaten und die Mail - Aliase im Netz publiziert werden.
# If you don't want some of these maps built, feel free to
comment
# them out from this list.
# Note that we don't build the ethers or bootparams maps by default
# since /etc/ethers and /etc/bootparams are not likely to be present
# on all systems.
#
#all: passwd hosts group netid networks protocols rpc services netgrp \
# mail shadow ypservers publickey ethers # amd.home auto.master
# auto.home bootparams
all: passwd group mail
Anschließend muß in diesem Verzeichnis make aufgerufen werden. Dabei wird für die neue Domäne ein Unterverzeichnis angelegt in welchem die Maps angelegt werden. Diese entsprechen den Indexdateien bei Datenbanken und es werden für die Paßwort- und die Gruppendatei zwei Indexe angelegt. Somit können Anfragen nach dem Namen oder nach der ID beantwortet werden.
Diese "Indexerstellung" muß bei jeder Änderung der angegebenen
Daten aktualisiert werden. Um nicht jedesmal in das entsprechende Verzeichnis
wechseln zu müssen, um die Aktualisierung in automatischen Jobs zu realisieren
wird folgender Befehl benutzt:
make -C /var/yp -s
Der NIS - Server wird mit /sbin/init.d/ypserv start gestartet und nach einem Neustart des Clients auf allen angeschlossenen Rechnern mit /sbin/init.d/ypclient restart können sich die Benutzer auf all diesen Rechnern anmelden.
Um den Benutzern die Änderung des Paßwortes im gesamten Netzwerk zu ermöglichen, muß ein weiterer Dienst gestartet werden mit:
/sbin/init.d/yppasswdd
Das zweite d im Befehl gibt an, daß es sich um den Dämon handelt und es ist darauf zu achten diesen Befehl nicht mit dem Client yppasswd zu verwechseln.
Um den Dienst bei jedem Neustart zu aktivieren, werden in der Konfigurationsdatei mit YaST folgende Einträge angepaßt:
START_YPSERV = yes
START_YPPASSWDD = yes
Der Slave - Server stellt keine eigenen neuen Informationen zur Verfügung, sondern hält lediglich Kopien des Master - Servers bereit. Daher muß hier kein make ausgeführt werden. Sonst müssen ebenso wie bei Master - Server ypclient und ypserv installiert sein.
Bei der Konfiguration des Clients wird die Domäne und die IP - Adresse
des Master - Servers angegeben. Diese Informationen werden in der Datei /etc/yp.conf
gespeichert, welche von SuSEconfig automatisch
generiert wird.
Anschließend müssen vom Master - Server alle zur Verfügung gestellten
Daten auf den lokalen Rechner kopiert werden mit:
ypslave init
Dabei wird in /var/yp ein Unterverzeichnis mit dem Namen der NIS - Domäne (z.B. /var/yp/domain-yp) angelegt.
Jetzt kann der Server normal gestartet werden und er bietet die gleichen Informationen an wie der Master - Server.
/sbin/init.d/ypserv start
Damit der Slave - Server immer über etwaige Änderungen an den Maps informiert wird, müssen noch einige Änderungen am Master - Server vorgenommen werden. Zuerst werden alle Slave - Server in der Datei /var/yp/ypservers eingetragen. Es können sowohl die Rechnernamen oder die entsprechenden IP - Nummern eingetragen werden. In der Literatur wird angegeben, daß bei der Angabe von Namen diese in der Datei /etc/hosts eingetragen sein müßten. Dieses konnte hier allerdings nicht nachvollzogen werden, da das Zusammenspiel mit dem Nameserver ohne Probleme funktionierte.
Um die automatische Datenübertragung an die Slave - Rechner zu aktivieren, muß folgender Wert in /var/yp/Makefile geändert werden. Er ist normalerweise auf true gesetzt.
NOPUSH=false
Dadurch werden bei jeder Änderung die betroffenen Dateien an die Slave - Server gesendet. Um diesen Vorgang zu beschleunigen wird auf dem Master - Server ein weiterer Dienst gestartet.
/sbin/init.d/ypxfrd start
Damit auch dieser Dienst bei jedem Neustart des Rechners aktiviert wird, muß
in der Konfigurationsdatei des Masters START_YPXFRD="yes"
gesetzt werden.
Der Sinn des Slave - Servers ist es, Anfragen zu beantworten im Falle wo der
Master - Server nicht erreichbar ist. Der Client muß also beim Ausfall
des Hauptservers die NIS - Bindung automatisch mit einem anderen Server herstellen.
In der Datei /etc/yp.conf wird das Verhalten des
Dienstes konfiguriert:
# /etc/yp.conf
# Syntax:
# ypserver <Name_of_ypserver>
ypserver 158.64.19.1
In YaST kann aber nur eine IP - Adresse angegeben
werden und mit der oben dargestellten Datei wird der Rechner keine neue Verbindung
zu einem Slave - Rechner aufbauen, sondern er wird vergeblich versuchen die
alte Verbindung wiederherzustellen. Im Manual man yp.conf
sind weitere Angaben zu dieser Datei zu finden.
Folgende Eintragungen in der Datei /etc/yp.conf
erzeugen das gewünschte Verhalten:
# /etc/yp.conf
domain domain_yp server amadeus
domain domain_yp server gate
domain domain_yp broadcast
Als erster Server wird amadeus kontaktiert und falls dieser nicht erreichbar
ist, wird der Rechner gate gefragt. Sind beide
angegebene Rechner nicht erreichbar, wird für die NIS - Domäne z.B.
domain_yp mit einer Rundsendung im Netzwerk ermittelt,
ob ein weiterer Rechner die Anfragen übernehmen kann.
Wenn die Datei /etc/yp.conf komplett fehlt, wird
direkt mit einer Rundsendung begonnen.
|
In den Schulen wird überwiegend mit Windows Rechnern gearbeitet. Bislang können diese Rechner auf die Daten des Linux - Servers nur mit zusätzlichen Programmen (wie FTP - Client, Internet - Explorer) zugreifen. Durch den Einsatz von Samba können die Windows - Rechner auf die Ressourcen des Linux - Rechners, wie auf jeden anderen Windows - Rechner, zugreifen.
Samba ist ein Dienst, der Zugriffe auf die lokalen Daten und Drucker über das SMB - Protokoll (Server Message Block) ermöglicht. SMB ist ein Netzwerkprotokoll und kein Transportprotokoll und wird deshalb auf NetBEUI, IPX/SPX oder TCP/IP aufgesetzt. Um den Zugriff über SMB von den Windows - Rechnern zu ermöglichen, muß auf diesen das Protokoll TCP/IP installiert sein.
Eine Übersicht über die bisherige und zukünftige Entwicklung des Samba - Projektes ist unter http://de.samba.org/samba/docs/SambaIntro.html nachzulesen.
Die Distribution SuSE 6.0 enthält die Version 1.9.18 des Samba - Dienstes.
Zu dem jetzigen Zeitpunkt ist allerdings im Internet bereits eine neuere Version
verfügbar, so daß sich diese Beschreibung auf die neuere Version
2.0.3 bezieht. Eine aktuelle, bereits auf SuSE angepaßte Version kann
immer unter:
http://www.suse.de/patches/index.html
bezogen werden.
Die neueste Version, die jedoch nicht speziell auf SuSE angepaßt ist,
kann unter http://samba.org heruntergeladen
werden. Da es sich hier aber um den Quellcode handelt, kommt man um die Compilierung
nicht herum.
Die Installation erfolgt auch hier wieder mit YaST. Der Dienst wird mit:
/sbin/init.d/smb {start|stop|restart|reload|status}
gestartet und beendet. Falls Samba bei jedem Neustart aufgerufen werden soll, so muß:
START_SMB="yes"
in der Konfigurationsdatei eingetragen werden.
Nach dem Starten steht der Dienst mit einer minimalen Konfiguration zur Verfügung. Der NetBEUI - Name ist identisch mit dem Rechnernamen und befindet sich in der Arbeitsgruppe mit dem voreingestellten Namen "Arbeitsgruppe".
Mit der folgenden Eingabe wird überprüft ob der Dienst zur Verfügung steht:
smbclient -L localhost
Addedinterface ip=158.64.19.6 bcast=158.64.255.255 nmask=255.255.0.0
Password:
(Bei der Paßwortabfrage ist lediglich mit Drücken der RETURN
- Taste zu antworten)
Wenn der gewünschte Benutzername mitangegeben wird, so werden weitere Freigaben angezeigt. Das Paßwort entspricht dem Linux - Paßwort des entsprechenden Benutzers:
Ebenso kann jetzt bereits von einem Windows 95 - Rechner auf den Samba - Server
zugegriffen werden:
Entweder über "Suche Computer" (Find Computer) oder "Ausführen"
\\<Rechnername> (Run \\Computer).
Es wird auch hier nach einem Paßwort gefragt. Als Benutzername wird automatisch
der aktuell angemeldete Benutzer mitgesendet. Falls dieser unter Linux existiert
und das korrekte Paßwort eingegeben wurde, wird das Heimatverzeichnis
angezeigt.
Bei der Grundinstallation sind noch keine weiteren Freigaben definiert worden.
Bei einer NT - Arbeitsstation hat man zusätzlich die Möglichkeit den gewünschten Benutzernamen mitanzugeben. Dies funktioniert allerdings nur, solange noch nicht das Service Pack 3 (oder höher) installiert wurde, da NT sonst nur noch Netzverbindungen mit verschlüsselten Passwörtern herstellt. Auf diese Problematik wird weiter unten eingegangen.
Die Konfigurationsdatei von Samba smb.conf, befindet sich im Verzeichnis /etc. Die mitgelieferte Standardkonfiguration ist im Anhang A.4 zu finden. Hier wird nur auf eine Grundinstallation, sowie auf aufgetretene Probleme eingegangen. Alle verwendbaren Parameter sind im Manual man smb.conf erläutert, welches fast 9000 Zeilen umfaßt.
Ein entscheidender Vorteil der neueren Samba - Versionen (ab 2.0.x) ist SWAT (Samba Web Administration Tool). Hiermit können sämtliche Konfigurationen von einem beliebigen Rechner im Netz über ein Webinterface gemacht werden.
Aktiviert wird dieser Dienst über den Internet Super Server. In dessen
Konfigurationsdatei, /etc/inetd.conf, wird das
Kommentarzeichen (#) vor der für swat zuständigen
Zeile entfernt.
# swat is the Samba Web Administration Tool
swat stream tcp nowait.400 root /usr/sbin/swat swat
Anschließend muß der Internet Super Server neu gestartet, bzw. die Konfigurationsdatei neu eingelesen werden mit:
/sbin/init.d/inetd reload
Das SWAT - Tool wird mit einem beliebigen Browser auf dem Port 901 aufgerufen.
Um unberechtigte Zugriffe zu verhindern wird eine Benutzerabfrage durchgeführt.
Jeder eingetragene Benutzer kann sich hier anmelden und die Konfiguration einsehen,
jedoch ist nur der Superuser berechtigt Änderungen durchzuführen.
Dies entspricht auch den Rechten für die Konfigurationsdatei /etc/smb.conf.
Sie darf von jedem gelesen werden, aber nur der Superuser hat Schreibrechte.
Falls die weltweiten Leserechte für diese Datei entfernt werden, so bleibt
die Konfiguration auch unter SWAT den "normalen" Benutzer verborgen.
(Weitere Informationen über Dateirechte sind in Kapitel
9 erläutert).
Bild 8.2 Samba Web Administration Tool
Auf der Startseite von SWAT sind sehr viele zusätzliche Informationen und Dokumentationen zu finden.
Die Menüpunkte "Globals", "Shares" und "Printers"
entsprechen dem Aufbau der Konfigurationsdatei /etc/smb.conf.
Für jeden dieser Bereiche werden zunächst die wichtigsten Parameter
dargestellt und mit "Advanced View" werden für fortgeschrittene
Konfigurationen alle Parameter angezeigt. Für jeden Parameter kann eine
Hilfedatei aufgerufen werden die auch entsprechende Beispiele enthält.
Diese Hilfedatei entspricht der HTML - Version des bereits oben angegebenen
Manuals.
Deshalb wird auch an dieser Stelle auf die Beschreibung der einzelnen Parameter
verzichtet. Es werden lediglich die relevanten und die zur Lösung konkreter
Probleme benutzten Einstellungen behandelt.
Über den Menüpunkt "Shares" werden die einzelnen Freigaben verwaltet. Bei der Grundinstallation wurde bereits die Freigabe der Heimatverzeichnisse angelegt, für welche der Freigabename "homes" reserviert ist.
|
Mit dem Menüpunkt "View" wird die aktuelle Konfigurationsdatei
angezeigt. In der erweiterten Ansicht werden alle zur Verfügung stehenden
Parameter angezeigt. Sofern diese unverändert bleiben, brauchen sie nicht
in die Konfigurationsdatei eingetragen zu werden.
Die Konfiguration kann natürlich ebenfalls direkt an der Konsole stattfinden.
Um Fehler zu vermeiden, sollte die Konfigurationsdatei mit dem Programm testparm
überprüft werden.
Mit Menüpunkt "Status" wird der aktuelle Zustand des Samba - Servers angezeigt. Dies entspricht dem Kommando smbstatus. Zusätzlich kann hier der Server neu gestartet werden. Bei einer manuellen Änderung der Konfigurationsdatei muß diese auch neu eingelesen werden.
Der Server besteht aus zwei Dämonen:
Mit /sbin/init.d/smb {start|stop|restart|reload|status} werden beide Dienste angesprochen.
Seit der Einführung des Service Packs 3 für NT, übermittelt Windows NT Paßwörter nur noch in verschlüsselter Form. Da Samba standardmäßig die Paßwörter im Klartext übermittelt, gibt es zwei Möglichkeiten eine Kommunikation zwischen den beiden Rechnern herzustellen:
Es wird eine weitere Benutzerdatei /etc/smbpasswd
angelegt, in welcher die verschlüsselten Passwörter aufbewahrt werden.
Für jeden Benutzer muß ein Eintrag erstellt werden mit smbpasswd
-a <user> <password>. Der Benutzer selbst kann dann sein
Samba - Paßwort ebenfalls mit smbpasswd ändern.
Weitere Informationen zur Datei smbpasswd sind im Manual smbpasswd(5)(man
5 smbpasswd), zum Kommando in smbpasswd(8)
(man 8 smbpasswd), und allgemeine Informationen
sind in /usr/doc/packages/samba/textdocs/ ENCRYPTION.txt
zu finden.
Es ist ebenfalls möglich beide Passwörter, Linux und Samba, zu synchronisieren mit dem Parameter unix password sync in der Konfigurationsdatei smb.conf (Menüpunkt "Global" - "Advanced View"). Beim Einsatz von NIS wird dies allerdings sehr komplex und führt zu weiteren Problemen. Da die Schüler keinen direkten Zugriff auf die Linux Rechner benötigen, wurde für sie eine Shell erstellt mit der sie per telnet beide Passwörter ändern können. Beim Anlegen eines neuen Benutzers wird dann diese Shell /bin/login.eleves dem neu angelegten Benutzer zugeordnet. Damit diese als Shell vom System erkannt wird, muß sie in /etc/shells eingetragen werden.
# /bin/login.eleves
#!/bin/bash
echo ---------------------------------------------------------
echo change password: Mail - Account
echo ---------------------------------------------------------
/usr/bin/yppasswd
echo ---------------------------------------------------------
echo change password: Windows - Account
echo ---------------------------------------------------------
/usr/bin/smbpasswd
echo ---------------------------------------------------------
echo ALL CHANGES APPLIED !
echo EXIT NOW
echo ---------------------------------------------------------
Um die Zugriffszeiten auf den Samba - Server zu optimieren, können weitere Einstellungen vorgenommen werden. Allerdings sind diese sehr komplex und stark abhängig von den verwendeten Clients sowie auch von der jeweiligen Architektur. Die optimalen Einstellungen können nur empirisch ermittelt werden.
socket options = TCP_NODELAY
max log size = 1000
read prediction = yes
read raw = yes
write raw = yes
oplocks = yes
max xmit = 8192
dead time = 15
getwd cache = yes
keep alive = 15
Informationen zu den einzelnen Werten sind in man smb.conf, und allgemeine Informationen in /usr/doc/packages/samba/textdocs/Speed.txt und Speed2.txt zu finden.
In SMB orientierten Netzwerken werden die Listen der verfügbaren Server von einem Master Browser verwaltet. Sofern noch kein Master Browser zur Verfügung steht, so wird mittels Wahl einer ermittelt. Da die Windows Clients normalerweise öfter abgeschaltet werden als der Samba - Server ist es sinnvoll, daß letzterer die sogenannten Browsinglisten verwaltet. Mit mehreren Parametern kann das Verhalten des Samba - Servers bei der Wahl beeinflußt werden.
oslevel
preferred master
local master
domain master
Bei der Wahl und den Aktualisierungen der Listen kann es allerdings vorkommen, daß es lange dauert bevor ein neuer Rechner in der Netzwerkumgebung auftaucht. Abhilfe leistet ein WINS - Server der zentral im Netzwerk die Listen verwaltet. Beim Einschalten eines neuen Rechners teilt dieser dem WINS - Server seine verfügbaren Dienste mit und die Liste wird sofort aktualisiert. Als WINS - Server können sowohl NT als auch Samba - Server eingesetzt werden. Wichtig ist allerdings, daß nur ein Server für das Netzwerk eingerichtet wird, und daß alle Clients für den Zugriff auf diesen konfiguriert werden.
Das Verhalten des Samba - Servers wird mit folgenden beiden Parametern festgelegt:
Genauere Beschreibungen zu diesem Verhalten, sowie zu dem Browsing über mehrere Teilnetze sind in /usr/doc/packages/samba/textdocs/BROWSING.txt und ./BROWSING-Config.txt dargestellt.
Mit einem Samba - Server können auch Domänenanmeldungen für Windows 95 und Windows NT Workstations ausgeführt werden. Dies hat den Vorteil, daß bei mehreren Servern nur eine einzige zentrale Anmeldung in der gesamten Domäne erforderlich ist. In der Konfigurationsdatei wird dies angegeben mit:
domain logons = yes
Falls Systemrichtlinien zum Einsatz kommen und beim Anmelden Skripte ausgeführt werden sollen, empfiehlt es sich die von Microsoft benutzte Standardfreigabe netlogon einzurichten.
[netlogon]
path = /home/netlogon
writeable = no
guest ok = no
Unter Windows 95 wird die Anmeldung an einer Domäne in den Netzwerkeigenschaften, Eigenschaften des Clients für Microsoft Netzwerke eingerichtet. Nach einem Neustart muß bei der Anmeldung neben dem Benutzernamen auch die Domäne angegeben werden.
Eine detaillierte Beschreibung der Installation von Windows 95 mit den erforderlichen Sicherheitseinstellungen ist im Anhang A.5 angegeben.
Windows NT 4.0 Arbeitsstationen müssen zuerst in der Domäne angemeldet
werden. Für jede Arbeitsstation muß ein Account eingerichtet werden.
In der Datei /etc/passwd sieht der Eintrag für
den Rechner NTWKS2 dann folgendermaßen aus:
ntwks2$:x:4002:65534:NT Workstation:/dev/null :/bin/false
login :x:UID :GID :Kommentar :Heimatverzeichnis:Shell
Die Maschinenaccounts werden mit einem $ abgeschlossen,
um sie leichter von den normalen Benutzern zu unterscheiden. Anschließend
muß auf dem Samba - Server noch ein Eintrag in /etc/smbpasswd
vorgenommen werden mit:
|
smbpasswd -a -m ntwks2$ |
-a: add |
|
| Home |
© 1999 Claude Leniger
claude.leniger@ltc.lu |