Differences between revisions 1 and 15 (spanning 14 versions)
Revision 1 as of 2008-08-07 14:28:25
Size: 7956
Editor: eSyr
Comment:
Revision 15 as of 2008-10-04 11:38:02
Size: 10023
Comment:
Deletions are marked like this. Additions are marked like this.
Line 3: Line 3:
Если ектору не изм. память, то семейство пртоколов smb (он же cifs --- common internet file system) была разраб. ibm для os/2. Как гооврит ..., работающий в ibm над smb, это назв. примечастельно тем, что там ни слова правда. Не common, не internet не тольк file и не только system Семейство протоколов SMB (Server Message Block), оно же CIFS (англ. Common Internet File System --- единая файловая система для Internet) используется, несмотря на название, для доступа к ресурсам в пределах локальной сети.
Line 5: Line 5:
Не надо думать, что smb эт подачка в строну windows и виндузятное что-то. Вовсе нет, если сегдня смтреть на семейства большие пртоколов, т cifs наиболее мощный среди популярных. Если смотркеть..., т мы видим сильные различия, которые в принипе меняют наш подхд к понятию fs в каждм случае. В случае nfs он основан на ip-based авторизацию. То есть предп, что на всех машинах, исп. nfs единое администрирвание, и взлом любй машины, исп. nfs, озн взлм всей системы. В частнсти, это озн, что на всех машинах один. набор. польз. с одинаковыми uid. Это означает, чт если кмпьютер вошёл, ввёл пароль, то мы этму доверяем. Если т конкр. ip-адреса исх. некая инф., то мы её считаем истинной. Что же касается файловго сервиса п smb, там авторизация п логину-паролю. Это что касается smb как пртокола для доступа к уд. ФС. Н это не только доступ к ФС, это доступ к принтерам, авторизация, своя реализация доменной службы (wins) и ещё куча всякого. Не следует отн. к этму как к пережиткам венды, поск. это обл. прим. сущ. разная. Например, доступ к принтерам по самбе дост. продвинута, и пока cups не вошёл в больш. дистрибутивв, исп. lpd точно также отличалось то исп. smb тем же самым --- ip-based авторизация, проблемы с драйверами... Подсистему авт. в самбе можно исп. в линуксе для авт. польз. и посл. доступа. эта служба наз. winbind, и там есть разные настр. Расск. пр эт не будем, можно сделать даже так, чтобы linux машины хдили к win-машине для автризации, для этго неужно орг. nt4-домен. Почему про это не будет расск: если исп. авт. не по числу, а по факту ввдеения логина и парля, исч. необх. в uid, поск. он перестаёт иметь смысл. Польз. это не процесс с опр. uid, а прцесс, у которог инициатор сеанса назвал нужный пароль. Поэтому winbind вообще не заморчивается с uid, поэтому всё, о чём говорили в лекции пр аунт, и бонусы, кторые были ..., мжн тоже отправить на свалку. Эт всё рг. путём чтения документации. Лектор делал это три раза и три раза отк. В случае джуниора 2.0 легче объяснить как польз. passwd и useradd, чем объясн. дополнительно smb. Взм., это будет исп. для авт. в МЗ ВМК. Разработка протоколов SMB началась фирмой IBM во времена сотрудничества IBM и Microsoft. Последняя внесла в протокол наибольшее число изменений, интенсивно использует его модифицированную версию до сих пор, и даже предлагала его на роль интернет-стандарта под именем CIFS.
Кроме реализации Microsoft, существует в основном совместимая с нею свободная реализация SMB, созданная проектом Samba.
Line 7: Line 8:
Есть проект пд назв. samba, который явл. реализацией cifs для разного рда систем, в первую очередь posix. Для того, чтбы утс. самбу и чего-нибудь зашарить, не нужн практически ничего. Самба очень бльшая система, документация написана в стиле хавту. В самбе очень говорящий настр. файл, для 90 процентов задач дост. тредактировать smb.conf, там, если себе предст, как устр. smb-сеть, до дост. хрош понятно, что там написано. Ни smb, ни samba не реализуют того, что в windows называется AD. Этогоо нет в smb3, эт должно появиться в smb4, но как-т оно медленно. У лектора есть пдозрение, что AD потихоньку теснят всякие другие directory-сервера, такие как например fedora directory server. ## это на фирмой IBM для операционной системы OS/2, но потом разработка продолжилась уже сообществом свободных программистов. Неправильно думать, что SMB --- это наследие Windows и несёт с собой все негативные стороны этой операционной системы.
Line 9: Line 10:
Что в этом файле настр. нам интересн: название домена. Для удобства настрйки в smb-сетях компьютеры бъед. в домены, раб. группы. Это важная штука, её будут видеть при брузинге сети. security=user зн., что доступ будет идти по уч. записям пльз. Надо понимать, что пльз. пдсистемы samba не равны пользователям linux. Это восх. к тму, что в linux исп. posix, а в smb другое предст. В частности, уч. польз. smb устроены так, что паролип поьзователей хранятся. В семейство протоколов CIFS, помимо собственно сетевой файловой системы, входит система авторизации пользователей, система доступа к принтерам, собственная реализация службы имён компьютеров под названием WINS. Что касается сетевой файловой системы, основное достоинство реализации CIFS по сравнению с NFS (по крайней мере, NFS версии 3) --- это авторизация по логину и паролю, а не по адресу компьютера и локальным реквизитам пользователя. Иными словами, для использования такой системы необходимо, чтобы на клиенте и на пользователе был одинаковый набор пользователей, которые получают доступ к NFS, и мы предполагаем, что если пользователь авторизовался на своей машине, и она обращается за файлами на сервер от имени пользователя, то это правильный пользователь и ему можно отдать файлы. Подход к авторизации в NFS3 предполагает, что вся система администрируется единым образом, что было отчасти верно четверть века тому назад, но и тогда этот подход порождал проблемы с безопасностью и ограничениями доступа.
Line 11: Line 12:
##Пправить объясн --- Это нужно по одной простой причине --- вы, когда идент. польз. на лок. машине (в случае, если вы ей не доверяете) --- вы должны отослать пароль на сервер, сравнить, и принять решение, правильный парль или нет. Или же отослать хэши. В случае же неанонимного доступа к файловой системе по протоколу CIFS пользователь авторизует себя логином и паролем непосредственно при соединении с сервером. Однако при этом изменяется вся классическая система прав доступа к файлам, так как при авторизации пользователю выдаётся некий временный UID. В принципе, при помощи CIFS можно даже сделать так, что Linux-машины будут авторизовывать пользователей на NT-домене, сервер которого работает под ОС Windows. Кроме того, компьютер с Samba может сам выступать роли контроллера домена NT4.
Line 13: Line 14:
пароли хранятся в smbpasswd, хадаются программой smbpasswd, кторой ещё и сзд. польз., мжно синхр. пароли. Как было упомянуто выше, в POSIX-совместимых системах, в частности, GNU/Linux, пакет программных продуктов, реализующий семейство протоколов CIFS, называется samba. Этот пакет очень прост в настройке, во многом благодаря потому, что из-за его больших размеров документация к нему содержит не только общие случаи использования, но и множество конкретных примеров. Также основные конфигурационные файлы содержат большое количество комментариев, что минимизирует необходимость в чтении документации.
Line 15: Line 16:
Чтобы зак. с польз.: чтбы самба воспр. польз. как сущ., нужно, чтобды соотв. польз. в линукс тже сущ. То есть, нужно сначала завести польз. линуксового, а потом самбовского. Основной конфигурационный файл пакета samba называется smb.conf, и хранится обычно в {{{/etc/samba/smb.conf}}}. Для настройки того, что в Windows называется "Общий доступ к папке", достаточно извлечь из комментариев в этом файле несколько строк и перезапустить samba, выполнив команду {{{service samba restart}}}. Одна из опций --- имя домена (то есть, рабочей группы), в которую входит данная машина. Весьма важным является параметр security, который определяет, каким образом пользователи авторизуются для доступа к ресурсам.

При уровне доступа на уровне пользователя (на англ. этот тип доступа называется ''user''), который включен по умолчанию, авторизация происходит по внутренней базе пользователей samba. Иными словами, следует иметь в виду, что в общем случае пользователи системы не имеют ничего общего с пользователями samba, хотя часто их делают совпадающими, а также существуют единые механизмы ведения списка пользователей системы и samba . Одно из ключевых различий между двумя группами пользователей состоит в том, что для пользователей samba в базе должна хранится информация, по которой Samba можно восстановить его пароль в момент идентификации пользователя.

Это необходимо из-за особенностей механизма аутентификации, которая происходит следующим образом: сначала клиент стучится к серверу, который посылает клиенту некоторую "соль", то есть небольшое количество случайных данных. Клиент хэширует свой пароль вместе с солью и отправляет серверу, который, зная соль и пароль, восстанавливает хэш и проверяет, совпадает ли пароль.

Наиболее простым способом хранения логинов и паролей в Samba является файл smbpasswd, который в ПСПО имеет полный путь {{{/etc/samba/smbpasswd}}}. Samba в smbpasswd хранит восстановимые хэши от паролей пользователей, для добавления пользователей в базу пользователей samba существует утилита smbpasswd, у которой, в частности, есть возможность синхронизировать добавление с добавлением пользователя в систему. Это необходимо, например, для того, чтобы отдавать через CIFS домашние каталоги пользователей системы: для этого нужно, чтобы соответствующий пользователь существовал в системе.
Line 23: Line 30:
|| 0  || 1 || 1 || 1 || || 1 || MaximByshevskiKonopko, VladimirLysikov, VsevolodKrishchenko || || || || 90 || 1 || 1 || 1 || || 1 || MaximByshevskiKonopko, ОльгаТочилкина, VsevolodKrishchenko || || ||

SMB: теория

Семейство протоколов SMB (Server Message Block), оно же CIFS (англ. Common Internet File System --- единая файловая система для Internet) используется, несмотря на название, для доступа к ресурсам в пределах локальной сети.

Разработка протоколов SMB началась фирмой IBM во времена сотрудничества IBM и Microsoft. Последняя внесла в протокол наибольшее число изменений, интенсивно использует его модифицированную версию до сих пор, и даже предлагала его на роль интернет-стандарта под именем CIFS. Кроме реализации Microsoft, существует в основном совместимая с нею свободная реализация SMB, созданная проектом Samba.

В семейство протоколов CIFS, помимо собственно сетевой файловой системы, входит система авторизации пользователей, система доступа к принтерам, собственная реализация службы имён компьютеров под названием WINS. Что касается сетевой файловой системы, основное достоинство реализации CIFS по сравнению с NFS (по крайней мере, NFS версии 3) --- это авторизация по логину и паролю, а не по адресу компьютера и локальным реквизитам пользователя. Иными словами, для использования такой системы необходимо, чтобы на клиенте и на пользователе был одинаковый набор пользователей, которые получают доступ к NFS, и мы предполагаем, что если пользователь авторизовался на своей машине, и она обращается за файлами на сервер от имени пользователя, то это правильный пользователь и ему можно отдать файлы. Подход к авторизации в NFS3 предполагает, что вся система администрируется единым образом, что было отчасти верно четверть века тому назад, но и тогда этот подход порождал проблемы с безопасностью и ограничениями доступа.

В случае же неанонимного доступа к файловой системе по протоколу CIFS пользователь авторизует себя логином и паролем непосредственно при соединении с сервером. Однако при этом изменяется вся классическая система прав доступа к файлам, так как при авторизации пользователю выдаётся некий временный UID. В принципе, при помощи CIFS можно даже сделать так, что Linux-машины будут авторизовывать пользователей на NT-домене, сервер которого работает под ОС Windows. Кроме того, компьютер с Samba может сам выступать роли контроллера домена NT4.

Как было упомянуто выше, в POSIX-совместимых системах, в частности, GNU/Linux, пакет программных продуктов, реализующий семейство протоколов CIFS, называется samba. Этот пакет очень прост в настройке, во многом благодаря потому, что из-за его больших размеров документация к нему содержит не только общие случаи использования, но и множество конкретных примеров. Также основные конфигурационные файлы содержат большое количество комментариев, что минимизирует необходимость в чтении документации.

Основной конфигурационный файл пакета samba называется smb.conf, и хранится обычно в /etc/samba/smb.conf. Для настройки того, что в Windows называется "Общий доступ к папке", достаточно извлечь из комментариев в этом файле несколько строк и перезапустить samba, выполнив команду service samba restart. Одна из опций --- имя домена (то есть, рабочей группы), в которую входит данная машина. Весьма важным является параметр security, который определяет, каким образом пользователи авторизуются для доступа к ресурсам.

При уровне доступа на уровне пользователя (на англ. этот тип доступа называется user), который включен по умолчанию, авторизация происходит по внутренней базе пользователей samba. Иными словами, следует иметь в виду, что в общем случае пользователи системы не имеют ничего общего с пользователями samba, хотя часто их делают совпадающими, а также существуют единые механизмы ведения списка пользователей системы и samba . Одно из ключевых различий между двумя группами пользователей состоит в том, что для пользователей samba в базе должна хранится информация, по которой Samba можно восстановить его пароль в момент идентификации пользователя.

Это необходимо из-за особенностей механизма аутентификации, которая происходит следующим образом: сначала клиент стучится к серверу, который посылает клиенту некоторую "соль", то есть небольшое количество случайных данных. Клиент хэширует свой пароль вместе с солью и отправляет серверу, который, зная соль и пароль, восстанавливает хэш и проверяет, совпадает ли пароль.

Наиболее простым способом хранения логинов и паролей в Samba является файл smbpasswd, который в ПСПО имеет полный путь /etc/samba/smbpasswd. Samba в smbpasswd хранит восстановимые хэши от паролей пользователей, для добавления пользователей в базу пользователей samba существует утилита smbpasswd, у которой, в частности, есть возможность синхронизировать добавление с добавлением пользователя в систему. Это необходимо, например, для того, чтобы отдавать через CIFS домашние каталоги пользователей системы: для этого нужно, чтобы соответствующий пользователь существовал в системе.


Сведения о ресурсах

Готовность (%)

Продолжительность (ак. ч.)

Подготовка (календ. ч.)

Полный текст (раб. д.)

Предварительные знания

Level

Maintainer

Start date

End date

90

1

1

1

1

MaximByshevskiKonopko, ОльгаТочилкина, VsevolodKrishchenko


CategoryLectures CategoryPspo CategoryMpgu CategoryUneex

PspoClasses/080806/03SambaTheory (last edited 2008-10-04 11:38:02 by VsevolodKrishchenko)