En esta sección se configurará Samba como un Controlador Primario de Dominio que almacena su base de datos SAM en un servidor OpenLDAP.
Para la configuración se asumirá que:
El nombre del dominio será: GSRDOMAIN
El nombre del servidor Netbios será: TODOSCSI
El directorio home de los usuarios estará en: /home/samba/users/NOMBREUSUARIO
Los perfiles móviles se almacenarán en: /home/samba/profiles/NOMBREUSUARIO
En la sección global se configurarán los parámetros globales del servidor. Entre otras cosas, se definirán los programas que serán utilizados para que un usuario pueda cambiar su clave (passwd program) y el diálogo que se establecerá entre el servidor y el usuario durante este cambio.
La opción “add user script” permite al demonio smb añadir, como usuario root, una nueva máquina. Cuando una máquina contacta con el dominio, este script es llamado y la nueva máquina es añadida al dominio. Esto hace que la administración de las cuentas para las máquinas sea muy sencilla. Por razones de seguridad, no todas las máquinas pueden entrar en el dominio, sólo aquellas cuyo administrador tenga una cuenta con los privilegios suficientes.
En las secciones siguientes se mostrarán los parámetros más importantes de la configuración de Samba, en el Apéndice AC, Archivo de configuración /etc/samba/smb.conf - Completo - se muestra un archivo de configuración completo para Samba.
[global] workgroup = GSRDOMAIN |
 | Definición del nombre del dominio. |
 | Nombre Netbios por el cual el servidor Samba se va a conocer. |
 | Descripción del servidor. |
| | Opción necesaria para la administración de dominios por parte de Samba. |
| | Se activa la encriptación para el almacenado de las claves |
| | Se asigna a esta opción el valor: “ldapsam:ldap://gsr.pt”, indicándole a Samba que las claves se almacenarán y recuperarán del servidor LDAP definido. |
 | Nombre del usuario “invitado”, este podrá acceder a aquellos recursos con el parámetro “guest ok” sin autentificarse. |
 | Lista de usuarios a los cuales no se le permite el acceso a Samba. |
 | Se activa la sincronización entre las claves Unix y las claves Samba. |
 | Programa utilizado durante el cambio de clave de un usuario. |
 | Texto que se mostrará durante el cambio de una clave mediante Samba. |
| | Esta línea le dice a Samba quien es el administrador del directorio LDAP. Este será el usuario empleado por Samba cuando se realicen operaciones de añadir, borrar o modificar cuentas de usuario. |
| | Parámetro que contiene el FQDN del servidor ldap. Se necesita para encontrar la información sobre las cuentas de usuario. Este parámetro se comenta, ya que parece que Samba no lo reconoce. |
| | Indica en que puerto está escuchando LDAP. El puerto 389 es el puerto estándar para las conexiones sin encriptación; el 636 es el puerto estándar para las conexiones con encriptación. Si la línea “ldap ssl” posee el valor “on”, Samba intentará automáticamente conectarse por el puerto 636 para contactar con el servidor LDAP. Este parámetro se comenta, ya que parece que Samba no lo reconoce. |
| | Opción que determina si encriptar o no las comunicaciones entre el servidor Samba y el servidor LDAP. |
| | Este parámetro especifica si al realizar una operación de borrado en ldapsam, se borra la entrada completa o solamente los atributos específicos de Samba. |
| | Filtro de búsqueda para LDAP. |
| | Parámetro que especifica la base para todas las búsquedas en LDAP. |
| | Parámetro que indica donde se añaden los usuarios dentro del árbol. |
 | Parámetro que indica donde se añaden los grupos de usuarios dentro del árbol. |
 | Parámetro que indica donde se añaden las máquinas dentro del árbol. |
load printers = yes |
| | Se cargan automáticamente la lista de impresoras disponibles. |
| | Estilo de impresión ha utilizar, en este caso se utilizará la impresión con CUPS (vea la Parte III dedicada a CUPS.) |
| | Grupo de usuarios que tienen permiso para añadir y configurar impresoras, a parte del usuario “root”. |
| | Parámetro que controla el nivel en el que Samba se anunciará como elección de búsqueda. El valor de este parámetro determinará si el demonio nmbd tendrá alguna posibilidad de llegar a ser un buscador primario local para el grupo de trabajo en el área de broadcast local. |
| | Estos parámetros juegan un papel fundamental asegurando el control del dominio y el soporte de autentificación en red. Una descripción más detallada de los mismos se encuentra en la página del manual smb.conf(5). |
| | Opciones que facilitan las operaciones de autentificado de clientes y facilitan el control automatizado para la administración de redes sobrecargadas. Más información en la página del manual smb.conf(5). |
| | Parámetro que acepta usuarios y grupos de usuarios que serán administradores de dominio. Este parámetro se comenta, ya que parece que Samba no lo reconoce. |
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 |
| | Distintas opciones que mejoran el rendimiento del servidor Samba. |
| | Estos dos parámetros especifican el rango de los ids de usuario y grupo, respectivamente, que serán utilizados en el mapeado de usuarios/grupos Unix en SIDs de usuarios/grupos NT. |
| | Shell que el demonio winbindd añadirá a la información de un usuario, cuando este valor no sea omitido. |
| | Se hace uso de las herramientas smbldap-tools para añadir maquinas (En el Apéndice J, Instalación y configuración de smbldap-tools se muestra un ejemplo de instalación y configuración de estas herramientas). |
Esta sección permite la compartición del directorio home de los usuarios, de forma que, dependiendo que usuario se haya autentificado en el sistema, Samba compartirá su directorio personal únicamente a él.
Los parámetros más importantes de esta sección se muestran a continuación:
browseable = yes |
| | Indica si este recurso aparecerá en la lista de recursos compartidos o no. En este caso, si se mostrará. |
| | Esta opción permite escribir datos en los directorios home, si su valor fuese “no”, los directorios home se compartirían como sólo lectura. |
| | Máscara de creación de archivos, el valor de este parámetro indicará los permisos que tendrán los archivos de nueva creación. |
| | Máscara de creación de directorios, el valor de este parámetro indicará los permisos que tendrán los directorios de nueva creación. |
El recurso compartido NETLOGON juega un papel fundamental en el soporte de inicio de sesión en un dominio y Miembro de Dominio. Este recurso compartido se provee en todos los Controladores de Dominio de Microsoft. Se utiliza para proveer de scripts de inicio de sesión, para almacenar archivos de Políticas de Grupo (NTConfig.POL), así como la localización de otras herramientas comunes que se puedan necesitar para el proceso de inicio de sesión. Este es un recurso esencial en un Controlador de dominio.
Los parámetros más importantes de esta sección se muestran a continuación:
path = /home/samba/netlogon |
| | Directorio donde se van a alojar los scripts. |
| | No se permite escribir en el recurso compartido, sólo lectura. |
| | Lista de usuarios/grupos que tienen permiso de escritura en el recurso compartido. |
Este recurso compartido se utiliza para almacenar los perfiles de escritorio de los usuarios. Cada usuario ha de tener un directorio en el raíz de este recurso compartido. Este recurso ha de tener permisos de escritura para los usuarios y debería tener la permisos de lectura globales. Samba-3 tiene un módulo VFS denominado “fake_permissions” (permisos “falsos”) que se deberían instalar en este recurso. Este módulo permitiría a un administrador de Samba hacer el directorio de sólo lectura para todo el mundo. Por supuesto, esto sólo es útil una vez se ha creado correctamente el perfil.
Los parámetros más importantes de esta sección se muestran a continuación:
path = /home/samba/profiles |
| | Directorio donde se almacenarán los perfiles móviles, bajo este directorio, cada usuario tendrá una carpeta con su nombre. |
| | Se permite escribir en el recurso compartido. |
| | Indica si este recurso aparecerá en la lista de recursos compartidos o no. En este caso, no se mostrará. |
| | Máscara de creación de archivos, el valor de este parámetro indicará los permisos que tendrán los archivos de nueva creación. |
| | Máscara de creación de directorios, el valor de este parámetro indicará los permisos que tendrán los directorios de nueva creación. |
Este es un recurso compartido especial que crea automáticamente servicios de impresión. La forma en que trabaja es la siguiente: si se crea un recurso compartido con el nombre [printers] en el archivo de configuración, Samba leerá automáticamente el archivo de definición de sus impresoras y creará una impresora compartida para cada impresora que aparezca en el archivo. Por ejemplo, si posee tres impresoras definidas: una lp otra pcl y una última ps, Samba proveerá tres impresoras compartidas con esos nombres, cada una configurada con las opciones que aparezcan en el recurso compartido [printers].
Los parámetros más importantes de esta sección se muestran a continuación:
browseable = no |
| | Indica si este recurso aparecerá en la lista de recursos compartidos o no. En este caso, no se mostrará. |
| | Directorio que utilizará Samba como cola de impresión. |
| | Como este parámetro tiene el valor yes, los clientes que se conecten al servidor, podrán abrir, escribir en y enviar archivos a la cola de impresión, es decir, al directorio especificado por la variable path. |
| | No se permitirán las conexiones sin autentificación a este recurso. |
| | No se permite escribir en el recurso compartido. |
| | Máscara de creación de archivos, el valor de este parámetro indicará los permisos que tendrán los archivos de nueva creación. |
Al igual que un servidor de impresión Windows NT, para soportar la descarga de controladores por parte de clientes con distintas arquitecturas, se han de crear varios subdirectorios dentro del servicio [print$]. Estos se corresponderán con cada una de las arquitecturas soportadas. Samba también sigue este esquema. Así como el nombre del recurso compartido ha de ser [print$], los subdirectorios han de ser exactamente los nombres que se listan a continuación (puede obviar aquellos subdirectorios para las arquitecturas que no necesite soporte).
Por lo tanto, se ha de crear la estructura de directorios que se muestra a continuación, bajo el directorio compartido por [print$]. Cree aquellos directorios para aquellas arquitecturas que quiera dar soporte:
Ejemplo 9.3. [print$] - Subdirectorios para las distintas arquitecturas
[print$]--+
|--W32X86 # controladores para Windows NT x86
|--WIN40 # controladores para Windows 95/98
|--W32ALPHA # controladores para Windows NT Alpha_AXP
|--W32MIPS # controladores para Windows NT R4000 |
![[Note]](./imagenes/note.png) | Nota |
|---|---|
El paquete “samba” de Debian GNU/Linux crea esta estructura de directorios bajo /var/lib/samba/printers. | |
Los parámetros más importantes de esta sección se muestran a continuación:
path = /var/lib/samba/printers |
| | Directorio donde se almacenarán los controladores de impresión para las distintas arquitecturas. |
| | Indica si este recurso aparecerá en la lista de recursos compartidos o no. En este caso, si se mostrará. |
| | No se permite escribir en el recurso compartido. |
| | No se permitirán las conexiones sin autentificación a este recurso. |
| | Lista de usuarios/grupos que tienen permiso de escritura en el recurso compartido. |
A modo de ejemplo, se va a compartir el directorio temporal /tmp con los siguientes parámetros:
comment = Temporal |
| | Comentario del recurso compartido. |
| | Se permite la escritura en este recurso. |
| | Directorio compartido dentro del sistema. |
| | No se permiten conexiones anónimas al directorio, todo usuario ha de autentificarse para acceder a este recurso. |
Otro ejemplo de compartición será el CDROM del sistema. Los parámetros empleados en esta ocasión serán:
comment = Samba server's CD-ROM |
| | Comentario del recurso compartido. |
| | No se permite la escritura en este recurso compartido. |
| | No se bloquearán realmente los archivos a petición de los clientes, simplemente se informará de que el bloqueo ha sido efectivo. |
| | Ruta hacia el recurso compartido. |
| | Se permitirá el acceso a este recurso a los usuarios invitados, es decir, aquellos usuarios que no se han autentificado. |
![[Tip]](./imagenes/tip.png) | Sugerencia | |
|---|---|---|
Normalmente, para acceder al contenido de un CDROM es necesario montarlo primero. Por lo que se recomienda instalar el parche supermount en el núcleo Linux, de forma que el montado y desmontado del CDROM sea transparente al usuario. Cuando se intenta acceder al recurso, el CDROM se montará automáticamente. Una vez aplicado el parche en el núcleo y seleccionado para la compilación, se ha de modificar la entrada para el CDROM dentro del archivo /etc/fstab, de forma que quede algo similar a:
| ||