Geum.ru

Брандмауэры и специальное программное обеспечение 8 Часть 4

Вид материалаРеферат

Содержание


Общий доступ к каталогам
Base options
Security options
Logging options
Tuning options
Filename handling
Browse options
Locking options
Miscellaneous options
Общая папка Homes
Подобный материал:
1   ...   73   74   75   76   77   78   79   80   ...   101

Общий доступ к каталогам


Организация общего доступа к каталогам с использованием Samba выполняется очень просто. Средство администрирования SWAT существенно упрощает процесс создания папки общего доступа. Для этого требуется всего лишь указать имя общей папки, а затем уделить внимание настройке некоторых параметров, например пути к соответствующему дисковому каталогу. Настройка большинства параметров не представляет проблем: вы просто отмечаете те параметры, которые вам нужны. Однако при использовании некоторых параметров могут возникнуть проблемы. О таких параметрах будет подробнее рассказано далее. Также следует учитывать, что имя общего ресурса Homes имеет специальное значение для Samba — об этом также будет сказано дополнительно. Раздел Share разбит на несколько функциональных областей, о которых рассказывается в последующих разделах.

Base options

Указав имя общего ресурса, просто щелкните Create, и SWAT занесет в конфигурационный файл smb.conf значения по умолчанию для данного общего ресурса. Любым общим папкам, за исключением общей папки Homes, по умолчанию ставится в соответствие каталог /tmp, а поле комментария остается пустым. При желании вы можете изменить это.


ВНИМАНИЕ

Общая папка определяет область файловой системы, в рамках которой может действовать удаленный пользователь. Пользователь не может покинуть эту область (указанный каталог и все его подкаталоги), если только параметр wide links не обладает значением yes. В рамках указанной области пользователь обладает привилегиями, определенными для него в рамках конфигурации Samba. Эти привилегии могут быть шире, чем те привилегии, которыми пользователь наделяется в случае, если он подключается к системе как обычный пользователь Linux.

Security options

В данном разделе определяется набор разрешений, которым будет обладать пользователь (например, осуществлять запись, чтение и создание файлов). Здесь же вы можете идентифицировать пользователя guest и определить набор соответствующих разрешений. Если используется режим guest only, значит, при доступе к данной общей папке все пользователи обязаны использовать учетную запись guest

При помощи этого раздела вы также можете разрешать или запрещать доступ к обшей папке — механизм напоминает использование файлов hosts.allow и hosts.deny.

Параметр revalidate принуждает пользователей аутентифицировать себя каждый раз, когда они обращаются к общей папке.

Самыми непонятными параметрами данного раздела являются параметры группы create mask. В данном случае create mask является синонимом create mode. Здесь необходимо указать значение, которое обычно используется совместно с командой chmod.

Logging options

Здесь можно настроить механизм документирования доступа к общей папке, а также включить или отключить возможность просмотра с использованием smbstatus, обращается ли кто-либо к общей папке в данный момент. Значение этого параметра необходимо оставить равным yes.


Tuning options

По умолчанию максимальное допустимое количество подключений равно нулю, что означает, что пользователи могут подключаться к общей папке в неограниченном количестве. Ограничение количества подключений обеспечивается с использованием механизма блокирования (locks).

Два параметра, имеющих отношение к синхронизации, по умолчанию обладают значением по. Об этих параметрах следует рассказать чуть подробнее. Многие приложения Windows, включая Windows 98 Explorer (проводник), не делают разницы между скидыванием буфера на диск (flushing buffer) и синхронизацией данных с диском (sync to disk). В операционной среде Linux при выполнении синхронизации с диском (sync to disk) клиентский процесс, как правило, приостанавливает функционирование до тех пор, пока содержимое всех буферов не будет записано на жесткий диск. Если достаточно большое количество приложений Windows будет выполнять синхронизацию с диском, в то время когда на самом деле достаточно выполнить скидывание буферов на диск, производительность системы Linux может существенно снизиться. Именно по этому значение параметра strict sync по умолчанию равно по.

Параметр sync always определяет, должен ли системный вызов синхронизации с диском возвращать управление вызвавшему процессу прежде, чем будет завершена операция записи на диск. В этом случае сервер Samba будет осуществлять синхронизацию в соответствии с пожеланиями клиентов. Если значение параметра sync always равно yes, то значение параметра strict sync также должно быть равно yes, в противном случае параметр sync always будет игнорироваться.

Настраивайте эти параметры с осторожностью. Если оба параметра будут равны yes и при этом большое количество клиентов будет выполнять запись на диск, производительность системы может существенно понизиться.

Filename handling

Значения по умолчанию присвоенные параметрам этой категории вполне подходят для рабочих сред NT 4 и Windows 95 и более поздних версий Windows. Если в вашей рабочей среде до сих пор используются операционные системы DOS и Windows 3.x, вы должны уделить внимание должной настройке этих параметров, чтобы обеспечить корректный доступ к файлам для ваших клиентов.

В данном разделе также настраивается соответствие между некоторыми специальными категориями файлов Microsoft (например, скрытые или системные файлы) и файлами Unix (файлы с именами, начинающимися с символа точки). Взаимно-однозначного соответствия не существует, поэтому администратор должен специально определить порядок обработки разнообразных типов файлов.

Browse options

В этой категории есть всего один параметр: является ли общая папка просматриваемой или нет. В Windows NT для скрытия общих папок используется стандартный метод. Если в конце имени общей папки стоит символ $, такая папка считается скрытой и не отображается в списке просмотра общих папок. В Samba вы можете скрыть папку с любым именем, для этого достаточно присвоить параметру browseable значение по. При этом возможность доступа к папке сохраняется, просто имя папки не отображается в окошке Network Neighborhood (Сетевое окружение). Если вы и без того знаете имя этой общей папки, вы по-прежнему сможете получить к ней доступ.

Locking options

Параметры данного раздела по умолчанию настроены так, чтобы защищать общие папки, в отношении которых разрешены операции чтения-записи. Также параметры настроены так, чтобы обеспечить быстрый доступ там, где это допустимо (не возникает конфликтов блокирования одновременного доступа к файлам). Однако для некоторых общих папок, из которых разрешается только читать, вы можете обеспечить значительное увеличение скорости доступа, присвоив параметру fake oplocks значение yes.


ВНИМАНИЕ

Перед тем как менять значения параметров блокирования доступа к общим папкам или файлам, убедитесь в том, что вы представляете себе возможные последствия подобных изменений. Например, если вы присвоите параметру fake oplocks значение yes в отношении общей папки, для которой разрешается не только чтение, но и запись, целостность содержимого папки может быть нарушена в случае, если несколько клиентов в одно и то же время попытаются выполнить запись в один и тот же файл.

Некоторые параметры имеет смысл перенастраивать в зависимости от того, с какой сетью вы имеете дело. Например, если в вашем распоряжении достаточно надежная сеть, установив параметр leaving oplocks (сохранять блокировку) равным значению yes, вы получите существенное увеличение скорости. Однако для ненадежной сети это может оказаться неэффективным, так как сохранение блокировки для отключающихся клиентов понизит скорость.

Miscellaneous options

В этом разделе содержатся разнообразные параметры, которые тематически нельзя включить ни в один из предыдущих разделов. При помощи параметров данного раздела контролируются различные аспекты функционирования Samba, например, доступность общей папки и порядок обработки символических ссылок.

Параметр wide links контролирует, может ли пользователь, получивший доступ к общей папке, перемещаться по ссылкам, указывающим куда-либо вне каталога, соответствующего этой общей папке. Если параметр wide links равен значению yes (это значение по умолчанию), это значит, что пользователь сможет воспользоваться символическими ссылками, указывающими на файловые ресурсы вне каталога, соответствующего общей папке. Параметр follow symlinks (значение которого по умолчанию равно yes) определяет, сможет ли пользователь вообще пользоваться какими-либо символическими ссылками. При использовании этих двух параметров в комбинации возможен один из трех вариантов настройки:

- если параметр follow symlinks равен значению по, символические ссылки не будут работать вне зависимости от значения параметра wide links;

- если параметр follow symlinks равен значению yes, а параметр wide links равен значению по, пользователи смогут использовать только те символические ссылки, которые указывают на ресурсы, расположенные в рамках общей папки; символические ссылки, указывающие на ресурсы, расположенные вне каталога общей папки, обрабатываться не будут;

- если параметр follow symlinks равен значению yes, а параметр wide links тоже равен значению yes, пользователи не будут ограничены только лишь содержимым общей папки, они смогут обращаться к ресурсам, на которые указывает символическая ссылка, даже если эти ресурсы расположены вне общей папки, то есть где угодно в системе; если при этом пользователь обладает возможностью создания или модификации символических ссылок, он сможет получить доступ фактически к любому файлу в системе.


ПРИМЕЧАНИЕ

Если параметр wide links равен значению по, просмотр содержимого каталогов существенно замедлится, так как Samba всегда будет проверять, где именно расположен ресурс, на который указывает ссылка: в общей папке или вне ее.

Определенный интерес представляют четыре параметра exec. Эти параметры позволяют выполнять различные программы в момент, когда пользователь подключается к общей папке или отключается от общей папки, при этом также указывается, надо ли запустить программу от лица обычного пользователя или от лица пользователя root. Вы должны внимательно проанализировать уровень привилегий, на котором следует запускать программы. Например, команды mount и umount всегда следует выполнять от лица пользователя root, если только в файле / etc/fstab не присутствует запись, разрешающая выполнять монтирование и демонтирование от лица некоторого обычного пользователя.

Общая папка Homes

Общая папка Homes выполняет специальную функцию. Для каждого пользователя, обращающегося к этой папке, система Samba сравнивает имя пользователя с содержимым файла /etc/passwd и таким образом определяет домашний каталог этого пользователя. Содержимое этого домашнего каталога делается доступным для пользователя в виде содержимого общей папки, при этом пользователь не имеет никакого доступа к домашним каталогам остальных пользователей. Каждый пользователь сервера Samba получает в свое распоряжение индивидуальную общую папку, недоступную для остальных пользователей Samba. Логично предоставить пользователям доступ к подкаталогу домашнего каталога, в этом случае вы сможете избежать проблем, связанных с различными схемами именования файлов в средах Linux и Microsoft. Общая папка Homes является единственной общей папкой, которая по умолчанию не указывает на каталог /tmp, а вместо этого автоматически указывает на домашний каталог пользователя.