IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Web: http://openfpnet.guifi.net
Centre coordinador:
LogoINSEbre.png
http://www.iesebre.com
Wiki: OpenFPnet
Repositori SVN: http://www.iesebre.com/subversion/openfpnet/
Autors: Sergi Tur Badenas
Llicència: LogoCreativeCommons.png Creative Commons
Ajudes: LogosMinisteriEducacioiUE.png Tot el que es detalla en aquesta wiki es responsabilitat exclusiva dels autors
Enllaços: TodoFP.png http://todofp.es/

Introducció

Els servidors samba BDC, són servidors de Backup del PDC. Depenen del centre es pot decidir per qüestions de seguretat o d'escalabilitat, tenir múltiples servidors Samba.

En tot cas els servidors de samba secundari es crearan a partir d'una còpia de seguretat del servidor samba principal (samba01) i s'anomenaran samba02, samba03, etc...

Per què no crear simplement Domain Member Servers?

Pel que es comenta a:

Samba_com_a_Domain_Member_Server#Domain_Member_Server_i_LDAP

Configuració

Configuració de la xarxa

TODO

Configuració de Samba

La configuració dels servidors secundaris és igual que la del servidor primari però modificant les següents dades:

  • netbios name: els servidors secundaris no es diran samba01, sinó samba02, samba03, etc.
  • server string: cada servidor té la seva descripció
  • interfaces: compte amb aquest paràmetre, cal posar les adreces IP que corresponguin
  • domain master: Als secundaris cal posar no en comptes de sí. Aquest és el canvi principal i és el que fa que siguin BDC en comptes de PDC
  • wins support i wins server: Els servidors secundaris no han de fer de WINS (només pot haver un servidor WINS actiu) i a més cal que configurin que el seu WINS és el PDC

La configuració de wins queda:

# wins support = Yes
wins server = 192.168.50.41

També evidentment hi hauran canvis en la configuració dels recursos compartits.

Un cop fets els canvis cal aplicar-los:

$ sudo /etc/init.d/smbd restart

Aliases. Noms alternatius de màquina

Es poden aplicar noms alternatius als servidors Samba amb:

netbios aliases = LINUX

NOTA: pot ser útil per tal de respectar antics noms de servidors

Configuració del client NFS

Per tal de compartir els fitxers de netlogon amb el servidor PDC cal seguir els passos de:

NFS#Exemple_de_com_compartir_els_fitxers_de_netlogon_entre_el_PDC_i_els_BDC

Per que funcioni el client primer cal configurar el servidor. Vegeu:

OpenFPnet/Mosaic/Formació/Execució/Servidor_samba_principal_com_a_PDC._samba1#Configuraci.C3.B3_del_netlogon_compartit_amb_la_resta_de_servidors_BDC

Configuració del disc dur extra

NOTA: Abans de crear el disc dur extra cal fer un estudi i/o decidir amb el centre quan d'espai es dedicarà al disc dur virtual extra

Consulteu Proxmox#Afegir_un_segons_disc_virtual

NOTA: Utilitzeu tune2fs per tal de reservar 0% de l'espai del disc a l'usuari root

Configuració de permisos

Carpeta Departaments al servidor de professorat

Tot i que hi poden haver-hi altres opcions, la configuració habitual és la següent:

  • Existeix un grup samba/unix al servidor Ldap per a cada departament
  • El grup és gestionat mitjançant Gosa. La idea és que el personal no informàtic (o el informàtic si cal) pugui controlar els accessos dels professors a les carpetes dels Departaments
  • Es pot escollir si els fitxers d'altres departaments són accessibles o no per usuaris d'altres departaments (canviar el permís d'execució de la carpeta arrel --------x. Actiu és accessible, no actiu no ho és)
  • Normalment, els usuaris d'un departament no han de poder escriure ni fer cap modificació a les carpetes d'altres departaments però a la seva si.
  • Alguns usuaris especials han de tenir accés a totes les carpetes. La forma de fer-ho és fer que pertanyin a tots els grups

Consulteu els següents apartats:

  • Gestió de grups a Gosa:
  • Configuració dels permisos Unix: com s'han de configurar els fitxers per línia de comandes amb les ordres chmod,chown
  • Configuració de permisos Samba:

Gestió dels grups a Gosa

IMPORTANT: Si voleu utilitzar grups a Samba assegureu-vos que mostra la icona Samba al grup, a la edició cal marcar el camp Samba Group

La creació de grups i com assignar usuaris a certs grups en Gosa es bastant simple. Només cal determinar a on posem els grups. La següent és una proposta:

Que l'arrel de tots els grups sigui:

ou=Grups,ou=All,dc=DOMINI,dc=COM

i aquí ordenar els grups com es cregui correcte. Algunes propostes:

  • ou=grupsgenerals,ou=Grups,ou=All,dc=DOMINI,dc=COM: Grups generals aplicables a tots els servidors
  • ou=GrupsDomini,ou=Grups,ou=All,dc=iesdeltebre,dc=net: Grups de domini de SAmba com Domain Admins i similars
  • ou=departaments,ou=Grups,ou=All,dc=DOMINI,dc=COM: Grups de profes per departaments o altres organitzacions (aulaacollida,escolaverda,etc...)

IMPORTANT: Mentrestant estiguin dins de All, el lloc real on estiguin els grups no ha d'afectar el seu funcionament o no. Simplement és un tema d'organització i ordre

Exemple d'objecte grup Ldap en format ldif:

dn: cn=informatica,ou=groups,ou=grupsgenerals,ou=Grups,ou=All,dc=iesdeltebre
 ,dc=net
objectClass: posixGroup
objectClass: sambaGroupMapping
objectClass: top
cn: informatica
gidNumber: 2007
sambaGroupType: 2
sambaSID: S-1-5-21-2680197930-3779914052-1971843849-4015
description: Tota la gent de manteniment informatica
memberUid: abertomeu
memberUid: albertvalldeperez
memberUid: avalldeperez
memberUid: faustomendoza
memberUid: jpastor
memberUid: jroe
memberUid: marisavidal
memberUid: oscaralavedra
memberUid: ramonmontoya
memberUid: santi
memberUid: sergitur
memberUid: xavidolz

Configuració dels permisos Unix

Cal tenir en compte dos qüestions:

  • Propietaris dels fitxers
  • Permisos dels fitxers

Propietaris dels fitxers

La carpeta de departaments queda:

$ ls -la /samba/departaments
drwxrwsr-x 41 root root          4096 set 14 00:48 .
..
drwxrwsr-x  4 root orientacio     4096 mar 27 17:11 Aula_acollida
drwxrwsr-x 14 root csocials       4096 set 13 10:41 Ciencies_Socials
drwxrwsr-x  5 root profe          4096 jun 28 12:21 Departament  Expressió
drwxrwsr-x  2 root profe          4096 ago 28 16:00 DocumentsComuns
drwxrwsr-x 10 root eap            4096 set 15  2002 EAP
drwxrwxr-x 13 root efisica        4096 jun 28 12:31 Educacio_Fisica
drwxrwsr-x  9 root experimentals  4096 set  5 14:09 EXPERIMENTALS
drwxrwsr-x 22 root llcastellana   4096 set 13 13:52 Llengua_Castellana
drwxrwsr-x 12 root llcatalana     4096 jun 29 10:41 Llengua_Catalana
...

Podeu comprovar els grups amb:

$ sudo getent group | grep csocials
csocials:*:2011:jarasa,mcosta59,mpraxedes,reyesaymerich,jordibayarri

o un altre departament:

$ sudo getent group | grep orientacio
orientacio:*:2008:ajuan,mclofent,mgonel,jpaga

Per assignar permisos de grup a una carpeta:

$ sudo chown root:efisica -R /samba/departaments/Educacio_Fisica

Configuració dels permisos Unix

Observeu que els permisos de les carpetes són:

775

i a mes el SGID (la s!)

Els recursos compartits per a tots els professors són del grup profe, grup al qual tots els professors haurien de pertànyer.

IMPORTANT: Observeu que la carpeta arrel (/samba/departaments) és de root! Si es deixa així s'evita que es puguin crear nous fitxers o carpetes a l'arrel i es port mantenir la carpeta inicial una mica més ordenada. Es pot utilitzar l'opció de samba: admin list per indicar qui administrarà està carpeta

Com han de ser els permisos dels fitxers i carpetes? Vegem un exemple.

$ ls -la /samba/departaments/Informatica
total 1656
drwxrwsr-x  7 root informatica   4096 set 14 10:47 .
drwxrwxr-x 41 root root          4096 set 14 00:48 ..
-rw-rw-r--  1 root informatica  18772 oct 18  2011 alum_post_definitiu-1.ods
drwxrwsr-x  7 root informatica   4096 abr 10 11:21 ANTIC
drwxrwsr-x  3 root informatica   4096 set 13 18:40 Comissio_informatica
-rw-rw-r--  1 root informatica  99328 nov 10  2011 Contrasenya alumnes ESO 2011-12.xls
drwxrwsr-x  2 root informatica   4096 abr 10 11:20 Cursos
-rw-rw-r--  1 root informatica    149 nov  2  2011 .~lock.alum_post_definitiu-1.ods#
drwxrwsr-x  5 root informatica   4096 abr 10 11:21 ManualsCentre
-rw-rw-r--  1 root informatica 725460 oct 26  2011 Moodle_i_Continguts_Remots.pdf
-rw-rw-r--  1 root informatica 786944 set  8  2011 presentacio inici curs 11-12.ppt
drwxrwsr-x  2 root informatica   4096 gen 12  2012 programari (al NASS)
-rw-rw-r--  1 root informatica  18909 nov 30  2011 protocol miniportatils 1rESO.odt

Els fitxers no cal que siguin executables per a res (al servidor no s'executa res, en tot cas el fitxer s'executa en la màquina estació de treball de cada usuari)

Al canviar permisos no utilitze mai el mode -R recursiu ja que cal tenir en compte les diferències entre fitxers i directoris:

FITXERS

Opció 1.Els fitxers són visibles per tothom

$ sudo find . -type f -exec chmod 664 {} \;

Us podeu assegurar que no tinguin el SGID activat amb:

$ sudo find . -type f -exec chmod g-s {} \;

IMPORTANT: Si vegeu fitxer en Groc o que tenen el bit d'execució de grup amb una S majúscula o minúscula és que tenen el SGID activat i no caldria

Opció 1.Els fitxers no són visibles per a altres:

Utilitzeu 660 en comptes de 664

DIRECTORIS:

Opció 1.Les carpetes són accessibles per tothom

$ sudo find -type d -exec chmod 775 {} \;

Aquí cal assegurar-se que el bit SGID està activat:

$ sudo find . -type f -exec chmod g+s {} \;

IMPORTANT: El SGID permet que els fitxer creats per usuaris del grup siguin propietat del grup de departament i no pas del grup personal de l'usuari!

Opció 2.Els fitxers no són accesibles per a altres:

Utilitzeu 770 en comptes de 775

Recursos:

Configuració de permisos Samba

Exemple de configuració part del fitxer /etc/samba/smb.conf:

[departaments]
       comment = Carpetes comunes Departaments del Centre
       path = /samba/departaments
       invalid users = @alumne
       valid users = @profe,@maninfo,@direccio
       admin list = @maninfo
       create mask = 0664
       directory mask = 2775
       force user = root
       writable = yes
  • writable = yes: El recurs és per a escriure-hi. Combinat amb valid users només podran escriure-hi els profes, maninfo i direcció. Podeu escollir si trobeu convenien algú més. Cal tenir en compte que a més cal tenir els permisos de linux correctes
  • invalid users = @alumne: Ens assegurem que els alumnes no poden entrar. Funciona si tots és correcte i TOTS els alumnes pertanyen al grup alumne
  • admin list: Usuaris que treballem com a root al recurs i per tant tenen tots els privilegis i el podem administrar.
  • create mask: Qualsevol bit que no estigui indica a la màscara no apareixerà de cap de les maneres al cret un nou fitxer. Només afecta fitxers. El valor per defecte és 0744, per tant per defecte no es marca cap bit especial (primer 0), el usuari propietari potencialment pot tenir tots els permisos i la resta el màxim que poden tenir es permís de lectura.
  • directory mask: Igual que l'anterior però per a les carpetes. Només afecta carpetes

Els fitxers creats seran sempre dels usuaris:

root:deparmanent_que_pertoqui (gràcies al SGID)
Create mask: Any bit not set here will be removed from the modes set on a file when it is created.

Carpetes del servidor de gestió

Tot i que hi poden haver-hi altres opcions, la configuració habitual és la següent:

  • Existeix un grup samba/unix al servidor Ldap per a cada rol de l'equip de gestió del centre:
  • direccio: membres de l'equip directiu. Accedeixen al recurs direccio
  • secretaria: membres de secretaria. Accedeixen al recurs secretaria
  • Altres: es poden plantejar altres carpetes i recursos com capestudis o el que es desitgi.
  • El grup és gestionant mitjançant Gosa. La idea és que el personal no informàtic (o el informàtic si cal) pugui controlar els accessos dels professors a les carpetes dels Departaments
  • Cada rol dona accés a un recurs i només a un recurs. Per accedir a més d'un recurs cal pertànyer a més d'un grup (per exemple és típic que l'equi directiu també accedeixi a secretaria)

Cal tenir en compte

  • Gestió de grups a Gosa: els grups han de ser grups Linux i Samba

Consulteu els següents apartats per veure cada tipus de rol

direccio

Configuració dels permisos Unix

$ sudo ls -la /samba/gestio
total 50316
drwxrws--- 91 root direccio     4096 jul 17 12:11 .
drwxr-xr-x  7 root root         4096 ago 28 07:29 ..
drwxrws---  2 root direccio     4096 jun  8 11:48 absentisme
-rwxrw----  1 root direccio   171306 mar 27 16:47 absentisme vendrell.pdf
-rwxrw----  1 root direccio    39424 jul 11  2011 agenda alumnes.doc
drwxrws---  2 root direccio     4096 jul 18 12:01 agendes alumnat
drwxrws---  3 root direccio     4096 set 30  2011 alarma
drwxrws---  7 root direccio     4096 des 15  2011 ALTRES CURSOS

Les carpetes com podeu veure amb el SGID i els fitxer no

  • Configuració de permisos Samba:
[Gestio_Centre]
	comment = Gestió de Centre
	path = /samba/gestio
       invalid users = @alumne
       valid users = @direccio
	write list = sergitur,root,jtortajada,gbaron,jroe,masabate,abertomeu,@direccio
	force user = root
	force group = direccio
	read only = No
	create mask = 0660
	directory mask = 0770

NOTA: Oco no posar invalid users amb @profe, ja que els membres de l'equip directiu també són profes i provocarà problemes

secretaria

Igual que l'anterior...

$ sudo ls -la /samba/secretaria
total 2528
drwxrws--x 99 root secre    4096 set 10 09:58 .
drwxr-xr-x  7 root root     4096 ago 28 07:29 ..
 drwxrwsr-x  6 root secre    4096 mai 10 09:47 Absentisme
drwxrwsr-x  5 root secre    4096 jul  7  2011 ACTES
drwxrwsr-x  7 root secre    4096 abr 16 13:44 AEO
drwxrwsr-x  2 root secre    4096 jul 11 12:41 Alumnat
drwxrwsr-x  4 root secre    4096 set  5 13:48 AMPA
-rwxrw-r--  1 root secre   24064 jun 27  2011 AMPA 4rt.xl s
[Secretaria]
	comment = Documents Secretaria del Centre
	path = /samba/secretaria
	invalid users = @alumne
        valid users = @secre
	admin users = sergitur, root, msabate
	write list = sergitur, root, amontufo, mandreu, jtortajada, gbaron, jroe, masabate, abertomeu, @secre, @direccio
	force user = root
	force group = secre
	read only = No
	create mask = 0775
 	directory mask = 0775

NOTA: TODO. Cal la write list!

write list (S)

          This is a list of users that are given read-write access to a service. If the connecting user is in this list then they will be given
          write access, no matter what the read only option is set to. The list can include group names using the @group syntax.

          Note that if a user is in both the read list and the write list then they will be given write access.

          By design, this parameter will not work with the security = share in Samba 3.0.

          Default: write list =

          Example: write list = admin, root, @staff

Dipòsits amb accés per a tothom de lectura però només uns quants i poden escriure

Un exemple:

[diposit_temporal]
       comment = Diposit de dades Temporal
       path = /samba/Diposit_Temporal
       create mask = 0777
       write list = asabate, @informatica, @direccio,sergitur,@profe
       directory mask = 0777
       guest ok = Yes

Dipòsits amb tots els accessos per a tothom

IMPORTANT: Cal tenir en compte que en aquest tipus de carpetes tothom i pot crear,modificar,eliminar i llegir, amb els seus avantatges e inconvenients

Un exemple:

[diposit_centre]
	comment = Diposit Centre
	inherit acls = No
	path = /samba/deposit_centre
	read only = No
	force user = nobody
  1. force grup = nogroup
       create mask = 0777
       directory mask = 0777
       guest ok = Yes

El force group es pot posar com a nogroup' o també es pot fer que els permisos siguin Domain Users, és indistint:

$ ls -la /samba/deposit_centre/
total 324
drwsrwxrwx 53 nobody Domain Users  4096 set 12 13:58 .
drwxr-xr-x  8 root   root          4096 ago 30 18:52 ..
drwxr-xr-x  2 nobody Domain Users  4096 feb 11  2011 10083_10177
drwxr-xr-x  2 nobody Domain Users 12288 feb 13  2012 100_PANA
drwxr-xr-x  2 nobody Domain Users 12288 feb 22  2011 101_PANA
drwxr-xr-x  6 nobody Domain Users  4096 ago 30 21:28 Activitats_a_la_Natura
drwxrwxrwx  3 nobody nogroup      20480 set 12 14:19 Alumnes fotos 2012-13

Vegeu també

Enllaços externs

TODO