Compartir recursos en xarxa i seguretat en sistemes lliures

El sistema GNU/Linux només pot treballar amb una jerarquia de directoris. Per tant, si volem accedir a diferents sistemes d’arxius o particions de discos/unitats, entre altres, primer heu de muntar aquests elements en algun punt de la jerarquia.

El protocol NFS pot ser utilitzat amb múltiples finalitats, sempre dins de l’àmbit de compartició de recursos. Per això, en general, el protocol NFS és molt flexible i admet diferents possibilitats o escenaris de funcionament com, per exemple, els següents:

• Un servidor NFS pot exportar més d’un directori i atendre simultàniament diversos clients.
• Un client NFS pot muntar directoris remots exportats per diferents servidors.
• Qualsevol sistema GNU/Linux pot ser alhora client i servidor NFS.

Tenint en compte això, hi ha diversos usos típics de l’NFS en què aquest servei mostra la utilitat que té. En podeu destacar les utilitats tradicionals següents:

• Centralització dels directoris de connexió dels usuaris (home directory). Quan en una xarxa local de màquines GNU/Linux es vol que els usuaris puguin treballar indistintament en qualsevol, és adequat situar els directoris de connexió de tots els usuaris en una mateixa màquina i fer que les altres muntin aquests directoris mitjançant NFS. * Compartició de directoris d’ús comú. Si diversos usuaris des de diferents màquines treballen amb els mateixos arxius, per exemple, d’un projecte comú, també és útil compartir els directoris en què hi ha aquests arxius. Aquesta opció comporta un estalvi de disc en les màquines locals, ja que les dades estan centralitzades en un lloc.
• Situar programari en un sol ordinador de la xarxa. És possible instal·lar programari en un directori del servidor NFS i compartir aquest directori via NFS. Si configurem els clients NFS perquè muntin aquest directori remot en un directori local, aquest programari estarà disponible per a tots els ordinadors de la xarxa.

Totes les operacions sobre fitxers són síncrones. Això significa que l’operació només torna un resultat quan el servidor ha completat tot el treball associat a aquesta operació.

Per exemple, en cas d’una sol·licitud d’escriptura, el servidor escriurà físicament les dades en el disc i, si és necessari, actualitzarà l’estructura de directoris abans de tornar una resposta al client. Això garanteix la integritat dels fitxers.

En el sistema client, el funcionament de l’NFS es basa en la capacitat de traduir els accessos de les aplicacions a un sistema d’arxius en peticions al servidor corresponent per mitjà de la xarxa. Normalment,/Linux, de manera que no necessita cap tipus de configuració.

Respecte al servidor, l’NFS s’implementa mitjançant dos serveis de xarxa, el mountd i l’nfsd. Vegem quines accions controla cadascun d’aquests serveis:

• El servei mountd s’encarrega d’atendre les peticions remotes de muntatge, efectuades per l’ordre mount del client. Entre altres coses, aquest servei s’encarrega de comprovar si la petició de muntatge és vàlida i de controlar sota quines condicions s’accedirà al directori exportat (només lectura, lectura/escriptura…).
• El servei nfsd s’encarrega, una vegada un directori remot ha estat muntat amb èxit, d’atendre i resoldre les peticions d’accés del client als arxius que hi ha en el directori.

A continuació es detallen els passos a seguir al servidor i al client per compartir, per NFS, un directori.

La feina comença al servidor Ubuntu Server, on tenim una carpeta a l’arrel del sistema anomenada /carpeta-ioc, i la volem compartir per xarxa.

El servidor NFS s’ha d’instal·lar a l’Ubuntu Server amb la comanda següent:

sudo apt install nfs-kernel-server

Una vegada actius els serveis NFS, el servidor ha d’indicar explícitament quins directoris vol que s’exportin, a quines màquines s’han d’exportar i amb quines opcions s’ha de fer. Per això hi ha un fitxer de configuració denominat /etc/exports. A la figura hi teniu un exemple d’aquest fitxer amb la configuració d’exportació del directori carpeta-ioc:

En la imatge anterior, s’ha escrit una línia amb la següent informació:

• /carpeta-ioc: és el directori que volem exportar a la xarxa.
• * : es refereix al fet que serà accessible per tothom. Si voleu especificar quina IP o rang de IPs tenen accés, ho haureu d’especificar aquí, ajudant-vos dels comodins * i ?.
• (rw): són les opcions d’exportació. La més rellevant és rw, que defineix que els clients tindran permís de lectura [r] i escriptura [w]. Si només es vol exportar com a lectura es farà servir l’opció (ro), que significa read only.

Cada vegada que editeu el fitxer /etc/exports haureu de reiniciar el servidor NFS per aplicar els canvis. Ho fareu amb la comanda:

sudo service nfs-kernel-server restart

En la pàgina de manual exports hi ha una llista completa de les opcions de muntatge i el significat que tenen. Per accedir-hi, cal utilitzar l’ordre man exports.

Abans de finalitzar la tasca al servidor, haureu de revisar els permisos que té la carpeta que exportareu (a l’exemple és /carpeta-ioc). Si voleu que tothom hi pugui escriure, haureu d’entrar la següent comanda:

sudo chmod 777 /carpeta-ioc

Si voleu que tothom hi pugui accedir i llegir el contingut, però no escriure, haureu d’entrar la següent comanda:

sudo chmod 555 /carpeta-ioc

Aquests permisos haurien d’estar en concordança amb els que heu entrat al fitxer /etc/exports.

Un cop preparat el servidor, la feina segueix al client, instal·lant el programari següent:

sudo apt install nfs-common

El següent pas serà crear una carpeta on muntar el directori remot. Per exemple: /mnt/ioc.

La comanda per muntar la carpeta remota al client és la següent:

sudo mount 192.168.0.100:/carpeta-ioc /mnt/ioc

On:

• 192.168.0.100: és la IP del servidor on hi ha la carpeta compartida.
• :/carpeta-ioc: és la ubicació de la carpeta compartida dins el servidor. Ha de coincidir amb la informació entrada al fitxer /etc/exports.
• /mnt/ioc: és la carpeta local del client, on es muntarà la carpeta remota.

Es pot fer servir el fitxer /etc/fstab, si es vol que el directori es munti durant l’arrancada de l’equip, així sempre estarà preparat. Podeu veure l’entrada que hi heu de posar a continuació i a la figura.

192.168.0.100:/carpeta-ioc /mnt/ioc  nfs   defaults  0  0

Els dos protocols més importants que formen el paquet de programari Samba són el NetBIOS i l’SMB (CIFS).

Principalment, el NetBIOS s’utilitza per identificar amb un nom els equips connectats per mitjà de xarxes locals, amb la finalitat d’establir una sessió i mantenir la connexió entre equips de la xarxa. El NetBIOS no pot transportar per si mateix les dades entre els nodes de la LAN. Per això ha de funcionar amb altres protocols com el TCP/IP.

El NetBIOS permet comunicació orientada a connexió (TCP) i no orientada a connexió (UDP). Suporta tant difusió (broadcast) com transmissió a grups (multicast), a més de quatre tipus de serveis diferents:

• Serveis generals
• Servei de noms
• Servei de sessió
• Servei de datagrames

Quan un programa d’aplicació necessita els serveis NetBIOS, el programa executa una interrupció de programari específica. Aquesta interrupció adreça el control del microprocessador al programari de l’adaptador de xarxa, el qual processa l’ordre. Quan un programa d’aplicació emet una interrupció NetBIOS, el servei NetBIOS requereix un servei de xarxa. La interfície NetBIOS defineix exactament la manera com els programes d’aplicació poden fer servir la interrupció NetBIOS i els serveis que proporciona.

El protocol SMB (server message block) el va inventar originalment IBM, però avui dia la versió més comuna és la que Microsoft ha modificat àmpliament. El 1998 Microsoft va reanomenar aquest protocol CIFS (common Internet file system) i hi va afegir més característiques.

L’SMB forma part dels protocols anomenats petició-resposta, ja que les comunicacions sempre s’inicien des del client com una petició de servei al servidor. El servidor la processa i torna una resposta a aquest client. La resposta del servidor pot ser positiva o negativa, en funció del tipus de petició, la disponibilitat del recurs, els permisos del client…

El protocol SMB s’implementa habitualment amb el NetBIOS sobre el TCP/IP. Aquesta alternativa s’ha convertit en l’estàndard de fet per compartir recursos entre sistemes Windows, GNU/Linux i macOS.

Samba és una implementació lliure del protocol SMB amb les extensions de Microsoft.

grep -i '^s.*m.*b' /usr/dict/words
salmonberry
samba
sawtimber
scramble

Essencialment, el Samba el constitueixen dos dimonis anomenats smbd i nmbd. Els dimonis utilitzen el protocol NetBIOS per accedir a la xarxa, de manera que poden conversar amb ordinadors Windows.

El dimoni smbd s’encarrega d’oferir els serveis d’accés remot a fitxers i impressores (per fer-ho, implementa el protocol SMB), a més d’autenticar i autoritzar usuaris. El dimoni smbd ofereix les dues maneres de compartició de recursos del Windows: compartició basada en usuaris (user-level) o compartició basada en recursos (share-level).

El dimoni nmbd permet que el sistema GNU/Linux participi en els mecanismes de resolució de noms propis del Windows, la qual cosa inclou el següent:

• L’anunci en el grup de treball.
• La gestió de la llista d’ordinadors del grup de treball.
• La contestació a peticions de resolució de noms.
• L’anunci dels recursos compartits.

D’aquesta manera, els sistemes GNU/Linux poden aparèixer en l’“Entorn de xarxa” de les màquines Windows, com qualsevol altre sistema Windows, i publicar la llista de recursos que ofereix a la resta de la xarxa.

El dimoni windbindd proporciona el servei windbind, el qual resol els problemes d’inici de sessió unificats. El servei windbind es fa servir per resoldre informació d’usuaris i grups. El Winbind proporciona tres funcions separades:

• Autenticació d’usuaris (via PAM).
• Resolució d’identitat (via NSS).
• Manteniment d’una base de dades en la qual emmagatzema les associacions entre usuaris UNIX UID/GID i Windows SID. Aquesta associació només s’utilitza per a usuaris i grups que no tenen UID/GID locals.

El funcionament en conjunt d’aquests serveis permet transferir fitxers i informació entre sistemes GNU/Linux i Windows, els quals donen suport als protocols SMB/CIFS.

Gràcies a Samba, en una xarxa hi pot haver equips amb Windows i equips amb GNU/Linux de manera que puguin intercanviar informació en carpetes compartides i compartir impressores, tal com es faria si tots els equips fossin Windows o GNU/Linux.

L’avantatge principal del paquet de programari Samba és que és pràcticament equivalent a qualsevol servidor SMB/CIFS (Windows NT o 2000, servidor Netware, servidor NFS UNIX…) i, a més, és programari lliure i gratuït. En la taula es mostren els diversos rols o serveis per als quals es pot utilitzar Samba.

Primordialment, Samba permet que màquines GNU/Linux i Windows (i macOS) coexisteixin en la mateixa xarxa. De totes maneres, també es pot fer servir per compartir recursos en una xarxa formada íntegrament per màquines amb sistemes GNU/Linux.

Abans d’iniciar el procés d’instal·lació i configuració del servidor i del client Samba, analitzareu els mecanismes de seguretat que us proporciona el paquet de programari.

El paquet Samba, a més dels nivells de seguretat que proporciona el protocol SMB (share i user), incorpora tres subnivells de seguretat en el nivell d’usuari. Així, en total podeu fer servir els nivells de seguretat següents:

• share: cada recurs compartit utilitza una paraula de pas. Tothom que sàpiga aquesta paraula de pas pot accedir al recurs.
• user: cada recurs compartit del grup de treball està configurat per permetre l’accés a un grup específic d’usuaris. En cada connexió inicial a un servidor Samba autentica l’usuari.
• domain: el Samba es converteix en membre d’un domini del Windows i utilitza un PDC (primary domain controller) per implementar l’autenticació. Un cop autenticat l’usuari manté un testimoni o token amb la informació de l’usuari, a partir de la qual es podrà determinar a quins recursos té accés.
• ADS: el Samba es comporta com a membre d’un domini de directori actiu o com a controlador de domini actiu.

En el nivell de seguretat share, el client s’autentica de manera separada per a cada recurs al qual vol accedir. El funcionament d’aquest nivell de seguretat determina que cada recurs compartit tingui associat una paraula de pas amb independència de l’usuari que es connecti.

Tot i que els sistemes Windows associen la contrasenya a un recurs, el paquet Samba utilitza l’esquema d’autenticació de GNU/Linux, en què la parella a autenticar és usuari-contrasenya i no pas recurs-contrasenya.

El client envia una paraula de pas cada cop que vol accedir a un recurs, però no envia cap usuari. Els sistemes GNU/Linux, no obstant això, sempre han d’utilitzar un usuari per autenticar-se. Així, doncs, quin usuari s’envia per fer la connexió? Depèn dels paràmetres especificats en la configuració global del servidor, de manera que hi ha diverses possibilitats. Per exemple:

• Si s’utilitza el paràmetre guest only en la configuració del recurs compartit al Samba, aleshores només es fa servir l’usuari convidat especificat amb el paràmetre guest account. Per defecte, nobody.
• Els sistemes Windows moderns i el Samba envien, com a usuari per defecte, l’usuari que està utilitzant, en el moment d’accedir al recurs, la màquina client.
• També es poden enviar a altres usuaris, com un inici de sessió previ, el nom del recurs al qual es vol accedir, el nom NetBIOS del client o els usuaris del paràmetre user list, depenent de les diferents configuracions.

L’opció user és l’opció per defecte i també és la més simple. El client s’identifica en el nivell de sessió amb un usuari i una paraula de pas. El servidor pot acceptar o denegar la sessió, però no necessàriament ha de saber a quins recursos vol accedir el client. En aquest nivell, doncs, per controlar l’accés als recursos, el servidor només es pot basar en els elements següents:

• L’usuari i la paraula de pas.
• El nom de la màquina client.

Si s’accepta la sessió, el client pot accedir als recursos remots sense haver de tornar a especificar la paraula de pas. En aquest mètode és imprescindible que els usuaris apareguin com a usuaris de GNU/Linux i del Samba.

En el cas domain, la base de dades d’usuaris està centralitzada en un controlador de domini i tots els membres d’un domini la comparteixen. Un servidor controlador primari de domini (PDC) és el responsable de mantenir la integritat de la base de dades de comptes de seguretat.

Aleshores, amb aquest sistema de seguretat el servidor Samba es converteix en un servidor membre del domini, controlador primari de domini (PDC) o no. Per aquesta raó, totes les màquines que participen en el domini han de tenir un compte de màquina en la base de dades de seguretat.

Les màquines amb una versió del paquet Samba posterior a la 2.2 es poden unir a un domini de directori actiu.

A partir de la versió 3 de Samba, a més, el servidor Samba es pot afegir com a membre natiu de directori actiu.

A partir de la versió 4 de Samba, també es pot comportar com un controlador de domini de directori actiu.

El paquet de programari Samba es compon de moltes aplicacions i molts paquets amb diverses finalitats. Els paquets més utilitzats són els següents:

• samba: servidor d’arxius i impressores de xarxa local per a Unix/GNU/Linux.
• smbclient: client simple de xarxa local per a Unix/GNU/Linux.
• samba-common: arxius comuns del Samba que utilitzen els clients i els servidors.
• samba-doc: documentació del Samba.
• smbfs: ordres per muntar i desmuntar unitats de xarxa Samba.
• winbind: servei per resoldre informació d’usuaris i grups de servidors Windows.

Tots aquests paquets es poden trobar en els dipòsits de l’Ubuntu.

Per instal·lar el servei i el client Samba a Ubuntu, hi ha dues possibilitats. La primera consisteix a fer-ho de la manera tradicional, és a dir, utilitzar els gestors de paquets del sistema directament. Farem servir l’ordre següent:

$sudo apt install samba

La segona possibilitat consisteix a utilitzar l’entorn gràfic en la versió d’escriptori d’Ubuntu. Només cal que cliqueu, amb el botó dret, al damunt d’una carpeta del vostre equip que vulgueu compartir. Seleccionareu l’opció Opcions de compartició del menú contextual. A continuació, s’obrirà un quadre de diàleg, marcareu la casella Comparteix aquesta carpeta i premereu el botó Crear compartició. Automàticament, la primera vegada que feu aquesta acció, us dirà que ha d’instal·lar el servei Samba, tal com es mostra a la figura.

Després d’instal·lar el paquet Samba, el servei Samba arrenca automàticament. Per comprovar-ho, podeu consultar-ho amb l’ordre:

$sudo service smbd status
$sudo service nmbd status

o també:

$sudo systemctl status smbd 
$sudo systemctl status nmbd 

Per aturar o reiniciar el servidor, fareu servir les ordres:

$sudo service smbd stop

$sudo service nmbd stop

$sudo service smbd restart/

$sudo service nmbd restart/

Aquestes ordres reiniciaran els dimonis nmbd i smbd, necessaris per al funcionament del servei Samba. Haureu de reiniciar el servei cada vegada que vulgueu que algun canvi de configuració es faci efectiu.

Per altra banda, podeu configurar l’arrencada automàtica del servei Samba quan iniciem el sistema amb l’ordre següent:

$sudo service smbd enable

Abans de veure el procés de configuració del servidor Samba, cal conèixer com gestiona els usuaris, els grups i els permisos.

El Samba és un servei que requereix l’administració dels usuaris per poder-ne gestionar els permisos.

En funció de l’usuari que hi accedeixi, el Samba es comportarà d’una manera o d’una altra. Quan hi accedeix un usuari normal, generalment té uns permisos limitats. En canvi, quan hi accedeix un usuari administrador, ha de disposar de tots els permisos.

Per tal que aquesta administració sigui possible, el Samba disposa de la seva pròpia base de dades d’usuaris Samba. No obstant això, com que els usuaris utilitzen altres recursos del servidor, com carpetes i impressores, cal que aquests usuaris també estiguin creats en el sistema GNU/Linux.

La gestió d’usuaris Samba es fa amb l’ordre smbpasswd. Amb aquesta ordre podeu crear i eliminar usuaris, canviar-ne la contrasenya i unes quantes coses més. Vegeu-ne les diferents possibilitats.

1. Creació d’usuaris Samba:

Per crear un usuari Samba heu d’utilitzar l’ordre smbpasswd. Abans de crear un usuari, però, aquest usuari ha d’existir en el sistema GNU/Linux.

Per exemple, suposeu que voleu que l’usuari lluis, gaudeixi dels serveis del Samba. Primerament, haureu de crear l’usuari a l’Ubuntu amb l’ordre següent:

sudo adduser lluis

Després, per habilitar-lo al Samba, executarem aquesta ordre:

sudo smbpasswd –a lluis

L’opció -a serveix per indicar al Samba que ha d’afegir l’usuari a la llista d’usuaris Samba. Tot seguit us preguntarà dues vegades la contrasenya que voleu establir a l’usuari. El més raonable és que aquesta contrasenya sigui la mateixa que l’usuari té a GNU/Linux.

2. Eliminació d’usuaris Samba:

Per eliminar usuaris Samba també heu d’utilitzar l’ordre smbpasswd, però amb l’opció –x. Per exemple, per eliminar l’usuari lluis, executareu aquesta ordre:

sudo smbpasswd -x lluis

L’usuari desapareixerà immediatament de la base de dades d’usuaris Samba, però continuarà essent un usuari de GNU/Linux.

3. Altres opcions de smbpasswd:

L’ordre smbpasswd disposa d’altres opcions que considerem interessants. Són les següents:

• -d: deshabilitar un usuari.
• -i: habilitar un usuari.
• -n: establir un usuari sense contrasenya. (Necessita paràmetre null passwords = yes en secció GLOBAL de l’arxiu de configuració del Samba).

Per a més informació es pot consultar la pàgina del manual del smbpasswd amb l’ordre man smbpasswd.

Abans de veure la manera com el Samba gestiona els permisos d’usuaris i grups, cal tenir clar la diferència que hi ha entre permís i dret en els sistemes operatius.

Després d’identificar cada usuari amb accés al servei Samba, es poden especificar els permisos i els drets que té a la xarxa. L’administrador s’encarrega de determinar l’ús de cada recurs de la xarxa o les operacions que cada usuari pot dur a terme en cada estació de treball.

Per exemple, un usuari pot tenir el dret a accedir a un servidor per mitjà de la xarxa, a forçar l’apagada o el reinici d’un equip remotament, a canviar el sistema d’arrencada… Alhora, cada recurs, servei o utilitat té una informació associada que li indica qui pot utilitzar-lo o executar-lo i qui no. Així, doncs, no heu de confondre dret amb permís. Vegeu-ne la diferència:

D’aquesta manera, els drets fan referència a operacions pròpies del sistema operatiu com, per exemple, el dret a fer còpies de seguretat o a canviar l’hora del sistema. En canvi, els permisos fan referència a l’accés als diferents objectes de xarxa com, per exemple, el permís de llegir un fitxer concret.

L’assignació de permisos en una xarxa es fa en dues fases:

1. En primer lloc, es determina el dret d’accés sobre el servei de xarxa. Per exemple, es pot assignar el dret a connectar-se al servidor Samba. Això evita que es puguin obrir unitats remotes de xarxa sobre les quals després no es tingui privilegis d’accés als fitxers que conté, cosa que podria sobrecarregar el servidor.
2. En segon lloc, s’han de configurar els permisos dels fitxers i els directoris que conté aquest servei de xarxa. Depenent del sistema operatiu de xarxa, les marques associades als recursos varien, encara que en general hi ha les de lectura, escriptura, execució, esborrament… En xarxes en què coexisteixen sistemes operatius de xarxa de distints fabricants, cal determinar els permisos per a cada sistema.

La gestió de grups, usuaris i permisos és diferent en sistemes GNU/Linux i en sistemes Microsoft Windows.

En els sistemes GNU/Linux, la gestió dels permisos que els usuaris i els grups tenen sobre els arxius es fa mitjançant un esquema senzill de tres tipus de permisos (lectura, escriptura i execució) aplicables a tres tipus d’usuaris (propietari, grup propietari i resta d’usuaris).

Aquest esquema es va desenvolupar als anys setanta i avui encara és adequat per a la gran majoria dels sistemes en xarxa que hi ha en qualsevol mena d’organització, tant si es tracta de xarxes petites com de xarxes grans.

És cert que té algunes limitacions, però té l’avantatge de ser senzill. Això fa que sigui fàcil d’administrar i que el rendiment sigui molt elevat.

En els sistemes Windows, la gestió dels permisos que els usuaris i els grups tenen sobre els arxius es fa mitjançant un esquema complex de llistes de control d’accés (access control lists, ACL) per a cada directori i arxiu. El sistema ACL té l’avantatge de ser molt més flexible que el sistema GNU/Linux, ja que es poden establir més tipus de permisos, donar permisos només a uns quants usuaris i grups, denegar permisos… Com s’ha comentat anteriorment, però, en la majoria de casos n’hi ha prou amb les prestacions del sistema GNU/Linux.

Per defecte, el Samba utilitza el sistema de permisos de GNU/Linux.

Per exemple, si tenim compartida una carpeta anomenada professors amb permisos d’escriptura per al grup professors, tots els usuaris que pertanyin al grup professors podran efectuar canvis en la carpeta. No obstant això, si dins d’aquesta carpeta n’hi ha una altra que s’anomena confidencial, a la qual el grup professors no té permís per entrar, cap professor en podrà veure el contingut, encara que sigui dins d’una carpeta compartida.

La configuració del servidor Samba es fa a partir del fitxer /etc/samba/smb.conf.

La sintaxi de l’arxiu de configuració del Samba és bastant senzilla, ja que està dividit en seccions que es limiten a establir el valor d’uns quants paràmetres i a determinar quines són les carpetes i les impressores compartides, i també els permisos que hi ha. A més, l’arxiu va donant exemples de com hauríem de configurar alguns recursos per compartir-los.

Amb l’edició de l’arxiu /etc/samba/smb.conf es poden configurar més de tres-cents paràmetres, cosa que dona lloc a milers de configuracions. Aquí analitzareu els paràmetres més rellevants per garantir la seguretat i establir la compartició d’arxius.

Podeu veure un exemple de com compartir un recurs amb Samba amb aquest vídeo:

En l’arxiu /etc/samba/smb.conf hi ha tres seccions predefinides (global, homes i printers) i tantes seccions addicionals com recursos extra es vulguin compartir.

La utilitat i alguns dels paràmetres d’aquestes seccions predefinides es descriuen breument a continuació, ja que resulta necessari conèixer-los, per a configurar correctament Samba:

La secció [global] defineix els paràmetres a escala global del servidor Samba, a més d’alguns dels paràmetres que s’establiran per defecte en la resta de les seccions.

En la taula es mostren els paràmetres més significatius amb el valor per defecte i exemples:

A la secció [homes] es defineix automàticament un recurs de xarxa per a cada usuari conegut pel servidor Samba. Aquest recurs, per defecte, està associat al directori de connexió de cada usuari en l’ordinador en el qual el servidor Samba està instal·lat, és a dir, el directori de l’usuari (home directory). Aquesta secció és opcional i deshabilitada per defecte. S’utilitza quan es volen crear perfils mòbils per tal que, quan l’usuari s’identifiqui en qualsevol dels equips de la xarxa, el perfil s’escanegi automàticament.

El funcionament del servei Samba determina que, quan es faci una sol·licitud de connexió a un recurs compartit, s’escanegin les seccions que hi hagi en el fitxer /etc/samba/smb.conf mitjançant la cerca del nom del recurs. Si es troba una coincidència, s’utilitzen els paràmetres de la secció, amb el mateix nom que el recurs sol·licitat, per determinar les propietats i la configuració del recurs.

Si no es troba cap coincidència, el nom de la secció sol·licitada es tracta com un nom d’usuari i se’l cerca en l’arxiu de contrasenyes locals. Si el nom existeix i la contrasenya és correcta, es crea un recurs amb el nom d’usuari, el directori de l’usuari s’estableix com a camí o path del recurs i la resta de paràmetres del recurs es copien dels que s’han especificat en la secció [homes], si n’hi ha. Si l’usuari no es troba en l’arxiu de contrasenyes locals, es rebutja la connexió al recurs.

La configuració normal de la carpeta de l’usuari (home) serà la següent:

[home]
path=/home/%u
read only=no

Aquí, %u és el nom de l’usuari amb el qual us heu connectat al recurs.

Aquesta és una manera ràpida i senzilla de donar accés als directoris a un gran nombre de clients amb un esforç mínim.

Aquesta secció pot especificar tots els paràmetres de les seccions dels recursos nous a compartir, encara que alguns paràmetres tindran més sentit que d’altres.

La secció [printers] funciona com [homes], però per a les impressores.

Si es troba una secció [printers] en l’arxiu de configuració, es permet que els usuaris es connectin a qualsevol impressora especificada de l’ordinador central o host local.

Quan es fa una sol·licitud de connexió a un recurs, s’escanegen les seccions que hi ha en el fitxer /etc/samba/smb.conf. Si es troba alguna coincidència amb el nom del recurs sol·licitat, s’utilitzen els paràmetres de la secció amb el mateix nom per determinar les propietats i la configuració del recurs. Si no hi ha coincidències, però hi ha una secció [homes], se segueix el procés que s’ha descrit en la secció anterior. En cas que no hi hagi cap secció [homes], el nom de la secció (recurs) sol·licitada es tracta com un nom d’impressora.

A fi que el comportament sigui aquest, el paràmetre printable de la secció [printers] ha de tenir el valor yes, ja que si s’especifica el contrari, és a dir, el valor no, el servidor es negarà a carregar el fitxer de configuració.

Un exemple típic de configuració d’aquesta secció és el següent:

[printers]
path = /var/spool/samba
guest ok = yes
printable = yes

Cada vegada que es vol compartir un recurs (per exemple, un directori o una impressora), cal crear una secció nova amb un encapçalament entre claudàtors. L’encapçalament d’aquesta secció es correspondrà amb el nom que el recurs tindrà a la xarxa (el nom mitjançant el qual es podrà accedir al recurs des d’una altra màquina). Generalment, es fa servir el mateix nom de la impressora o la carpeta a compartir per tal que sigui més aclaridor.

Per exemple, si voleu compartir la carpeta /samba/informes-ioc amb tots els usuaris de samba que pertanyen al grup sambashare, i amb permís de lectura i escriptura, fareu el següent:

• Creareu una nova secció, per exemple: [informes]
• Definireu la ubicació de la carpeta a compartir, per exemple: /home/samba/informes-ioc (nota: haureu de donar permís a la carpeta amb la comanda chmod segons us interessi, en aquest exemple seria amb chmod 777 /home/samba/informes-ioc).
• Definireu que qualsevol usuari de Samba que formi part del grup sambashare hi pugui accedir: valid users = @sambashare
• Definireu que no serà oberta a tothom: guest ok = no
• Definireu que tothom hi pugui navegador: browsable = yes
• Definireu que tothom hi pugui accedir: writable = yes

Quedaria tal com es veu a la figura.

En la taula es descriuen unes quantes opcions aplicables a cada recurs compartit. També es poden establir en la secció global, cas en què s’utilitzaran com a valors per defecte per a cada recurs compartit:

Algunes recomanacions durant la configuració del Samba:

• És convenient crear en el directori /home una carpeta anomenada samba que contingui totes les carpetes compartides. La finalitat és tenir totes les dades d’usuari dins del directori de l’usuari i que fer les còpies de seguretat sigui senzill.
• És convenient crear una còpia de seguretat de l’arxiu /etc/samba/smb.conf abans de fer cap canvi. La finalitat és poder tornar a l’estat anterior en cas que fem una modificació incorrecta de l’arxiu que impedeixi que el servei arrenqui.
• Per comprovar que el nostre arxiu /etc/samba/smb.conf és correcte, podeu utilitzar l’ordre testparm, la qual analitza cada línia per localitzar-hi errors.
• Per tenir una descripció detallada de tots els paràmetres, es pot consultar la pàgina del manual d’/etc/samba/smb.conf amb l’ordre man smb.conf.

Per altra banda, Samba ofereix una interfície d’edició d’aquest fitxer basada en web denominada Webmin. Aquesta eina permet configurar el Samba utilitzant un navegador de xarxa, tant de forma local com remota. És interessant i imprescindible veure la manera de configurar gràficament el servidor Samba amb l’eina Webmin.

Per fer servir el Webmin com a eina d’administració de qualsevol servidor Samba, el servidor ha de tenir prèviament instal·lat i funcionant com a mínim el servei web Apache.

Per instal·lar el Webmin fareu servir les ordres següents (és possible que amb el temps les ordes canviïn, així que sempre podeu consultar les indicacions de la pàgina oficial webmin.com):

wget -qO - http://www.webmin.com/jcameron-key.asc | sudo apt-key add -
sudo sh -c 'echo "deb http://download.webmin.com/download/repository sarge contrib" > /etc/apt/sources.list.d/webmin.list'
sudo apt update
sudo apt install webmin

Per accedir a la interfície gràfica del Webmin, heu d’obrir un navegador a qualsevol ordinador client i entrar-hi la IP del servidor i el port 10000, per exemple: https://192.168.0.100:10000. Podeu veure la pantalla de login a la figura.

L’usuari i contrasenya a entrar són els mateixos que feu entrar per administrar l’Ubuntu Server.

Un cop dins el Webmin, podeu navegar per la columna esquerra per veure tot el que es pot gestionar. Si obriu l’opció Servers>Samba Windows File Sharing podreu visualitzar allò que heu compartit per Samba, o afegir-hi nous recursos. Podeu veure la carpeta que heu compartit amb anterioritat a la figura.

Un cop configurat el servidor, podeu connectar-vos des del client des del navegador de fitxers, entrant a la secció de Altres Ubicacions o a la barra d’adreces superior, segons la distribució. Es pot veure aquesta connexió a la figura i figura.

També podeu connectar-vos als recursos Samba des del terminal del client. Per exemple, podeu comprovar quines carpetes està exportant el servidor amb la comanda:

smbclient -L IP-servidor

, on IP-servidor és l’adreça IP del servidor SAMBA. En lloc de la IP del servidor també podeu posar-hi el nom.

Per fer-ho, us caldrà instal·lar el paquet smbclient.

Per connectar-nos al recurs que us interessa, haureu de fer servir aquesta ordre:

smbclient //IP-Servidor/Recurs

Si el recurs està protegit amb contrasenya, hi haureu d’afegir l’opció –U amb el nom d’usuari. Després d’executar l’ordre, us demanarà la contrasenya. L’ordre quedarà així:

smbclient -U usuari //IP-Servidor/Recurs

A la figura podeu veure l’exemple pràctic de consultar els recursos que us ofereix l’Ubuntu Server i entrar a la carpeta que heu creat anteriorment.

Quan accediu al recurs compartit, disposeu d’una línia d’ordres. Per tal que us mostri totes les ordres que podeu utilitzar, heu d’executar l’ordre help:

smb: \> help
?              altname        archive        blocksize      cancel         
case_sensitive cd             chmod          chown          close          
del            dir            du             exit           get            
getfacl        hardlink       help           history        lcd            
link           lock           lowercase      ls             mask           
md             mget           mkdir          more           mput           
newer          open           posix          posix_open     posix_mkdir    
posix_rmdir    posix_unlink   print          prompt         put            
pwd            q              queue          quit           rd             
recurse        reget          rename         reput          rm             
rmdir          showacls       setmode        stat           symlink        
tar            tarmode        translate      unlock         volume
vuid           wdel           logon          listconnect    showconnect

També podeu fer servir les ordres de navegació per al sistema de fitxers de GNU/Linux (cd, ls) i algunes de les ordres habituals de modificació de fitxers (rm, mkdir, del o rename), sempre que tingueu permisos.

Les comandes per muntar els recursos Samba serien:

sudo apt install cifs-utils
sudo mount -t cifs //IP-servidor/Recurs /carpeta-local -o username=usuari-samba,workgroup=grup-samba

La comanda anterior demanarà el password de l’usuari de Samba que s’ha especificat, i així quedarà muntada la carpeta a una ubicació local.

A lafigura podeu veure l’exemple pràctic de muntar el recurs que us ofereix l’Ubuntu Server i entrar a la carpeta que heu creat anteriorment.

Si es desitja que el muntatge sigui automàtic a l’inici de cada sessió, s’haurà d’editar el fitxer /etc/fstab.

En els sistemes GNU/Linux hi ha un sistema d’impressió estàndard que us permet centralitzar, compartir i gestionar impressores instal·lades en una màquina que fa les tasques de servidor d’impressió. L’eina que us proporciona aquest sistema d’impressió és el CUPS.

La gran majoria de distribucions GNU/Linux utilitzen el CUPS com a sistema d’impressió per defecte.

Un ordinador que executa el CUPS actua com un servidor que pot acceptar tasques d’impressió des d’altres ordinadors clients, les processa i les envia a la impressora apropiada.

El CUPS és format per una cua d’impressió amb un planificador, un sistema de filtres, el qual converteix les dades que s’han d’imprimir en formats que la impressora conegui, i un sistema de suport (back-end) que envia les dades al dispositiu d’impressió.

El CUPS, a més d’utilitzar el protocol IPP com a base per al maneig de tasques d’impressió i cues d’impressió, també proveeix les ordres tradicionals de línia d’ordres d’impressió dels sistemes GNU/Linux.

El CUPS també disposa d’un suport limitat d’operacions sota el protocol SMB, les quals s’utilitzen, en aquest cas, per compartir impressores.

La instal·lació de l’eina CUPS la podeu fer mitjançant les ordres de gestió de paquets del sistema amb els paquets adequats. Així, doncs, l’ordre d’instal·lació seria la següent:

sudo apt install cups

Per provar la funcionalitat del servidor CUPS, a continuació podeu afegir una impressora PDF que simularà ser una impressora real. Així, podreu configurar els clients per tal que imprimeixin amb aquesta impressora. El fitxer PDF es generarà al servidor. Per afegir aquesta impressora PDF entrareu la següent comanda:

sudo apt install printer-driver-cups-pdf

Per poder configurar i administrar el servidor CUPS, a més de les ordres de l’intèrpret d’ordres, disposeu d’una interfície web que funciona sobre el port 631. Aquesta interfície web us permet de manera gràfica afegir, cercar i eliminar impressores i classes d’impressores, controlar els treballs en les cues d’impressió i gestionar diversos paràmetres del servidor. Us hi podreu connectar des de qualsevol ordinador client de la xarxa. Per fer-ho entrareu la IP del servidor on hi ha CUPS i el port 631.

Abans de connectar-vos al servidor CUPS, haureu d’habilitar-ne l’accés editant el fitxer /etc/cups/cupsd.conf. Concretament, heu de modificar els següents camps:

• Listen: Heu de definir a quina IP (i port 631) de la màquina s’escoltarà peticions. Heu d’afegir la IP de l’Ubuntu Server on hi teniu CUPS.
• Location: Des de quines IP de la xarxa es permetrà connectar-se al servidor i configurar CUPS. Heu d’afegir la IP o el rang de IPs del vostre client.

A la figura es mostra aquesta configuració:

Davant de qualsevol canvi al fitxer, s’haurà de reiniciar el servidor, amb la comanda següent:

sudo service cups restart

Abans d’acabar la feina al servidor, heu de permetre que el vostre usuari d’Ubuntu Server pugui configurar remotament les impressores. Per fer-ho, afegiu-lo al grup CUPS amb la següent comanda:

sudo adduser ElVostreUsuariDeUbuntuServer lpadmin

Un cop instal·lat i configurat el servidor CUPS, us hi podeu connectar remotament via web. Per fer-ho, heu d’entrar l’adreça IP del servidor on hi ha CUPS, i afegir-hi el port 631. A la figura es mostra aquesta connexió:

El primer pas serà afegir les impressores desitjades dins el servei CUPS. Les impressores triades estaran disponibles remotament. Per fer-ho, aneu a Administration > Add Printer (us demanarà usuari i password del vostre usuari de l’Ubuntu Server).

En aquesta finestra us apareixen les impressores locals i l’opció de buscar-ne de remotes. Tal com s’ha fet amb la instal·lació i configuració del CUPS, marqueu CUPS-PDF > Continue. A la figura es mostra aquesta opció:

El següent pas serà anomenar la vostra impressora, així com afegir-hi una descripció i ubicació. També haureu de marcar l’opció Share this printer per tal que sigui accessible remotament. A la figura es mostra aquesta opció:

A continuació us demanarà quin fabricant i model té la impressora que voleu afegir. Seguint l’exemple, haureu de marcar Generic > Generic CUPS-PDF Printer no options > Add printer. A la figura es mostra aquesta opció:

El següent pas serà definir el tipus d’impressió per defecte. Us pot demanar la mida del paper i la qualitat. Podeu marcar Set default options per deixar-ho de fàbrica.

Un cop fet això, la impressora ja està disponible pels clients. Podreu veure la pàgina de manteniment i gestió de la impressora, amb un resum dels treballs impresos, així com eines de manteniment. A la figura es mostra aquesta pantalla:

Un cop afegida la impressora al servidor, ja la podeu fer servir per imprimir. Depenent de la distribució que feu servir, el procediment serà un o un altre, però habitualment haureu d’anar a Configuració > Impressores > Afegir impressora > Introduir URI. A la figura es mostra aquesta pantalla:

Després d’afegir-la, ja la tindreu disponible, tal com mostra la figura.

Des de la pàgina web de gestió de les impressores CUPS, podeu registrar tot allò que s’ha imprès. Per exemple, a la figura podeu veure com s’ha imprès un document, amb la data i l’opció de tornar a imprimir.