Day 22 (SAMBA & NAT)

SAMBA

설정은 /etc/samba/smb.conf를 변경해서 수정한다.

 

SAMBA 사용자 등록 및 password 변경은 /usr/bin/smbpasswd를 이용한다.

 

smbpasswd [옵션] 유저명

옵션은 다음과 같다.

a : 유저 등록

x : 유저 삭제

d : 사용중지

e : 재사용

 

삼바 계정 확인은 다음과 같이 실행한다.

- pdbedit -w -L

 

smb.conf의 구문 오류 검사는 /usr/bin/testparm를 통해 확인한다.

 

[global]

workgroup // NT 도메인 명 지정

netbios name // 네트워크 이름, 기본값 : 호스트명

hosts allow // 허가 항목 지정(지정된 것만 접속 가능)

ex) host allow = 1.1.1. EXCEPT 1.1.1.11 1.1.1.12

= 1.1.1.0/255.255.255.0

hosts deny // 접속 거부 항목 지정 (형식은 hosts allow와 동일)

 

guest account

 윈도우의 quest 사용자 매핑 계정 설정

 nobody 또는 유닉스 계t정으로 매핑 가능

 주석 처리하면 guest 접속 불가(권장)

 

security

 user, share, server(domain) 중 설정

- security = user

- passdb backend = tdbsam

*링크 디렉토리의 접근을 허용하게 만들어주는 코드이다.

follow symlinks = yes

wide links = yes

unix extensions = no

 

unix charset = utf-8

dos charset = cp949

유닉스 계열의 언어셋과 클라이언트인 윈도우 계열의 언어셋이 서로 달라 영어 외의 다른 문자는 글자가 깨질 수 있으므로 반드시 지정해야 한다. 하지만 반드시 확인해보고 설정해줘야 한다.

server signing = [auto | mandatory | disabled] // SAMBA서버에 등록된 계정정보와 리눅스 계정의 계정정보가 일치하면 자동로그인을 할 수 있게 저장하는 기능이다.

/*This controls whether the client is allowed or required to use SMB1 and SMB2 signing. Possible values are default, auto, mandatory and disabled.

By default, and when smb signing is set to default, smb signing is required when server role is active directory domain controller and disabled otherwise.

When set to auto, SMB1 signing is offered, but not enforced. When set to mandatory, SMB1 signing is required and if set to disabled, SMB signing is not offered either.

For the SMB2 protocol, by design, signing cannot be disabled. In the case where SMB2 is negotiated, if this parameter is set to disabled, it will be treated as auto. Setting it to mandatory will still require SMB2 clients to use signing.

<출처 : smb.conf>

 

(force) create mask = 644 // 생성되는 파일에 대한 권한이다.

(force) directory mask = 755 // 생성되는 폴더에 대한 권한이다.

 

[homes]
comment = Home Directories
browseable = no
writable = yes

[public]
comment = Public dir
path = /home/pub
public = yes
writable = no
write list = +te usr01

[project]

comment = project

valid users = usr01 usr02

path = /home/pro1

public = no

browseable = yes

writable = yes

 

samba서버를 yum을 이용해 설치한다.

계정 및 그룹을 생성하고 비밀번호를 설정한다.

st1과 st2를 같은 그룹으로 하고, st3를 다른 그룹으로 지정한다.

삼바에 계정을 등록한다.

권한을 설정한다.

두 코드를 비교해보고 잘못된곳을 확인해보아야 한다. 오른쪽이 실행했을때 정상 작동 하였다. 답은 둘다 같은 작동을 한다이다. 결과만으로 봤을때는 잘못된 곳이 없다. 코드를 수정하고 삼바를 재시직하지 않아 접속이 안되는 것을 보고 코드를 계속 수정한것이다.

위의 사진에서 물론 차이는 있다. 오른쪽 코드가 소프트링크도 허용하고 등록된 계정의 서버 접속도 유지한다. 하지만 이번 실습에서의 결과에는 큰 변화를 보이지 않는다.

st2 계정으로 접속한다.

st3계정으로 접속한다.

st3계정으로는 project디렉토리의 접근이 거부된다.

 

 

============문제==========================

 

. st01은 st 그룹 소속이고 te03은 te 그룹에 속합니다.

. 각 사용자는 linux에 ssh로 접속하는 사용자는 아닙니다.

. 각 사용자는 윈도우 사용자로 단순히 samba서비스만 받습니다.

. st01과 te03 사용자의 공동 프로젝트를 위해 관리자는 /home/usr 디렉토리를 만들고 해당 디렉토리에 대한 samba 설정을 아래와 같이 설정했습니다.

 

[usr]

       comment = project

       valid users = st01  te03

       path = /home/usr

       public = no

       browseable = yes

       writable = yes

 

문제. st01이 생성한 파일에 대해서 te03이 편집이 불가능합니다.

      편집 가능하도록 설정하려면 어떻게 해야 하는가?

문제. st01이 생성한 디렉토리에 대해서 te03이 해당 디렉토리에

      파일 생성 삭제가 불가능합니다. 이를 가능하게 하려면

      어떻게 해야 하는가?

2가지 방법으로 생각을 해보았다. st01사용자와 te03사용자가 유닉스 사용을 할 수 없으니 윈도우만을 사용하는 방법과 관리자가 st01사용자와 te03사용자를 위해 samba 파일을 수정하는 방법이다.

 

퍼미션을 주지 않은 상태에서 파일 수정시 나타나는 에러화면이다.

 

윈도우에서 공유 권한을 변경하는 방식이다. 

파일을 선택하고 우클릭 후에 속성 확인한다. 

파일에 관한 사용권한을 설정할 수 있다.

폴더도 마찬가지로 우클릭하여 속성에서 사용권한을 줄 수 있다.

보안탭에서 권한을 설정후에 유닉스에서 확인하면 퍼미션이 특이하다.

관리자가 사용자를 위해 파일을 수정하는 방법이다.

 

퍼미션을 변경하면 생성, 삭제, 수정이 가능하다. 하지만 파일이나 디렉토리 생성시 마다 권한을 주어야 하는 불편함이 있다.

퍼미션을 수동으로 설정했다.

하지만 가장 편한 방법은 smb.conf안에 마스크를 추가해 주면 자동적으로 퍼미션이 변경된다.

(force) create mask = 644 // 생성되는 파일에 대한 권한이다.

(force) directory mask = 755 // 생성되는 폴더에 대한 권한이다.

 

퍼미션 및 접근 권한만 있다면 파일 수정이 가능하다

퍼미션 및 접근 권한만 있다면 폴더 안에서 파일 생성은 가능하다

==============================================================

 

nat방식의 네트워크를 사용하고 192.168.11.254와 192.168.12.1의 ip를 가지는 시스템을 설정해라.

 

이더넷 연결 상태

두개의 아이피를 사용하지만 게이트웨이와 DNS는 하나만 지정해야한다.